Halaman berikut membahas izin Identity and Access Management (IAM) yang diperlukan untuk menjalankan tindakan dalam bagian Cloud Storage di konsol Google Cloud. Izin IAM dipaketkan bersama untuk membuat peran, dan Anda memberikan peran kepada pengguna dan grup.
Izin umum yang diperlukan untuk menggunakan konsol Google Cloud
Beberapa izin tertentu sangat diperlukan untuk menggunakan konsol Google Cloud:
Semua tindakan yang melibatkan bucket harus menyertakan izin
resourcemanager.projects.get
danstorage.buckets.list
di level project.Izin ini memungkinkan Anda mengakses halaman Bucket, tempat Anda membuat, melihat, dan memperbarui bucket.
Semua tindakan yang menyertakan project penagihan dalam permintaan memerlukan izin
serviceusage.services.use
untuk project yang ditentukan.Izin ini memastikan Anda berwenang untuk menagih project yang ditentukan. Penyertaan project penagihan digunakan, misalnya, saat mengakses bucket dengan Requester Pays diaktifkan.
Izin yang diperlukan untuk tindakan tertentu
Tindakan | Izin IAM yang diperlukan (selain yang tercantum di atas) |
---|---|
Membuat bucket | storage.buckets.create storage.buckets.enableObjectRetention 1 |
Melampirkan tag ke bucket | storage.buckets.createTagBinding |
Mencantumkan atau memfilter bucket | Tidak ada izin tambahan |
Membuat daftar tag yang langsung dilampirkan ke bucket | storage.buckets.listTagBindings |
Mencantumkan tag yang diwariskan dan tag yang dilampirkan langsung ke bucket | storage.buckets.listEffectiveTags |
Melihat informasi bucket berikut:
|
storage.buckets.get |
Mengubah setelan bucket berikut:
|
storage.buckets.get storage.buckets.update storage.buckets.enableObjectRetention 1 |
Mengaktifkan fitur Requester Pays | storage.buckets.get storage.buckets.update |
Menonaktifkan fitur Requester Pays | storage.buckets.get storage.buckets.update resourcemanager.projects.createBillingAssignment 3 |
Mengubah setelan pencegahan akses publik | storage.buckets.get storage.buckets.setIamPolicy storage.buckets.update |
Mengubah izin bucket | storage.buckets.get storage.buckets.getIamPolicy storage.buckets.setIamPolicy storage.buckets.update |
Menghapus bucket kosong | storage.buckets.delete storage.objects.list |
Menghapus bucket yang tidak kosong | storage.buckets.delete storage.objects.delete storage.objects.list |
Melepaskan tag dari bucket | storage.buckets.deleteTagBinding |
Membuat folder | storage.folders.create |
Mendapatkan metadata folder | storage.folders.get |
Mencantumkan folder | storage.folders.list |
Mengganti nama folder | storage.folders.rename (untuk bucket sumber)storage.folders.create (untuk bucket tujuan) |
Menghapus folder | storage.folders.delete |
Mengupload objek atau folder objek | storage.objects.create storage.objects.delete 2storage.objects.setRetention 4 |
Melihat detail objek 5 | storage.objects.get storage.objects.list |
Melihat histori versi objek | storage.objects.get storage.objects.list |
Mendownload objek 5 atau folder objek | storage.objects.get storage.objects.list |
Membuat daftar objek dalam bucket, termasuk objek yang tidak aktif dan objek yang dihapus secara sementara | storage.objects.list |
Menentukan apakah objek dapat diakses secara publik 5 | storage.buckets.getIamPolicy storage.objects.list storage.objects.getIamPolicy 7 |
Mengganti nama objek atau memulihkan versi lama dari objek | storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 7storage.objects.setIamPolicy 7 |
Salin objek | storage.objects.create storage.objects.delete 2storage.objects.get storage.objects.list storage.objects.getIamPolicy 7,8storage.objects.setIamPolicy 7,8 |
Memindahkan objek | storage.objects.create storage.objects.delete 2storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 7,8storage.objects.setIamPolicy 7,8 |
Melihat izin akses objek 5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy |
Mengedit izin akses objek 5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy storage.objects.setIamPolicy storage.objects.update |
Mengedit metadata objek 5 | storage.objects.get storage.objects.list storage.objects.update |
Menambahkan, mengubah, atau menghapus konfigurasi retensi pada objek5 | storage.objects.get storage.objects.list storage.objects.update storage.objects.setRetention storage.objects.overrideUnlockedRetention 9 |
Menambahkan atau menghapus penangguhan pada objek 5 | storage.objects.get storage.objects.list storage.objects.update |
Menghapus objek 5, versi lama suatu objek, atau folder objek | storage.objects.delete storage.objects.list |
Memulihkan objek yang dihapus | storage.objects.create storage.objects.delete 2storage.objects.list storage.objects.restore |
Memulihkan objek yang dihapus secara massal | storage.objects.create storage.objects.delete 10storage.objects.restore storage.buckets.restore storage.objects.setIamPolicy 7,11 |
Melihat nama agen layanan Cloud Storage project | resourcemanager.projects.get |
Melihat kunci HMAC akun layanan untuk project | resourcemanager.projects.get storage.hmacKeys.list |
Membuat kunci HMAC untuk akun layanan | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.create |
Menonaktifkan atau mengaktifkan kembali kunci HMAC untuk akun layanan | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.update |
Menghapus kunci HMAC untuk akun layanan | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.delete |
Membuat, melihat, atau menghapus kunci HMAC untuk akun pengguna yang Anda gunakan untuk login | resourcemanager.projects.get |
1Izin ini hanya diperlukan saat mengaktifkan bucket untuk mendukung konfigurasi retensi objek.
2Izin ini hanya diperlukan jika objek dengan nama yang sama sudah ada di bucket tujuan.
3 Izin ini hanya diperlukan jika Anda tidak menyertakan project penagihan dalam permintaan. Lihat Persyaratan penggunaan dan akses Pemohon yang Membayar untuk mengetahui informasi selengkapnya.
4Izin ini hanya diperlukan saat menambahkan konfigurasi retensi sebagai bagian dari upload objek.
5 Tindakan ini tidak memerlukan storage.objects.list
jika dijalankan di halaman detail untuk objek yang relevan, dan Anda tidak
mengakses halaman detail dari daftar keseluruhan objek untuk bucket.
6 Tindakan ini tidak berlaku untuk bucket dengan akses level bucket seragam yang diaktifkan.
7Izin ini tidak berlaku untuk bucket dengan akses level bucket seragam yang diaktifkan.
8Izin ini hanya diperlukan saat mempertahankan izin yang saat ini diterapkan ke objek sumber.
9Izin ini diperlukan saat mengubah konfigurasi retensi yang ada sehingga konfigurasi menjadi terkunci, dikurangi, atau dihapus.
10Izin ini hanya diperlukan jika objek dengan nama yang sama sudah ada di bucket tujuan dan Anda memilih opsi Ganti objek aktif.
11 Izin ini hanya diperlukan saat memilih opsi Salin kontrol akses sumber (ACL).
Langkah selanjutnya
Untuk mengetahui daftar peran dan izin yang dikandungnya, lihat Peran IAM untuk Cloud Storage.
Memberikan peran IAM pada level project dan bucket.