本页面介绍如何使用禁止公开访问的存储桶设置和禁止公开访问的组织政策限制条件。禁止公开访问可让您限制对存储桶和对象的公开访问。
准备工作
在 Cloud Storage 中使用禁止公开访问设置之前,请确保您具有所需的 IAM 角色,并查看强制执行禁止公开访问的注意事项。
获取所需角色
如需在项目、文件夹或组织级层管理禁止公开访问组织政策,请让您的管理员为您授予组织的 Organization Policy Administrator (roles/orgpolicy.policyAdmin
) 角色。此预定义角色可提供在项目、文件夹或组织级层管理禁止公开访问所需的权限。如需了解此角色可提供的权限,请参阅有关 Organization Administrator 角色的详细信息。
如需管理存储桶的禁止公开访问设置,请让您的管理员为您授予存储桶的 Storage Admin (roles/storage.admin
) 角色。此角色可提供管理存储桶的禁止公开访问所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
storage.buckets.update
storage.buckets.setIamPolicy
如需了解 Storage Admin 角色可提供的其他权限,请参阅有关 Storage Admin 角色的详细信息。
查看注意事项
在开始之前,建议您确保工作流不会因阻止公开访问而中断。如需了解详情,请参阅针对现有资源强制执行时的注意事项。
使用存储桶设置
本部分介绍如何为各个存储桶强制执行和移除禁止公开访问的方法,以及如何检查各个存储桶的状态。
设置禁止公开访问
要更改单个存储桶的禁止公开访问的设置,请执行以下操作:
控制台
- 在 Google Cloud 控制台中,进入 Cloud Storage 存储桶页面。
在存储桶列表中,点击要强制执行或移除禁止公开访问的存储桶的名称。
在存储桶详情页面中,点击配置标签页。
在公开访问卡片中,点击阻止公开访问以强制阻止公开访问,或点击允许公开访问来移除防止公开访问。
点击确认。
如需了解如何在 Google Cloud 控制台中获取失败的 Cloud Storage 操作的详细错误信息,请参阅问题排查。
命令行
使用带有相应标志的 gcloud storage buckets update
命令:
gcloud storage buckets update gs://BUCKET_NAME FLAG
其中:
BUCKET_NAME
是相关存储桶的名称,例如my-bucket
。FLAG
可以为--public-access-prevention
以启用禁止公开访问,或者为--no-public-access-prevention
以停用禁止公开访问。
如果成功,响应类似于以下示例:
Updating gs://my-bucket/... Completed 1
客户端库
C++
如需了解详情,请参阅 Cloud Storage C++ API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
以下示例在存储桶上强制执行阻止公开访问的措施:
以下示例为存储桶将阻止公开访问的设置为 inherited
:
C#
如需了解详情,请参阅 Cloud Storage C# API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
以下示例在存储桶上强制执行阻止公开访问的措施:
以下示例为存储桶将阻止公开访问的设置为 inherited
:
Go
如需了解详情,请参阅 Cloud Storage Go API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
以下示例在存储桶上强制执行阻止公开访问的措施:
以下示例为存储桶将阻止公开访问的设置为 inherited
:
Java
如需了解详情,请参阅 Cloud Storage Java API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
以下示例在存储桶上强制执行阻止公开访问的措施:
以下示例为存储桶将阻止公开访问的设置为 inherited
:
Node.js
如需了解详情,请参阅 Cloud Storage Node.js API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
以下示例在存储桶上强制执行阻止公开访问的措施:
以下示例为存储桶将阻止公开访问的设置为 inherited
:
PHP
如需了解详情,请参阅 Cloud Storage PHP API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
以下示例在存储桶上强制执行阻止公开访问的措施:
以下示例为存储桶将阻止公开访问的设置为 inherited
:
Python
如需了解详情,请参阅 Cloud Storage Python API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
以下示例在存储桶上强制执行阻止公开访问的措施:
以下示例为存储桶将阻止公开访问的设置为 inherited
:
Ruby
如需了解详情,请参阅 Cloud Storage Ruby API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
以下示例在存储桶上强制执行阻止公开访问的措施:
以下示例为存储桶将阻止公开访问的设置为 inherited
:
REST API
JSON API
安装并初始化 gcloud CLI,以便为
Authorization
标头生成访问令牌。创建一个包含以下信息的 JSON 文件:
{ "iamConfiguration": { "publicAccessPrevention": "STATE", } }
其中
<var>STATE</var>
为enforced
或inherited
。使用
cURL
,通过包含所需fields
的PATCH
Bucket 请求调用 JSON API:curl -X PATCH --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?fields=iamConfiguration"
其中:
JSON_FILE_NAME
是您在上一步中创建的 JSON 文件的路径。BUCKET_NAME
是相关存储桶的名称,例如my-bucket
。
XML API
XML API 不能用于管理禁止公开访问。请改用其他 Cloud Storage 工具,例如 Google Cloud 控制台。
