Autorizzazioni IAM per Google Cloud Console

La seguente pagina illustra le autorizzazioni di Identity and Access Management (IAM) richieste per eseguire varie azioni su oggetti e bucket Cloud Storage quando si utilizza Google Cloud Console. Le autorizzazioni IAM sono raggruppate per creare ruoli e puoi assegnare i ruoli a utenti e gruppi.

Autorizzazioni comuni necessarie per utilizzare Google Cloud Console

Per utilizzare Google Cloud Console è necessario disporre di determinate autorizzazioni:

  • Tutte le azioni che riguardano i bucket devono includere autorizzazioni resourcemanager.projects.get e storage.buckets.list a livello di progetto.

    Queste autorizzazioni ti consentono di accedere alla pagina con l'elenco dei bucket del browser della console in cui crei, visualizzi e aggiorni i bucket.

  • Tutte le azioni che includono un progetto di fatturazione nella richiesta richiedono l'autorizzazione serviceusage.services.use per il progetto specificato.

    Questa autorizzazione garantisce la tua autorizzazione a fatturare il progetto specificato. L'inclusione di un progetto di fatturazione viene utilizzata, ad esempio, quando si accede a un bucket con i pagamenti a carico del richiedente abilitati.

Autorizzazioni richieste per azioni specifiche

Azione Autorizzazioni IAM obbligatorie (in aggiunta a quelle elencate sopra)
Crea un bucket storage.buckets.create
Elenca o filtra i bucket Nessuna autorizzazione aggiuntiva
Visualizza le seguenti informazioni sul bucket:
  • Posizione, etichette e classe di archiviazione predefinita
  • Criteri del ciclo di vita degli oggetti
  • Stato del controllo delle versioni degli oggetti
  • Stato di conservazione e stato di blocco
  • Stato di prevenzione dell'accesso pubblico
  • Stato uniforme di accesso a livello di bucket
  • Impostazione di blocco predefinita basata sugli eventi
  • Chiave predefinita di Cloud Key Management Service
  • Configurazione del sito web
storage.buckets.get
Modifica le seguenti impostazioni del bucket:
  • Etichette e classe di archiviazione predefinita
  • Criteri del ciclo di vita degli oggetti
  • Stato del controllo delle versioni degli oggetti
  • Criterio di conservazione, incluso il blocco del bucket
  • Stato uniforme di accesso a livello di bucket
  • Stato di conservazione predefinito basato sugli eventi
  • Chiave predefinita di Cloud Key Management Service
  • Configurazione del sito web
storage.buckets.get
storage.buckets.update
Attivare la funzionalità Pagamenti a carico del richiedente storage.buckets.get
storage.buckets.update
Disattivare la funzionalità Pagamenti a carico del richiedente storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
Modificare l'impostazione di prevenzione dell'accesso pubblico storage.buckets.get
storage.buckets.setIamPolicy
storage.buckets.update
Modificare le autorizzazioni dei bucket storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
Elimina un bucket vuoto storage.buckets.delete
storage.objects.list
Elimina un bucket non vuoto storage.buckets.delete
storage.objects.delete
storage.objects.list
Carica un oggetto o una cartella di oggetti storage.objects.create
storage.objects.delete1
Visualizzazione dei dettagli di un oggetto5 storage.objects.get
storage.objects.list
Visualizza la cronologia delle versioni di un oggetto storage.objects.get
storage.objects.list
Scarica un oggetto5 o una cartella di oggetti storage.objects.get
storage.objects.list
Elencare gli oggetti in un bucket storage.objects.list
Determina se un oggetto è accessibile pubblicamente5 storage.buckets.getIamPolicy
storage.objects.list
storage.objects.getIamPolicy4
Rinominare un oggetto o ripristinare una versione non corrente di un oggetto storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
Copiare un oggetto storage.objects.create (per il bucket di destinazione)
storage.objects.delete1 (per il bucket di destinazione)
storage.objects.get (per l'oggetto di origine)
storage.objects.list (per il bucket di origine e il bucket di destinazione)
storage.objects.getIamPolicy2,4 (per l'oggetto di origine)
storage.objects.setIamPolicy2,4 (per il bucket di destinazione)
Spostare un oggetto storage.objects.create (per il bucket di destinazione)
storage.objects.delete1 (per il bucket di origine)
storage.objects.delete (per il bucket di origine)
storage.objects.get (per l'oggetto di origine)
storage.objects.list (per il bucket di origine e il bucket di destinazione)
storage.objects.getIamPolicy2,4 (per l'oggetto di origine)
storage.objects.setIamPolicy2,4 (per il bucket di destinazione)
Visualizzare le autorizzazioni di accesso a un oggetto5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
Modifica le autorizzazioni di accesso a un oggetto5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
Modifica dei metadati di un oggetto5 storage.objects.get
storage.objects.list
storage.objects.update
Aggiunta o rimozione di un blocco su un oggetto5 storage.objects.get
storage.objects.list
storage.objects.update
Elimina un oggetto5, una versione non corrente di un oggetto o una cartella di oggetti storage.objects.delete
storage.objects.list
Visualizzare le chiavi HMAC di un progetto resourcemanager.projects.get
storage.hmacKeys.list
Creare una chiave HMAC per un account di servizio resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.create
Disabilitazione o riattivazione di una chiave HMAC per un account di servizio resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.update
Elimina una chiave HMAC per un account di servizio resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.delete

1Questa autorizzazione è obbligatoria solo se esiste già un oggetto con lo stesso nome nel bucket di destinazione.

2Questa autorizzazione è necessaria solo se mantieni le autorizzazioni attualmente applicate all'oggetto di origine.

3Questa autorizzazione è necessaria solo se non includi un progetto di fatturazione nella richiesta. Per ulteriori informazioni, consulta i requisiti di utilizzo e accesso a carico del richiedente.

4Questa autorizzazione non si applica ai bucket con l'accesso uniforme a livello di bucket abilitato.

5Questa azione non richiede storage.objects.list se viene eseguita nella pagina dei dettagli relativa all'oggetto pertinente e non puoi accedere alla pagina dei dettagli dall'elenco complessivo degli oggetti per il bucket.

6 Questa azione non si applica ai bucket con l'accesso uniforme a livello di bucket abilitato.

Passaggi successivi