Autorisations IAM pour Google Cloud Console

La page suivante présente les autorisations IAM (gestion de l'authentification et des accès) requises pour effectuer des actions dans la partie Cloud Storage de la console Google Cloud. Les autorisations IAM sont regroupées pour créer des rôles, que vous attribuez à des utilisateurs et à des groupes.

Autorisations courantes requises pour utiliser la console Google Cloud

Certaines autorisations sont généralement nécessaires pour utiliser la console Google Cloud :

  • Toutes les actions impliquant des buckets doivent inclure les autorisations resourcemanager.projects.get et storage.buckets.list au niveau du projet.

    Ces autorisations vous permettent d'accéder à la page "Buckets", où vous pouvez créer, afficher et mettre à jour des buckets.

  • Toutes les actions qui incluent un projet de facturation dans la requête nécessitent l'autorisation serviceusage.services.use pour le projet spécifié.

    Cette autorisation vous permet de facturer le projet que vous spécifiez. y compris d'utiliser un projet de facturation, par exemple lorsque vous accédez à un bucket pour lequel l'option Paiements du demandeur est activée.

Autorisations requises pour des actions spécifiques

Action Autorisations IAM requises (en plus de celles répertoriées ci-dessus)
Créer un bucket storage.buckets.create storage.buckets.enableObjectRetention1
Associer un tag à un bucket storage.buckets.createTagBinding
Répertorier ou filtrer les buckets Pas d'autorisations supplémentaires
Répertorier les tags directement associés à un bucket storage.buckets.listTagBindings
Répertorier les tags hérités et les tags directement associés à un bucket storage.buckets.listEffectiveTags
Affichez les informations suivantes sur le bucket :
  • Emplacement, état de réplication et classe de stockage par défaut
  • Paramètres de protection
  • Étiquettes de buckets
  • Stratégies relatives au cycle de vie des objets
  • État de la protection contre l'accès public
  • État d'accès uniforme au niveau du bucket
  • État de la classe automatique
  • Configuration du site Web
storage.buckets.get
Modifiez les paramètres du bucket suivant :
  • Paramètres de protection
  • Classe de stockage par défaut
  • Étiquettes de buckets
  • Stratégies relatives au cycle de vie des objets
  • État d'accès uniforme au niveau du bucket
  • État de la classe automatique
  • Configuration du site Web
storage.buckets.get
storage.buckets.update
Activer la fonctionnalité "Paiements du demandeur" storage.buckets.get
storage.buckets.update
Désactiver la fonctionnalité "Paiements du demandeur" storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
Modifier le paramètre de protection contre l'accès public storage.buckets.get
storage.buckets.setIamPolicy
storage.buckets.update
Modifier les autorisations relatives à un bucket storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
Supprimer un bucket vide storage.buckets.delete
storage.objects.list
Supprimer un bucket non vide storage.buckets.delete
storage.objects.delete
storage.objects.list
Dissocier un tag d'un bucket storage.buckets.deleteTagBinding
Créer un dossier storage.folders.create
Obtenir les métadonnées d'un dossier storage.folders.get
Répertorier les dossiers storage.folders.list
Renommer des dossiers storage.folders.rename (pour le bucket source)
storage.folders.create (pour le bucket de destination)
Supprimer des dossiers storage.folders.delete
Importer un objet ou un dossier d'objets storage.objects.create
storage.objects.delete2
storage.objects.setRetention4
Afficher les détails d'un objet5 storage.objects.get
storage.objects.list
Afficher l'historique des versions d'un objet storage.objects.get
storage.objects.list
Télécharger un objet5 ou un dossier d'objets storage.objects.get
storage.objects.list
Répertorier les objets d'un bucket, y compris les objets archivés et supprimés de façon réversible storage.objects.list
Déterminer si un objet est accessible au public5 storage.buckets.getIamPolicy
storage.objects.list
storage.objects.getIamPolicy7
Renommer un objet ou restaurer une version archivée d'un objet storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.getIamPolicy7
storage.objects.setIamPolicy7
Copier un objet storage.objects.create (pour le bucket de destination)
storage.objects.delete2 (pour le bucket de destination)
storage.objects.get (pour l'objet source)
storage.objects.list (pour le bucket source et le bucket de destination)
storage.objects.getIamPolicy7,8 (pour l'objet source)
storage.objects.setIamPolicy7,8 (pour le bucket de destination)
Déplacer un objet storage.objects.create (pour le bucket de destination)
storage.objects.delete2 (pour le bucket de destination)
storage.objects.delete (pour le bucket source)
storage.objects.get (pour l'objet source)
storage.objects.list (pour le bucket source et le bucket de destination)
storage.objects.getIamPolicy7,8 (pour l'objet source)
storage.objects.setIamPolicy7,8 (pour le bucket de destination)
Afficher les autorisations d'accès pour un objet5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
Modifier les autorisations d'accès pour un objet5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
Modifier les métadonnées d'un objet5 storage.objects.get
storage.objects.list
storage.objects.update
Ajouter, modifier ou supprimer une configuration de conservation sur un objet5 storage.objects.get
storage.objects.list
storage.objects.update
storage.objects.setRetention
storage.objects.overrideUnlockedRetention9
Ajouter ou supprimer une préservation sur un objet5 storage.objects.get
storage.objects.list
storage.objects.update
Supprimer un objet5, une version archivée d'un objet ou un dossier d'objets storage.objects.delete
storage.objects.list
Restaurer un objet supprimé storage.objects.create
storage.objects.delete2
storage.objects.list
storage.objects.restore
Effectuer une restauration groupée des objets supprimés storage.objects.create
storage.objects.delete10
storage.objects.restore
storage.buckets.restore
storage.objects.setIamPolicy7,11
Afficher le nom de l'agent de service Cloud Storage d'un projet resourcemanager.projects.get
Afficher les clés HMAC de compte de service pour un projet resourcemanager.projects.get
storage.hmacKeys.list
Créer une clé HMAC pour un compte de service resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.create
Désactiver ou réactiver une clé HMAC pour un compte de service resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.update
Supprimer une clé HMAC pour un compte de service resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.delete
Créer, afficher ou supprimer une clé HMAC pour le compte utilisateur avec lequel vous êtes connecté resourcemanager.projects.get

