שיתוף נתונים ושיתוף פעולה

במסמך הזה מתוארים תרחישים נפוצים של שיתוף נתונים ושיתוף פעולה. הוא כולל הוראות להגדרה של מדיניות ניהול זהויות והרשאות גישה (IAM) לפרויקט ולקטגוריה כדי להטמיע את התרחישים.

אחסון ותחזוקה של נתונים פרטיים

בתרחיש הזה, מנתחת שיווק בחברה רוצה להשתמש ב-Cloud Storage כדי לגבות תחזיות הכנסה סודיות ונתונים סודיים של תחזיות לגבי מכירות. הנתונים צריכים להיות נגישים רק למנתחת השיווק. מחלקת ה-IT של החברה מפקחת על חשבון ה-Cloud Storage של החברה ומנהלת אותו. תפקידי הניהול העיקריים של אנשי המחלקה כוללים יצירה ושיתוף של קטגוריות, כדי שלמחלקות שונות בחברה תהיה גישה ל-Cloud Storage.

כדי לענות על צרכי הסודיות והפרטיות של מנתחת השיווק, צוות ה-IT צריך הרשאות גישה לקטגוריות ולאובייקטים כדי לתחזק את הקטגוריה שבה הגיליונות האלקטרוניים מאוחסנים, אבל ההרשאות האלה גם צריכות להבטיח שצוות ה-IT לא יוכל לצפות בנתונים שמאוחסנים בקטגוריה או להוריד אותם. כדי לעשות זאת, יוצרים קטגוריה בשם finance-marketing ומקצים את התפקידים הבאים של המשאבים הרשומים לחשבונות המשתמש שמצוינים:

תפקיד המשאב חשבון משתמש תיאור
בעלים של קטגוריית אחסון מדור קודם הקטגוריה finance-marketing צוות ה-IT כשמקצים לצוות ה-IT את התפקיד בעלים של קטגוריית אחסון מדור קודם לקטגוריה, אנשי הצוות יכולים לבצע משימות נפוצות בניהול קטגוריות, כמו מחיקת אובייקטים ושינוי מדיניות IAM בקטגוריה. בנוסף, אנשי ה-IT יכולים להציג רשימות תוכן של הקטגוריה finance-marketing, אבל לא לצפות בתוכן או להוריד אותו.
משתמש באובייקטים באחסון הקטגוריה finance-marketing מנתחת השיווק אם מקצים למנתחת השיווק את התפקיד משתמש באובייקט אחסון לקטגוריה, היא תוכל להעלות, לצפות, לעדכן ולמחוק אובייקטים בקטגוריה.

בתפקידים האלה, אף אחד חוץ ממנתחת השיווק לא יכול לצפות באובייקטים שנמצאים בקטגוריה או להוריד אותם. צוות ה-IT עדיין יכול להציג את רשימות התוכן של הקטגוריה finance-marketing ולמחוק ולהחליף את הקבצים שמאוחסנים בקטגוריה במקרה הצורך.

הטמעת התרחיש הזה

הפעולות שלכם

הפעולות שאתם צריכים לבצע כדי להטמיע את התרחיש:

  1. יוצרים קטגוריה בשם finance-marketing. להוראות מפורטות, ראו יצירת קטגוריה.

  2. מקצים לכל חבר בצוות ה-IT את התפקיד בעלים של קטגוריית אחסון מדור קודם לקטגוריה. להוראות מפורטות, ראו הוספת חשבון משתמש למדיניות ברמת הקטגוריה.

הפעולות של צוות ה-IT

הפעולות שצוות ה-IT צריך לבצע כדי להטמיע את התרחיש:

  1. להקצות למנתחת השיווק את התפקיד משתמש באובייקטים של אחסון לקטגוריה. להוראות מפורטות, ראו הוספת חשבון משתמש למדיניות ברמת הקטגוריה.

תיקייה של ספק בענן

בתרחיש הזה, חברת בנייה עובדת עם מספר חברות לתכנון אדריכלי, שמספקות תוכניות בנייה לפרויקטים שונים. חברת הבנייה רוצה להגדיר תיקייה בענן לשימוש חברות הספקים, כדי שיוכלו להעלות תוכניות אדריכליות בשלבים השונים בפרויקט. התיקייה בענן צריכה להבטיח את הפרטיות של הלקוחות של חברת הבנייה, והמשמעות היא שהתיקייה לא יכולה לאפשר לספקים לראות את העבודה של ספקים אחרים. כדי לעשות זאת, יוצרים קטגוריה נפרדת לכל חברת אדריכלות ומקצים את התפקידים הבאים של המשאבים הרשומים לחשבונות המשתמשים שמצוינים:

תפקיד המשאב חשבון משתמש תיאור
בעלים כל הפרויקט מנהלת חברת הבנייה כשמקצים למנהלת חברת הבנייה את התפקיד בעלים ברמת הפרויקט, היא יכולה ליצור קטגוריות לכל ספק.
צפייה באובייקט אחסון כל הפרויקט מנהלת חברת הבנייה התפקיד צפייה באובייקט אחסון מאפשר למנהלת חברת הבנייה להוריד את האובייקטים שהספקים מעלים.
בעלים של קטגוריית אחסון מדור קודם כל קטגוריית ספק מנהלת חברת הבנייה התפקיד בעלים של קטגוריית אחסון מדור קודם מאפשר למנהלת חברת הבנייה להציג את רשימת התוכן של כל קטגוריה ולמחוק אובייקטים בסוף כל שלב בפרויקט.
אדמין של אובייקט אחסון כל קטגוריית ספק הספק שמשויך לקטגוריה כשמקצים לכל ספק את התפקיד אדמין של אובייקט אחסון לקטגוריה שלו, יש לו שליטה מלאה על האובייקטים שבקטגוריה, כולל אפשרות להעלות אובייקטים, להציג רשימות אובייקטים בקטגוריה ולקבוע למי תהיה גישה לכל אובייקט. הוא לא מאפשר לספקים לשנות מטא-נתונים או לצפות בהם, כמו תפקידים בקטגוריה בשלמותה, וגם לא מאפשר להם להציג רשימות של קטגוריות אחרות בפרויקט או לצפות בהן, וכך הוא שומר על הפרטיות בין הספקים.

הטמעת התרחיש הזה

הפעולות שלכם

הפעולות שאתם צריכים לבצע כדי להטמיע את התרחיש:

  1. מקצים למנהלת חברת הבנייה את התפקיד בעלים בפרויקט, וגם את התפקיד צפייה באובייקט אחסון בפרויקט. להוראות מפורטות, ראו הקצאת תפקיד יחיד.

הפעולות של מנהלת חברת הבנייה

הפעולות שמנהלת חברת הבנייה צריכה לבצע כדי להטמיע את התרחיש:

  1. ליצור קטגוריה נפרדת לכל ספק. להוראות מפורטות, ראו יצירת קטגוריה.

    בגלל שלמנהלת חברת הבנייה יש תפקיד של בעלים, היא מקבלת באופן אוטומטי את התפקיד בעלים של קטגוריית אחסון מדור קודם לכל קטגוריה שהיא יוצרת.

  2. להקצות לכל ספק את התפקיד אדמין של אובייקט אחסון לקטגוריה המתאימה. להוראות מפורטות, ראו הוספת חשבון משתמש למדיניות ברמת הקטגוריה.

  3. אם ספק מתכוון להשתמש במסוף Cloud de Confiance , צריך לתת לו קישור לקטגוריה שלו, בפורמט הזה:

    https://console.cloud.s3nscloud.fr/storage/browser/BUCKET_NAME

    כאשר BUCKET_NAME הוא שם הקטגוריה של הספק.

הפעולות של הספקים

הפעולות שכל ספק צריך לבצע כדי להטמיע את התרחיש:

  1. להעלות אובייקטים לקטגוריה שהוקצתה. הדרך הקלה ביותר לעשות זאת היא באמצעות מסוף Cloud de Confiance . שימוש בשיטות אחרות, כמו Google Cloud CLI, דורש קביעת הגדרות נוספות לפני השימוש. להוראות מפורטות, ראו העלאת אובייקט.

הורדות מאומתות בדפדפן

בתרחיש הזה, הלקוח רוצה להנגיש קבצים למשתמשים ספציפיים באמצעות הורדות פשוטות דרך דפדפן. אפשר לעשות זאת באמצעות אימות שמבוסס על קובצי cookie ב-Cloud Storage. כדי להוריד אובייקטים, המשתמשים צריכים לבצע אימות על ידי כניסה לחשבון תקף, בדרך כלל איחוד שירותי אימות הזהות של כוח עבודה. המשתמשים המאומתים הבאים יכולים להוריד את האובייקט:

כל שאר המשתמשים מקבלים את הודעת השגיאה 403 Forbidden (access denied).

כדי להשתמש בתכונה, צריך לתת למשתמש הרשאת גישה לאובייקט ואז להקצות לו כתובת URL מיוחדת לאובייקט. כשהמשתמש לוחץ על כתובת ה-URL, מופיעה ב-Cloud Storage הנחיה להיכנס לחשבון (אם הוא עדיין לא מחובר), ומתבצעת הורדה של האובייקט למחשב.

