Izin IAM untuk konsol Google Cloud

Halaman berikut membahas izin Identity and Access Management (IAM) yang diperlukan untuk menjalankan tindakan dalam bagian Cloud Storage di konsol Google Cloud. Izin IAM dipaketkan bersama untuk membuat peran, dan Anda memberikan peran kepada pengguna dan grup.

Izin umum yang diperlukan untuk menggunakan konsol Google Cloud

Beberapa izin tertentu sangat diperlukan untuk menggunakan konsol Google Cloud:

Semua tindakan yang melibatkan bucket harus menyertakan izin resourcemanager.projects.get dan storage.buckets.list di level project.

Izin ini memungkinkan Anda mengakses halaman Bucket, tempat Anda membuat, melihat, dan memperbarui bucket.
Semua tindakan yang menyertakan project penagihan dalam permintaan memerlukan izin serviceusage.services.use untuk project yang ditentukan.

Izin ini memastikan Anda berwenang untuk menagih project yang ditentukan. Penyertaan project penagihan digunakan, misalnya, saat mengakses bucket dengan Requester Pays diaktifkan.

Izin yang diperlukan untuk tindakan tertentu

Tindakan	Izin IAM yang diperlukan (selain yang tercantum di atas)
Membuat bucket	`storage.buckets.create` `storage.buckets.enableObjectRetention`¹
Melampirkan tag ke bucket	`storage.buckets.createTagBinding`
Mencantumkan atau memfilter bucket	Tidak ada izin tambahan
Membuat daftar tag yang langsung dilampirkan ke bucket	`storage.buckets.listTagBindings`
Mencantumkan tag yang diwariskan dan tag yang dilampirkan langsung ke bucket	`storage.buckets.listEffectiveTags`
Melihat informasi bucket berikut: Lokasi, status replikasi, dan kelas penyimpanan default Setelan Perlindungan Label bucket Kebijakan siklus proses objek Status pencegahan akses publik Status akses level bucket yang seragam Status class otomatis Konfigurasi situs	`storage.buckets.get`
Mengubah setelan bucket berikut: Setelan Perlindungan Kelas penyimpanan default Label bucket Kebijakan siklus proses objek Status akses level bucket yang seragam Status class otomatis Konfigurasi situs	`storage.buckets.get` `storage.buckets.update`
Mengaktifkan fitur Requester Pays	`storage.buckets.get` `storage.buckets.update`
Menonaktifkan fitur Requester Pays	`storage.buckets.get` `storage.buckets.update` `resourcemanager.projects.createBillingAssignment`³
Mengubah setelan pencegahan akses publik	`storage.buckets.get` `storage.buckets.setIamPolicy` `storage.buckets.update`
Mengubah izin bucket	`storage.buckets.get` `storage.buckets.getIamPolicy` `storage.buckets.setIamPolicy` `storage.buckets.update`
Menghapus bucket kosong	`storage.buckets.delete` `storage.objects.list`
Menghapus bucket yang tidak kosong	`storage.buckets.delete` `storage.objects.delete` `storage.objects.list`
Melepaskan tag dari bucket	`storage.buckets.deleteTagBinding`
Mengupload objek atau folder objek	`storage.objects.create` `storage.objects.delete`² `storage.objects.setRetention`⁴
Melihat detail objek ⁵	`storage.objects.get` `storage.objects.list`
Melihat histori versi objek	`storage.objects.get` `storage.objects.list`
Mendownload objek ⁵ atau folder objek	`storage.objects.get` `storage.objects.list`
Mencantumkan objek dalam bucket, termasuk objek lama dan objek yang dihapus untuk sementara	`storage.objects.list`
Menentukan apakah objek dapat diakses secara publik ⁵	`storage.buckets.getIamPolicy` `storage.objects.list` `storage.objects.getIamPolicy`⁷
Mengganti nama objek atau memulihkan versi lama dari objek	`storage.objects.create` `storage.objects.delete` `storage.objects.get` `storage.objects.list` `storage.objects.getIamPolicy`⁷ `storage.objects.setIamPolicy`⁷
Salin objek	`storage.objects.create` (untuk bucket tujuan) `storage.objects.delete`² (untuk bucket tujuan) `storage.objects.get` (untuk objek sumber) `storage.objects.list` (untuk bucket sumber dan bucket tujuan) `storage.objects.getIamPolicy`^7,8 (untuk objek sumber) `storage.objects.setIamPolicy`^7,8 (untuk bucket tujuan)
Memindahkan objek	`storage.objects.create` (untuk bucket tujuan) `storage.objects.delete`² (untuk bucket tujuan) `storage.objects.delete` (untuk bucket sumber) `storage.objects.get` (untuk objek sumber) `storage.objects.list` (untuk bucket sumber dan bucket tujuan) `storage.objects.getIamPolicy`^7,8 (untuk objek sumber) `storage.objects.setIamPolicy`^7,8 (untuk bucket tujuan)
Melihat izin akses objek ^5,6	`storage.objects.get` `storage.objects.list` `storage.objects.getIamPolicy`
Mengedit izin akses objek ^5,6	`storage.objects.get` `storage.objects.list` `storage.objects.getIamPolicy` `storage.objects.setIamPolicy` `storage.objects.update`
Mengedit metadata objek ⁵	`storage.objects.get` `storage.objects.list` `storage.objects.update`
Menambahkan, mengubah, atau menghapus konfigurasi retensi pada objek⁵	`storage.objects.get` `storage.objects.list` `storage.objects.update` `storage.objects.setRetention` `storage.objects.overrideUnlockedRetention`⁹
Menambahkan atau menghapus penangguhan pada objek ⁵	`storage.objects.get` `storage.objects.list` `storage.objects.update`
Menghapus objek ⁵, versi lama suatu objek, atau folder objek	`storage.objects.delete` `storage.objects.list`
Memulihkan objek yang dihapus	`storage.objects.create` `storage.objects.delete`² `storage.objects.list` `storage.objects.restore`
Memulihkan objek yang dihapus secara massal	`storage.objects.create` `storage.objects.delete`¹⁰ `storage.objects.restore` `storage.buckets.restore` `storage.objects.setIamPolicy`⁷^,11
Melihat nama agen layanan Cloud Storage project	`resourcemanager.projects.get`
Melihat kunci HMAC akun layanan untuk project	`resourcemanager.projects.get` `storage.hmacKeys.list`
Membuat kunci HMAC untuk akun layanan	`resourcemanager.projects.get` `storage.hmacKeys.list` `storage.hmacKeys.create`
Menonaktifkan atau mengaktifkan kembali kunci HMAC untuk akun layanan	`resourcemanager.projects.get` `storage.hmacKeys.list` `storage.hmacKeys.update`
Menghapus kunci HMAC untuk akun layanan	`resourcemanager.projects.get` `storage.hmacKeys.list` `storage.hmacKeys.delete`
Membuat, melihat, atau menghapus kunci HMAC untuk akun pengguna yang Anda gunakan untuk login	`resourcemanager.projects.get`

