Questa pagina descrive come impostare i criteri di Identity and Access Management (IAM) sui bucket, in modo da poter controllare l'accesso agli oggetti e alle cartelle gestite all'interno di questi bucket.
Se stai cercando altri metodi di controllo dell'accesso dell'accesso, consulta le seguenti risorse:
Per informazioni su come ottenere un controllo più granulare sui gruppi di oggetti, consulta Impostare e gestire i criteri IAM sulle cartelle gestite.
Per un modo alternativo per controllare l'accesso a singoli oggetti nei bucket, consulta Elenchi di controllo dell'accesso.
Per ulteriori informazioni sul controllo dell'accesso alle risorse di Cloud Storage, consulta la Panoramica sul controllo degli accessi.
Ruoli obbligatori
Per ottenere le autorizzazioni necessarie per impostare e gestire i criteri IAM
per un bucket, chiedi all'amministratore di concederti il ruolo IAM Amministratore Storage
(roles/storage.admin
) per il bucket.
Questo ruolo contiene le seguenti autorizzazioni, necessarie per impostare e gestire i criteri IAM per i bucket:
storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
storage.buckets.list
- Questa autorizzazione è necessaria solo se prevedi di utilizzare la console Google Cloud per eseguire le attività in questa pagina.
Puoi ottenere queste autorizzazioni anche con i ruoli personalizzati.
Aggiungi un'entità a un criterio a livello di bucket
Per un elenco dei ruoli associati a Cloud Storage, consulta Ruoli IAM. Per informazioni sulle entità a cui concedi i ruoli IAM, consulta Identificatori principali.
Console
- Nella console Google Cloud, vai alla pagina Bucket di Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket per il quale vuoi concedere un ruolo a un'entità.
Seleziona la scheda Autorizzazioni nella parte superiore della pagina.
Fai clic sul pulsante add_box Concedi l'accesso.
Viene visualizzata la finestra di dialogo Aggiungi entità.
Nel campo Nuove entità, inserisci una o più identità che devono accedere al tuo bucket.
Seleziona uno o più ruoli dal menu a discesa Seleziona un ruolo. I ruoli selezionati vengono visualizzati nel riquadro con una breve descrizione delle autorizzazioni concesse.
Fai clic su Salva.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta Risoluzione dei problemi.
Riga di comando
Utilizza il comando buckets add-iam-policy-binding
:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Dove:
BUCKET_NAME
è il nome del bucket a cui stai concedendo l'accesso dell'entità. Ad esempio,my-bucket
.PRINCIPAL_IDENTIFIER
identifica a chi concedi l'accesso al bucket. Ad esempio,user:[email protected]
. Per un elenco dei formati degli identificatori principali, consulta Identificatori principali.IAM_ROLE
è il ruolo IAM che stai concedendo all'entità. Ad esempio:roles/storage.objectViewer
.
Librerie client
C++
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C++ di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
C#
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C# di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Go
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Go di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Java
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Java di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Node.js
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Node.js di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
PHP
Per maggiori informazioni, consulta la documentazione di riferimento dell'API PHP di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Python di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Ruby
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Ruby di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
API REST
JSON
Assicurati che gcloud CLI sia installato e inizializzatoper generare un token di accesso per l'intestazione
Authorization
.In alternativa, puoi creare un token di accesso utilizzando OAuth 2.0 Playground e includerlo nell'intestazione
Authorization
.Crea un file JSON contenente le seguenti informazioni:
{ "bindings":[ { "role": "IAM_ROLE", "members":[ "PRINCIPAL_IDENTIFIER" ] } ] }
Dove:
IAM_ROLE
è il ruolo IAM che stai concedendo. Ad esempio:roles/storage.objectViewer
.PRINCIPAL_IDENTIFIER
identifica a chi concedi l'accesso al bucket. Ad esempio,user:[email protected]
. Per un elenco dei formati degli identificatori principali, consulta Identificatori principali.
Utilizza
cURL
per chiamare l'API JSON con una richiestaPUT setIamPolicy
:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dove:
JSON_FILE_NAME
è il percorso del file creato nel passaggio 2.BUCKET_NAME
è il nome del bucket a cui vuoi concedere l'accesso all'entità. Ad esempio,my-bucket
.
Visualizza il criterio IAM per un bucket
Console
- Nella console Google Cloud, vai alla pagina Bucket di Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket di cui vuoi visualizzare il criterio.
