Nella pagina seguente vengono descritti gli strumenti per Identity and Access Management (IAM) autorizzazioni necessarie per eseguire azioni all'interno della porzione Cloud Storage la console Google Cloud. Le autorizzazioni IAM sono raggruppate insieme per creare i ruoli e concedirli a utenti e gruppi.
Autorizzazioni comuni necessarie per l'utilizzo della console Google Cloud
Alcune autorizzazioni sono generalmente necessarie per utilizzare Console Google Cloud:
Tutte le azioni che coinvolgono i bucket devono includere
resourcemanager.projects.get
estorage.buckets.list
a livello di progetto.Queste autorizzazioni ti consentono di accedere alla pagina Bucket, in cui creare, visualizzare e aggiornare bucket.
Tutte le azioni che includono un progetto di fatturazione nella richiesta richiedono Autorizzazione
serviceusage.services.use
per il progetto specificato.Questa autorizzazione garantisce che tu abbia l'autorizzazione a fatturare il progetto specificato. È utile includere un progetto di fatturazione, ad esempio, per accedere un bucket con l'opzione Pagamenti a carico del richiedente abilitata.
Autorizzazioni richieste per azioni specifiche
Azione | Autorizzazioni IAM richieste (oltre a quelle elencate sopra) |
---|---|
Crea un bucket | storage.buckets.create storage.buckets.enableObjectRetention 1 |
Collega un tag a un bucket | storage.buckets.createTagBinding |
Elenca o filtra i bucket | Nessuna autorizzazione aggiuntiva |
Elenca i tag collegati direttamente a un bucket | storage.buckets.listTagBindings |
Elenca sia i tag ereditati sia i tag associati direttamente a un bucket | storage.buckets.listEffectiveTags |
Visualizza le seguenti informazioni sul bucket:
|
storage.buckets.get |
Modifica le seguenti impostazioni del bucket:
|
storage.buckets.get storage.buckets.update |
Attiva la funzionalità Pagamenti a carico del richiedente | storage.buckets.get storage.buckets.update |
Disattivare la funzionalità Pagamenti a carico del richiedente | storage.buckets.get storage.buckets.update resourcemanager.projects.createBillingAssignment 3 |
Modificare l'impostazione di prevenzione dell'accesso pubblico | storage.buckets.get storage.buckets.setIamPolicy storage.buckets.update |
Modifica autorizzazioni bucket | storage.buckets.get storage.buckets.getIamPolicy storage.buckets.setIamPolicy storage.buckets.update |
Elimina un bucket vuoto | storage.buckets.delete storage.objects.list |
Elimina un bucket non vuoto | storage.buckets.delete storage.objects.delete storage.objects.list |
Scollegare un tag da un bucket | storage.buckets.deleteTagBinding |
Crea una cartella | storage.folders.create |
Recupera i metadati di una cartella | storage.folders.get |
Elenca cartelle | storage.folders.list |
Rinominare le cartelle | storage.folders.rename (per il bucket di origine)storage.folders.create (per il bucket di destinazione) |
Elimina cartelle | storage.folders.delete |
Carica un oggetto o una cartella di oggetti | storage.objects.create storage.objects.delete 2storage.objects.setRetention 4 |
Visualizzazione dei dettagli di un oggetto5 | storage.objects.get storage.objects.list |
Visualizzare la cronologia delle versioni di un oggetto | storage.objects.get storage.objects.list |
Scaricare un oggetto5 o una cartella di oggetti | storage.objects.get storage.objects.list |
Elenca gli oggetti in un bucket, inclusi gli oggetti non correnti e oggetti eliminati temporaneamente | storage.objects.list |
Determinare se un oggetto è accessibile pubblicamente5 | storage.buckets.getIamPolicy storage.objects.list storage.objects.getIamPolicy 7 |
Rinomina un oggetto o ripristina una versione non corrente di un oggetto | storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 7storage.objects.setIamPolicy 7 |
Copiare un oggetto | storage.objects.create storage.objects.delete 2storage.objects.get storage.objects.list storage.objects.getIamPolicy 7,8storage.objects.setIamPolicy 7,8 |
Spostare un oggetto | storage.objects.create storage.objects.delete 2storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 7,8storage.objects.setIamPolicy 7,8 |
Visualizzare le autorizzazioni di accesso di un oggetto5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy |
Modifica le autorizzazioni di accesso di un oggetto5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy storage.objects.setIamPolicy storage.objects.update |
Modifica i metadati di un oggetto5 | storage.objects.get storage.objects.list storage.objects.update |
Aggiungere, modificare o rimuovere una configurazione di conservazione su un oggetto5 | storage.objects.get storage.objects.list storage.objects.update storage.objects.setRetention storage.objects.overrideUnlockedRetention 9 |
Aggiungere o rimuovere un blocco su un oggetto5 | storage.objects.get storage.objects.list storage.objects.update |
Eliminare un oggetto5, una versione non corrente dell'oggetto, oppure una cartella di oggetti | storage.objects.delete storage.objects.list |
Ripristinare un oggetto eliminato | storage.objects.create storage.objects.delete 2storage.objects.list storage.objects.restore |
Ripristinare collettivamente gli oggetti eliminati | storage.objects.create storage.objects.delete 10storage.objects.restore storage.buckets.restore storage.objects.setIamPolicy 711 |
Visualizza il nome dell'agente di servizio Cloud Storage di un progetto | resourcemanager.projects.get |
Visualizza le chiavi HMAC dell'account di servizio per un progetto | resourcemanager.projects.get storage.hmacKeys.list |
Crea una chiave HMAC per un account di servizio | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.create |
Disattivare o riattivare una chiave HMAC per un account di servizio | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.update |
Elimina una chiave HMAC per un account di servizio | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.delete |
Creare, visualizzare o eliminare una chiave HMAC per l'account utente che stai connesso come | resourcemanager.projects.get |
1Questa autorizzazione è richiesta solo quando un bucket supporta il supporto configurazioni per la conservazione degli oggetti.
2Questa autorizzazione è richiesta solo se un oggetto con lo stesso nome esiste già nel bucket di destinazione.
3Questa autorizzazione è richiesta solo se non includi un modulo di fatturazione progetto nella tua richiesta. Consulta i requisiti di utilizzo e accesso per i pagamenti a carico del richiedente. per ulteriori informazioni.
4Questa autorizzazione è richiesta solo quando aggiungi una configurazione di conservazione durante il caricamento dell'oggetto.
5Questa azione non richiede storage.objects.list
se viene eseguita nella pagina dei dettagli dell'oggetto in questione e non
accedi alla pagina dei dettagli dall'elenco generale degli oggetti per il bucket.
6 Questa azione non si applica ai bucket con accesso uniforme a livello di bucket abilitato.
7Questa autorizzazione non si applica ai bucket con accesso uniforme a livello di bucket abilitato.
8Questa autorizzazione è necessaria solo se mantieni le autorizzazioni attualmente applicato all'oggetto di origine.
9Questa autorizzazione è necessaria quando modifichi un modello esistente configurazione di conservazione in modo che venga bloccata ridotta o rimossa.
10Questa autorizzazione è necessaria solo se un oggetto con lo stesso nome esiste già nel bucket di destinazione e selezioni Opzione Sovrascrivi gli oggetti attivi.
11 Questa autorizzazione è richiesta solo quando si seleziona il Opzione Copia controlli dell'accesso (ACL) di origine.
Passaggi successivi
Per un elenco dei ruoli e delle autorizzazioni che contengono, vedi Ruoli IAM per Cloud Storage.
Concedi ruoli IAM a livello di progetto e bucket.