Die meisten Vorgänge in Cloud Storage müssen authentifiziert werden. Die einzige Ausnahme sind Vorgänge an Objekten, auf die anonym zugegriffen werden kann. Eine Ressource hat anonymen Zugriff, wenn die Gruppe allUsers
in der ACL für die Ressource oder in einer IAM-Richtlinie enthalten ist, die für die Ressource gilt.allUsers
Zur Gruppe allUsers
gehört jeder im Internet.
Die Autorisierung dient dazu festzustellen, welche Berechtigungen eine authentifizierte Identität bei einer Reihe von Ressourcen hat. OAuth 2.0 setzt Bereiche ein, um zu ermitteln, ob eine authentifizierte Identität autorisiert ist. Anwendungen verwenden Anmeldedaten, die sie im Rahmen eines nutzer- oder serverbezogenen Authentifizierungsablaufs erhalten haben, zusammen mit einem oder mehreren Bereichen, um für den Zugriff auf geschützte Ressourcen ein Zugriffstoken von einem Google-Autorisierungsserver anzufordern. Beispiel: Anwendung A mit einem Zugriffstoken mit dem Bereich read-only
kann nur Daten lesen, während Anwendung B mit einem Zugriffstoken mit dem Bereich read-write
Daten lesen und ändern kann. Keine der beiden Anwendungen kann jedoch Access Control Lists (ACLs) für Objekte und Buckets lesen oder ändern. Nur eine Anwendung mit dem Bereich full-control
ist dazu in der Lage.
Typ | Beschreibung | Bereichs-URL |
---|---|---|
read-only |
Gewährt nur Lesezugriff auf Daten, einschließlich des Auflistens von Buckets. | https://www.googleapis.com/auth/devstorage.read_only |
read-write |
Gewährt Zugriff zum Lesen und Ändern von Daten, jedoch nicht von Metadaten wie IAM-Richtlinien. | https://www.googleapis.com/auth/devstorage.read_write |
full-control |
Gewährt vollständige Kontrolle über Daten, einschließlich der Fähigkeit, IAM-Richtlinien zu ändern. | https://www.googleapis.com/auth/devstorage.full_control |
cloud-platform.read-only |
Daten in allen Google Cloud-Diensten abrufen Bei Cloud Storage entspricht dies devstorage.read-only .
|
https://www.googleapis.com/auth/cloud-platform.read-only |
cloud-platform |
Daten in allen Google Cloud-Diensten abrufen und verwalten Bei Cloud Storage entspricht dies devstorage.full-control . |
https://www.googleapis.com/auth/cloud-platform |