A maioria das operações realizadas no Cloud Storage precisa ser autenticada. As únicas exceções são operações em recursos que permitem o acesso anônimo. Um recurso terá acesso anônimo se o grupo allUsers estiver incluído na ACL do recurso ou se o grupo allUsers estiver incluído em uma política do IAM que se aplica ao recurso. O grupo allUsers inclui qualquer pessoa na Internet.
A autorização é o processo para determinar quais são as permissões uma identidade autenticada tem em um conjunto de recursos especificados. O OAuth 2.0 usa escopos para determinar se uma identidade autenticada está autorizada. Os aplicativos usam uma credencial (disponível através de um fluxo de autenticação centrado no usuário ou no servidor) com um ou mais escopos para solicitar um token de acesso de um servidor de autorização do Google e acessar recursos protegidos. Por exemplo, o aplicativo A, que tem um token de acesso com escopo read-only, pode apenas fazer leituras, enquanto o aplicativo B, que tem um token de acesso com escopo read-write, pode fazer leituras e modificações nos dados. Nenhum dos aplicativos pode fazer leituras ou modificações nas listas de controle de acesso de objetos e buckets. Apenas um aplicativo com escopo full-control pode fazer isso.
| Tipo | Descrição | URL do escopo |
|---|---|---|
read-only |
Permite o acesso apenas para leitura de dados, incluindo a listagem de buckets. | https://www.googleapis.com/auth/devstorage.read_only |
read-write |
Permite acesso para ler e alterar dados, mas não metadado, como as políticas do IAM. | https://www.googleapis.com/auth/devstorage.read_write |
full-control |
Permite o controle total dos dados, incluindo a capacidade de alterar as políticas de IAM. | https://www.googleapis.com/auth/devstorage.full_control |
cloud-platform.read-only |
Visualize seus dados nos serviços do Google Cloud. No Cloud Storage, é igual a devstorage.read-only.
|
https://www.googleapis.com/auth/cloud-platform.read-only |
cloud-platform |
Visualize e gerencie dados em todos os serviços do Google Cloud. No Cloud Storage, é igual a devstorage.full-control. |
https://www.googleapis.com/auth/cloud-platform |