La page suivante présente les autorisations IAM (gestion de l'authentification et des accès) requises pour effectuer des actions dans la partie Cloud Storage de la console Google Cloud. Les autorisations IAM sont regroupées pour créer des rôles, que vous attribuez à des utilisateurs et à des groupes.
Autorisations courantes requises pour utiliser la console Google Cloud
Certaines autorisations sont généralement nécessaires pour utiliser la console Google Cloud :
Toutes les actions impliquant des buckets doivent inclure les autorisations
resourcemanager.projects.getetstorage.buckets.listau niveau du projet.Ces autorisations vous permettent d'accéder à la page "Buckets", où vous pouvez créer, afficher et mettre à jour des buckets.
Toutes les actions qui incluent un projet de facturation dans la requête nécessitent l'autorisation
serviceusage.services.usepour le projet spécifié.Cette autorisation vous permet de facturer le projet que vous spécifiez. y compris d'utiliser un projet de facturation, par exemple lorsque vous accédez à un bucket pour lequel l'option Paiements du demandeur est activée.
Autorisations requises pour des actions spécifiques
| Action | Autorisations IAM requises (en plus de celles répertoriées ci-dessus) |
|---|---|
| Créer un bucket | storage.buckets.createstorage.buckets.enableObjectRetention1 |
| Associer un tag à un bucket | storage.buckets.createTagBinding |
| Répertorier ou filtrer les buckets | Pas d'autorisations supplémentaires |
| Répertorier les tags directement associés à un bucket | storage.buckets.listTagBindings |
| Répertorier les tags hérités et les tags directement associés à un bucket | storage.buckets.listEffectiveTags |
Affichez les informations suivantes sur le bucket :
|
storage.buckets.get |
Modifiez les paramètres du bucket suivant :
|
storage.buckets.getstorage.buckets.update |
| Activer la fonctionnalité "Paiements du demandeur" | storage.buckets.getstorage.buckets.update |
| Désactiver la fonctionnalité "Paiements du demandeur" | storage.buckets.getstorage.buckets.updateresourcemanager.projects.createBillingAssignment3 |
| Modifier le paramètre de protection contre l'accès public | storage.buckets.getstorage.buckets.setIamPolicystorage.buckets.update |
| Modifier les autorisations relatives à un bucket | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
| Supprimer un bucket vide | storage.buckets.deletestorage.objects.list |
| Supprimer un bucket non vide | storage.buckets.deletestorage.objects.deletestorage.objects.list |
| Dissocier un tag d'un bucket | storage.buckets.deleteTagBinding |
| Créer un dossier | storage.folders.create |
| Obtenir les métadonnées d'un dossier | storage.folders.get |
| Répertorier les dossiers | storage.folders.list |
| Renommer des dossiers | storage.folders.rename (pour le bucket source)storage.folders.create (pour le bucket de destination) |
| Supprimer des dossiers | storage.folders.delete |
| Importer un objet ou un dossier d'objets | storage.objects.createstorage.objects.delete2storage.objects.setRetention4 |
| Afficher les détails d'un objet5 | storage.objects.getstorage.objects.list |
| Afficher l'historique des versions d'un objet | storage.objects.getstorage.objects.list |
| Télécharger un objet5 ou un dossier d'objets | storage.objects.getstorage.objects.list |
| Répertorier les objets d'un bucket, y compris les objets archivés et supprimés de façon réversible | storage.objects.list |
| Déterminer si un objet est accessible au public5 | storage.buckets.getIamPolicystorage.objects.liststorage.objects.getIamPolicy7 |
| Renommer un objet ou restaurer une version archivée d'un objet | storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy7storage.objects.setIamPolicy7 |
| Copier un objet | storage.objects.createstorage.objects.delete2storage.objects.getstorage.objects.liststorage.objects.getIamPolicy7,8storage.objects.setIamPolicy7,8 |
| Déplacer un objet | storage.objects.createstorage.objects.delete2storage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy7,8storage.objects.setIamPolicy7,8 |
| Afficher les autorisations d'accès pour un objet5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicy |
| Modifier les autorisations d'accès pour un objet5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
| Modifier les métadonnées d'un objet5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Ajouter, modifier ou supprimer une configuration de conservation sur un objet5 | storage.objects.getstorage.objects.liststorage.objects.updatestorage.objects.setRetentionstorage.objects.overrideUnlockedRetention9 |
| Ajouter ou supprimer une préservation sur un objet5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Supprimer un objet5, une version archivée d'un objet ou un dossier d'objets | storage.objects.deletestorage.objects.list |
| Restaurer un objet supprimé | storage.objects.createstorage.objects.delete2storage.objects.liststorage.objects.restore |
| Effectuer une restauration groupée des objets supprimés | storage.objects.createstorage.objects.delete10storage.objects.restorestorage.buckets.restorestorage.objects.setIamPolicy7,11 |
| Afficher le nom de l'agent de service Cloud Storage d'un projet | resourcemanager.projects.get |
| Afficher les clés HMAC de compte de service pour un projet | resourcemanager.projects.getstorage.hmacKeys.list |
| Créer une clé HMAC pour un compte de service | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.create |
| Désactiver ou réactiver une clé HMAC pour un compte de service | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.update |
| Supprimer une clé HMAC pour un compte de service | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.delete |
| Créer, afficher ou supprimer une clé HMAC pour le compte utilisateur avec lequel vous êtes connecté | resourcemanager.projects.get |
1 Cette autorisation n'est requise que si vous activez un bucket pour assurer la compatibilité avec les configurations de conservation des objets.
2 Cette autorisation n'est requise que si un objet portant le même nom existe déjà dans le bucket de destination.
3 Cette autorisation n'est nécessaire que si vous n'incluez pas de projet de facturation dans votre requête. Pour plus d'informations, consultez la section Exigences relatives à l'utilisation et aux accès sur la page "Paiements du demandeur".
4 Cette autorisation n'est requise que si vous ajoutez une configuration de conservation lors de l'importation de l'objet.
5 Cette action ne nécessite pas storage.objects.list si elle est effectuée sur la page des détails de l'objet concerné et que vous n'accédez pas à la page des détails de la liste globale des objets pour le bucket.
6 Cette action ne s'applique pas aux buckets pour lesquels l'accès uniforme au niveau du bucket est activé.
7 Cette autorisation ne s'applique pas aux buckets pour lesquels l'accès uniforme au niveau du bucket est activé.
8 Cette autorisation n'est nécessaire que si vous conservez les autorisations actuellement appliquées à l'objet source.
9 Cette autorisation est requise pour modifier une configuration de conservation existante de sorte qu'elle soit verrouillée, réduite ou supprimée.
10 Cette autorisation n'est requise que si un objet portant le même nom existe déjà dans le bucket de destination et que vous sélectionnez l'option Écraser les objets actifs.
11 Cette autorisation n'est requise que lorsque vous sélectionnez l'option Copier les contrôles d'accès sources (LCA).
Étapes suivantes
Consultez la page Rôles IAM pour Cloud Storage pour découvrir la liste des rôles et les autorisations qu'ils comprennent.
Attribuez des rôles IAM au niveau du projet et du bucket.