Nella pagina Dettagli bucket, fai clic sulla scheda Autorizzazioni.
Il criterio IAM che si applica al bucket viene visualizzato nella sezione Autorizzazioni.
(Facoltativo) Utilizza la barra dei filtri per filtrare i risultati.
Se esegui una ricerca per entità, i risultati mostrano ciascun ruolo concesso all'entità.
Riga di comando
Utilizza il comando buckets get-iam-policy
:
gcloud storage buckets get-iam-policy gs://BUCKET_NAME
Dove BUCKET_NAME
è il nome del bucket di cui vuoi visualizzare il criterio IAM. Ad esempio,
my-bucket
.
Librerie client
C++
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C++ di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
C#
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C# di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Go
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Go di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Java
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Java di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Node.js
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Node.js di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
PHP
Per maggiori informazioni, consulta la documentazione di riferimento dell'API PHP di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Python di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Ruby
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Ruby di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
API REST
JSON
Assicurati che gcloud CLI sia installato e inizializzatoper generare un token di accesso per l'intestazione
Authorization
.In alternativa, puoi creare un token di accesso utilizzando OAuth 2.0 Playground e includerlo nell'intestazione
Authorization
.Utilizza
cURL
per chiamare l'API JSON con una richiestaGET getIamPolicy
:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dove
BUCKET_NAME
è il nome del bucket di cui vuoi visualizzare il criterio IAM. Ad esempio,my-bucket
.
Rimuovi un'entità da un criterio a livello di bucket
Console
- Nella console Google Cloud, vai alla pagina Bucket di Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket da cui vuoi rimuovere il ruolo di un'entità.
Nella pagina Dettagli bucket, fai clic sulla scheda Autorizzazioni.
Il criterio IAM che si applica al bucket viene visualizzato nella sezione Autorizzazioni.
Nella scheda Visualizza per entità, seleziona la casella di controllo relativa all'entità che stai rimuovendo.
Fai clic sul pulsante - Rimuovi accesso.
Nella finestra dell'overlay che si apre, fai clic su Conferma.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta Risoluzione dei problemi.
Riga di comando
Utilizza il comando buckets remove-iam-policy-binding
:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Dove:
BUCKET_NAME
è il nome del bucket per cui stai revocando l'accesso. Ad esempio,my-bucket
.PRINCIPAL_IDENTIFIER
identifica da chi vuoi revocare l'accesso. Ad esempio,user:[email protected]
. Per un elenco dei formati degli identificatori principali, consulta Identificatori principali.IAM_ROLE
è il ruolo IAM che stai revocando. Ad esempio:roles/storage.objectViewer
.
Librerie client
C++
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C++ di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
C#
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C# di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Go
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Go di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Java
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Java di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Node.js
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Node.js di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
PHP
Per maggiori informazioni, consulta la documentazione di riferimento dell'API PHP di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Python di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Ruby
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Ruby di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
API REST
JSON
Assicurati che gcloud CLI sia installato e inizializzatoper generare un token di accesso per l'intestazione
Authorization
.In alternativa, puoi creare un token di accesso utilizzando OAuth 2.0 Playground e includerlo nell'intestazione
Authorization
.Applica il criterio esistente al bucket. A questo scopo, utilizza
cURL
per chiamare l'API JSON con una richiestaGET getIamPolicy
:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dove
BUCKET_NAME
è il nome del bucket di cui vuoi visualizzare il criterio IAM. Ad esempio,my-bucket
.Crea un file JSON contenente il criterio recuperato nel passaggio precedente.
Modifica il file JSON per rimuovere l'entità dal criterio.
Utilizza
cURL
per chiamare l'API JSON con una richiestaPUT setIamPolicy
:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dove:
JSON_FILE_NAME
è il percorso del file creato nel passaggio 3.BUCKET_NAME
è il nome del bucket da cui vuoi rimuovere l'accesso. Ad esempio,my-bucket
.
Utilizzo delle condizioni IAM sui bucket
Le sezioni seguenti mostrano come aggiungere e rimuovere le condizioni IAM nei bucket. Per visualizzare le condizioni IAM per il bucket, consulta Visualizzazione del criterio IAM per un bucket. Per ulteriori informazioni sull'utilizzo delle condizioni IAM con Cloud Storage, consulta Condizioni.
Devi abilitare l'accesso uniforme a livello di bucket sul bucket prima di aggiungere le condizioni.
