在 Cloud Storage 執行的大多數作業都必須經過驗證。只有允許匿名存取的資源作業屬於例外情況。如果資源的 ACL 中包含 allUsers 群組,或是適用於資源的 IAM 政策中包含 allUsers 群組,該資源就會開放匿名存取。網際網路上的任何使用者皆屬於 allUsers 群組。
「授權」是判定經過驗證的身分對於一組資源具有哪些權限的程序。OAuth 使用「範圍」來判斷某個經過驗證的身分是否獲得授權。應用程式會使用憑證 (在以使用者為主或以伺服器為主的驗證流程中取得) 加上一個或多個範圍,向 Google 授權伺服器要求存取憑證,以存取受保護的資源。例如,具有 read-only 範圍存取符記的應用程式 A 只能讀取,而具有 read-write 範圍存取符記的應用程式 B 可以讀取和修改資料。這兩個應用程式都無法讀取或修改物件和值區的存取控制清單,只有擁有 full-control 範圍的應用程式有權執行這類動作。
| 類型 | 說明 | 範圍網址 |
|---|---|---|
read-only |
僅允許讀取資料 (包括清單值區) 的權限。 | https://www.googleapis.com/auth/devstorage.read_only |
read-write |
有權讀取及變更資料,但不允許存取 IAM 政策等中繼資料。 | https://www.googleapis.com/auth/devstorage.read_write |
full-control |
允許完全控制資料,包括修改 IAM 政策。 | https://www.googleapis.com/auth/devstorage.full_control |
cloud-platform.read-only |
查看您在各項 Google Cloud 服務中的資料。對於 Cloud Storage 來說,這與 devstorage.read-only 相同。 |
https://www.googleapis.com/auth/cloud-platform.read-only |
cloud-platform |
查看及管理所有 Google Cloud 服務中的資料。對於 Cloud Storage 來說,這與 devstorage.full-control 相同。 |
https://www.googleapis.com/auth/cloud-platform |