Cette page a été traduite par l'API Cloud Translation.

Rendre des données publiques

Cette page vous explique comment rendre vos objets lisibles par tous sur l'Internet public. Pour savoir comment accéder aux données rendues publiques, consultez la page Accéder aux données publiques.

Lorsqu'un objet est partagé publiquement, tout utilisateur connaissant son URI peut y accéder tant qu'il est public.

Rôles requis

Pour obtenir les autorisations requises pour rendre les objets lisibles publiquement, demandez à votre administrateur de vous accorder les rôles suivants pour le bucket contenant les données que vous souhaitez rendre publiques:

Pour rendre tous les objets d'un bucket lisibles publiquement: administrateur de l'espace de stockage (roles/storage.admin)
Pour rendre des objets individuels lisibles publiquement: administrateur des objets de l'espace de stockage (roles/storage.objectAdmin)
- Si vous prévoyez d'utiliser la console Google Cloud, vous devrez disposer du rôle Administrateur de l'espace de stockage (roles/storage.admin) au lieu du rôle "Administrateur des objets de l'espace de stockage".

Ces rôles contiennent les autorisations requises pour rendre des objets publics. Pour afficher les autorisations exactes requises, développez la section Autorisations requises :

Autorisations requises

storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update

Les autorisations suivantes ne sont requises que pour effectuer les tâches décrites sur cette page à l'aide de la console Google Cloud:

storage.buckets.list
storage.objects.list

Vous pouvez également obtenir ces autorisations avec d'autres rôles prédéfinis ou rôles personnalisés.

Pour savoir comment attribuer des rôles aux buckets, consultez la section Utiliser IAM avec des buckets.

Rendre tous les objets d'un bucket lisibles publiquement :

Pour rendre tous les objets d'un bucket lisibles par tous sur l'Internet public, attribuez au compte principal allUsers le rôle "Lecteur des objets Storage" (roles/storage.objectViewer) :

Console

Dans la console Google Cloud, accédez à la page Buckets Cloud Storage.
Accéder à la page "Buckets"
Dans la liste des buckets, cliquez sur le nom de celui que vous souhaitez rendre public.
Sélectionnez l'onglet Autorisations en haut de la page.
Dans la section Autorisations, cliquez sur le bouton Accorder l'accès.

La boîte de dialogue Accorder l'accès s'affiche.
Dans le champ Nouveaux comptes principaux, saisissez allUsers.
Dans la liste déroulante Sélectionner un rôle, saisissez Storage Object Viewer dans le champ de filtre, puis sélectionnez Lecteur des objets Storage dans les résultats filtrés.
Cliquez sur Enregistrer.
Cliquez sur Autoriser l'accès public.

Une fois l'accès public accordé, Copier l'URL apparaît pour chaque objet dans la colonne Accès public. Vous pouvez cliquer sur ce bouton pour obtenir l'URL publique de l'objet.

Pour savoir comment obtenir des informations détaillées sur les erreurs liées aux opérations Cloud Storage ayant échoué dans la console Google Cloud, consultez la section Dépannage.

Ligne de commande

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Dans votre environnement de développement, exécutez la commande buckets add-iam-policy-binding :
```
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=allUsers --role=roles/storage.objectViewer
```
où BUCKET_NAME correspond au nom du bucket dont vous souhaitez rendre les objets publics. Par exemple, my-bucket.

Bibliothèques clientes

C++

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage C++.

Pour vous authentifier auprès de Cloud Storage, configurez le service Identifiants par défaut de l'application. Pour en savoir plus, consultez la page Configurer l'authentification pour les bibliothèques clientes.

namespace gcs = ::google::cloud::storage;
using ::google::cloud::StatusOr;
[](gcs::Client client, std::string const& bucket_name) {
  auto current_policy = client.GetNativeBucketIamPolicy(
      bucket_name, gcs::RequestedPolicyVersion(3));
  if (!current_policy) throw std::move(current_policy).status();

  current_policy->set_version(3);
  current_policy->bindings().emplace_back(
      gcs::NativeIamBinding("roles/storage.objectViewer", {"allUsers"}));

  auto updated =
      client.SetNativeBucketIamPolicy(bucket_name, *current_policy);
  if (!updated) throw std::move(updated).status();

  std::cout << "Policy successfully updated: " << *updated << "\n";
}

C#

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage C#.


