La seguente pagina illustra le autorizzazioni di Identity and Access Management (IAM) richieste per eseguire varie azioni su oggetti e bucket Cloud Storage quando si utilizza Google Cloud Console. Le autorizzazioni IAM sono raggruppate per creare ruoli e puoi assegnare i ruoli a utenti e gruppi.
Autorizzazioni comuni necessarie per utilizzare Google Cloud Console
Per utilizzare Google Cloud Console è necessario disporre di determinate autorizzazioni:
Tutte le azioni che riguardano i bucket devono includere autorizzazioni
resourcemanager.projects.get
estorage.buckets.list
a livello di progetto.Queste autorizzazioni ti consentono di accedere alla pagina con l'elenco dei bucket del browser della console in cui crei, visualizzi e aggiorni i bucket.
Tutte le azioni che includono un progetto di fatturazione nella richiesta richiedono l'autorizzazione
serviceusage.services.use
per il progetto specificato.Questa autorizzazione garantisce la tua autorizzazione a fatturare il progetto specificato. L'inclusione di un progetto di fatturazione viene utilizzata, ad esempio, quando si accede a un bucket con i pagamenti a carico del richiedente abilitati.
Autorizzazioni richieste per azioni specifiche
Azione | Autorizzazioni IAM obbligatorie (in aggiunta a quelle elencate sopra) |
---|---|
Crea un bucket | storage.buckets.create |
Elenca o filtra i bucket | Nessuna autorizzazione aggiuntiva |
Visualizza le seguenti informazioni sul bucket:
|
storage.buckets.get |
Modifica le seguenti impostazioni del bucket:
|
storage.buckets.get storage.buckets.update |
Attivare la funzionalità Pagamenti a carico del richiedente | storage.buckets.get storage.buckets.update |
Disattivare la funzionalità Pagamenti a carico del richiedente | storage.buckets.get storage.buckets.update resourcemanager.projects.createBillingAssignment 3 |
Modificare l'impostazione di prevenzione dell'accesso pubblico | storage.buckets.get storage.buckets.setIamPolicy storage.buckets.update |
Modificare le autorizzazioni dei bucket | storage.buckets.get storage.buckets.getIamPolicy storage.buckets.setIamPolicy storage.buckets.update |
Elimina un bucket vuoto | storage.buckets.delete storage.objects.list |
Elimina un bucket non vuoto | storage.buckets.delete storage.objects.delete storage.objects.list |
Carica un oggetto o una cartella di oggetti | storage.objects.create storage.objects.delete 1 |
Visualizzazione dei dettagli di un oggetto5 | storage.objects.get storage.objects.list |
Visualizza la cronologia delle versioni di un oggetto | storage.objects.get storage.objects.list |
Scarica un oggetto5 o una cartella di oggetti | storage.objects.get storage.objects.list |
Elencare gli oggetti in un bucket | storage.objects.list |
Determina se un oggetto è accessibile pubblicamente5 | storage.buckets.getIamPolicy storage.objects.list storage.objects.getIamPolicy 4 |
Rinominare un oggetto o ripristinare una versione non corrente di un oggetto | storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 4storage.objects.setIamPolicy 4 |
Copiare un oggetto | storage.objects.create storage.objects.delete 1storage.objects.get storage.objects.list storage.objects.getIamPolicy 2,4storage.objects.setIamPolicy 2,4 |
Spostare un oggetto | storage.objects.create storage.objects.delete 1storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 2,4storage.objects.setIamPolicy 2,4 |
Visualizzare le autorizzazioni di accesso a un oggetto5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy |
Modifica le autorizzazioni di accesso a un oggetto5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy storage.objects.setIamPolicy storage.objects.update |
Modifica dei metadati di un oggetto5 | storage.objects.get storage.objects.list storage.objects.update |
Aggiunta o rimozione di un blocco su un oggetto5 | storage.objects.get storage.objects.list storage.objects.update |
Elimina un oggetto5, una versione non corrente di un oggetto o una cartella di oggetti | storage.objects.delete storage.objects.list |
Visualizzare le chiavi HMAC di un progetto | resourcemanager.projects.get storage.hmacKeys.list |
Creare una chiave HMAC per un account di servizio | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.create |
Disabilitazione o riattivazione di una chiave HMAC per un account di servizio | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.update |
Elimina una chiave HMAC per un account di servizio | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.delete |
1Questa autorizzazione è obbligatoria solo se esiste già un oggetto con lo stesso nome nel bucket di destinazione.
2Questa autorizzazione è necessaria solo se mantieni le autorizzazioni attualmente applicate all'oggetto di origine.
3Questa autorizzazione è necessaria solo se non includi un progetto di fatturazione nella richiesta. Per ulteriori informazioni, consulta i requisiti di utilizzo e accesso a carico del richiedente.
4Questa autorizzazione non si applica ai bucket con l'accesso uniforme a livello di bucket abilitato.
5Questa azione non richiede storage.objects.list
se viene eseguita nella pagina dei dettagli relativa all'oggetto pertinente e non
puoi accedere alla pagina dei dettagli dall'elenco complessivo degli oggetti per il bucket.
6 Questa azione non si applica ai bucket con l'accesso uniforme a livello di bucket abilitato.
Passaggi successivi
Per un elenco dei ruoli e delle relative autorizzazioni, consulta Ruoli IAM per Cloud Storage.
Assegna ruoli IAM a livello di progetto e bucket.