Ambiti OAuth 2.0 di Cloud Storage

La maggior parte delle operazioni eseguite in Cloud Storage deve essere autenticata. Le uniche eccezioni sono le operazioni su risorse che consentono l'accesso anonimo. Una risorsa ha accesso anonimo se il gruppo allUsers è incluso nell'ACL della risorsa o se il gruppo allUsers è incluso in un criterio IAM applicato alla risorsa. Il gruppo allUsers include chiunque sia presente su internet.

L'autorizzazione è il processo di determinazione delle autorizzazioni di cui dispone un'identità autenticata su un insieme di risorse specificate. OAuth 2.0 utilizza gli ambiti per determinare se un'identità autenticata è autorizzata. Le applicazioni utilizzano una credenziale (ottenuta da un flusso di autenticazione incentrato sull'utente o sui server) insieme a uno o più ambiti per richiedere un token di accesso a un server di autorizzazione di Google per accedere alle risorse protette. Ad esempio, l'applicazione A con un token di accesso con ambito read-only può solo leggere, mentre l'applicazione B con un token di accesso con ambito read-write può leggere e modificare i dati. Nessuna applicazione può leggere o modificare gli elenchi di controllo dell'accesso su oggetti e bucket; solo un'applicazione con ambito full-control può farlo.