查看禁止公开访问状态
如需查看单个存储桶的禁止公开访问的状态,请按照以下所述操作:
控制台
- 在 Google Cloud 控制台中,进入 Cloud Storage 存储桶页面。
点击您要查看禁止公开访问状态的存储桶的名称。
点击权限标签页。
公开访问卡片会显示您存储桶的状态。
如需了解如何在 Google Cloud 控制台中获取失败的 Cloud Storage 操作的详细错误信息,请参阅问题排查。
命令行
使用带有 --format
标志的 gcloud storage buckets describe
命令:
gcloud storage buckets describe gs://BUCKET_NAME --format="default(public_access_prevention)"
其中,BUCKET_NAME
是您要查看其状态的存储桶的名称,例如 my-bucket
。
如果成功,响应类似于以下示例:
public_access_prevention:inherited
客户端库
C++
如需了解详情,请参阅 Cloud Storage C++ API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
C#
如需了解详情,请参阅 Cloud Storage C# API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
Go
如需了解详情,请参阅 Cloud Storage Go API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
Java
如需了解详情,请参阅 Cloud Storage Java API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
Node.js
如需了解详情,请参阅 Cloud Storage Node.js API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
PHP
如需了解详情,请参阅 Cloud Storage PHP API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
Python
如需了解详情,请参阅 Cloud Storage Python API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
Ruby
如需了解详情,请参阅 Cloud Storage Ruby API 参考文档。
如需向 Cloud Storage 进行身份验证,请设置应用默认凭据。 如需了解详情,请参阅为客户端库设置身份验证。
REST API
JSON API
安装并初始化 gcloud CLI,以便为
Authorization
标头生成访问令牌。使用
cURL
,通过包含所需fields
的GET
Bucket 请求调用 JSON API:curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?fields=iamConfiguration"
其中
BUCKET_NAME
是相关存储桶的名称,例如my-bucket
。响应如下例所示:
{ "iamConfiguration": { ... "publicAccessPrevention": "FLAG" } }
其中
FLAG
为inherited
或enforced
。
XML API
XML API 不能用于管理禁止公开访问。请改用其他 Cloud Storage 工具,例如 Google Cloud 控制台。
使用组织政策
本部分介绍如何执行和移除禁止公开访问的组织政策,以及如何检查政策的状态。
设置禁止公开访问
如需在项目、文件夹或组织级层设置公开访问,请按照以下所述操作:
控制台
按照使用 storage.publicAccessPrevention
限制条件创建和管理组织政策中的说明执行操作。
如需了解如何在 Google Cloud 控制台中获取有关失败的 Cloud Storage 操作的详细错误信息,请参阅问题排查。
命令行
使用 gcloud beta resource-manager org-policies
命令:
gcloud beta resource-manager org-policies STATE \ constraints/storage.publicAccessPrevention \ --RESOURCE RESOURCE_ID
其中:
STATE
可以具有以下值:enable-enforce
:强制执行资源的禁止公开访问。disable-enforce
:禁用资源的禁止公开访问。delete
:从资源中移除组织政策限制条件,以便资源继承其父级资源的值。
RESOURCE
是您要针对其停用禁止公开访问的资源。例如organization
、project
或folder
。RESOURCE_ID
是资源的 ID。例如,123456789012
表示组织 ID、245321
表示文件夹 ID、my-pet-project
表示项目 ID。
如需详细说明,请参阅使用限制条件。
以下是使用 disable-enforce
时的输出示例:
etag: BwVJi0OOESU= booleanPolicy: {} constraint: constraints/storage.publicAccessPrevention
查看禁止公开访问状态
如需在项目、文件夹和组织级层查看禁止公开访问状态,请按照以下所述操作:
控制台
按照使用 storage.publicAccessPrevention
限制条件创建和管理组织政策中的说明执行操作。
如需了解如何在 Google Cloud 控制台中获取有关失败的 Cloud Storage 操作的详细错误信息,请参阅问题排查。
命令行
使用 describe --effective
命令:
gcloud beta resource-manager org-policies describe \ constraints/storage.publicAccessPrevention --effective \ --RESOURCE RESOURCE_ID
其中:
RESOURCE
是您要查看其禁止公开访问状态的资源。例如organization
、project
或folder
。RESOURCE_ID
是该资源的 ID。例如,123456789012
表示组织 ID、245321
表示文件夹 ID、my-pet-project
表示项目 ID。
如需详细说明,请参阅使用限制条件。