Auf dieser Seite wird beschrieben, wie Sie die Bucket-Einstellung zur Verhinderung des öffentlichen Zugriffs und die Organisationsrichtlinien-Einschränkung zur Verhinderung des öffentlichen Zugriffs verwenden. Mit der Verhinderung des öffentlichen Zugriffs können Sie den öffentlichen Zugriff auf Ihre Buckets und Objekte einschränken.
Hinweise
Bevor Sie die Verhinderung des öffentlichen Zugriffs in Cloud Storage nutzen, müssen Sie die erforderliche IAM-Rolle haben und die Hinweise zur Erzwingung der Verhinderung des öffentlichen Zugriffs lesen.
Erforderliche Rollen abrufen
Bitten Sie Ihren Administrator, Ihnen die Rolle "Administrator für Organisationsrichtlinien" (roles/orgpolicy.policyAdmin
) für die Organisation zuzuweisen, um die Organisationsrichtlinie zur Verhinderung des öffentlichen Zugriffs auf Projekt-, Ordner- oder Organisationsebene zu verwalten. Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten der Verhinderung des öffentlichen Zugriffs auf Projekt-, Ordner- oder Organisationsebene erforderlich sind. Informationen zu den Berechtigungen, die in dieser Rolle enthalten sind, finden Sie unter Details zur Rolle „Organisationsadministrator“.
Bitten Sie Ihren Administrator, Ihnen die Rolle "Storage-Administrator" (roles/storage.admin
) für den Bucket zuzuweisen, um die Einstellung für die Verhinderung des öffentlichen Zugriffs auf einen Bucket zu verwalten. Diese Rolle enthält die Berechtigungen, die zum Verwalten der Verhinderung des öffentlichen Zugriffs für einen Bucket erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:
Erforderliche Berechtigungen
storage.buckets.update
storage.buckets.setIamPolicy
Informationen zu den anderen Berechtigungen, die in der Rolle „Storage-Administrator“ enthalten sind, finden Sie unter Details zur Rolle „Storage-Administrator“.
Überlegungen
Bevor Sie beginnen, sollten Sie dafür sorgen, dass Workflows durch das Blockieren des öffentlichen Zugriffs nicht unterbrochen werden. Weitere Informationen finden Sie unter Überlegungen zur Erzwingung für bestehende Ressourcen.
Bucket-Einstellung verwenden
In diesem Abschnitt wird gezeigt, wie Sie die Verhinderung des öffentlichen Zugriffs für einzelne Buckets erzwingen und entfernen sowie den Status einzelner Buckets prüfen.
Verhinderung des öffentlichen Zugriffs festlegen
So ändern Sie die Einstellung für die Verhinderung des öffentlichen Zugriffs für einen einzelnen Bucket:
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, für den Sie die Verhinderung des öffentlichen Zugriffs erzwingen oder entfernen möchten.
Klicken Sie auf der Seite mit den Bucket-Details auf den Tab Berechtigungen.
Klicken Sie auf der Karte Öffentlicher Zugriff auf Öffentlichen Zugriff verhindern, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, oder klicken Sie zum Entfernen der Verhinderung des öffentlichen Zugriffs auf Öffentlichen Zugriff zulassen.
Klicken Sie auf Bestätigen.
Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.
Befehlszeile
Führen Sie den gcloud storage buckets update
-Befehl mit dem geeigneten Flag aus.
gcloud storage buckets update gs://BUCKET_NAME FLAG
Dabei gilt:
BUCKET_NAME
ist der Name des entsprechenden Buckets. Beispiel:my-bucket
.FLAG
ist entweder--public-access-prevention
, was die öffentliche Zugriffssteuerung aktiviert, oder--no-public-access-prevention
, was die Steuerung deaktiviert.
Wenn der Vorgang erfolgreich war, sieht die Antwort in etwa so aus:
Updating gs://my-bucket/... Completed 1
Clientbibliotheken
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited
gesetzt:
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited
gesetzt:
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited
gesetzt:
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited
gesetzt:
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited
gesetzt:
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited
gesetzt:
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited
gesetzt:
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:
Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited
gesetzt:
REST APIs
JSON API
Installieren und initialisieren Sie die dcloud CLI, um ein Zugriffstoken für den Header
Authorization
zu generieren.Alternativ können Sie mit dem OAuth 2.0 Playground ein Zugriffstoken erstellen und in den Header
Authorization
einfügen.Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:
{ "iamConfiguration": { "publicAccessPrevention": "STATE", } }
Dabei ist
<var>STATE</var>
entwederenforced
oderinherited
.Verwenden Sie
cURL
, um die JSON API mit einerPATCH
-Bucket-Anfrage aufzurufen, die den gewünschtenfields
enthält:curl -X PATCH --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?fields=iamConfiguration"
Dabei gilt:
JSON_FILE_NAME
ist der Pfad für die JSON-Datei, die Sie im vorherigen Schritt erstellt haben.BUCKET_NAME
ist der Name des entsprechenden Buckets. Beispiel:my-bucket
.
