本頁面說明使用身分與存取權管理 (IAM) 和存取控制清單 (ACL) 管理資料存取權的最佳做法。
IAM 政策和 ACL 需要積極管理才能發揮作用。 將值區或物件提供給其他使用者存取之前,請務必確定您已經知道要和誰共用值區或物件,以及要指派什麼角色給這些人。經過一段時間,專案管理、使用模式和機構擁有權可能都會異動,而您就需要修改值區和專案的 IAM 或 ACL 設定,尤其在大型機構或是為大型使用者群組管理 Cloud Storage 時更是如此。當您評估及規劃存取控制設定時,請牢記下列最佳做法:
在授予值區或物件的存取權時,請採用最低權限原則。
最低權限原則是授予資源存取權的安全性方針。如果您根據最低權限原則授予存取權,即表示您只將使用者完成指派工作所需的最小權限授予使用者。舉例來說,如要與某人共用檔案,請授予
storage.objectViewerIAM 角色或READERACL 權限,而非storage.adminIAM 角色或OWNERACL 權限。避免將具有
setIamPolicy權限的 IAM 角色或 ACLOWNER權限授予您不認識的對象。授予
setIamPolicyIAM 權限或OWNERACL 權限,可讓使用者變更權限並取得資料的控制權。只有在您要委派物件及值區的管理控制權時,才可使用具有這些權限的角色。授權給匿名使用者時請格外小心。
只有在網際網路上所有人都可以讀取和分析您的資料時,才可以使用
allUsers和allAuthenticatedUsers主體類型。儘管這些範圍對部分應用程式和某些情況來說很有用,但我們不建議將某些權限 (例如 IAM 權限setIamPolicy、update、create或delete,或是 ACLOWNER權限) 授予給所有使用者。確認您已委派值區的管理控制權。
請務必確保如果具有管理員存取權的成員離開群組,其他團隊成員仍可管理資源。
為避免資源無法存取,請執行下列任一操作:
將專案的「儲存空間管理員」IAM 角色授予群組,而非個別使用者
為專案授予至少兩位使用者「Storage 管理員」IAM 角色
為值區授予至少兩位使用者的
OWNERACL 權限
請注意 Cloud Storage 的可互通行為。
使用 XML API 與其他儲存服務 (例如 Amazon S3) 進行互通存取時,簽名識別碼會決定 ACL 語法。例如,如果您使用的工具或程式庫向 Cloud Storage 發出擷取 ACL 的要求,而此要求使用其他儲存空間供應商的簽名識別碼,則 Cloud Storage 傳回的 XML 文件會使用對應儲存空間供應商的 ACL 語法。如果您使用的工具或程式庫向 Cloud Storage 發出套用 ACL 的要求,而要求使用其他儲存空間供應商的簽名識別碼,則 Cloud Storage 收到的 XML 文件會使用對應儲存空間供應商的 ACL 語法。
如要進一步瞭解如何使用 XML API 與 Amazon S3 互通,請參閱從 Amazon S3 簡易遷移至 Cloud Storage。