La pagina seguente illustra le autorizzazioni di Identity and Access Management (IAM) necessarie per eseguire azioni nella sezione Cloud Storage della console Google Cloud. Le autorizzazioni IAM sono raggruppate per creare ruoli e tu concedi i ruoli a utenti e gruppi.
Autorizzazioni comuni necessarie per l'utilizzo della console Google Cloud
Alcune autorizzazioni sono generalmente necessarie per l'utilizzo della console Google Cloud:
Tutte le azioni che coinvolgono i bucket devono includere le autorizzazioni
resourcemanager.projects.get
estorage.buckets.list
a livello di progetto.Queste autorizzazioni ti consentono di accedere alla pagina Bucket, dove puoi creare, visualizzare e aggiornare i bucket.
Tutte le azioni che includono un progetto di fatturazione nella richiesta richiedono l'autorizzazione
serviceusage.services.use
per il progetto specificato.Questa autorizzazione garantisce che tu abbia l'autorizzazione a fatturare il progetto specificato. L'inclusione di un progetto di fatturazione viene utilizzato, ad esempio, quando si accede a un bucket con Pagamenti a carico del richiedente abilitato.
Autorizzazioni richieste per azioni specifiche
Azione | Autorizzazioni IAM richieste (oltre a quelle elencate sopra) |
---|---|
crea un bucket | storage.buckets.create storage.buckets.enableObjectRetention 1 |
Collegare un tag a un bucket | storage.buckets.createTagBinding |
Elenca o filtra i bucket | Nessuna autorizzazione aggiuntiva |
Elenca i tag direttamente collegati a un bucket | storage.buckets.listTagBindings |
Elenca sia i tag ereditati sia i tag direttamente collegati a un bucket | storage.buckets.listEffectiveTags |
Visualizza le seguenti informazioni relative al bucket:
|
storage.buckets.get |
Modifica le seguenti impostazioni del bucket:
|
storage.buckets.get storage.buckets.update |
Abilita la funzionalità Pagamenti a carico del richiedente | storage.buckets.get storage.buckets.update |
Disattivare la funzionalità Pagamenti a carico del richiedente | storage.buckets.get storage.buckets.update resourcemanager.projects.createBillingAssignment 3 |
Modificare l'impostazione di prevenzione dell'accesso pubblico | storage.buckets.get storage.buckets.setIamPolicy storage.buckets.update |
Modifica le autorizzazioni del bucket | storage.buckets.get storage.buckets.getIamPolicy storage.buckets.setIamPolicy storage.buckets.update |
Elimina un bucket vuoto | storage.buckets.delete storage.objects.list |
Elimina un bucket non vuoto | storage.buckets.delete storage.objects.delete storage.objects.list |
Scollegare un tag da un bucket | storage.buckets.deleteTagBinding |
Caricamento di un oggetto o una cartella di oggetti | storage.objects.create storage.objects.delete 2storage.objects.setRetention 4 |
Visualizzare i dettagli di un oggetto5 | storage.objects.get storage.objects.list |
Visualizzare la cronologia delle versioni di un oggetto | storage.objects.get storage.objects.list |
Scaricare un oggetto5 o una cartella di oggetti | storage.objects.get storage.objects.list |
Elenca gli oggetti in un bucket, inclusi oggetti non attuali e oggetti eliminati temporaneamente | storage.objects.list |
Determinare se un oggetto è accessibile pubblicamente5 | storage.buckets.getIamPolicy storage.objects.list storage.objects.getIamPolicy 7 |
Rinominare un oggetto o ripristinare una versione non corrente di un oggetto | storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 7storage.objects.setIamPolicy 7 |
Copiare un oggetto | storage.objects.create storage.objects.delete 2storage.objects.get storage.objects.list storage.objects.getIamPolicy 7,8storage.objects.setIamPolicy 7,8 |
Spostare un oggetto | storage.objects.create storage.objects.delete 2storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 7,8storage.objects.setIamPolicy 7,8 |
Visualizzare le autorizzazioni di accesso di un oggetto5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy |
Modificare le autorizzazioni di accesso di un oggetto5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy storage.objects.setIamPolicy storage.objects.update |
Modificare i metadati di un oggetto5 | storage.objects.get storage.objects.list storage.objects.update |
Aggiungere, modificare o rimuovere una configurazione della conservazione su un oggetto5 | storage.objects.get storage.objects.list storage.objects.update storage.objects.setRetention storage.objects.overrideUnlockedRetention 9 |
Aggiungere o rimuovere un blocco su un oggetto5 | storage.objects.get storage.objects.list storage.objects.update |
Elimina un oggetto5, una versione non corrente di un oggetto o una cartella di oggetti | storage.objects.delete storage.objects.list |
Ripristinare un oggetto eliminato | storage.objects.create storage.objects.delete 2storage.objects.list storage.objects.restore |
Ripristinare collettivamente gli oggetti eliminati | storage.objects.create storage.objects.delete 10storage.objects.restore storage.buckets.restore storage.objects.setIamPolicy 7,11 |
Visualizza il nome dell'agente di servizio Cloud Storage di un progetto | resourcemanager.projects.get |
Visualizza le chiavi HMAC degli account di servizio per un progetto | resourcemanager.projects.get storage.hmacKeys.list |
Creazione di una chiave HMAC per un account di servizio | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.create |
Disattivare o riattivare una chiave HMAC per un account di servizio | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.update |
Elimina una chiave HMAC per un account di servizio | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.delete |
Crea, visualizza o elimina una chiave HMAC per l'account utente con cui hai eseguito l'accesso | resourcemanager.projects.get |
1Questa autorizzazione è richiesta solo quando abilita un bucket per supportare le configurazioni della conservazione degli oggetti.
2Questa autorizzazione è richiesta solo se esiste già un oggetto con lo stesso nome nel bucket di destinazione.
3 Questa autorizzazione è necessaria solo se non includi un progetto di fatturazione nella richiesta. Per ulteriori informazioni, consulta i requisiti di utilizzo e accesso per i pagamenti a carico del richiedente.
4 Questa autorizzazione è richiesta solo quando si aggiunge una configurazione di conservazione durante il caricamento dell'oggetto.
5 Questa azione non richiede storage.objects.list
se viene eseguita nella pagina dei dettagli dell'oggetto pertinente e non accedi alla pagina dei dettagli dall'elenco complessivo degli oggetti per il bucket.
6 Questa azione non si applica ai bucket in cui è abilitato l'accesso uniforme a livello di bucket.
7 Questa autorizzazione non si applica ai bucket in cui è abilitato l'accesso uniforme a livello di bucket.
8Questa autorizzazione è richiesta solo se vengono mantenute le autorizzazioni attualmente applicate all'oggetto di origine.
9Questa autorizzazione è necessaria quando si modifica una configurazione di conservazione esistente in modo che venga bloccata, ridotta o rimossa.
10 Questa autorizzazione è richiesta solo se esiste già un oggetto con lo stesso nome nel bucket di destinazione e selezioni l'opzione Sovrascrivi gli oggetti attivi.
11 Questa autorizzazione è richiesta solo se si seleziona l'opzione Copia controlli dell'accesso di origine (ACL).
Passaggi successivi
Per un elenco dei ruoli e delle autorizzazioni che contengono, consulta Ruoli IAM per Cloud Storage.
Concedi ruoli IAM a livello di progetto e bucket.