using Google.Apis.Storage.v1.Data;
using Google.Cloud.Storage.V1;
using System;
using System.Collections.Generic;

public class MakeBucketPublicSample
{
    public void MakeBucketPublic(string bucketName = "your-unique-bucket-name")
    {
        var storage = StorageClient.Create();

        Policy policy = storage.GetBucketIamPolicy(bucketName);

        policy.Bindings.Add(new Policy.BindingsData
        {
            Role = "roles/storage.objectViewer",
            Members = new List<string> { "allUsers" }
        });

        storage.SetBucketIamPolicy(bucketName, policy);
        Console.WriteLine(bucketName + " is now public ");
    }
}

Go

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Go.

import (
	"context"
	"fmt"
	"io"

	"cloud.google.com/go/iam"
	"cloud.google.com/go/iam/apiv1/iampb"
	"cloud.google.com/go/storage"
)

// setBucketPublicIAM makes all objects in a bucket publicly readable.
func setBucketPublicIAM(w io.Writer, bucketName string) error {
	// bucketName := "bucket-name"
	ctx := context.Background()
	client, err := storage.NewClient(ctx)
	if err != nil {
		return fmt.Errorf("storage.NewClient: %w", err)
	}
	defer client.Close()

	policy, err := client.Bucket(bucketName).IAM().V3().Policy(ctx)
	if err != nil {
		return fmt.Errorf("Bucket(%q).IAM().V3().Policy: %w", bucketName, err)
	}
	role := "roles/storage.objectViewer"
	policy.Bindings = append(policy.Bindings, &iampb.Binding{
		Role:    role,
		Members: []string{iam.AllUsers},
	})
	if err := client.Bucket(bucketName).IAM().V3().SetPolicy(ctx, policy); err != nil {
		return fmt.Errorf("Bucket(%q).IAM().SetPolicy: %w", bucketName, err)
	}
	fmt.Fprintf(w, "Bucket %v is now publicly readable\n", bucketName)
	return nil
}

Java

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Java.

import com.google.cloud.Identity;
import com.google.cloud.Policy;
import com.google.cloud.storage.Storage;
import com.google.cloud.storage.StorageOptions;
import com.google.cloud.storage.StorageRoles;

public class MakeBucketPublic {
  public static void makeBucketPublic(String projectId, String bucketName) {
    // The ID of your GCP project
    // String projectId = "your-project-id";

    // The ID of your GCS bucket
    // String bucketName = "your-unique-bucket-name";

    Storage storage = StorageOptions.newBuilder().setProjectId(projectId).build().getService();
    Policy originalPolicy = storage.getIamPolicy(bucketName);
    storage.setIamPolicy(
        bucketName,
        originalPolicy
            .toBuilder()
            .addIdentity(StorageRoles.objectViewer(), Identity.allUsers()) // All users can view
            .build());

    System.out.println("Bucket " + bucketName + " is now publicly readable");
  }
}

Node.js

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Node.js.

/**
 * TODO(developer): Uncomment the following lines before running the sample.
 */
// The ID of your GCS bucket
// const bucketName = 'your-unique-bucket-name';

// Imports the Google Cloud client library
const {Storage} = require('@google-cloud/storage');

// Creates a client
const storage = new Storage();

async function makeBucketPublic() {
  await storage.bucket(bucketName).makePublic();

  console.log(`Bucket ${bucketName} is now publicly readable`);
}

makeBucketPublic().catch(console.error);

PHP

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage PHP.

use Google\Cloud\Storage\StorageClient;

/**
 * Update the specified bucket's IAM configuration to make it publicly accessible.
 *
 * @param string $bucketName The name of your Cloud Storage bucket.
 *        (e.g. 'my-bucket')
 */
function set_bucket_public_iam(string $bucketName): void
{
    $storage = new StorageClient();
    $bucket = $storage->bucket($bucketName);

    $policy = $bucket->iam()->policy(['requestedPolicyVersion' => 3]);
    $policy['version'] = 3;

    $role = 'roles/storage.objectViewer';
    $members = ['allUsers'];

    $policy['bindings'][] = [
        'role' => $role,
        'members' => $members
    ];