¹Izin ini hanya diperlukan saat mengaktifkan bucket untuk mendukung konfigurasi retensi objek.

²Izin ini hanya diperlukan jika objek dengan nama yang sama sudah ada di bucket tujuan.

³ Izin ini hanya diperlukan jika Anda tidak menyertakan project penagihan dalam permintaan. Lihat Persyaratan penggunaan dan akses Pemohon yang Membayar untuk mengetahui informasi selengkapnya.

⁴Izin ini hanya diperlukan saat menambahkan konfigurasi retensi sebagai bagian dari upload objek.

⁵ Tindakan ini tidak memerlukan storage.objects.list jika dijalankan di halaman detail untuk objek yang relevan, dan Anda tidak mengakses halaman detail dari daftar keseluruhan objek untuk bucket.

⁶ Tindakan ini tidak berlaku untuk bucket dengan akses level bucket seragam yang diaktifkan.

⁷Izin ini tidak berlaku untuk bucket dengan akses level bucket seragam.

⁸Izin ini hanya diperlukan saat mempertahankan izin yang saat ini diterapkan ke objek sumber.

⁹Izin ini diperlukan saat mengubah konfigurasi retensi yang sudah ada sehingga konfigurasi menjadi terkunci, dikurangi, atau dihapus.

¹⁰Izin ini hanya diperlukan jika objek dengan nama yang sama sudah ada di bucket tujuan dan Anda memilih opsi Timpa objek aktif.

¹¹ Izin ini hanya diperlukan saat memilih opsi Salin kontrol akses sumber (ACL).

Langkah selanjutnya

Untuk mengetahui daftar peran dan izin yang dikandungnya, lihat Peran IAM untuk Cloud Storage.
Memberikan peran IAM pada level project dan bucket.