La maggior parte delle operazioni eseguite in Cloud Storage deve essere autenticata. Le uniche eccezioni sono le operazioni sulle risorse che consentono accesso anonimo. Una risorsa ha accesso anonimo se il gruppo allUsers
è incluso nell'ACL della risorsa o se il gruppo allUsers
è incluso in un criterio IAM applicato alla risorsa. Il gruppo allUsers
include chiunque su internet.
L'autorizzazione è il processo di determinazione delle autorizzazioni di cui dispone un'identità autenticata su un determinato insieme di risorse. OAuth 2.0 utilizza gli ambiti per determinare se un'identità autenticata è autorizzata. Le applicazioni utilizzano una credenza (ottenuta da un flusso di autenticazione incentrato sull'utente o sul server) insieme a uno o più ambiti per richiedere un token di accesso da un server di autorizzazione Google per accedere alle risorse protette. Ad esempio, l'applicazione A con un token di accesso con ambito read-only
può solo leggere, mentre l'applicazione B con un token di accesso con ambito read-write
può leggere e modificare i dati. Nessuna delle due applicazioni può leggere o modificare gli elenchi di controllo dell'accesso su oggetti e bucket. Solo un'applicazione con ambito full-control
può farlo.
Tipo | Descrizione | URL ambito |
---|---|---|
read-only |
Consente solo l'accesso in lettura ai dati, inclusi i bucket dell'elenco. | https://www.googleapis.com/auth/devstorage.read_only |
read-write |
Consente l'accesso in lettura e modifica dei dati, ma non dei metadati come i criteri IAM. | https://www.googleapis.com/auth/devstorage.read_write |
full-control |
Consente il controllo completo sui dati, inclusa la possibilità di modificare i criteri IAM. | https://www.googleapis.com/auth/devstorage.full_control |
cloud-platform.read-only |
Visualizzare i dati nei servizi Google Cloud. Per Cloud Storage,
questo valore corrisponde a devstorage.read-only .
|
https://www.googleapis.com/auth/cloud-platform.read-only |
cloud-platform |
Visualizza e gestisci i dati in tutti i servizi Google Cloud. Per Cloud Storage, è lo stesso di devstorage.full-control . |
https://www.googleapis.com/auth/cloud-platform |