Permisos de Cloud IAM para Google Cloud Console

En la siguiente página, se analizan los permisos de Cloud Identity and Access Management (Cloud IAM) necesarios para realizar diversas acciones en los depósitos y objetos de Cloud Storage cuando se usa Cloud Console.

Permisos comunes necesarios para usar Cloud Console

Algunos permisos son muy necesarios para usar Cloud Console:

  • Todas las acciones que involucran depósitos requieren los permisos resourcemanager.projects.get y storage.buckets.list a nivel del proyecto.

    Estos permisos te permiten acceder a la página de depósitos del navegador de Console en la que puedes crear, ver y actualizar depósitos.

  • En general, las acciones que involucran objetos requieren el permiso storage.objects.list a nivel del proyecto o del depósito.

    Este permiso no es obligatorio si solo accedes a las páginas de detalles de objetos específicos y nunca necesitas acceder a la lista general de objetos en un depósito.

  • Todas las acciones que incluyen un proyecto de facturación en la solicitud requieren el permiso serviceusage.services.use para el proyecto que se especifica.

    Este permiso te asegura la autorización para facturar el proyecto que especificaste. La inclusión de un proyecto de facturación se usa, por ejemplo, cuando accedes a un depósito con los pagos del solicitante habilitados.

Permisos necesarios para acciones específicas

Acción Permisos necesarios de Cloud IAM (además de los enumerados antes)
Crear un depósito storage.buckets.create
Hacer una lista de depósitos o filtrarlos No se necesitan permisos adicionales
Acceder a la pestaña “Descripción general” de un depósito storage.buckets.get
Ver o editar la configuración del sitio web de un depósito (si está habilitado) storage.buckets.get
storage.buckets.update
Cambiar las etiquetas del depósito, la clase de almacenamiento o la conservación basada en eventos predeterminada storage.buckets.get
storage.buckets.update
Habilitar la característica de pagos del solicitante storage.buckets.get
storage.buckets.update
Inhabilitar la característica de pagos del solicitante storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
Configurar o actualizar las políticas del ciclo de vida del objeto storage.buckets.get
storage.buckets.update
Ver las políticas del ciclo de vida de los objetos storage.buckets.get
Configurar o quitar la clave predeterminada del servicio de administración de claves de un depósito storage.buckets.get
storage.buckets.update
Ver la clave predeterminada del servicio de administración de claves de un depósito storage.buckets.get
Configurar, quitar o bloquear la política de retención de un depósito storage.buckets.get
storage.buckets.update
Ver la política de retención de un depósito storage.buckets.get
Configurar o quitar el acceso uniforme a nivel de depósito de un depósito storage.buckets.get
storage.buckets.update
Ver el estado del acceso uniforme a nivel de depósito de un depósito storage.buckets.get
Cambiar los permisos del depósito storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
Borrar un depósito vacío storage.buckets.delete
storage.objects.list
Borrar un depósito que no esté vacío storage.buckets.delete
storage.objects.delete
storage.objects.list
Subir un objeto storage.objects.create
Ver la página de detalles de un objeto5 storage.objects.get
Descargar un objeto5 storage.objects.get
Hacer una lista de los objetos de un depósito No se necesitan permisos adicionales
Determinar si un objeto es de acceso público5 storage.objects.getIamPolicy4
Cambiarle el nombre a un objeto storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
Copiar un objeto storage.objects.create (para el depósito de destino)
storage.objects.delete1 (para el depósito de destino)
storage.objects.get (para el objeto fuente)
storage.objects.getIamPolicy2,4 (para el objeto fuente)
storage.objects.setIamPolicy2,4 (para el depósito de destino)
Mover un objeto storage.objects.create (para el depósito de destino)
storage.objects.delete1 (para el depósito de destino)
storage.objects.delete (para el depósito de origen)
storage.objects.get (para el objeto fuente)
storage.objects.getIamPolicy2,4 (para el objeto fuente)
storage.objects.setIamPolicy2,4 (para el depósito de destino)
Ver los permisos de acceso de un objeto5 storage.objects.get
storage.objects.getIamPolicy4
Editar los permisos de acceso de un objeto5 storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
storage.objects.update
Editar los metadatos de un objeto storage.objects.get
storage.objects.update
Agregar o quitar una conservación en un objeto storage.objects.get
storage.objects.update
Borrar un objeto5 storage.objects.delete
Ver las claves HMAC de un proyecto resourcemanager.projects.get
storage.hmacKeys.list
Crear una clave HMAC para una cuenta de servicio resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.create
Inhabilitar o volver a habilitar una clave HMAC para una cuenta de servicio resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.update
Borrar una clave HMAC para una cuenta de servicio resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.delete

1 Este permiso solo es necesario cuando el objeto copiado o movido tiene el mismo nombre que un objeto que ya existe en el depósito.

2 Este permiso solo es necesario cuando se mantienen los permisos que se aplican en la actualidad al objeto de origen.

3 Este permiso solo es necesario si no incluyes un proyecto de facturación en tu solicitud. Consulta los requisitos de uso y acceso de los Pagos del solicitante para obtener más información.

4 Este permiso no se aplica a los depósitos que tengan el acceso uniforme a nivel de depósito habilitado.

5 Esta acción no requiere storage.objects.list si se realiza en la página de detalles del objeto relevante.

Próximos pasos

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

¿Necesitas ayuda? Visita nuestra página de asistencia.