Permissões do IAM para o Console do Google Cloud

A página a seguir discute as permissões do Identity and Access Management (IAM) necessárias para executar ações na parte do Cloud Storage do Cloud console. As permissões do IAM são agrupadas para criar papéis, que você concede a usuários e grupos.

Permissões comuns necessárias para usar o console do Google Cloud

Algumas permissões são necessárias para usar o console do Google Cloud:

  • Todas as ações que envolvem buckets precisam incluir as permissões resourcemanager.projects.get e storage.buckets.list para envolvidos no projeto.

    Com essas permissões, é possível acessar a página "Buckets", em que você cria, visualiza e atualiza buckets.

  • Todas as ações que incluem um projeto de faturamento na solicitação exigem a permissão serviceusage.services.use para o projeto especificado.

    Essa permissão garante que você tenha autorização para faturar o projeto especificado. Você inclui um projeto de faturamento, por exemplo, ao acessar um bucket com pagamentos do solicitante ativado.

Permissões obrigatórias para ações específicas

Ação Permissões de IAM obrigatórias (além das listadas acima)
criar um bucket storage.buckets.create storage.buckets.enableObjectRetention1
Anexar uma tag a um bucket storage.buckets.createTagBinding
Listar ou filtrar buckets Nenhuma permissão extra
Listar tags anexadas diretamente a um bucket storage.buckets.listTagBindings
Listar as tags herdadas e as anexadas diretamente a um bucket storage.buckets.listEffectiveTags
Visualize as seguintes informações do bucket:
  • Local, status de replicação e classe de armazenamento padrão
  • Configurações de proteção
  • Rótulos de intervalos
  • Políticas do ciclo de vida do objeto
  • Status da prevenção de acesso público
  • Status de acesso uniforme no nível do bucket
  • Status da classe automática
  • Configuração do site
storage.buckets.get
Altere as seguintes configurações do bucket:
  • Configurações de proteção
  • Classe de armazenamento padrão
  • Rótulos de intervalos
  • Políticas do ciclo de vida do objeto
  • Status de acesso uniforme no nível do bucket
  • Status da classe automática
  • Configuração do site
  • Configurações de retenção de objetos
storage.buckets.get
storage.buckets.update
storage.buckets.enableObjectRetention1
Ativar o recurso Pagamentos do solicitante storage.buckets.get
storage.buckets.update
Desativar o recurso Pagamentos do solicitante storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
Alterar a configuração de prevenção de acesso público storage.buckets.get
storage.buckets.setIamPolicy
storage.buckets.update
Alterar permissões do bucket storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
Excluir um bucket vazio storage.buckets.delete
storage.objects.list
Excluir um bucket não vazio storage.buckets.delete
storage.objects.delete
storage.objects.list
Remover uma tag de um bucket storage.buckets.deleteTagBinding
Criar uma pasta storage.folders.create
Receber os metadados de uma pasta storage.folders.get
Listar pastas storage.folders.list
Renomear pastas storage.folders.rename (para o bucket de origem)
storage.folders.create (para o bucket de destino)
Excluir pastas storage.folders.delete
Faça upload de um objeto ou de uma pasta de objetos storage.objects.create
storage.objects.delete2
storage.objects.setRetention4
Ver os detalhes de um objeto5 storage.objects.get
storage.objects.list
Visualizar o histórico de versões de um objeto storage.objects.get
storage.objects.list
Fazer o download de um objeto5 ou de uma pasta de objetos storage.objects.get
storage.objects.list
Listar objetos em um bucket, incluindo objetos não atuais e excluídos de maneira reversível storage.objects.list
Determinar se um objeto é acessível publicamente5 storage.buckets.getIamPolicy
storage.objects.list
storage.objects.getIamPolicy7
Renomear ou restaurar uma versão arquivada de um objeto storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.getIamPolicy7
storage.objects.setIamPolicy7
Copiar um objeto storage.objects.create (para o bucket de destino)
storage.objects.delete2 (para o bucket de destino)
storage.objects.get (para o objeto de origem)
storage.objects.list (para o bucket de origem e para o de destino)
storage.objects.getIamPolicy7,8 (para o objeto de origem)
storage.objects.setIamPolicy7,8 (para o bucket de destino)
Mover um objeto storage.objects.create (para o bucket de destino)
storage.objects.delete2 (para o bucket de destino)
storage.objects.delete (para o bucket de origem)
storage.objects.get (para o objeto de origem)
storage.objects.list (para o bucket de origem e para o de destino)
storage.objects.getIamPolicy7,8 (para o objeto de origem)
storage.objects.setIamPolicy7,8 (para o bucket de destino)
Ver as permissões de acesso de um objeto5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
Editar as permissões de acesso de um objeto5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
Editar os metadados de um objeto5 storage.objects.get
storage.objects.list
storage.objects.update
Adicionar, alterar ou remover uma configuração de retenção em um objeto5 storage.objects.get
storage.objects.list
storage.objects.update
storage.objects.setRetention
storage.objects.overrideUnlockedRetention9
Adicionar ou remover uma retenção em um objeto5 storage.objects.get
storage.objects.list
storage.objects.update
Excluir um objeto5, uma versão arquivada de um objeto ou uma pasta de objetos storage.objects.delete
storage.objects.list
Restaurar um objeto excluído storage.objects.create
storage.objects.delete2
storage.objects.list
storage.objects.restore
Restaurar objetos excluídos em massa storage.objects.create
storage.objects.delete10
storage.objects.restore
storage.buckets.restore
storage.objects.setIamPolicy7,11
Ver o nome do agente de serviço de um projeto do Cloud Storage resourcemanager.projects.get
Ver as chaves HMAC da conta de serviço de um projeto resourcemanager.projects.get
storage.hmacKeys.list
Criar uma chave HMAC para uma conta de serviço resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.create
Desativar ou reativar uma chave HMAC de uma conta de serviço resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.update
Excluir uma chave HMAC de uma conta de serviço resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.delete
Crie, visualize ou exclua uma chave HMAC para a conta de usuário na qual você fez login resourcemanager.projects.get

1Essa permissão é obrigatória apenas quando você ativa um bucket para oferecer suporte a configurações de retenção de objetos.

2Essa permissão é obrigatória somente se já houver um objeto com o mesmo nome no bucket de destino.

3Essa permissão é obrigatória somente quando um projeto de faturamento não é incluído na solicitação. Consulte Requisitos de uso e acesso dos pagamentos do solicitante para mais informações.

4Essa permissão só é obrigatória ao adicionar uma configuração de retenção como parte do upload do objeto.

5Essa ação não requer storage.objects.list quando realizada na página de detalhes do objeto relevante, e você não acessa a página de detalhes da lista geral de objetos para o bucket.

6 Esta ação não se aplica a buckets com acesso uniforme no nível do intervalo ativado.

7 Essa permissão não se aplica a buckets com o acesso uniforme no nível do bucket ativado.

8Essa permissão é obrigatória somente quando são mantidas as permissões atualmente aplicadas ao objeto de origem.

9Essa permissão é necessária ao alterar uma configuração de retenção existente de modo que a configuração seja bloqueada, reduzida ou removida.

10Essa permissão só será obrigatória se um objeto com o mesmo nome já existir no bucket de destino e a opção Substituir objetos ativos for selecionada.

11 Essa permissão só é obrigatória quando você seleciona a opção Copiar controles de acesso à origem (ACLs).

A seguir