데이터 공개

이 페이지에서는 공개 인터넷의 모든 사용자가 내 소유의 객체를 읽을 수 있도록 하는 방법을 소개합니다. 공개된 데이터에 액세스하는 방법에 대해서는 공용 데이터 액세스를 참조하세요.

객체가 공개적으로 공유되는 경우, 객체가 공개되어 있는 동안에는 객체 URI를 알고 있는 모든 사용자가 객체에 액세스할 수 있습니다.

필요한 역할

객체를 공개적으로 읽을 수 있도록 설정하는 데 필요한 권한을 얻으려면 관리자에게 공개하려는 데이터가 포함된 버킷에 대해 다음 역할을 부여해 달라고 요청하세요.

  • 버킷의 모든 객체를 공개적으로 읽을 수 있도록 설정하려면 스토리지 관리자(roles/storage.admin)가 필요합니다.

  • 개별 객체를 공개적으로 읽을 수 있게 하려면 스토리지 객체 관리자(roles/storage.objectAdmin)가 필요합니다.

    • Google Cloud 콘솔을 사용하려면 스토리지 객체 관리자 역할 대신 스토리지 관리자(roles/storage.admin) 역할이 필요합니다.

이러한 역할에는 객체를 공개하는 데 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 확장하세요.

필수 권한

  • storage.buckets.get
  • storage.buckets.getIamPolicy
  • storage.buckets.setIamPolicy
  • storage.buckets.update
  • storage.objects.get
  • storage.objects.getIamPolicy
  • storage.objects.setIamPolicy
  • storage.objects.update

다음 권한은 Google Cloud 콘솔을 사용하여 이 페이지의 태스크를 수행하는 데만 필요합니다.

  • storage.buckets.list
  • storage.objects.list

다른 사전 정의된 역할이나 커스텀 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

버킷에 대한 역할 부여는 버킷에 IAM 사용을 참조하세요.

버킷의 모든 객체를 읽을 수 있도록 공개

공개 인터넷의 모든 사용자가 버킷의 모든 객체를 읽을 수 있도록 하려면 주 구성원 allUsers에게 스토리지 객체 뷰어(roles/storage.objectViewer) 역할을 부여합니다.

Console

  1. Google Cloud 콘솔에서 Cloud Storage 버킷 페이지로 이동합니다.

    버킷으로 이동

  2. 버킷 목록에서 공개하려는 버킷의 이름을 클릭합니다.

  3. 페이지 상단의 권한 탭을 선택합니다.

  4. 권한 섹션에서 액세스 권한 부여 버튼을 클릭합니다.

    액세스 권한 부여 대화상자가 나타납니다.

  5. 새 주 구성원 필드에 allUsers를 입력합니다.

  6. 역할 선택 드롭다운에서 필터 상자에 Storage Object Viewer를 입력하고 필터링된 결과에서 스토리지 객체 뷰어를 선택합니다.

  7. 저장을 클릭합니다.

  8. 공개 액세스 허용을 클릭합니다.

공개 액세스 권한이 부여되면 공개 액세스 열에 각 객체의 URL 복사가 나타납니다. 이 버튼을 클릭하면 객체의 공개 URL을 가져올 수 있습니다.

Google Cloud 콘솔에서 실패한 Cloud Storage 작업에 대한 자세한 오류 정보를 가져오는 방법은 문제 해결을 참조하세요.

명령줄

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. 개발 환경에서 buckets add-iam-policy-binding 명령어를 실행합니다.

    gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=allUsers --role=roles/storage.objectViewer

    여기서 BUCKET_NAME은 객체를 공개할 버킷의 이름입니다. 예를 들면 my-bucket입니다.

클라이언트 라이브러리

C++

자세한 내용은 Cloud Storage C++ API 참고 문서를 확인하세요.

Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요. 

namespace gcs = ::google::cloud::storage;
using ::google::cloud::StatusOr;
[](gcs::Client client, std::string const& bucket_name) {
  auto current_policy = client.GetNativeBucketIamPolicy(
      bucket_name, gcs::RequestedPolicyVersion(3));
  if (!current_policy) throw std::move(current_policy).status();

  current_policy->set_version(3);
  current_policy->bindings().emplace_back(
      gcs::NativeIamBinding("roles/storage.objectViewer", {"allUsers"}));

  auto updated =
      client.SetNativeBucketIamPolicy(bucket_name, *current_policy);
  if (!updated) throw std::move(updated).status();

  std::cout << "Policy successfully updated: " << *updated << "\n";
}

C#

자세한 내용은 Cloud Storage C# API 참고 문서를 확인하세요.

Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요. 


using Google.Apis.Storage.v1.Data;
using Google.Cloud.Storage.V1;
using System;
using System.Collections.Generic;

public class MakeBucketPublicSample
{
    public void MakeBucketPublic(string bucketName = "your-unique-bucket-name")
    {
        var storage = StorageClient.Create();

        Policy policy = storage.GetBucketIamPolicy(bucketName);

        policy.Bindings.Add(new Policy.BindingsData
        {
            Role = "roles/storage.objectViewer",
            Members = new List<string> { "allUsers" }
        });

        storage.SetBucketIamPolicy(bucketName, policy);
        Console.WriteLine(bucketName + " is now public ");
    }
}

Go

자세한 내용은 Cloud Storage Go API 참고 문서를 확인하세요.

Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요. 

import (
	"context"
	"fmt"
	"io"

	"cloud.google.com/go/iam"
	"cloud.google.com/go/iam/apiv1/iampb"
	"cloud.google.com/go/storage"
)

// setBucketPublicIAM makes all objects in a bucket publicly readable.
func setBucketPublicIAM(w io.Writer, bucketName string) error {
	// bucketName := "bucket-name"
	ctx := context.Background()
	client, err := storage.NewClient(ctx)
	if err != nil {
		return fmt.Errorf("storage.NewClient: %w", err)
	}
	defer client.Close()

	policy, err := client.Bucket(bucketName).IAM().V3().Policy(ctx)
	if err != nil {
		return fmt.Errorf("Bucket(%q).IAM().V3().Policy: %w", bucketName, err)
	}
	role := "roles/storage.objectViewer"
	policy.Bindings = append(policy.Bindings, &iampb.Binding{
		Role:    role,
		Members: []string{iam.AllUsers},
	})
	if err := client.Bucket(bucketName).IAM().V3().SetPolicy(ctx, policy); err != nil {
		return fmt.Errorf("Bucket(%q).IAM().SetPolicy: %w", bucketName, err)
	}
	fmt.Fprintf(w, "Bucket %v is now publicly readable\n", bucketName)
	return nil
}

Java

자세한 내용은 Cloud Storage Java API 참고 문서를 확인하세요.

Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요. 

import com.google.cloud.Identity;
import com.google.cloud.Policy;
import com.google.cloud.storage.Storage;
import com.google.cloud.storage.StorageOptions;
import com.google.cloud.storage.StorageRoles;

public class MakeBucketPublic {
  public static void makeBucketPublic(String projectId, String bucketName) {
    // The ID of your GCP project
    // String projectId = "your-project-id";

    // The ID of your GCS bucket
    // String bucketName = "your-unique-bucket-name";

    Storage storage = StorageOptions.newBuilder().setProjectId(projectId).build().getService();
    Policy originalPolicy = storage.getIamPolicy(bucketName);
    storage.setIamPolicy(
        bucketName,
        originalPolicy
            .toBuilder()
            .addIdentity(StorageRoles.objectViewer(), Identity.allUsers()) // All users can view
            .build());

    System.out.println("Bucket " + bucketName + " is now publicly readable");
  }
}

Node.js

자세한 내용은 Cloud Storage Node.js API 참고 문서를 확인하세요.

Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요. 

/**
 * TODO(developer): Uncomment the following lines before running the sample.
 */
// The ID of your GCS bucket
// const bucketName = 'your-unique-bucket-name';

// Imports the Google Cloud client library
const {Storage} = require('@google-cloud/storage');

// Creates a client
const storage = new Storage();

async function makeBucketPublic() {
  await storage.bucket(bucketName).makePublic();

  console.log(`Bucket ${bucketName} is now publicly readable`);
}

makeBucketPublic().catch(console.error);

PHP

자세한 내용은 Cloud Storage PHP API 참고 문서를 확인하세요.

Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요. 

use Google\Cloud\Storage\StorageClient;

/**
 * Update the specified bucket's IAM configuration to make it publicly accessible.
 *
 * @param string $bucketName The name of your Cloud Storage bucket.
 *        (e.g. 'my-bucket')
 */
function set_bucket_public_iam(string $bucketName): void
{
    $storage = new StorageClient();
    $bucket = $storage->bucket($bucketName);

    $policy = $bucket->iam()->policy(['requestedPolicyVersion' => 3]);
    $policy['version'] = 3;

    $role = 'roles/storage.objectViewer';
    $members = ['allUsers'];

    $policy['bindings'][] = [
        'role' => $role,
        'members' => $members
    ];

    $bucket->iam()->setPolicy($policy);

    printf('Bucket %s is now public', $bucketName);
}

Python

자세한 내용은 Cloud Storage Python API 참고 문서를 확인하세요.

Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요. 

from typing import List

from google.cloud import storage


def set_bucket_public_iam(
    bucket_name: str = "your-bucket-name",
    members: List[str] = ["allUsers"],
):
    """Set a public IAM Policy to bucket"""
    # bucket_name = "your-bucket-name"

    storage_client = storage.Client()
    bucket = storage_client.bucket(bucket_name)

    policy = bucket.get_iam_policy(requested_policy_version=3)
    policy.bindings.append(
        {"role": "roles/storage.objectViewer", "members": members}
    )

    bucket.set_iam_policy(policy)

    print(f"Bucket {bucket.name} is now publicly readable")

Ruby

자세한 내용은 Cloud Storage Ruby API 참고 문서를 확인하세요.

Cloud Storage에 인증하려면 애플리케이션 기본 사용자 인증 정보를 설정합니다. 자세한 내용은 로컬 개발 환경의 인증 설정을 참조하세요. 

def set_bucket_public_iam bucket_name:
  # The ID of your GCS bucket
  # bucket_name = "your-unique-bucket-name"

  require "google/cloud/storage"

  storage = Google::Cloud::Storage.new
  bucket = storage.bucket bucket_name

  bucket.policy do |p|
    p.add "roles/storage.objectViewer", "allUsers"
  end

  puts "Bucket #{bucket_name} is now publicly readable"
end

Terraform

Terraform 리소스를 사용하여 버킷의 모든 객체를 공개로 설정할 수 있습니다.

# Make bucket public
resource "google_storage_bucket_iam_member" "member" {
  provider = google
  bucket   = google_storage_bucket.default.name
  role     = "roles/storage.objectViewer"
  member   = "allUsers"
}

REST API

JSON API

  1. Authorization 헤더에 대한 액세스 토큰을 생성하려면 gcloud CLI가 설치 및 초기화되어 있어야 합니다.

    또는 OAuth 2.0 Playground를 사용하여 액세스 토큰을 만들고 Authorization 헤더에 포함할 수 있습니다.

  2. 다음 정보를 포함하는 JSON 파일을 만듭니다.

    {
  "bindings":[
    {
      "role": "roles/storage.objectViewer",
      "members":["allUsers"]
    }
  ]
}

  3. cURL을 사용하여 PUT 버킷 요청으로 JSON API를 호출합니다.

    curl -X PUT --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"

    각 항목의 의미는 다음과 같습니다.

    • JSON_FILE_NAME은 2단계에서 만든 파일의 경로입니다.
    • BUCKET_NAME은 객체를 공개할 버킷의 이름입니다. 예를 들면 my-bucket입니다.

XML API

XML API에서는 버킷의 모든 객체를 공개적으로 읽을 수 있게 설정할 수 없습니다. Google Cloud 콘솔 또는 gcloud storage를 사용하세요.

버킷의 일부를 공개적으로 읽을 수 있도록 설정

관리형 폴더를 사용하여 이름 접두사가 관리형 폴더 이름과 일치하는 객체에 대한 액세스를 제어합니다. 예를 들어 my-folder라는 관리형 폴더를 사용하여 my-folder/cats.jpgmy-folder/dogs.jpg라는 객체에 대한 액세스를 제어할 수 있습니다.

이러한 객체에 공개적으로 액세스할 수 있도록 하려면 먼저 관리형 폴더를 만든 다음 allUsers에 스토리지 객체 뷰어(roles/storage.objectViewer) 역할을 부여하는 IAM 정책을 폴더에 설정합니다.

콘솔

  1. Google Cloud 콘솔에서 Cloud Storage 버킷 페이지로 이동합니다.

    버킷으로 이동

  2. 공개하려는 객체가 포함된 버킷의 이름을 클릭합니다.

  3. 다음 단계에 따라 폴더를 만듭니다.

    1. 폴더 만들기 버튼을 클릭합니다.

    2. 폴더의 이름을 입력합니다. 폴더가 관리형 폴더로 변환되면 이 이름으로 시작하는 객체에는 폴더에 설정된 IAM 역할이 적용됩니다.

    3. 만들기를 클릭합니다.

  4. 다음 단계에 따라 폴더를 관리형 폴더로 변환합니다.

    1. 버킷의 콘텐츠를 보여주는 창에서 만든 폴더의 이름을 찾아 옵션 더보기 아이콘 을 클릭합니다.

    2. 액세스 수정을 클릭합니다.

    3. 나타나는 창에서 사용을 클릭합니다.

  5. 다음 단계에 따라 allUsers에 스토리지 객체 뷰어(roles/storage.objectViewer) 역할을 부여하는 IAM 정책을 폴더에 추가합니다.

    1. 관리형 폴더의 권한 창이 아직 열려 있지 않으면 관리형 폴더의 옵션 더보기 아이콘 을 클릭한 다음 액세스 수정을 클릭합니다.

