您在 Cloud Storage 中执行的大多数操作都必须经过身份验证。只有对允许匿名访问的资源执行的操作才无需进行身份验证。如果 allUsers 群组包含在资源的 ACL 中,或者 allUsers 群组包含在该资源应用的 IAM 政策中,则该资源具有匿名访问权限。allUsers 群组包括互联网上的所有用户。
授权过程用于确定经过身份验证的身份对一组指定资源具有哪些权限。OAuth 2.0 使用权限范围来确定经过身份验证的身份是否获得授权。应用使用凭据(从以用户为中心或以服务器为中心的身份验证流程中获取此凭据)以及一个或多个权限范围来请求 Google 授权服务器提供访问令牌,以便访问受保护的资源。例如,应用 A(具有权限范围为 read-only 的访问令牌)只能读取数据,而应用 B(具有权限范围为 read-write 的访问令牌)可以读取和修改数据。这两个应用都不能读取或修改对象和存储分区上的访问控制列表;只有权限范围为 full-control 的应用才能执行此类操作。
| 类型 | 说明 | 权限范围网址 |
|---|---|---|
read-only |
仅允许读取数据(包括列出存储分区)。 | https://www.googleapis.com/auth/devstorage.read_only |
read-write |
允许读取和更改数据,但不允许读取和更改 IAM 政策等元数据。 | https://www.googleapis.com/auth/devstorage.read_write |
full-control |
允许完全控制数据(包括修改 IAM 政策)。 | https://www.googleapis.com/auth/devstorage.full_control |
cloud-platform.read-only |
查看 Google Cloud 服务中的数据。对于 Cloud Storage,此权限与 devstorage.read-only 相同。 |
https://www.googleapis.com/auth/cloud-platform.read-only |
cloud-platform |
查看和管理所有 Google Cloud 服务中的数据。对于 Cloud Storage,此权限与 devstorage.full-control 相同。 |
https://www.googleapis.com/auth/cloud-platform |