OAuth 2.0-Bereiche für Cloud Storage

Die meisten Vorgänge in Cloud Storage müssen authentifiziert werden. Die einzige Ausnahme sind Vorgänge an Objekten, auf die anonym zugegriffen werden kann. Eine Ressource hat anonymen Zugriff, wenn die Gruppe allUsers in der ACL für die Ressource oder in einer IAM-Richtlinie enthalten ist, die für die Ressource gilt.allUsers Zur Gruppe allUsers gehört jeder im Internet.

Die Autorisierung dient dazu festzustellen, welche Berechtigungen eine authentifizierte Identität bei einer Reihe von Ressourcen hat. OAuth 2.0 setzt Bereiche ein, um zu ermitteln, ob eine authentifizierte Identität autorisiert ist. Anwendungen verwenden Anmeldedaten, die sie im Rahmen eines nutzer- oder serverbezogenen Authentifizierungsablaufs erhalten haben, zusammen mit einem oder mehreren Bereichen, um für den Zugriff auf geschützte Ressourcen ein Zugriffstoken von einem Google-Autorisierungsserver anzufordern. Beispiel: Anwendung A mit einem Zugriffstoken mit dem Bereich read-only kann nur Daten lesen, während Anwendung B mit einem Zugriffstoken mit dem Bereich read-write Daten lesen und ändern kann. Keine der beiden Anwendungen kann jedoch Access Control Lists (ACLs) für Objekte und Buckets lesen oder ändern. Nur eine Anwendung mit dem Bereich full-control ist dazu in der Lage.

Typ Beschreibung Bereichs-URL
read-only Gewährt nur Lesezugriff auf Daten, einschließlich des Auflistens von Buckets. https://www.googleapis.com/auth/devstorage.read_only
read-write Gewährt Zugriff zum Lesen und Ändern von Daten, jedoch nicht von Metadaten wie IAM-Richtlinien. https://www.googleapis.com/auth/devstorage.read_write
full-control Gewährt vollständige Kontrolle über Daten, einschließlich der Fähigkeit, IAM-Richtlinien zu ändern. https://www.googleapis.com/auth/devstorage.full_control
cloud-platform.read-only Daten in allen Google Cloud-Diensten abrufen Bei Cloud Storage entspricht dies devstorage.read-only. https://www.googleapis.com/auth/cloud-platform.read-only
cloud-platform Daten in allen Google Cloud-Diensten abrufen und verwalten Bei Cloud Storage entspricht dies devstorage.full-control. https://www.googleapis.com/auth/cloud-platform