La plupart des opérations que vous effectuez dans Cloud Storage doivent être authentifiées. Les seules exceptions concernent les opérations réalisées sur des ressources qui autorisent les accès anonymes. Une ressource dispose d'un accès anonyme si le groupe allUsers est inclus dans la LCA de la ressource ou si le groupe allUsers est inclus dans une stratégie IAM qui s'applique à la ressource. Le groupe allUsers comprend tous les internautes.
L'autorisation est le processus permettant de déterminer les autorisations dont dispose une identité authentifiée sur un ensemble de ressources spécifiées. OAuth 2.0 détermine si une identité authentifiée est autorisée à l'aide de champs d'application. Les applications utilisent des identifiants (obtenus à partir d'un flux d'authentification centré sur l'utilisateur ou sur le serveur) avec un ou plusieurs champs d'application pour demander un jeton d'accès à un serveur d'autorisation Google afin d'accéder aux ressources protégées. Par exemple, l'application A dotée d'un jeton d'accès ayant le champ d'application read-only ne peut que lire des données, tandis que l'application B dotée d'un jeton d'accès ayant le champ d'application read-write peut lire et modifier des données. Aucune des deux applications ne peut lire ni modifier les listes de contrôle d'accès sur les objets et les buckets. Seule une application ayant le champ d'application full-control peut le faire.
| Type | Description | URL du champ d'application |
|---|---|---|
read-only |
Octroie un accès ne permettant que de lire les données, y compris de répertorier les buckets. | https://www.googleapis.com/auth/devstorage.read_only |
read-write |
Octroie un accès permettant de lire et de modifier les données, mais pas les métadonnées telles que les stratégies IAM. | https://www.googleapis.com/auth/devstorage.read_write |
full-control |
Permet d'exercer un contrôle total sur les données, y compris de modifier les stratégies IAM. | https://www.googleapis.com/auth/devstorage.full_control |
cloud-platform.read-only |
Permet d'afficher les données dans les services Google Cloud. Pour Cloud Storage, ce champ d'application est identique à devstorage.read-only.
|
https://www.googleapis.com/auth/cloud-platform.read-only |
cloud-platform |
Permet d'afficher et de gérer les données dans tous les services Google Cloud. Pour Cloud Storage, ce champ d'application est identique à devstorage.full-control. |
https://www.googleapis.com/auth/cloud-platform |