A página a seguir discute as permissões do Identity and Access Management (IAM) necessárias para executar ações na parte do Cloud Storage do Cloud console. As permissões do IAM são agrupadas para criar papéis, que você concede a usuários e grupos.
Permissões comuns necessárias para usar o console do Google Cloud
Algumas permissões são necessárias para usar o console do Google Cloud:
Todas as ações que envolvem buckets precisam incluir as permissões
resourcemanager.projects.get
estorage.buckets.list
para envolvidos no projeto.Com essas permissões, é possível acessar a página "Buckets", em que você cria, visualiza e atualiza buckets.
Todas as ações que incluem um projeto de faturamento na solicitação exigem a permissão
serviceusage.services.use
para o projeto especificado.Essa permissão garante que você tenha autorização para faturar o projeto especificado. Você inclui um projeto de faturamento, por exemplo, ao acessar um bucket com pagamentos do solicitante ativado.
Permissões obrigatórias para ações específicas
Ação | Permissões de IAM obrigatórias (além das listadas acima) |
---|---|
criar um bucket | storage.buckets.create storage.buckets.enableObjectRetention 1 |
Anexar uma tag a um bucket | storage.buckets.createTagBinding |
Listar ou filtrar buckets | Nenhuma permissão extra |
Listar tags anexadas diretamente a um bucket | storage.buckets.listTagBindings |
Listar as tags herdadas e as anexadas diretamente a um bucket | storage.buckets.listEffectiveTags |
Visualize as seguintes informações do bucket:
|
storage.buckets.get |
Altere as seguintes configurações do bucket:
|
storage.buckets.get storage.buckets.update storage.buckets.enableObjectRetention 1 |
Ativar o recurso Pagamentos do solicitante | storage.buckets.get storage.buckets.update |
Desativar o recurso Pagamentos do solicitante | storage.buckets.get storage.buckets.update resourcemanager.projects.createBillingAssignment 3 |
Alterar a configuração de prevenção de acesso público | storage.buckets.get storage.buckets.setIamPolicy storage.buckets.update |
Alterar permissões do bucket | storage.buckets.get storage.buckets.getIamPolicy storage.buckets.setIamPolicy storage.buckets.update |
Excluir um bucket vazio | storage.buckets.delete storage.objects.list |
Excluir um bucket não vazio | storage.buckets.delete storage.objects.delete storage.objects.list |
Remover uma tag de um bucket | storage.buckets.deleteTagBinding |
Criar uma pasta | storage.folders.create |
Receber os metadados de uma pasta | storage.folders.get |
Listar pastas | storage.folders.list |
Renomear pastas | storage.folders.rename (para o bucket de origem)storage.folders.create (para o bucket de destino) |
Excluir pastas | storage.folders.delete |
Faça upload de um objeto ou de uma pasta de objetos | storage.objects.create storage.objects.delete 2storage.objects.setRetention 4 |
Ver os detalhes de um objeto5 | storage.objects.get storage.objects.list |
Visualizar o histórico de versões de um objeto | storage.objects.get storage.objects.list |
Fazer o download de um objeto5 ou de uma pasta de objetos | storage.objects.get storage.objects.list |
Listar objetos em um bucket, incluindo objetos não atuais e excluídos de maneira reversível | storage.objects.list |
Determinar se um objeto é acessível publicamente5 | storage.buckets.getIamPolicy storage.objects.list storage.objects.getIamPolicy 7 |
Renomear ou restaurar uma versão arquivada de um objeto | storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 7storage.objects.setIamPolicy 7 |
Copiar um objeto | storage.objects.create storage.objects.delete 2storage.objects.get storage.objects.list storage.objects.getIamPolicy 7,8storage.objects.setIamPolicy 7,8 |
Mover um objeto | storage.objects.create storage.objects.delete 2storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 7,8storage.objects.setIamPolicy 7,8 |
Ver as permissões de acesso de um objeto5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy |
Editar as permissões de acesso de um objeto5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy storage.objects.setIamPolicy storage.objects.update |
Editar os metadados de um objeto5 | storage.objects.get storage.objects.list storage.objects.update |
Adicionar, alterar ou remover uma configuração de retenção em um objeto5 | storage.objects.get storage.objects.list storage.objects.update storage.objects.setRetention storage.objects.overrideUnlockedRetention 9 |
Adicionar ou remover uma retenção em um objeto5 | storage.objects.get storage.objects.list storage.objects.update |
Excluir um objeto5, uma versão arquivada de um objeto ou uma pasta de objetos | storage.objects.delete storage.objects.list |
Restaurar um objeto excluído | storage.objects.create storage.objects.delete 2storage.objects.list storage.objects.restore |
Restaurar objetos excluídos em massa | storage.objects.create storage.objects.delete 10storage.objects.restore storage.buckets.restore storage.objects.setIamPolicy 7,11 |
Ver o nome do agente de serviço de um projeto do Cloud Storage | resourcemanager.projects.get |
Ver as chaves HMAC da conta de serviço de um projeto | resourcemanager.projects.get storage.hmacKeys.list |
Criar uma chave HMAC para uma conta de serviço | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.create |
Desativar ou reativar uma chave HMAC de uma conta de serviço | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.update |
Excluir uma chave HMAC de uma conta de serviço | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.delete |
Crie, visualize ou exclua uma chave HMAC para a conta de usuário na qual você fez login | resourcemanager.projects.get |
1Essa permissão é obrigatória apenas quando você ativa um bucket para oferecer suporte a configurações de retenção de objetos.
2Essa permissão é obrigatória somente se já houver um objeto com o mesmo nome no bucket de destino.
3Essa permissão é obrigatória somente quando um projeto de faturamento não é incluído na solicitação. Consulte Requisitos de uso e acesso dos pagamentos do solicitante para mais informações.
4Essa permissão só é obrigatória ao adicionar uma configuração de retenção como parte do upload do objeto.
5Essa ação não requer storage.objects.list
quando realizada na página de detalhes do objeto relevante, e você não
acessa a página de detalhes da lista geral de objetos para o bucket.
6 Esta ação não se aplica a buckets com acesso uniforme no nível do intervalo ativado.
7 Essa permissão não se aplica a buckets com o acesso uniforme no nível do bucket ativado.
8Essa permissão é obrigatória somente quando são mantidas as permissões atualmente aplicadas ao objeto de origem.
9Essa permissão é necessária ao alterar uma configuração de retenção existente de modo que a configuração seja bloqueada, reduzida ou removida.
10Essa permissão só será obrigatória se um objeto com o mesmo nome já existir no bucket de destino e a opção Substituir objetos ativos for selecionada.
11 Essa permissão só é obrigatória quando você seleciona a opção Copiar controles de acesso à origem (ACLs).
A seguir
Veja uma lista de papéis e as permissões que eles contêm em Papéis do IAM para o Cloud Storage.
Atribua papéis do IAM no nível do projeto e do bucket.