La seguente pagina illustra le autorizzazioni di Identity and Access Management (IAM) richieste per eseguire varie azioni su oggetti e bucket Cloud Storage quando si utilizza Google Cloud Console. Le autorizzazioni IAM sono raggruppate per creare ruoli e puoi assegnare i ruoli a utenti e gruppi.
Autorizzazioni comuni necessarie per utilizzare Google Cloud Console
Per utilizzare Google Cloud Console è necessario disporre di determinate autorizzazioni:
Tutte le azioni che riguardano i bucket devono includere autorizzazioni
resourcemanager.projects.getestorage.buckets.lista livello di progetto.Queste autorizzazioni ti consentono di accedere alla pagina con l'elenco dei bucket del browser della console in cui crei, visualizzi e aggiorni i bucket.
Tutte le azioni che includono un progetto di fatturazione nella richiesta richiedono l'autorizzazione
serviceusage.services.useper il progetto specificato.Questa autorizzazione garantisce la tua autorizzazione a fatturare il progetto specificato. L'inclusione di un progetto di fatturazione viene utilizzata, ad esempio, quando si accede a un bucket con i pagamenti a carico del richiedente abilitati.
Autorizzazioni richieste per azioni specifiche
| Azione | Autorizzazioni IAM obbligatorie (in aggiunta a quelle elencate sopra) |
|---|---|
| Crea un bucket | storage.buckets.create |
| Elenca o filtra i bucket | Nessuna autorizzazione aggiuntiva |
Visualizza le seguenti informazioni sul bucket:
|
storage.buckets.get |
Modifica le seguenti impostazioni del bucket:
|
storage.buckets.getstorage.buckets.update |
| Attivare la funzionalità Pagamenti a carico del richiedente | storage.buckets.getstorage.buckets.update |
| Disattivare la funzionalità Pagamenti a carico del richiedente | storage.buckets.getstorage.buckets.updateresourcemanager.projects.createBillingAssignment3 |
| Modificare l'impostazione di prevenzione dell'accesso pubblico | storage.buckets.getstorage.buckets.setIamPolicystorage.buckets.update |
| Modificare le autorizzazioni dei bucket | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
| Elimina un bucket vuoto | storage.buckets.deletestorage.objects.list |
| Elimina un bucket non vuoto | storage.buckets.deletestorage.objects.deletestorage.objects.list |
| Carica un oggetto o una cartella di oggetti | storage.objects.createstorage.objects.delete1 |
| Visualizzazione dei dettagli di un oggetto5 | storage.objects.getstorage.objects.list |
| Visualizza la cronologia delle versioni di un oggetto | storage.objects.getstorage.objects.list |
| Scarica un oggetto5 o una cartella di oggetti | storage.objects.getstorage.objects.list |
| Elencare gli oggetti in un bucket | storage.objects.list |
| Determina se un oggetto è accessibile pubblicamente5 | storage.buckets.getIamPolicystorage.objects.liststorage.objects.getIamPolicy4 |
| Rinominare un oggetto o ripristinare una versione non corrente di un oggetto | storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy4storage.objects.setIamPolicy4 |
| Copiare un oggetto | storage.objects.createstorage.objects.delete1storage.objects.getstorage.objects.liststorage.objects.getIamPolicy2,4storage.objects.setIamPolicy2,4 |
| Spostare un oggetto | storage.objects.createstorage.objects.delete1storage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy2,4storage.objects.setIamPolicy2,4 |
| Visualizzare le autorizzazioni di accesso a un oggetto5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicy |
| Modifica le autorizzazioni di accesso a un oggetto5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
| Modifica dei metadati di un oggetto5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Aggiunta o rimozione di un blocco su un oggetto5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Elimina un oggetto5, una versione non corrente di un oggetto o una cartella di oggetti | storage.objects.deletestorage.objects.list |
| Visualizzare le chiavi HMAC di un progetto | resourcemanager.projects.getstorage.hmacKeys.list |
| Creare una chiave HMAC per un account di servizio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.create |
| Disabilitazione o riattivazione di una chiave HMAC per un account di servizio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.update |
| Elimina una chiave HMAC per un account di servizio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.delete |
1Questa autorizzazione è obbligatoria solo se esiste già un oggetto con lo stesso nome nel bucket di destinazione.
2Questa autorizzazione è necessaria solo se mantieni le autorizzazioni attualmente applicate all'oggetto di origine.
3Questa autorizzazione è necessaria solo se non includi un progetto di fatturazione nella richiesta. Per ulteriori informazioni, consulta i requisiti di utilizzo e accesso a carico del richiedente.
4Questa autorizzazione non si applica ai bucket con l'accesso uniforme a livello di bucket abilitato.
5Questa azione non richiede storage.objects.list
se viene eseguita nella pagina dei dettagli relativa all'oggetto pertinente e non
puoi accedere alla pagina dei dettagli dall'elenco complessivo degli oggetti per il bucket.
6 Questa azione non si applica ai bucket con l'accesso uniforme a livello di bucket abilitato.
Passaggi successivi
Per un elenco dei ruoli e delle relative autorizzazioni, consulta Ruoli IAM per Cloud Storage.
Assegna ruoli IAM a livello di progetto e bucket.