Permisos de IAM para Google Cloud Console

En la siguiente página, se analizan los permisos necesarios para la administración de identidades y accesos (IAM) a fin de realizar diversas acciones en los buckets y objetos de Cloud Storage cuando se usa Cloud Console. Los permisos de IAM se agrupan para crear funciones, y tú las asignas a usuarios y grupos.

Permisos comunes necesarios para usar Cloud Console

Algunos permisos son muy necesarios para usar Cloud Console:

  • Todas las acciones que involucran depósitos requieren los permisos resourcemanager.projects.get y storage.buckets.list a nivel del proyecto.

    Estos permisos te permiten acceder a la página de depósitos del navegador de Console donde puedes crear, ver y actualizar depósitos.

  • Todas las acciones que incluyen un proyecto de facturación en la solicitud requieren el permiso serviceusage.services.use para el proyecto que se especifica.

    Este permiso te asegura la autorización para facturar el proyecto que especificaste. La inclusión de un proyecto de facturación se usa, por ejemplo, cuando accedes a un depósito con los pagos del solicitante habilitados.

Permisos necesarios para acciones específicas

Acción Permisos necesarios de IAM (además de los ya enumerados)
Crea un bucket storage.buckets.create
Hacer una lista de depósitos o filtrarlos No se necesitan permisos adicionales
Observa la siguiente información del bucket:
  • Ubicación, etiquetas y clase de almacenamiento predeterminada
  • Políticas del ciclo de vida del objeto
  • Política de retención y estado de bloqueo
  • Estado del acceso uniforme a nivel del bucket
  • Configuración predeterminada de conservación basada en eventos
  • Clave predeterminada de Cloud Key Management Service
  • Configuración del sitio web
storage.buckets.get
Cambia la siguiente configuración de bucket:
  • Etiquetas y clase de almacenamiento predeterminada
  • Políticas del ciclo de vida del objeto
  • Política de retención, incluido el bloqueo del bucket
  • Estado del acceso uniforme a nivel del bucket
  • Estado predeterminado de conservación basada en eventos
  • Clave predeterminada de Cloud Key Management Service
  • Configuración del sitio web
storage.buckets.get
storage.buckets.update
Habilitar la función de pagos del solicitante storage.buckets.get
storage.buckets.update
Inhabilitar la función de pagos del solicitante storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
Cambiar los permisos del bucket storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
Borrar un bucket vacío storage.buckets.delete
storage.objects.list
Borrar un bucket que no esté vacío storage.buckets.delete
storage.objects.delete
storage.objects.list
Subir un objeto o una carpeta de objetos storage.objects.create
storage.objects.delete1
Ver la página de detalles de un objeto5 storage.objects.get
storage.objects.list
Descargar un objeto5 o una carpeta de objetos storage.objects.get
storage.objects.list
Hacer una lista de objetos de un bucket storage.objects.list
Determinar si un objeto es de acceso público5 storage.buckets.getIamPolicy
storage.objects.list
storage.objects.getIamPolicy4
Renombrar un objeto storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
Copiar un objeto storage.objects.create (para el bucket de destino)
storage.objects.delete1 (para el bucket de destino)
storage.objects.get (para el objeto de origen)
storage.objects.list (para el bucket de origen y el de destino)
storage.objects.getIamPolicy2.4 (para el objeto de origen)
storage.objects.setIamPolicy2.4 (para el bucket de destino)
Mover un objeto storage.objects.create (para el bucket de destino)
storage.objects.delete1 (para el bucket de destino)
storage.objects.delete (para el bucket de origen)
storage.objects.get (para el objeto fuente)
storage.objects.list (para el bucket de origen y el de destino)
storage.objects.getIamPolicy2,4 (para el objeto fuente)
storage.objects.setIamPolicy2,4 (para el bucket de destino)
Ver los permisos de acceso de un objeto5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
Editar los permisos de acceso de un objeto5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
Edita los metadatos de un objeto.5 storage.objects.get
storage.objects.list
storage.objects.update
Agregar o quitar una conservación en un objeto5 storage.objects.get
storage.objects.list
storage.objects.update
Borrar un objeto5 o una carpeta de objetos storage.objects.delete
storage.objects.list
Ver las claves HMAC de un proyecto resourcemanager.projects.get
storage.hmacKeys.list
Crear una clave HMAC para una cuenta de servicio resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.create
Inhabilitar o volver a habilitar una clave HMAC para una cuenta de servicio resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.update
Borrar una clave HMAC para una cuenta de servicio resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.delete

1Este permiso solo es necesario si ya existe un objeto con el mismo nombre en el bucket de destino.

2 Este permiso solo es necesario cuando se mantienen los permisos que se aplican en la actualidad al objeto de origen.

3 Este permiso solo es necesario si no incluyes un proyecto de facturación en tu solicitud. Consulta los requisitos de uso y acceso de los Pagos del solicitante para obtener más información.

4 Este permiso no se aplica a los depósitos que tengan el acceso uniforme a nivel de depósito habilitado.

5 Esta acción no requiere storage.objects.list si se realiza en la página de detalles del objeto relevante y no accedes a la página de detalles de la lista general de objetos para el bucket.

6 Esta acción no se aplica a los depósitos que tengan el acceso uniforme a nivel de depósito habilitado.

Próximos pasos