Panoramica del controllo degli accessi

Sei tu a controllare chi ha accesso ai tuoi bucket e oggetti Cloud Storage e il livello di accesso.

Scegliere tra accesso uniforme e granulare

Quando crei un bucket, devi decidere se vuoi applicare le autorizzazioni utilizzando l'accesso uniforme o granulare.

• Uniforme (consigliato): l'accesso uniforme a livello di bucket consente di utilizzare Identity and Access Management (IAM) da solo per gestire le autorizzazioni. IAM applica le autorizzazioni a tutti gli oggetti contenuti nel bucket o a gruppi di oggetti con prefissi di nome comuni. IAM ti consente inoltre di utilizzare funzionalità non disponibili quando lavori con le ACL, come le cartelle gestite, le condizioni IAM, la condivisione con limitazioni al dominio e la federazione delle identità per la forza lavoro.

• Granulare: l'opzione granulare ti consente di utilizzare IAM ed elenchi di controllo dell'accesso (ACL) insieme per gestire le autorizzazioni. Gli ACL sono un sistema di controllo dell'accesso legacy per Cloud Storage progettato per l'interoperabilità con Amazon S3. Le ACL consentono anche di specificare l'accesso in base all'oggetto.

  Poiché l'accesso granulare richiede il coordinamento tra due diversi sistemicontrollo dell'accessol'accesso, aumenta la possibilità di esposizione involontaria dei dati e l'audit di chi ha accesso alle risorse è più complicato. In particolare, se hai oggetti che contengono dati sensibili, come informazioni di identificazione personale, ti consigliamo di archiviarli in un bucket con accesso uniforme a livello di bucket abilitato.

Utilizzo delle autorizzazioni IAM con gli ACL

Cloud Storage offre due sistemi per concedere agli utenti l'accesso ai tuoi bucket e oggetti: IAM ed elenchi di controllo dell'accesso (ACL). Questi sistemi operano in parallelo: affinché un utente possa accedere a una risorsa Cloud Storage, solo uno dei sistemi deve concedere l'autorizzazione. Ad esempio, se il criterio IAM del bucket consente solo a pochi utenti di leggere i dati degli oggetti nel bucket, ma uno degli oggetti nel bucket ha un ACL che lo rende leggibile pubblicamente, allora quell'oggetto specifico è esposto al pubblico.

Nella maggior parte dei casi, IAM è il metodo consigliato per controllare l'accesso alle tue risorse. IAM controlla le autorizzazioni in tutto Google Cloud e consente di concedere autorizzazioni a livello di bucket e progetto. Devi utilizzare IAM per tutte le autorizzazioni che si applicano a più oggetti in un bucket per ridurre i rischi di esposizione involontaria. Per utilizzare esclusivamente IAM, abilita l'accesso uniforme a livello di bucket per impedire l'utilizzo degli ACL per tutte le risorse Cloud Storage.

Gli ACL controllano le autorizzazioni solo per le risorse Cloud Storage e hanno opzioni di autorizzazione limitate, ma ti consentono di concedere autorizzazioni per singoli oggetti. Probabilmente vorrai utilizzare gli ACL per i seguenti casi d'uso:

• Personalizza l'accesso ai singoli oggetti all'interno di un bucket.
• Esegui la migrazione dei dati da Amazon S3.

Opzioni di controllo dell'accesso dell'accesso aggiuntive

Oltre a IAM e agli elenchi di controllo dell'accesso, sono disponibili i seguenti strumenti per aiutarti a controllare l'accesso alle tue risorse:

URL firmati (autenticazione della stringa di query)

Utilizza gli URL firmati per concedere l'accesso in lettura o scrittura a tempo limitato a un oggetto tramite un URL che generi. Chiunque condivida l'URL può accedere all'oggetto per il periodo di tempo specificato, indipendentemente dal fatto che disponga o meno di un account utente.

Puoi utilizzare gli URL firmati in aggiunta a IAM e agli ACL. Ad esempio, puoi utilizzare IAM per concedere l'accesso a un bucket solo a poche persone, quindi creare un URL firmato che consenta ad altri di accedere a una risorsa specifica all'interno del bucket.

Scopri come creare URL firmati:

• con Google Cloud CLI o le librerie client.
• con il tuo programma.

Documenti dei criteri firmati

Utilizza i documenti di criteri con firma per specificare cosa può essere caricato in un bucket. I documenti delle norme consentono un maggiore controllo su dimensioni, tipo di contenuto e altre caratteristiche di caricamento rispetto agli URL firmati e possono essere utilizzati dai proprietari di siti web per consentire ai visitatori di caricare file in Cloud Storage.

Puoi utilizzare documenti di policy firmati oltre a IAM e ACL. Ad esempio, puoi utilizzare IAM per consentire agli utenti della tua organizzazione di caricare qualsiasi oggetto, quindi creare un documento di policy firmato che consenta ai visitatori del sito web di caricare solo gli oggetti che soddisfano criteri specifici.

Regole di sicurezza Firebase

Utilizza le regole di sicurezza di Firebase per fornire controllo dell'accesso granulare e basato sugli attributi alle app mobile e web utilizzando gli SDK Firebase per Cloud Storage. Ad esempio, puoi specificare chi può caricare o scaricare oggetti, le dimensioni massime di un oggetto o quando un oggetto può essere scaricato.

Prevenzione dell'accesso pubblico

Utilizza la prevenzione dell'accesso pubblico per limitare l'accesso pubblico a bucket e oggetti. Quando abiliti la prevenzione dell'accesso pubblico, agli utenti che ottengono l'accesso tramite allUsers e allAuthenticatedUsers viene negato l'accesso ai dati.

Confini per l'accesso con credenziali

Utilizza i limiti di accesso alle credenziali per ridurre l'ambito delle autorizzazioni disponibili per un token di accesso OAuth 2.0. Innanzitutto, definisci un limite di accesso alle credenziali che specifica a quali bucket può accedere il token, nonché un limite superiore per le autorizzazioni disponibili per quel bucket. A questo punto, puoi creare un token di accesso OAuth 2.0 e scambiarlo con un nuovo token di accesso che rispetti il limite di accesso alle credenziali.

Filtro IP del bucket

Utilizza il filtro IP bucket per limitare l'accesso al bucket in base all'indirizzo IP di origine della richiesta. Il filtro IP del bucket aggiunge un livello di sicurezza impedendo alle reti non autorizzate di accedere al bucket e ai relativi dati. Puoi configurare un elenco di intervalli di indirizzi IP consentiti, inclusi indirizzi IP pubblici, intervalli di indirizzi IP pubblici e indirizzi IP all'interno del tuo Virtual Private Cloud. Tutte le richieste provenienti da un indirizzo IP non presente nell'elenco vengono bloccate. Di conseguenza, solo gli utenti autorizzati possono accedere al bucket.

Passaggi successivi

• Scopri come utilizzare le autorizzazioni IAM.
• Consulta le autorizzazioni e i ruoli IAM specifici di Cloud Storage
• Visualizza esempi di scenari di condivisione e collaborazione che prevedono l'impostazione di ACL per bucket e oggetti.
• Scopri come rendere i tuoi dati accessibili a tutti su internet.
• Scopri di più su quando utilizzare un URL firmato.