    $bucket->iam()->setPolicy($policy);

    printf('Bucket %s is now public', $bucketName);
}

Python

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Python.

from typing import List

from google.cloud import storage


def set_bucket_public_iam(
    bucket_name: str = "your-bucket-name",
    members: List[str] = ["allUsers"],
):
    """Set a public IAM Policy to bucket"""
    # bucket_name = "your-bucket-name"

    storage_client = storage.Client()
    bucket = storage_client.bucket(bucket_name)

    policy = bucket.get_iam_policy(requested_policy_version=3)
    policy.bindings.append(
        {"role": "roles/storage.objectViewer", "members": members}
    )

    bucket.set_iam_policy(policy)

    print(f"Bucket {bucket.name} is now publicly readable")

Ruby

Pour en savoir plus, consultez la documentation de référence de l'API Cloud Storage en langage Ruby.

def set_bucket_public_iam bucket_name:
  # The ID of your GCS bucket
  # bucket_name = "your-unique-bucket-name"

  require "google/cloud/storage"

  storage = Google::Cloud::Storage.new
  bucket = storage.bucket bucket_name

  bucket.policy do |p|
    p.add "roles/storage.objectViewer", "allUsers"
  end

  puts "Bucket #{bucket_name} is now publicly readable"
end

Terraform

Vous pouvez utiliser une ressource Terraform pour rendre publics tous les objets d'un bucket.

# Make bucket public
resource "google_storage_bucket_iam_member" "member" {
  provider = google
  bucket   = google_storage_bucket.default.name
  role     = "roles/storage.objectViewer"
  member   = "allUsers"
}

API REST

API JSON

Vous devez installer et initialiser gcloud CLI , ce qui vous permet de générer un jeton d'accès pour l'en-tête Authorization.

Créez un fichier JSON contenant les informations suivantes :

{
  "bindings":[
    {
      "role": "roles/storage.objectViewer",
      "members":["allUsers"]
    }
  ]
}

Utilisez cURL pour appeler l'API JSON avec une requête de bucket PUT:
```
curl -X PUT --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
```
Où :
- JSON_FILE_NAME correspond au chemin d'accès au fichier que vous avez créé à l'étape 2.
- BUCKET_NAME est le nom du bucket dont vous souhaitez rendre les objets publics. Exemple : my-bucket.

API XML

L'API XML ne permet pas de rendre tous les objets d'un bucket lisibles publiquement. Utilisez la console Google Cloud ou gcloud storage.

Rendre une partie d'un bucket lisible publiquement

Utilisez un dossier géré pour contrôler l'accès aux objets dont le préfixe de nom correspond au nom du dossier géré. Par exemple, un dossier géré nommé my-folder peut être utilisé pour contrôler l'accès aux objets nommés my-folder/cats.jpg et my-folder/dogs.jpg.

Pour rendre ces objets accessibles au public, créez d'abord le dossier géré, puis définissez une stratégie IAM sur le dossier qui attribue à allUsers le rôle de Lecteur des objets Storage (roles/storage.objectViewer) :

Console

Dans la console Google Cloud, accédez à la page Buckets Cloud Storage.
Accéder à la page "Buckets"
Cliquez sur le nom du bucket contenant les objets que vous souhaitez rendre publics.
Créez un dossier en procédant comme suit:
1. Cliquez sur le bouton Créer un dossier.
2. Saisissez le nom du dossier. Une fois le dossier converti en dossier géré, les objets dont le nom commence par ce nom seront soumis aux rôles IAM définis sur le dossier.
3. Cliquez sur Créer.
Convertissez le dossier en dossier géré en procédant comme suit:
1. Dans le volet qui affiche le contenu du bucket, recherchez le nom du dossier que vous avez créé, puis cliquez sur l'icône Autres options .
2. Cliquez sur Modifier l'accès.
3. Dans la fenêtre qui apparaît, cliquez sur Activer.
Ajoutez une stratégie IAM au dossier qui attribue le rôle "Lecteur des objets Storage" (roles/storage.objectViewer) à allUsers en procédant comme suit:
1. Si le volet Autorisations de votre dossier géré n'est pas déjà ouvert, cliquez sur l'icône Plus d'options du dossier géré, puis sur Modifier les autorisations.
2. Dans le volet Autorisations, cliquez sur le bouton Ajouter un compte principal.
3. Dans le champ Nouveaux comptes principaux, saisissez allUsers.
4. Dans la liste déroulante Sélectionner un rôle, saisissez Storage Object Viewer dans le champ de filtre, puis sélectionnez Lecteur des objets Storage dans les résultats filtrés.
5. Cliquez sur Enregistrer.
6. Cliquez sur Autoriser l'accès public.