הטמעת התרחיש הזה

אפשר להטמיע אימות שמבוסס על קובצי cookie בארבעה שלבים כלליים:

  1. יוצרים קטגוריה. להוראות מפורטות, ראו יצירת קטגוריה.

    בהנחה שאתם יוצרים קטגוריה בפרויקט שבבעלותכם, אתם מקבלים באופן אוטומטי הרשאות שיאפשרו לכם להעלות אובייקטים לקטגוריה ולשנות את הרשאות הגישה לקטגוריה.

  2. מעלים את האובייקט שרוצים לשתף. להוראות מפורטות, ראו העלאת אובייקט.

  3. נותנים למשתמשים גישה לאובייקט. דרך נפוצה לעשות את זה היא לשנות את מדיניות ה-IAM של הקטגוריה כדי להקצות למשתמשים ספציפיים את התפקיד צפייה באובייקט אחסון, שחל על כל האובייקטים בקטגוריה. להוראות מפורטות, ראו הוספת חשבון משתמש למדיניות ברמת הקטגוריה.

  4. נותנים למשתמשים כתובת URL מיוחדת לאובייקט.

    הגישה של הורדות מאומתות דרך דפדפן ל-Cloud Storage מתבצעת דרך נקודת קצה (endpoint) ספציפית של כתובת URL. משתמשים בכתובת ה-URL הבאה:

    https://storage.cloud.google.com/BUCKET_NAME/OBJECT_NAME

    כאשר:

    • BUCKET_NAME הוא שם הקטגוריה שמכילה את האובייקט הרצוי. לדוגמה, my-bucket.
    • OBJECT_NAME הוא שם האובייקט הרצוי. לדוגמה, pets/dog.png.

    רק משתמשים עם הרשאות גישה מתאימות יכולים לצפות בתוכן, ולכן אפשר להעביר להם את כתובות ה-URL בכל דרך שתרצו. תוכלו לשלוח אותן אליהם ישירות או לפרסם אותן בדף אינטרנט.

שימוש בתיקיות מנוהלות כדי לשלוט בגישה

בתרחיש הזה, יש לכם כמה לקוחות שלכל אחד מהם יש אתר ייחודי עם תמונות בהתאמה אישית. אתם רוצים שהלקוחות יוכלו להעלות תמונות רק לאתר שלכם, ולא לאתרים אחרים. לקוח מבטל את החשבון שלו, ואתם רוצים להשבית את הגישה הציבורית לתמונות באתר שלו, אבל לא רוצים למחוק את התמונות למקרה שהלקוח ירצה להפעיל מחדש את החשבון שלו.

דרך אחת לענות על הצרכים בתרחיש הזה היא באמצעות תיקיות מנוהלות. אתם יכולים ליצור כמה תיקיות מנוהלות בקטגוריה ולהשתמש ב-IAM כדי לשלוט בגישה לתיקיות מנוהלות ספציפיות עבור הלקוחות שלכם ומשתמשי הקצה שלהם.

הטמעת התרחיש הזה

  1. יצירת קטגוריה.

  2. יוצרים תיקייה מנוהלת בקטגוריה לכל אתר של לקוח.

  3. לכל תיקייה מנוהלת, מגדירים מדיניות IAM שמעניקה ללקוח את התפקיד 'משתמש באובייקט אחסון' (roles/storage.objectUser), כדי שהלקוח יוכל להעלות אובייקטים לתיקייה המנוהלת ולהסיר אובייקטים מהתיקייה המנוהלת.

  4. לכל התיקיות המנוהלות, מגדירים מדיניות IAM שמעניקה את התפקיד 'צפייה באובייקט אחסון' (roles/storage.objectViewer) לישות allUsers, כדי שהציבור יוכל לצפות באובייקטים של התמונות בתיקיות המנוהלות.

    אפשר גם להעניק תפקיד בהתאמה אישית שנותן ל-allUsers את הרשאת IAM‏ storage.objects.get.

  5. כשלקוח מבטל את החשבון שלו, צריך להסיר את מדיניות ה-IAM שמעניקה ללקוח את התפקיד 'משתמש באובייקט אחסון' (roles/storage.objectUser) בתיקייה המנוהלת המשויכת. כדי להשבית את הגישה הציבורית לאובייקטים בתיקייה המנוהלת, צריך להסיר את מדיניות ה-IAM שמעניקה את התפקיד 'צפייה באובייקט אחסון' (roles/storage.objectViewer) ל-allUsers.