Öffentliche Zugriffe blockieren (original) (raw)

Übersicht

Auf dieser Seite wird beschrieben, wie Sie die Bucket-Einstellung zur Verhinderung des öffentlichen Zugriffs und die Organisationsrichtlinien-Einschränkung zur Verhinderung des öffentlichen Zugriffs verwenden. Durch die Verhinderung des öffentlichen Zugriffs können Sie den öffentlichen Zugriff auf Ihre Buckets und Objekte einschränken.

Hinweise

Bevor Sie die Verhinderung des öffentlichen Zugriffs in Cloud Storage nutzen, müssen Sie die erforderliche IAM-Rolle haben und die Überlegungen zum Erzwingen der Verhinderung des öffentlichen Zugriffs lesen.

Erforderliche Rollen abrufen

Wenn Sie die Organisationsrichtlinie zur Verhinderung des öffentlichen Zugriffs auf Projekt-, Ordner- oder Organisationsebene verwalten möchten, bitten Sie Ihren Administrator, Ihnen die Rolle „Administrator für Organisationsrichtlinien“ (roles/orgpolicy.policyAdmin) für die Organisation zu gewähren. Diese vordefinierte Rolle enthält die Berechtigungen, die zum Verwalten der Verhinderung des öffentlichen Zugriffs auf Projekt-, Ordner- oder Organisationsebene erforderlich sind. Informationen zu den in dieser Rolle enthaltenen Berechtigungen finden Sie unter Details zur Rolle „Organisationsadministrator“.

Bitten Sie Ihren Administrator, Ihnen die Rolle „Storage-Administrator“ (roles/storage.admin) für den Bucket zuzuweisen, um die Einstellung für die Verhinderung des öffentlichen Zugriffs für einen Bucket zu verwalten. Diese Rolle enthält die Berechtigungen, die zum Verwalten der Verhinderung des öffentlichen Zugriffs auf einen Bucket erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

Erforderliche Berechtigungen

• storage.buckets.update
• storage.buckets.setIamPolicy

Informationen zu den anderen Berechtigungen, die in der Rolle „Storage-Administrator“ enthalten sind, finden Sie in den Details zur Rolle „Storage-Administrator“.

Aspekte bei der Überprüfung

Bevor Sie beginnen, sollten Sie dafür sorgen, dass Workflows durch das Blockieren des öffentlichen Zugriffs nicht unterbrochen werden. Weitere Informationen finden Sie unter Überlegungen zur Erzwingung für bestehende Ressourcen.

Bucket-Einstellung verwenden

In diesem Abschnitt wird gezeigt, wie Sie die Verhinderung des öffentlichen Zugriffs für einzelne Buckets erzwingen und entfernen sowie den Status einzelner Buckets prüfen.

Verhinderung des öffentlichen Zugriffs festlegen

So ändern Sie die Einstellung für die Verhinderung des öffentlichen Zugriffs für einen einzelnen Bucket:

Console

1. Wechseln Sie in der Google Cloud Console unter „Cloud Storage“ zur Seite Buckets.
   Buckets aufrufen
2. Klicken Sie in der Liste der Buckets auf den Namen des Buckets, für den Sie die Verhinderung des öffentlichen Zugriffs erzwingen oder entfernen möchten.
3. Klicken Sie auf der Seite mit den Bucket-Details auf den Tab Berechtigungen.
4. Klicken Sie auf der Karte Öffentlicher Zugriff auf Öffentlichen Zugriff verhindern, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, oder klicken Sie zum Entfernen der Verhinderung des öffentlichen Zugriffs auf Öffentlichen Zugriff zulassen.
5. Klicken Sie auf Bestätigen.

Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.

Befehlszeile

Führen Sie den Befehl gcloud storage buckets update mit dem geeigneten Flag aus.

gcloud storage buckets update gs://BUCKET_NAME FLAG

Dabei gilt:

• BUCKET_NAME ist der Name des entsprechenden Buckets. Beispiel: my-bucket.
• FLAG ist entweder --public-access-prevention, was die öffentliche Zugriffssteuerung aktiviert, oder --no-public-access-prevention, was die Steuerung deaktiviert.

Wenn der Vorgang erfolgreich war, sieht die Antwort in etwa so aus:

Updating gs://my-bucket/... Completed 1

Clientbibliotheken

C++

Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.

Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited gesetzt:

C#

Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.

Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited gesetzt:

Go

Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.

Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited gesetzt:

Java

Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.

Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited gesetzt:

Node.js

Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.

Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited gesetzt:

PHP

Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.

Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited gesetzt:

Python

Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.

Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited gesetzt:

Ruby

Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.

Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket erzwungen:

Im folgenden Beispiel wird die Verhinderung des öffentlichen Zugriffs für einen Bucket auf inherited gesetzt:

REST APIs

JSON-API

1. Installieren und initialisieren Sie die gcloud CLI, um ein Zugriffstoken für den Authorization-Header zu generieren.
2. Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:
   {
   "iamConfiguration": {
   "publicAccessPrevention": "STATE",
   }
   }
   Dabei ist <var>STATE</var> entweder enforced oder inherited.
3. Verwenden Sie cURL, um die JSON API mit einer PATCH-Bucket-Anfrage aufzurufen, die die gewünschten fields enthält:
   curl -X PATCH --data-binary @JSON_FILE_NAME \
   -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   -H "Content-Type: application/json" \
   "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?fields=iamConfiguration"
   Dabei gilt:
   • JSON_FILE_NAME ist der Pfad für die JSON-Datei, die Sie im vorherigen Schritt erstellt haben.
   • BUCKET_NAME ist der Name des entsprechenden Buckets. Beispiel: my-bucket.