Imposta una nuova condizione in un bucket
Console
- Nella console Google Cloud, vai alla pagina Bucket di Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket per cui vuoi aggiungere una nuova condizione.
Nella pagina Dettagli bucket, fai clic sulla scheda Autorizzazioni.
Il criterio IAM che si applica al bucket viene visualizzato nella sezione Autorizzazioni.
Fai clic su + Concedi l'accesso.
In Nuove entità, compila quelle a cui vuoi concedere l'accesso al bucket.
Per ogni ruolo a cui vuoi applicare una condizione:
Seleziona un Ruolo per concedere le entità.
Fai clic su Aggiungi condizione per aprire il modulo Modifica condizione.
Compila il campo Titolo della condizione. Il campo Descrizione è facoltativo.
Utilizza il Generatore di condizioni per creare visivamente la condizione oppure la scheda Editor condizioni per inserire l'espressione CEL.
Fai clic su Salva per tornare al modulo Aggiungi entità. Per aggiungere più ruoli, fai clic su Aggiungi un altro ruolo.
Fai clic su Salva.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta Risoluzione dei problemi.
Riga di comando
Crea un file JSON o YAML che definisce la condizione, inclusi
title
della condizione, la logica basata su attributiexpression
per la condizione e, facoltativamente, undescription
per la condizione.Tieni presente che Cloud Storage supporta solo gli attributi data/ora, tipo di risorsa e nome risorsa in
expression
.Utilizza il comando
buckets add-iam-policy-binding
con il flag--condition-from-file
:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE --condition-from-file=CONDITION_FILE
Dove:
BUCKET_NAME
è il nome del bucket a cui stai concedendo l'accesso dell'entità. Ad esempio,my-bucket
.PRINCIPAL_IDENTIFIER
identifica l'utente a cui si applica la condizione. Ad esempio,user:[email protected]
. Per un elenco dei formati degli identificatori principali, consulta Identificatori principali.IAM_ROLE
è il ruolo IAM che stai concedendo all'entità. Ad esempio:roles/storage.objectViewer
.CONDITION_FILE
è il file creato nel passaggio precedente.
In alternativa, puoi includere la condizione direttamente nel comando
con il flag --condition
anziché il flag --condition-from-file
.
Librerie client
C++
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C++ di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
C#
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C# di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Go
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Go di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Java
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Java di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Node.js
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Node.js di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
PHP
Per maggiori informazioni, consulta la documentazione di riferimento dell'API PHP di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Python di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Ruby
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Ruby di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
API REST
JSON
Assicurati che gcloud CLI sia installato e inizializzatoper generare un token di accesso per l'intestazione
Authorization
.In alternativa, puoi creare un token di accesso utilizzando OAuth 2.0 Playground e includerlo nell'intestazione
Authorization
.Utilizza una richiesta
GET getIamPolicy
per salvare il criterio IAM del bucket in un file JSON temporaneo:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer $(gcloud auth print-access-token)' > tmp-policy.json
Dove
BUCKET_NAME
è il nome del bucket pertinente. Ad esempio,my-bucket
.Modifica il file
tmp-policy.json
in un editor di testo per aggiungere nuove condizioni alle associazioni nel criterio IAM:{ "version": VERSION, "bindings": [ { "role": "IAM_ROLE", "members": [ "PRINCIPAL_IDENTIFIER" ], "condition": { "title": "TITLE", "description": "DESCRIPTION", "expression": "EXPRESSION" } } ], "etag": "ETAG" }
Dove:
VERSION
è la versione del criterio IAM, che deve essere pari a 3 per i bucket con condizioni IAM.IAM_ROLE
è il ruolo a cui si applica la condizione. Ad esempio,roles/storage.objectViewer
.PRINCIPAL_IDENTIFIER
identifica l'utente a cui si applica la condizione. Ad esempio,user:[email protected]
. Per un elenco dei formati degli identificatori principali, consulta Identificatori principali.TITLE
è il titolo della condizione. Ad esempio,expires in 2019
.DESCRIPTION
è una descrizione facoltativa della condizione. Ad esempio,Permission revoked on New Year's
.EXPRESSION
è un'espressione logica basata su attributi. Ad esempio,request.time < timestamp(\"2019-01-01T00:00:00Z\")
. Per ulteriori esempi di espressioni, consulta il riferimento all'attributo Condizioni. Tieni presente che Cloud Storage supporta solo gli attributi data/ora, tipo di risorsa e nome risorsa.
