本頁面說明 Google Cloud 控制台專案和 Cloud Storage 資源之間的關係。如要進一步瞭解 Google Cloud 主控台專案的一般資訊,請參閱 Google Cloud中的「專案」一文。
什麼是專案?
專案可整理您所有的 Google Cloud 資源。Cloud Storage 中的所有資料都屬於專案內容。專案是由一組使用者、一組 API 以及這些 API 的計費、驗證和監控設定組成。因此,舉例來說,您的所有 Cloud Storage 值區和物件,以及存取這些物件的使用者權限全都位於專案中。您可以使用一個專案,也可以建立多個專案以將 Google Cloud 資源 (包括 Cloud Storage 資料) 區分為邏輯群組。
指定專案的時機
在多數情況下,於 Cloud Storage 中執行動作時不需要指定專案;但以下情況必須提供專案 ID 或專案編號:
控制台
將 Cloud Storage 搭配 Google Cloud 控制台使用時,您會自動與專案建立關聯。您可以使用 Google Cloud 主控台視窗頂端的下拉式選單來變更專案。
首次存取已啟用要求者付費功能的值區時,系統會提示您選取要求計費的專案。隨後您可以使用值區中物件清單上方的 [Change project] (變更專案) 按鈕來變更計費專案。
指令列
下列指令會使用 Google Cloud CLI 設定中設定的 project 屬性,除非您在指令中使用全域 --project 標記指定其他專案:
storage buckets createstorage ls(列出值區時) 和storage buckets liststorage service-agentstorage hmac create和storage hmac list
使用全域 --billing-project 標記和專案 ID,指示值區存取的計費專案。如要存取的值區已啟用要求者付費功能,您必須使用這個標記;如要存取的值區未啟用該功能,則這個標記為選用。
用戶端程式庫
Cloud Storage 用戶端程式庫會要求在與 JSON API 相同的情況下指定專案。
JSON API
下列方法需要指定專案:
專案會做為要求網址的參數傳送,如下列範例所示:
GET https://storage.googleapis.com/storage/v1/b?project=PROJECT_IDENTIFIER
如要指示值區存取的計費專案,請使用「userProject」查詢參數和專案 ID,如下列範例所示:
GET https://storage.googleapis.com/storage/v1/b?userProject=PROJECT_IDENTIFIER
如要存取的值區已啟用要求者付費功能,您必須使用這個查詢參數;如要存取的值區未啟用該功能,則這個標記為選用。
XML API
下列要求需要指定專案,除非您已設定預設專案以供互通存取:
x-goog-project-id HTTP 標頭中會指定與這些 XML API 要求相關聯的專案,如下列範例所示:
x-goog-project-id: PROJECT_ID
如果是其他 XML API 要求,則此標頭為選用。
如要指示值區存取的計費專案,請使用「x-goog-user-project」標頭和專案 ID,如下列範例所示:
x-goog-user-project: PROJECT_ID
如要存取的值區已啟用要求者付費功能,您必須使用這個標頭;如要存取的值區未啟用該功能,則這個標記為選用。
專案和權限
您可以針對每個專案使用身分與存取權管理 (IAM) 功能,授予管理及處理專案的權限。當您將 IAM 角色授予主體 (例如使用者帳戶) 時,該主體會取得可執行動作的特定權限。在專案層級授予角色時,該角色提供的存取權會套用至專案中的每個值區和物件。或者,當您為個別值區授予角色時,該角色提供的存取權僅限於該值區和值區包含的物件。
如需 Cloud Storage 適用的角色清單,以及如何將一組特殊角色 (稱為「基本角色」) 套用至 Cloud Storage 的討論,請參閱 Cloud Storage IAM 角色。
如要瞭解如何在 bucket 和專案層級查看、授予及撤銷主體的角色,請參閱「在專案中使用 IAM」一文。
服務帳戶
服務帳戶可讓應用程式驗證及存取Google Cloud 資源和服務。舉例來說,您可以建立服務帳戶,供 Compute Engine 執行個體用來存取儲存在 Cloud Storage 值區中的物件。系統會在專案中建立服務帳戶,且隨附可供識別的專屬電子郵件地址。
以下是 您建立及管理的服務帳戶經常採取的 Cloud Storage 相關動作範例:
- 執行 Storage 移轉服務的移轉作業。
- 將資料移入和移出 Cloud SQL 執行個體。
- 建立已簽署的網址。
服務代理
服務代理人是一種特殊類型的服務帳戶,可代表 Google Cloud 服務執行操作。Cloud Storage 會使用服務代理來執行下列功能:
建立專案時,Cloud Storage 服務代理一開始無法使用。相反地,服務帳戶會在首次存取時自動啟用,例如透過上述其中一項功能,或是當您要求服務代理人的名稱時。您必須先啟用服務代理,才能指派權限。
以下是與專案編號 123456789876相關聯的 Cloud Storage 服務代理電子郵件地址範例:
service-123456789876@gs-project-accounts.iam.gserviceaccount.com
後續步驟
- 完成其中一個 Cloud Storage 快速入門課程。
- 瞭解如何建立新專案及管理現有專案。
- 瞭解如何使用 Google Cloud 控制台管理資料。
- 管理專案的服務帳戶。