La pagina seguente illustra le autorizzazioni di Identity and Access Management (IAM) necessarie per eseguire azioni nella parte di Cloud Storage della console Google Cloud. Le autorizzazioni IAM vengono raggruppate per creare ruoli e concedi i ruoli a utenti e gruppi.
Autorizzazioni comuni richieste per l'utilizzo della console Google Cloud
Alcune autorizzazioni sono generalmente necessarie per utilizzare la console Google Cloud:
Tutte le azioni che coinvolgono i bucket devono includere le autorizzazioni
resourcemanager.projects.getestorage.buckets.lista livello di progetto.Queste autorizzazioni ti consentono di accedere alla pagina Bucket, dove puoi creare, visualizzare e aggiornare i bucket.
Tutte le azioni che includono un progetto di fatturazione nella richiesta richiedono l'autorizzazione
serviceusage.services.useper il progetto specificato.Questa autorizzazione garantisce che tu abbia l'autorizzazione per fatturare il progetto specificato. L'inclusione di un progetto di fatturazione viene utilizzata, ad esempio, quando si accede a un bucket con Pagamenti a carico del richiedente abilitati.
Autorizzazioni richieste per azioni specifiche
| Azione | Autorizzazioni IAM richieste (oltre a quelle elencate sopra) |
|---|---|
| Crea un bucket | storage.buckets.createstorage.buckets.enableObjectRetention1 |
| Associare un tag a un bucket | storage.buckets.createTagBinding |
| Elenca o filtra i bucket | Nessuna autorizzazione aggiuntiva |
| Elenca i tag collegati direttamente a un bucket | storage.buckets.listTagBindings |
| Elenca sia i tag ereditati sia i tag direttamente associati a un bucket | storage.buckets.listEffectiveTags |
Visualizza le seguenti informazioni sul bucket:
|
storage.buckets.get |
Modifica le seguenti impostazioni del bucket:
|
storage.buckets.getstorage.buckets.updatestorage.buckets.enableObjectRetention1 |
| Attivare la funzionalità Pagamenti a carico del richiedente | storage.buckets.getstorage.buckets.update |
| Disattivare la funzionalità Pagamenti a carico del richiedente | storage.buckets.getstorage.buckets.updateresourcemanager.projects.createBillingAssignment3 |
| Modificare l'impostazione di prevenzione dell'accesso pubblico | storage.buckets.getstorage.buckets.setIamPolicystorage.buckets.update |
| Modificare le autorizzazioni del bucket | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
| Eliminare un bucket vuoto | storage.buckets.deletestorage.objects.list |
| Eliminare un bucket non vuoto | storage.buckets.deletestorage.objects.deletestorage.objects.list |
| Scollegare un tag da un bucket | storage.buckets.deleteTagBinding |
| Crea una cartella | storage.folders.create |
| Recuperare i metadati di una cartella | storage.folders.get |
| Elenca cartelle | storage.folders.list |
| Rinominare le cartelle | storage.folders.rename (per il bucket di origine)storage.folders.create (per il bucket di destinazione) |
| Eliminare le cartelle | storage.folders.delete |
| Caricare un oggetto o una cartella di oggetti | storage.objects.createstorage.objects.delete2storage.objects.setRetention4 |
| Visualizzare i dettagli di un oggetto5 | storage.objects.getstorage.objects.list |
| Visualizzare la cronologia delle versioni di un oggetto | storage.objects.getstorage.objects.list |
| Scaricare un oggetto5 o una cartella di oggetti | storage.objects.getstorage.objects.list |
| Elenca gli oggetti in un bucket, inclusi gli oggetti non correnti e quelli con eliminazione temporanea | storage.objects.list |
| Determinare se un oggetto è accessibile pubblicamente5 | storage.buckets.getIamPolicystorage.objects.liststorage.objects.getIamPolicy7 |
| Rinominare un oggetto o ripristinare una versione non corrente di un oggetto | storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy7storage.objects.setIamPolicy7 |
| Copiare un oggetto | storage.objects.createstorage.objects.delete2storage.objects.getstorage.objects.liststorage.objects.getIamPolicy7,8storage.objects.setIamPolicy7,8 |
| Spostare un oggetto | storage.objects.createstorage.objects.delete2storage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy7,8storage.objects.setIamPolicy7,8 |
| Visualizzare le autorizzazioni di accesso di un oggetto5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicy |
| Modificare le autorizzazioni di accesso di un oggetto5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
| Modificare i metadati di un oggetto5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Aggiungere, modificare o rimuovere una configurazione di conservazione in un oggetto5 | storage.objects.getstorage.objects.liststorage.objects.updatestorage.objects.setRetentionstorage.objects.overrideUnlockedRetention9 |
| Aggiungere o rimuovere un blocco su un oggetto5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Eliminare un oggetto5, una versione non corrente di un oggetto o una cartella di oggetti | storage.objects.deletestorage.objects.list |
| Ripristinare un oggetto eliminato | storage.objects.createstorage.objects.delete2storage.objects.liststorage.objects.restore |
| Ripristinare collettivamente gli oggetti eliminati | storage.objects.createstorage.objects.delete10storage.objects.restorestorage.buckets.restorestorage.objects.setIamPolicy7,11 |
| Visualizzare il nome dell'agente di servizio Cloud Storage di un progetto | resourcemanager.projects.get |
| Visualizzare le chiavi HMAC del account di servizio per un progetto | resourcemanager.projects.getstorage.hmacKeys.list |
| Creare una chiave HMAC per un account di servizio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.create |
| Disattivare o riattivare una chiave HMAC per un account di servizio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.update |
| Eliminare una chiave HMAC per un account di servizio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.delete |
| Creare, visualizzare o eliminare una chiave HMAC per l'account utente con cui hai eseguito l'accesso | resourcemanager.projects.get |
1Questa autorizzazione è obbligatoria solo quando viene attivato il supporto delle configurazioni di conservazione degli oggetti in un bucket.
2Questa autorizzazione è necessaria solo se nel bucket di destinazione esiste già un oggetto con lo stesso nome.
3Questa autorizzazione è obbligatoria solo se non includi un progetto di fatturazione nella richiesta. Per ulteriori informazioni, consulta i requisiti di utilizzo e accesso di Requester Pays.
4Questa autorizzazione è obbligatoria solo quando aggiungi una configurazione di conservazione durante il caricamento dell'oggetto.
5Questa azione non richiede storage.objects.list se viene eseguita nella pagina dei dettagli dell'oggetto pertinente e non accedi alla pagina dei dettagli dall'elenco complessivo degli oggetti del bucket.
6Questa azione non si applica ai bucket conaccesso uniforme a livello di bucket abilitato.
7Questa autorizzazione non si applica ai bucket con accesso uniforme a livello di bucket abilitato.
8Questa autorizzazione è obbligatoria solo se mantieni le autorizzazioni attualmente applicate all'oggetto di origine.
9Questa autorizzazione è necessaria per modificare una configurazione di conservazione esistente in modo che la configurazione venga bloccata, ridotta o rimossa.
10Questa autorizzazione è necessaria solo se nel bucket di destinazione esiste già un oggetto con lo stesso nome e selezioni l'opzione Sovrapponi oggetti attivi.
11 Questa autorizzazione è obbligatoria solo se selezioni l'opzione Copia controlli dell'accesso (ACL) di origine.
Passaggi successivi
Per un elenco dei ruoli e delle autorizzazioni che contengono, consulta Ruoli IAM per Cloud Storage.
Concedi ruoli IAM a livello di progetto e bucket.