Non modificare
ETAG
.Utilizza una richiesta
PUT setIamPolicy
per impostare il criterio IAM modificato sul bucket:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dove
BUCKET_NAME
è il nome del bucket pertinente. Ad esempio,my-bucket
.
Rimuovi una condizione da un bucket
Console
- Nella console Google Cloud, vai alla pagina Bucket di Cloud Storage.
Nell'elenco dei bucket, fai clic sul nome del bucket da cui vuoi rimuovere una condizione.
Nella pagina Dettagli bucket, fai clic sulla scheda Autorizzazioni.
Il criterio IAM che si applica al bucket viene visualizzato nella sezione Autorizzazioni.
Fai clic sull'icona Modifica edit dell'entità associata alla condizione.
Nell'overlay Modifica accesso visualizzato, fai clic sul nome della condizione da eliminare.
Nell'overlay Modifica condizione visualizzato, fai clic su Elimina e poi su Conferma.
Fai clic su Salva.
Per scoprire come ottenere informazioni dettagliate sugli errori relativi alle operazioni di Cloud Storage non riuscite nella console Google Cloud, consulta Risoluzione dei problemi.
Riga di comando
Utilizza il comando
buckets get-iam-policy
per salvare il criterio IAM del bucket in un file JSON temporaneo.gcloud storage buckets get-iam-policy gs://BUCKET_NAME > tmp-policy.json
Modifica il file
tmp-policy.json
in un editor di testo per rimuovere le condizioni dal criterio IAM.Utilizza
buckets set-iam-policy
per impostare il criterio IAM modificato sul bucket.gcloud storage buckets set-iam-policy gs://BUCKET_NAME tmp-policy.json
Esempi di codice
C++
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C++ di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
C#
Per maggiori informazioni, consulta la documentazione di riferimento dell'API C# di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Go
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Go di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Java
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Java di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Node.js
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Node.js di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
PHP
Per maggiori informazioni, consulta la documentazione di riferimento dell'API PHP di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Python
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Python di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
Ruby
Per maggiori informazioni, consulta la documentazione di riferimento dell'API Ruby di Cloud Storage.
Per eseguire l'autenticazione in Cloud Storage, configura Credenziali predefinite dell'applicazione. Per maggiori informazioni, consulta Configurare l'autenticazione per un ambiente di sviluppo locale.
API REST
JSON
Assicurati che gcloud CLI sia installato e inizializzatoper generare un token di accesso per l'intestazione
Authorization
.In alternativa, puoi creare un token di accesso utilizzando OAuth 2.0 Playground e includerlo nell'intestazione
Authorization
.Utilizza una richiesta
GET getIamPolicy
per salvare il criterio IAM del bucket in un file JSON temporaneo:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer $(gcloud auth print-access-token)' > tmp-policy.json
Dove
BUCKET_NAME
è il nome del bucket a cui stai concedendo l'accesso. Ad esempio,my-bucket
.Modifica il file
tmp-policy.json
in un editor di testo per rimuovere le condizioni dal criterio IAM.Utilizza una richiesta
PUT setIamPolicy
per impostare il criterio IAM modificato sul bucket:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dove
BUCKET_NAME
è il nome del bucket di cui vuoi modificare il criterio IAM. Ad esempio,my-bucket
.
Best practice
Devi impostare il ruolo minimo necessario per concedere all'entità l'accesso richiesto. Ad esempio, se un membro del team deve leggere solo gli oggetti archiviati in un bucket, assegnagli il ruolo Visualizzatore oggetti Storage (roles/storage.objectViewer
) anziché il ruolo Amministratore oggetti Storage (roles/storage.objectAdmin
). Allo stesso modo, se il membro del team ha bisogno del controllo completo degli oggetti nel bucket, ma non del bucket stesso, assegnagli il ruolo Amministratore oggetti Storage (roles/storage.objectAdmin
) anziché il ruolo Amministratore Storage (roles/storage.admin
).
Passaggi successivi
- Scopri come condividere pubblicamente i tuoi dati.
- Consulta gli esempi specifici di condivisione e collaborazione.
- Scopri le best practice per l'utilizzo di IAM.
- Scopri come utilizzare i suggerimenti sui ruoli per i bucket.
- Per risolvere i problemi relativi alle operazioni non riuscite relative ai ruoli e alle autorizzazioni IAM, consulta Risoluzione dei problemi.