1 Cette autorisation n'est requise que si vous activez un bucket pour assurer la compatibilité avec les configurations de conservation des objets.

2 Cette autorisation n'est requise que si un objet portant le même nom existe déjà dans le bucket de destination.

3 Cette autorisation n'est nécessaire que si vous n'incluez pas de projet de facturation dans votre requête. Pour plus d'informations, consultez la section Exigences relatives à l'utilisation et aux accès sur la page "Paiements du demandeur".

4 Cette autorisation n'est requise que si vous ajoutez une configuration de conservation lors de l'importation de l'objet.

5 Cette action ne nécessite pas storage.objects.list si elle est effectuée sur la page des détails de l'objet concerné et que vous n'accédez pas à la page des détails de la liste globale des objets pour le bucket.

6 Cette action ne s'applique pas aux buckets pour lesquels l'accès uniforme au niveau du bucket est activé.

7 Cette autorisation ne s'applique pas aux buckets pour lesquels l'accès uniforme au niveau du bucket est activé.

8 Cette autorisation n'est nécessaire que si vous conservez les autorisations actuellement appliquées à l'objet source.

9 Cette autorisation est requise pour modifier une configuration de conservation existante de sorte qu'elle soit verrouillée, réduite ou supprimée.

10 Cette autorisation n'est requise que si un objet portant le même nom existe déjà dans le bucket de destination et que vous sélectionnez l'option Écraser les objets actifs.

11 Cette autorisation n'est requise que lorsque vous sélectionnez l'option Copier les contrôles d'accès sources (LCA).

Étapes suivantes