XML API

Die XML API kann nicht zum Verwalten der Verhinderung des öffentlichen Zugriffs verwendet werden. Verwenden Sie stattdessen eines der anderen Cloud Storage-Tools, z. B. die Google Cloud Console.

Status der Verhinderung des öffentlichen Zugriffs anzeigen

So zeigen Sie den Status der öffentlichen Zugriffsverhinderung für einen einzelnen Bucket an:

Console

1. Wechseln Sie in der Google Cloud Console unter „Cloud Storage“ zur Seite Buckets.
   Buckets aufrufen
2. Klicken Sie auf den Namen des Buckets, für den Sie den Status der Verhinderung des öffentlichen Zugriffs ansehen möchten.
3. Klicken Sie auf den Tab Berechtigungen.
4. Unter Öffentlicher Zugriff wird der Status des Buckets angezeigt.

Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.

Befehlszeile

Verwenden Sie den Befehl gcloud storage buckets describe mit dem Flag --format:

gcloud storage buckets describe gs://BUCKET_NAME --format="default(public_access_prevention)"

Dabei ist BUCKET_NAME der Name des Buckets, dessen Status Sie aufrufen möchten. Beispiel: my-bucket.

Wenn der Vorgang erfolgreich war, sieht die Antwort in etwa so aus:

public_access_prevention:inherited

Clientbibliotheken

REST APIs

JSON-API

1. Installieren und initialisieren Sie die gcloud CLI, um ein Zugriffstoken für den Authorization-Header zu generieren.
2. Verwenden Sie cURL, um die JSON API mit einer GET-Bucket-Anfrage aufzurufen, die die gewünschten fields enthält:
   curl -X GET -H "Authorization: Bearer $(gcloud auth print-access-token)" \
   "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME?fields=iamConfiguration"
   Dabei ist BUCKET_NAME der Name des entsprechenden Buckets. Beispiel: my-bucket.
   Die Antwort sieht in etwa so aus:
   {
   "iamConfiguration": {
   ...
   "publicAccessPrevention": "FLAG"
   }
   }
   Dabei ist FLAG entweder inherited oder enforced.

XML API

Die XML API kann nicht zum Verwalten der Verhinderung des öffentlichen Zugriffs verwendet werden. Verwenden Sie stattdessen eines der anderen Cloud Storage-Tools, z. B. die Google Cloud Console.

Organisationsrichtlinie verwenden

In diesem Abschnitt wird gezeigt, wie Sie die Organisationsrichtlinie für die Verhinderung des öffentlichen Zugriffs erzwingen und entfernen sowie den Status der Richtlinie prüfen.

Verhinderung des öffentlichen Zugriffs festlegen

So legen Sie die Verhinderung des öffentlichen Zugriffs auf Projekt-, Ordner- oder Organisationsebene fest:

Console

Folgen Sie der Anleitung unter Organisationsrichtlinien erstellen und verwalten unter Verwendung der Einschränkung storage.publicAccessPrevention.

Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.

Befehlszeile

Führen Sie den Befehl gcloud beta resource-manager org-policies aus:

gcloud beta resource-manager org-policies STATE
constraints/storage.publicAccessPrevention
--RESOURCE RESOURCE_ID

Dabei gilt:

• STATE kann die folgenden Werte haben:
  • enable-enforce: Erzwingt die Verhinderung des öffentlichen Zugriffs für die Ressource.
  • disable-enforce: Deaktiviert die Verhinderung des öffentlichen Zugriffs für die Ressource.
  • delete: Entfernt die Einschränkung der Organisationsrichtlinie aus der Ressource, damit die Ressource den Wert der übergeordneten Ressource übernimmt.
• RESOURCE ist die Ressource, für die Sie die Verhinderung des öffentlichen Zugriffs festlegen möchten. Beispiel: organization, project oder folder.
• RESOURCE_ID ist die ID für die Ressource. Beispiel: 123456789012 für eine Organisations-ID, 245321 für eine Ordner-ID oder my-pet-project für eine Projekt-ID.

Weitere Informationen finden Sie unter Einschränkungen verwenden.

Hier sehen Sie ein Beispiel für die Ausgabe bei Verwendung von disable-enforce:

etag: BwVJi0OOESU= booleanPolicy: {} constraint: constraints/storage.publicAccessPrevention

Status der Verhinderung des öffentlichen Zugriffs anzeigen

So rufen Sie den Status der Verhinderung des öffentlichen Zugriffs auf Projekt-, Ordner- oder Organisationsebene auf:

Console

Folgen Sie der Anleitung unter Organisationsrichtlinien erstellen und verwalten unter Verwendung der Einschränkung storage.publicAccessPrevention.

Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.

Befehlszeile

Führen Sie den Befehl describe --effective aus:

gcloud beta resource-manager org-policies describe
constraints/storage.publicAccessPrevention --effective
--RESOURCE RESOURCE_ID

Dabei gilt:

• RESOURCE ist die Ressource, für die Sie den Status der Verhinderung des öffentlichen Zugriffs aufrufen möchten. Beispiel: organization, project oder folder.
• RESOURCE_ID ist die ID für die Ressource. Beispiel: 123456789012 für eine Organisations-ID, 245321 für eine Ordner-ID und my-pet-project für eine Projekt-ID.

Weitere Informationen finden Sie unter Einschränkungen verwenden.

Nächste Schritte

• Weitere Informationen zur Verhinderung des öffentlichen Zugriffs