XML API
Die XML API kann nicht zum Verwalten der Verhinderung des öffentlichen Zugriffs verwendet werden. Verwenden Sie stattdessen eines der anderen Cloud Storage-Tools, z. B. die Google Cloud Console.
Status der Verhinderung des öffentlichen Zugriffs anzeigen
So zeigen Sie den Status der öffentlichen Zugriffsverhinderung für einen einzelnen Bucket an:
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie auf den Namen des Buckets, für den Sie den Status der Verhinderung des öffentlichen Zugriffs ansehen möchten.
Klicken Sie auf den Tab Berechtigungen.
Unter Öffentlicher Zugriff wird der Status des Buckets angezeigt.
Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.
Befehlszeile
Führen Sie den Befehl gcloud storage buckets describe
mit dem Flag --format
aus.
gcloud storage buckets describe gs://BUCKET_NAME --format="default(public_access_prevention)"
Dabei ist BUCKET_NAME
der Name des Buckets, dessen Status Sie aufrufen möchten. Beispiel: my-bucket
.
Wenn der Vorgang erfolgreich war, sieht die Antwort in etwa so aus:
public_access_prevention:inherited
Clientbibliotheken
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
REST APIs
JSON API
Installieren und initialisieren Sie die dcloud CLI, um ein Zugriffstoken für den Header
Authorization
zu generieren.Alternativ können Sie mit dem OAuth 2.0 Playground ein Zugriffstoken erstellen und in den Header
Authorization
einfügen.Verwenden Sie
cURL
, um die JSON API mit einerGET
-Bucket-Anfrage aufzurufen, die den gewünschtenfields
enthält:curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?fields=iamConfiguration"
Dabei ist
BUCKET_NAME
der Name des entsprechenden Buckets. Beispiel:my-bucket
.Die Antwort sieht in etwa so aus:
{ "iamConfiguration": { ... "publicAccessPrevention": "FLAG" } }
Dabei ist
FLAG
entwederinherited
oderenforced
.
XML API
Die XML API kann nicht zum Verwalten der Verhinderung des öffentlichen Zugriffs verwendet werden. Verwenden Sie stattdessen eines der anderen Cloud Storage-Tools, z. B. die Google Cloud Console.
Organisationsrichtlinie verwenden
In diesem Abschnitt wird gezeigt, wie Sie die Organisationsrichtlinie für die Verhinderung des öffentlichen Zugriffs erzwingen und entfernen sowie den Status der Richtlinie prüfen.
Verhinderung des öffentlichen Zugriffs festlegen
So legen Sie die Verhinderung des öffentlichen Zugriffs auf Projekt-, Ordner- oder Organisationsebene fest:
Console
Folgen Sie der Anleitung unter Organisationsrichtlinien erstellen und verwalten unter Verwendung der Einschränkung storage.publicAccessPrevention
.
Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.
Befehlszeile
Führen Sie den Befehl gcloud beta resource-manager org-policies
aus:
gcloud beta resource-manager org-policies STATE \ constraints/storage.publicAccessPrevention \ --RESOURCE RESOURCE_ID
Dabei gilt:
STATE
kann die folgenden Werte haben:enable-enforce
: Erzwingt die Verhinderung des öffentlichen Zugriffs für die Ressource.disable-enforce
: Deaktiviert die Verhinderung des öffentlichen Zugriffs für die Ressource.delete
: Entfernt die Einschränkung der Organisationsrichtlinie aus der Ressource, damit die Ressource den Wert der übergeordneten Ressource übernimmt.
RESOURCE
ist die Ressource, für die Sie die Verhinderung des öffentlichen Zugriffs festlegen möchten. Beispiel:organization
,project
oderfolder
.RESOURCE_ID
ist die ID für die Ressource. Beispiel:123456789012
für eine Organisations-ID,245321
für eine Ordner-ID odermy-pet-project
für eine Projekt-ID.
Weitere Informationen finden Sie unter Einschränkungen verwenden.
Hier sehen Sie ein Beispiel für die Ausgabe bei Verwendung von disable-enforce
:
etag: BwVJi0OOESU= booleanPolicy: {} constraint: constraints/storage.publicAccessPrevention
Status der Verhinderung des öffentlichen Zugriffs anzeigen
So rufen Sie den Status der Verhinderung des öffentlichen Zugriffs auf Projekt-, Ordner- oder Organisationsebene auf:
Console
Folgen Sie der Anleitung unter Organisationsrichtlinien erstellen und verwalten unter Verwendung der Einschränkung storage.publicAccessPrevention
.
Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.
Befehlszeile
Führen Sie den Befehl describe --effective
aus:
gcloud beta resource-manager org-policies describe \ constraints/storage.publicAccessPrevention --effective \ --RESOURCE RESOURCE_ID
Dabei gilt:
RESOURCE
ist die Ressource, für die Sie den Status der Verhinderung des öffentlichen Zugriffs aufrufen möchten. Beispiel:organization
,project
oderfolder
.RESOURCE_ID
ist die ID für die Ressource. Beispiel:123456789012
für eine Organisations-ID,245321
für eine Ordner-ID undmy-pet-project
für eine Projekt-ID.
Weitere Informationen finden Sie unter Einschränkungen verwenden.