En la siguiente página, se analizan los permisos de Identity and Access Management (IAM) necesarios para realizar acciones dentro de la parte de Cloud Storage de la consola. Los permisos de IAM se agrupan para crear roles, y tú asignas roles a usuarios y grupos.
Permisos comunes necesarios para usar la consola
Algunos permisos son necesarios de forma amplia para usar la consola:
Todas las acciones que involucran buckets deben incluir los permisos
resourcemanager.projects.getystorage.buckets.lista nivel del proyecto.Estos permisos te permiten acceder a la página Buckets, en la que puedes crear, ver y actualizar buckets.
Todas las acciones que incluyen un proyecto de facturación en la solicitud requieren el permiso
serviceusage.services.usepara el proyecto que se especifica.Este permiso te asegura la autorización para facturar el proyecto que especificaste. La inclusión de un proyecto de facturación se usa, por ejemplo, cuando accedes a un depósito con los pagos del solicitante habilitados.
Permisos necesarios para acciones específicas
| Acción | Permisos necesarios de IAM (además de los ya enumerados) |
|---|---|
| Cree un bucket | storage.buckets.create |
| Crea una etiqueta de bucket | storage.buckets.createTagBinding |
| Hacer una lista de buckets o filtrarlos | No se necesitan permisos adicionales |
| Enumerar etiquetas del bucket | storage.buckets.listTagBindings |
Observa la siguiente información del bucket:
|
storage.buckets.get |
Cambia la siguiente configuración de bucket:
|
storage.buckets.getstorage.buckets.update |
| Habilitar la función de pagos del solicitante | storage.buckets.getstorage.buckets.update |
| Inhabilitar la función de pagos del solicitante | storage.buckets.getstorage.buckets.updateresourcemanager.projects.createBillingAssignment3 |
| Cambia la configuración de prevención del acceso público | storage.buckets.getstorage.buckets.setIamPolicystorage.buckets.update |
| Cambiar los permisos del bucket | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
| Borrar un bucket vacío | storage.buckets.deletestorage.objects.list |
| Borrar un bucket que no esté vacío | storage.buckets.deletestorage.objects.deletestorage.objects.list |
| Borra una etiqueta de bucket | storage.buckets.deleteTagBinding |
| Subir un objeto o una carpeta de objetos | storage.objects.createstorage.objects.delete1 |
| Ver los detalles de un objeto5 | storage.objects.getstorage.objects.list |
| Ver el historial de versiones de un objeto | storage.objects.getstorage.objects.list |
| Descargar un objeto5 o una carpeta de objetos | storage.objects.getstorage.objects.list |
| Hacer una lista de objetos de un bucket | storage.objects.list |
| Determinar si un objeto es de acceso público5 | storage.buckets.getIamPolicystorage.objects.liststorage.objects.getIamPolicy4 |
| Cambiar el nombre de un objeto o restablecer una versión no actual de un objeto | storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy4storage.objects.setIamPolicy4 |
| Copiar un objeto | storage.objects.createstorage.objects.delete1storage.objects.getstorage.objects.liststorage.objects.getIamPolicy2,4storage.objects.setIamPolicy2,4 |
| Mover un objeto | storage.objects.createstorage.objects.delete1storage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy2,4storage.objects.setIamPolicy2,4 |
| Ver los permisos de acceso de un objeto5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicy |
| Editar los permisos de acceso de un objeto5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
| Edita los metadatos de un objeto.5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Agregar o quitar una conservación en un objeto5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Borrar un objeto5, una versión no actual de un objeto o una carpeta de objetos | storage.objects.deletestorage.objects.list |
| Ver las claves HMAC de un proyecto | resourcemanager.projects.getstorage.hmacKeys.list |
| Crear una clave HMAC para una cuenta de servicio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.create |
| Inhabilitar o volver a habilitar una clave HMAC para una cuenta de servicio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.update |
| Borrar una clave HMAC para una cuenta de servicio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.delete |
1Este permiso solo es necesario si ya existe un objeto con el mismo nombre en el bucket de destino.
2 Este permiso solo es necesario cuando se mantienen los permisos que se aplican en la actualidad al objeto de origen.
3 Este permiso solo es necesario si no incluyes un proyecto de facturación en tu solicitud. Consulta los requisitos de uso y acceso de los Pagos del solicitante para obtener más información.
4 Este permiso no se aplica a los depósitos que tengan el acceso uniforme a nivel de depósito habilitado.
5 Esta acción no requiere storage.objects.list si se realiza en la página de detalles del objeto relevante y no accedes a ella desde la lista general de objetos para el bucket.
6 Esta acción no se aplica a los depósitos que tengan el acceso uniforme a nivel de depósito habilitado.
¿Qué sigue?
A fin de obtener una lista de roles y los permisos que contienen, consulta Roles de IAM para Cloud Storage.
Asigna roles de IAM a nivel de proyecto y de bucket.