Permisos de OAuth 2.0 de Cloud Storage

La mayoría de las operaciones que realizas en Cloud Storage se deben autenticar. Las únicas excepciones son las operaciones en recursos que permiten el acceso anónimo. Un recurso tiene acceso anónimo si el grupo allUsers está incluido en la LCA del recurso o si el grupo allUsers está incluido en una política de IAM que se aplica al recurso. El grupo allUsers incluye a cualquier persona en Internet.

La autorización es el proceso que determina qué permisos tiene una identidad autenticada en un conjunto de recursos especificados. OAuth 2.0 usa alcances para determinar si una identidad autenticada está autorizada. Las aplicaciones usan una credencial (obtenida de un flujo de autenticación centrado en el usuario o en el servidor) junto con uno o más alcances para solicitar un token de acceso de un servidor de autorización de Google a fin de acceder a los recursos protegidos. Por ejemplo, la aplicación A con un token de acceso con el alcance read-only solo puede realizar operaciones de lectura, mientras que la aplicación B con un token de acceso con el alcance read-write puede leer y modificar datos. Ninguna de las dos puede leer o modificar las listas de control de acceso en los objetos y depósitos; solo una aplicación con el alcance full-control puede hacerlo.

Tipo Descripción URL del alcance
read-only Solo permite el acceso de lectura a los datos, lo que incluye la enumeración de depósitos. https://www.googleapis.com/auth/devstorage.read_only
read-write Permite el acceso para leer y cambiar datos, pero no metadatos como las políticas de IAM. https://www.googleapis.com/auth/devstorage.read_write
full-control Permite el control total sobre los datos, incluida la capacidad de modificar las políticas de IAM. https://www.googleapis.com/auth/devstorage.full_control
cloud-platform.read-only Permite ver tus datos en los servicios de Google Cloud. En Cloud Storage, esto es lo mismo que devstorage.read-only. https://www.googleapis.com/auth/cloud-platform.read-only
cloud-platform Permite ver y administrar datos en todos los servicios de Google Cloud. En Cloud Storage, esto es lo mismo que devstorage.full-control. https://www.googleapis.com/auth/cloud-platform