Autorisations IAM pour Google Cloud Console

La page suivante présente les autorisations IAM (gestion de l'authentification et des accès) requises pour effectuer des actions dans la partie Cloud Storage de la console. Les autorisations IAM sont regroupées pour créer des rôles, que vous attribuez à des utilisateurs et à des groupes.

Autorisations courantes requises pour utiliser la console

Certaines autorisations sont généralement nécessaires pour utiliser la console :

  • Toutes les actions impliquant des buckets doivent inclure les autorisations resourcemanager.projects.get et storage.buckets.list au niveau du projet.

    Ces autorisations vous permettent d'accéder à la page "Buckets", où vous pouvez créer, afficher et mettre à jour des buckets.

  • Toutes les actions qui incluent un projet de facturation dans la requête nécessitent l'autorisation serviceusage.services.use pour le projet spécifié.

    Cette autorisation vous permet de facturer le projet que vous spécifiez. y compris d'utiliser un projet de facturation, par exemple lorsque vous accédez à un bucket pour lequel l'option Paiements du demandeur est activée.

Autorisations requises pour des actions spécifiques

Action Autorisations IAM requises (en plus de celles répertoriées ci-dessus)
Créer un bucket storage.buckets.create
Répertorier ou filtrer les buckets Pas d'autorisations supplémentaires
Affichez les informations suivantes sur le bucket :
  • Emplacement, libellés et classe de stockage par défaut
  • Stratégies relatives au cycle de vie des objets
  • État de la gestion des versions d'objets
  • Règles de conservation et état du verrouillage
  • État de la protection contre l'accès public
  • État d'accès uniforme au niveau du bucket
  • Paramètre par défaut pour les obligations de conservation basées sur des événements
  • Clé Cloud Key Management Service par défaut
  • Configuration du site Web
storage.buckets.get
Modifiez les paramètres du bucket suivant :
  • Libellés et classe de stockage par défaut
  • Stratégies relatives au cycle de vie des objets
  • État de la gestion des versions d'objets
  • Règle de conservation, y compris le verrouillage du bucket
  • État d'accès uniforme au niveau du bucket
  • État par défaut pour les obligations de conservation basées sur des événements
  • Clé Cloud Key Management Service par défaut
  • Configuration du site Web
storage.buckets.get
storage.buckets.update
Activer la fonctionnalité "Paiements du demandeur" storage.buckets.get
storage.buckets.update
Désactiver la fonctionnalité "Paiements du demandeur" storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
Modifier le paramètre de protection contre l'accès public storage.buckets.get
storage.buckets.setIamPolicy
storage.buckets.update
Modifier les autorisations relatives à un bucket storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
Supprimer un bucket vide storage.buckets.delete
storage.objects.list
Supprimer un bucket non vide storage.buckets.delete
storage.objects.delete
storage.objects.list
Importer un objet ou un dossier d'objets storage.objects.create
storage.objects.delete1
Afficher les détails d'un objet5 storage.objects.get
storage.objects.list
Afficher l'historique des versions d'un objet storage.objects.get
storage.objects.list
Télécharger un objet5 ou un dossier d'objets storage.objects.get
storage.objects.list
Répertorier les objets d'un bucket storage.objects.list
Déterminer si un objet est accessible au public5 storage.buckets.getIamPolicy
storage.objects.list
storage.objects.getIamPolicy4
Renommer un objet ou restaurer une version archivée d'un objet storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
Copier un objet storage.objects.create (pour le bucket de destination)
storage.objects.delete1 (pour le bucket de destination)
storage.objects.get (pour l'objet source)
storage.objects.list (pour le bucket source et le bucket de destination)
storage.objects.getIamPolicy2,4 (pour l'objet source)
storage.objects.setIamPolicy2,4 (pour le bucket de destination)
Déplacer un objet storage.objects.create (pour le bucket de destination)
storage.objects.delete1 (pour le bucket de destination)
storage.objects.delete (pour le bucket source)
storage.objects.get (pour l'objet source)
storage.objects.list (pour le bucket source et le bucket de destination)
storage.objects.getIamPolicy2,4 (pour l'objet source)
storage.objects.setIamPolicy2,4 (pour le bucket de destination)
Afficher les autorisations d'accès pour un objet5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
Modifier les autorisations d'accès pour un objet5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
Modifier les métadonnées d'un objet5 storage.objects.get
storage.objects.list
storage.objects.update
Ajouter ou supprimer une préservation sur un objet5 storage.objects.get
storage.objects.list
storage.objects.update
Supprimer un objet5, une version archivée d'un objet ou un dossier d'objets storage.objects.delete
storage.objects.list
Afficher les clés HMAC d'un projet resourcemanager.projects.get
storage.hmacKeys.list
Créer une clé HMAC pour un compte de service resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.create
Désactiver ou réactiver une clé HMAC pour un compte de service resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.update
Supprimer une clé HMAC pour un compte de service resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.delete

1 Cette autorisation n'est requise que si un objet portant le même nom existe déjà dans le bucket de destination.

2 Cette autorisation n'est nécessaire que si vous conservez les autorisations actuellement appliquées à l'objet source.

3 Cette autorisation n'est nécessaire que si vous n'incluez pas de projet de facturation dans votre requête. Pour plus d'informations, consultez la section Exigences relatives à l'utilisation et aux accès sur la page "Paiements du demandeur".

4 Cette autorisation ne s'applique pas aux buckets pour lesquels l'accès uniforme au niveau du bucket est activé.

5 Cette action ne nécessite pas storage.objects.list si elle est effectuée sur la page des détails de l'objet concerné et que vous n'accédez pas à la page des détails de la liste globale des objets pour le bucket.

6 Cette action ne s'applique pas aux buckets pour lesquels l'accès uniforme au niveau du bucket est activé.

Étape suivante