Une fois l'accès public accordé, Copier l'URL apparaît pour chaque objet applicable dans la colonne Accès public. Vous pouvez cliquer sur ce bouton pour obtenir l'URL publique de l'objet.

Pour savoir comment obtenir des informations détaillées sur les erreurs liées aux opérations Cloud Storage ayant échoué dans la console Google Cloud, consultez la section Dépannage.

Ligne de commande

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Dans votre environnement de développement, créez un dossier géré à l'aide de la commande gcloud storage managed-folders create:
```
gcloud storage managed-folders create gs://BUCKET_NAME/MANAGED_FOLDER_NAME/
```
Où :
- BUCKET_NAME correspond au nom du bucket dans lequel vous souhaitez créer un dossier géré. Exemple :my-bucket
- MANAGED_FOLDER_NAME correspond au nom du dossier géré que vous souhaitez créer. Exemple :my-managed-folder
Dans votre environnement de développement, ajoutez allUsers à la stratégie IAM du dossier géré à l'aide de la commande gcloud storage managed-folders add-iam-policy-binding:
```
gcloud storage managed-folders add-iam-policy-binding gs://BUCKET_NAME/MANAGED_FOLDER_NAME --member=allUsers --role=roles/storage.objectViewer
```
Où :
- BUCKET_NAME correspond au nom du bucket contenant le dossier géré auquel vous ajoutez la stratégie IAM. Exemple :my-bucket
- MANAGED_FOLDER_NAME correspond au nom du dossier géré auquel vous souhaitez ajouter un accès public. Exemple : my-managed-folder.

API REST

API JSON

Vous devez installer et initialiser gcloud CLI , ce qui vous permet de générer un jeton d'accès pour l'en-tête Authorization.

Créez un fichier JSON contenant les informations suivantes :

{
  "name": "MANAGED_FOLDER_NAME"
}

Où MANAGED_FOLDER_NAME correspond au nom du dossier géré que vous souhaitez créer. Exemple :my-managed-folder

Utilisez cURL pour appeler l'API JSON avec une requête Insert ManagedFolder:
```
curl -X POST --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders"
```
Où :
- JSON_FILE_NAME correspond au chemin d'accès au fichier que vous avez créé à l'étape précédente.
- BUCKET_NAME correspond au nom du bucket dans lequel vous souhaitez créer un dossier géré. Exemple : my-bucket.

Créez un fichier JSON contenant les informations suivantes :

{
  "bindings":[
    {
      "role": "roles/storage.objectViewer",
      "members":["allUsers"]
    }
  ]
}

Utilisez cURL pour appeler l'API JSON avec une requête setIamPolicy ManagedFolder :
```
curl -X PUT --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAME/iam"
```
Où :
- JSON_FILE_NAME correspond au chemin d'accès au fichier que vous avez créé à l'étape précédente.
- BUCKET_NAME correspond au nom du bucket contenant le dossier géré auquel vous ajoutez la stratégie IAM. Exemple :my-bucket
- MANAGED_FOLDER_NAME correspond au nom du dossier géré auquel vous ajoutez la stratégie IAM. Exemple :my-managed-folder

API XML

L'API XML n'est pas compatible avec les dossiers gérés. Utilisez un autre outil, tel que la console Google Cloud, ou définissez des LCA sur des objets individuels à l'aide de requêtes Set Object ACL. Voici un exemple de fichier de LCA qui accorderait à allUsers l'accès à un objet:

<AccessControlList>
  <Entries>
    <Entry>
      <Scope type="AllUsers"/>
      <Permission>READ</Permission>
    </Entry>
  </Entries>
</AccessControlList>

Étape suivante

Accédez aux données qui ont été rendues publiques.
Découvrez d'autres options de contrôle des accès pour vos buckets et vos objets.