Ambiti OAuth 2.0 di Cloud Storage

La maggior parte delle operazioni eseguite in Cloud Storage deve essere autenticata. Le uniche eccezioni sono le operazioni sulle risorse che consentono accesso anonimo. Una risorsa ha accesso anonimo se il gruppo allUsers è incluso nell'ACL della risorsa o se il gruppo allUsers è incluso in un criterio IAM applicato alla risorsa. Il gruppo allUsers include chiunque su internet.

L'autorizzazione è il processo di determinazione delle autorizzazioni di cui dispone un'identità autenticata su un determinato insieme di risorse. OAuth 2.0 utilizza gli ambiti per determinare se un'identità autenticata è autorizzata. Le applicazioni utilizzano una credenza (ottenuta da un flusso di autenticazione incentrato sull'utente o sul server) insieme a uno o più ambiti per richiedere un token di accesso da un server di autorizzazione Google per accedere alle risorse protette. Ad esempio, l'applicazione A con un token di accesso con ambito read-only può solo leggere, mentre l'applicazione B con un token di accesso con ambito read-write può leggere e modificare i dati. Nessuna delle due applicazioni può leggere o modificare gli elenchi di controllo dell'accesso su oggetti e bucket. Solo un'applicazione con ambito full-control può farlo.

Tipo Descrizione URL ambito
read-only Consente solo l'accesso in lettura ai dati, inclusi i bucket dell'elenco. https://www.googleapis.com/auth/devstorage.read_only
read-write Consente l'accesso in lettura e modifica dei dati, ma non dei metadati come i criteri IAM. https://www.googleapis.com/auth/devstorage.read_write
full-control Consente il controllo completo sui dati, inclusa la possibilità di modificare i criteri IAM. https://www.googleapis.com/auth/devstorage.full_control
cloud-platform.read-only Visualizzare i dati nei servizi Google Cloud. Per Cloud Storage, questo valore corrisponde a devstorage.read-only. https://www.googleapis.com/auth/cloud-platform.read-only
cloud-platform Visualizza e gestisci i dati in tutti i servizi Google Cloud. Per Cloud Storage, è lo stesso di devstorage.full-control. https://www.googleapis.com/auth/cloud-platform