    2. 권한 창에서 주 구성원 추가 버튼을 클릭합니다.

    3. 새 주 구성원 필드에 allUsers를 입력합니다.

    4. 역할 선택 드롭다운에서 필터 상자에 Storage Object Viewer를 입력하고 필터링된 결과에서 스토리지 객체 뷰어를 선택합니다.

    5. 저장을 클릭합니다.

    6. 공개 액세스 허용을 클릭합니다.

공개 액세스 권한이 부여되면 공개 액세스 열에 각 관련 객체의 URL 복사가 나타납니다. 이 버튼을 클릭하면 객체의 공개 URL을 가져올 수 있습니다.

Google Cloud 콘솔에서 실패한 Cloud Storage 작업에 대한 자세한 오류 정보를 가져오는 방법은 문제 해결을 참조하세요.

명령줄

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. 개발 환경에서 gcloud storage managed-folders create 명령어를 사용하여 관리형 폴더를 만듭니다.

    gcloud storage managed-folders create gs://BUCKET_NAME/MANAGED_FOLDER_NAME/

    각 항목의 의미는 다음과 같습니다.

    • BUCKET_NAME은 관리형 폴더를 만들려는 버킷의 이름입니다. 예를 들면 my-bucket입니다.

    • MANAGED_FOLDER_NAME은 만들려는 관리형 폴더의 이름입니다. 예를 들면 my-managed-folder입니다.

  3. 개발 환경에서 gcloud storage managed-folders add-iam-policy-binding 명령어를 사용하여 관리형 폴더의 IAM 정책에 allUsers를 추가합니다.

    gcloud storage managed-folders add-iam-policy-binding gs://BUCKET_NAME/MANAGED_FOLDER_NAME --member=allUsers --role=roles/storage.objectViewer

    각 항목의 의미는 다음과 같습니다.

    • BUCKET_NAME은 IAM 정책을 추가할 관리형 폴더가 포함된 버킷의 이름입니다. 예를 들면 my-bucket입니다.
    • MANAGED_FOLDER_NAME은 공개 액세스를 추가할 관리형 폴더의 이름입니다. 예를 들면 my-managed-folder입니다.

REST API

JSON API

  1. Authorization 헤더에 대한 액세스 토큰을 생성하려면 gcloud CLI가 설치 및 초기화되어 있어야 합니다.

    또는 OAuth 2.0 Playground를 사용하여 액세스 토큰을 만들고 Authorization 헤더에 포함할 수 있습니다.

  2. 다음 정보를 포함하는 JSON 파일을 만듭니다.

    {
  "name": "MANAGED_FOLDER_NAME"
}

    MANAGED_FOLDER_NAME은 만들려는 관리형 폴더의 이름입니다. 예를 들면 my-managed-folder입니다.

  3. cURL을 사용하여 Insert ManagedFolder 요청으로 JSON API를 호출합니다.

    curl -X POST --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders"

    각 항목의 의미는 다음과 같습니다.

    • JSON_FILE_NAME은 이전 단계에서 만든 파일의 경로입니다.
    • BUCKET_NAME은 관리형 폴더를 만들려는 버킷의 이름입니다. 예를 들면 my-bucket입니다.

  4. 다음 정보를 포함하는 JSON 파일을 만듭니다.

    {
  "bindings":[
    {
      "role": "roles/storage.objectViewer",
      "members":["allUsers"]
    }
  ]
}

  5. cURL을 사용하여 setIamPolicy ManagedFolder 요청으로 JSON API를 호출합니다.

    curl -X PUT --data-binary @JSON_FILE_NAME \
  -H "Authorization: Bearer $(gcloud auth print-access-token)" \
  -H "Content-Type: application/json" \
  "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAME/iam"

    각 항목의 의미는 다음과 같습니다.

    • JSON_FILE_NAME은 이전 단계에서 만든 파일의 경로입니다.
    • BUCKET_NAME은 IAM 정책을 추가할 관리형 폴더가 포함된 버킷의 이름입니다. 예를 들면 my-bucket입니다.
    • MANAGED_FOLDER_NAME은 IAM 정책을 추가할 관리형 폴더의 이름입니다. 예를 들면 my-managed-folder입니다.

XML API

XML API는 관리형 폴더를 지원하지 않습니다. Google Cloud 콘솔과 같은 다른 도구를 사용하거나 Set Object ACL 요청을 사용하여 개별 객체에 ACL을 설정합니다. 다음은 allUsers에 객체 액세스 권한을 부여하는 ACL 파일의 예입니다.

<AccessControlList>
  <Entries>
    <Entry>
      <Scope type="AllUsers"/>
      <Permission>READ</Permission>
    </Entry>
  </Entries>
</AccessControlList>

다음 단계