Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Vista geral do controlo de acesso

Controla quem tem acesso aos seus contentores e objetos do Cloud Storage, bem como o respetivo nível de acesso.

Escolha entre o acesso uniforme e detalhado

Quando cria um contentor, deve decidir se quer aplicar autorizações através do acesso uniforme ou detalhado.

Uniforme (recomendado): o acesso de nível de contentor uniforme permite-lhe usar apenas a gestão de identidade e de acesso (IAM) para gerir autorizações. O IAM aplica autorizações a todos os objetos contidos no contentor ou grupos de objetos com prefixos de nomes comuns. O IAM também lhe permite usar funcionalidades que não estão disponíveis quando trabalha com ACLs, como pastas geridas, condições do IAM, partilha restrita ao domínio e federação de identidades da força de trabalho.
Detalhado: a opção detalhada permite-lhe usar o IAM e as listas de controlo de acesso (LCAs) em conjunto para gerir as autorizações. As ACLs são um sistema de controlo de acesso antigo para o Cloud Storage concebido para a interoperabilidade com o Amazon S3. As LCAs também lhe permitem especificar o acesso por objeto.

Uma vez que o acesso detalhado requer a coordenação entre dois sistemas de controlo de acesso diferentes, existe uma maior probabilidade de exposição não intencional de dados, e a auditoria de quem tem acesso aos recursos é mais complicada. Em particular, se tiver objetos que contenham dados confidenciais, como informações de identificação pessoal, recomendamos que armazene esses dados num contentor com acesso uniforme ao nível do contentor ativado.

Usar autorizações de IAM com LCAs

O Cloud Storage oferece dois sistemas para conceder aos utilizadores acesso aos seus contentores e objetos: o IAM e as listas de controlo de acesso (ACLs). Estes sistemas atuam em paralelo. Para que um utilizador aceda a um recurso do Cloud Storage, apenas um dos sistemas tem de conceder autorização a esse utilizador. Por exemplo, se a política de IAM do seu contentor permitir apenas que alguns utilizadores leiam dados de objetos no contentor, mas um dos objetos no contentor tiver uma ACL que o torne publicamente legível, esse objeto específico fica exposto ao público.

Na maioria dos casos, o IAM é o método recomendado para controlar o acesso aos seus recursos. O IAM controla as autorizações em todo o Google Cloud e permite-lhe conceder autorizações ao nível do contentor e do projeto. Deve usar o IAM para quaisquer autorizações que se apliquem a vários objetos num contentor para reduzir os riscos de exposição não intencional. Para usar o IAM exclusivamente, ative o acesso de nível de contentor uniforme para não permitir LCAs para todos os recursos do Cloud Storage.

As ACLs controlam as autorizações apenas para recursos do Cloud Storage e têm opções de autorização limitadas, mas permitem-lhe conceder autorizações por objetos individuais. É mais provável que queira usar ACLs para os seguintes exemplos de utilização:

Personalize o acesso a objetos individuais num contentor.
Migre dados do Amazon S3.

Opções adicionais de controlo de acesso

Além da IAM e das ACLs, estão disponíveis as seguintes ferramentas para ajudar a controlar o acesso aos seus recursos:

URLs assinados (autenticação de string de consulta)

Use URLs assinados para conceder acesso de leitura ou escrita limitado no tempo a um objeto através de um URL que gera. Qualquer pessoa com quem partilhar o URL pode aceder ao objeto durante o período especificado, independentemente de ter ou não uma conta de utilizador.

Pode usar URLs assinados além da IAM e das ACLs. Por exemplo, pode usar o IAM para conceder acesso a um contentor apenas a algumas pessoas e, em seguida, criar um URL assinado que permita a outras pessoas aceder a um recurso específico no contentor.

Saiba como criar URLs assinados:

Documentos de política assinados

Use documentos de políticas assinados para especificar o que pode ser carregado para um contentor. Os documentos de políticas permitem um maior controlo sobre o tamanho, o tipo de conteúdo e outras características de carregamento do que os URLs assinados, e podem ser usados pelos proprietários de Websites para permitir que os visitantes carreguem ficheiros para o Cloud Storage.

Pode usar documentos de políticas assinados, além da IAM e das ACLs. Por exemplo, pode usar o IAM para permitir que as pessoas na sua organização carreguem qualquer objeto e, em seguida, criar um documento de política assinado que permita que os visitantes do Website carreguem apenas objetos que cumpram critérios específicos.

Prevenção de acesso público

Use a prevenção de acesso público para restringir o acesso público aos seus contentores e objetos. Quando ativa a prevenção de acesso público, os utilizadores que obtêm acesso através do allUsers e do allAuthenticatedUsers não têm permissão para aceder aos dados.

Filtragem de IP de contentores

Use a filtragem de IP de contentores para restringir o acesso ao seu contentor com base no endereço IP de origem do pedido. A filtragem de IPs de contentores adiciona uma camada de segurança, impedindo que redes não autorizadas acedam ao seu contentor e aos respetivos dados. Pode configurar uma lista de intervalos de endereços IP permitidos, incluindo endereços IP públicos, intervalos de endereços IP públicos e endereços IP na sua nuvem privada virtual. Todos os pedidos com origem num endereço IP que não esteja na sua lista são bloqueados. Como resultado, apenas os utilizadores autorizados podem aceder ao seu contentor.

O que se segue?

Saiba como usar as autorizações da IAM.
Consulte as autorizações e as funções de IAM específicas do Cloud Storage
Veja exemplos de cenários de partilha e colaboração que envolvem a definição de ACLs de objetos e contentores.
Saiba como tornar os seus dados acessíveis a todas as pessoas na Internet pública.
Saiba quando usar um URL assinado.