22、云存储：访问控制、签名 URL、日志记录与对象版本管理

云存储：访问控制、签名 URL、日志记录与对象版本管理

1. 访问控制

在云存储中，访问控制至关重要。我们需要谨慎对待公开访问，因为一旦数据暴露在互联网上，就可能永远存在。当使用 allUsers 或 allAuthenticatedUsers （即 public-read 或 authenticated-read ）令牌时，这等同于将内容公开发布。同时，在考虑定价问题时，也需关注公开访问带来的影响。

另外，默认访问控制列表（ACL）会自动生效，因此要选择合理的默认设置。过于开放的默认 ACL 很容易被忽视，因为只有查看新创建对象的 ACL 时才会发现。如果默认 ACL 比较宽松，也容易违反最小访问原则。一般来说，建议使用更严格的预定义 ACL 作为对象默认设置：
- 小团队可使用 project-private 或 bucket-owner-full-control 。
- 大团队可使用 private 或 bucket-owner-read 。

2. 签名 URL

有时，我们不想永久将某人添加到 ACL 中，而是希望在特定时间段内授予访问权限。云存储提供了签名 URL 来实现这一需求。签名 URL 会对操作意图（如下载文件）进行签名，使用具有操作权限的凭证。这样，没有访问权限的人也可以使用这个一次性通行证来执行指定操作。

以下是创建签名 URL 下载 GCS 中文本文件的具体步