Существуют две важные концепции для доступа к объектам в облачном хранилище.
Единообразный (рекомендуется): Cloud IAM применяет разрешения ко всем объектам, содержащимся внутри корзины, или группам объектов с общими префиксами имен
Подробный: вы можете указать доступ и применить разрешения как на уровне корзины, так и для отдельного объекта.
Вы можете использовать тонкую настройку для включения списков контроля доступа (ACL) и установки доступ, вы можете указать определенных c пользователей и разрешения, которые вы хотите, чтобы они имели согласно [1]. Также я рекомендую вам взглянуть на этот документ, где вы можете найти подробную информацию о том, как OAuth2 использует определение ACL, отличное от JSON или XML. [1] [2]
Я хотел бы упомянуть, что если вы включите единый доступ на уровне корзины, у вас будет 90 дней, чтобы вернуться к детализированному доступу, прежде чем единый доступ на уровне корзины станет постоянным. Когда вы переходите от мелкозернистого к однородному, Google сохраняет ваш ACH в течение 90 дней, позволяя вам вернуться к нему. [3] Мелкозернистый можно преобразовать в унифицированный, не дожидаясь 90 дней.
Также вы можете проверить рекомендованную архитектуру сегмента [4]
[1] https://cloud.google.com/storage/docs/access-control/lists#permissions
[2] https://cloud.google.com/storage/docs/authentication#oauth
[3] https://cloud.google.com/storage/docs/uniform-bucket-level-access#reversion
[4] https://cloud.google.com/storage/docs/access-control#recommended_bucket_architecture