En la siguiente página, se analizan los permisos necesarios para la administración de identidades y accesos (IAM) a fin de realizar diversas acciones en los buckets y objetos de Cloud Storage cuando se usa Cloud Console. Los permisos de IAM se agrupan para crear funciones, y tú las asignas a usuarios y grupos.
Permisos comunes necesarios para usar Cloud Console
Algunos permisos son muy necesarios para usar Cloud Console:
Todas las acciones que involucran depósitos requieren los permisos
resourcemanager.projects.getystorage.buckets.lista nivel del proyecto.Estos permisos te permiten acceder a la página de depósitos del navegador de Console en la que puedes crear, ver y actualizar depósitos.
En general, las acciones que involucran objetos requieren el permiso
storage.objects.lista nivel del proyecto o del depósito.Este permiso no es obligatorio si solo accedes a las páginas de detalles de objetos específicos y nunca necesitas acceder a la lista general de objetos en un bucket.
Todas las acciones que incluyen un proyecto de facturación en la solicitud requieren el permiso
serviceusage.services.usepara el proyecto que se especifica.Este permiso te asegura la autorización para facturar el proyecto que especificaste. La inclusión de un proyecto de facturación se usa, por ejemplo, cuando accedes a un depósito con los pagos del solicitante habilitados.
Permisos necesarios para acciones específicas
| Acción | Permisos necesarios de IAM (además de los ya enumerados) |
|---|---|
| Crea un bucket | storage.buckets.create |
| Hacer una lista de depósitos o filtrarlos | No se necesitan permisos adicionales |
| Acceder a la pestaña “Descripción general” de un bucket | storage.buckets.get |
| Ver o editar la configuración del sitio web de un bucket (si está habilitado) | storage.buckets.getstorage.buckets.update |
| Cambiar las etiquetas del bucket, la clase de almacenamiento predeterminada o la conservación basada en eventos predeterminada | storage.buckets.getstorage.buckets.update |
| Habilitar la función de pagos del solicitante | storage.buckets.getstorage.buckets.update |
| Inhabilitar la función de pagos del solicitante | storage.buckets.getstorage.buckets.updateresourcemanager.projects.createBillingAssignment3 |
| Configurar o actualizar las políticas del ciclo de vida del objeto | storage.buckets.getstorage.buckets.update |
| Ver las políticas del ciclo de vida de los objetos | storage.buckets.get |
| Configurar o quitar la clave predeterminada de un depósito de Cloud Key Management Service | storage.buckets.getstorage.buckets.update |
| Ver la clave predeterminada de un depósito de Cloud Key Management Service | storage.buckets.get |
| Configurar, quitar o bloquear la política de retención de un depósito | storage.buckets.getstorage.buckets.update |
| Ver la política de retención de un depósito | storage.buckets.get |
| Configurar o quitar el acceso uniforme a nivel de bucket de un bucket | storage.buckets.getstorage.buckets.update |
| Ver el estado del acceso uniforme a nivel de bucket de un bucket | storage.buckets.get |
| Cambiar los permisos del bucket | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
| Borrar un bucket vacío | storage.buckets.deletestorage.objects.list |
| Borrar un bucket que no esté vacío | storage.buckets.deletestorage.objects.deletestorage.objects.list |
| Subir un objeto | storage.objects.create |
| Ver la página de detalles de un objeto5 | storage.objects.get |
| Descargar un objeto5 | storage.objects.get |
| Hacer una lista de objetos de un bucket | No se necesitan permisos adicionales |
| Determinar si un objeto es de acceso público5 | storage.buckets.getIamPolicystorage.objects.getIamPolicy4 |
| Cambiarle el nombre a un objeto | storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.getIamPolicy4storage.objects.setIamPolicy4 |
| Copiar un objeto | storage.objects.createstorage.objects.delete1storage.objects.getstorage.objects.getIamPolicy2,4storage.objects.setIamPolicy2,4 |
| Mover un objeto | storage.objects.createstorage.objects.delete1storage.objects.deletestorage.objects.getstorage.objects.getIamPolicy2,4storage.objects.setIamPolicy2,4 |
| Ver los permisos de acceso de un objeto5,6 | storage.objects.getstorage.objects.getIamPolicy |
| Editar los permisos de acceso de un objeto5,6 | storage.objects.getstorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
| Editar los metadatos de un objeto | storage.objects.getstorage.objects.update |
| Agregar o quitar una conservación en un objeto | storage.objects.getstorage.objects.update |
| Borrar un objeto5 | storage.objects.delete |
| Ver las claves HMAC de un proyecto | resourcemanager.projects.getstorage.hmacKeys.list |
| Crear una clave HMAC para una cuenta de servicio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.create |
| Inhabilitar o volver a habilitar una clave HMAC para una cuenta de servicio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.update |
| Borrar una clave HMAC para una cuenta de servicio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.delete |
1 Este permiso solo es necesario cuando el objeto copiado o movido tiene el mismo nombre que un objeto que ya existe en el depósito.
2 Este permiso solo es necesario cuando se mantienen los permisos que se aplican en la actualidad al objeto de origen.
3 Este permiso solo es necesario si no incluyes un proyecto de facturación en tu solicitud. Consulta los requisitos de uso y acceso de los Pagos del solicitante para obtener más información.
4 Este permiso no se aplica a los buckets que tengan el acceso uniforme a nivel de bucket habilitado.
5 Esta acción no requiere storage.objects.list si se realiza en la página de detalles del objeto relevante.
6 Esta acción no se aplica a los buckets que tengan el acceso uniforme a nivel de bucket habilitado.
Próximos pasos
A fin de obtener una lista de las funciones y los permisos que contienen, consulta Funciones de IAM para Cloud Storage.
Asigna funciones de IAM a nivel de proyecto y de bucket.