Nesta página, falamos sobre as permissões do Cloud Identity and Access Management (Cloud IAM) necessárias para executar várias ações em objetos e intervalos do Cloud Storage ao usar o Console do GCP.
Permissões comuns obrigatórias para usar o Console do GCP
Algumas permissões são obrigatórias para usar o Console do GCP:
Todas as ações que incluem intervalos exigem as permissões
resourcemanager.projects.getestorage.buckets.listpara envolvidos no projeto.Com essas permissões, é possível acessar a página de intervalos do navegador do Console em que você cria, visualiza e atualiza intervalos.
Todas as ações que incluem objetos exigem a permissão
storage.objects.listno nível de intervalo ou para envolvidos no projeto.Com essa permissão, é possível acessar as páginas de objetos do navegador do Console em que você faz o upload, visualiza e modifica objetos.
Todas as ações que incluem um projeto de faturamento na solicitação exigem a permissão
serviceusage.services.usepara o projeto especificado.Essa permissão garante que você tenha autorização para faturar o projeto especificado. Você inclui um projeto de faturamento, por exemplo, ao acessar um intervalo com pagamentos do solicitante ativado.
Permissões obrigatórias para ações específicas
| Ação | Permissões do Cloud IAM obrigatórias (além das listadas acima) |
|---|---|
| Criar um intervalo | storage.buckets.create |
| Listar ou filtrar intervalos | Nenhuma permissão adicional |
| Acessar a guia "Visão geral" de um intervalo | storage.buckets.get |
| Visualizar ou editar a configuração do site de um intervalo (se ativado) | storage.buckets.get |
storage.buckets.update |
|
| Alterar rótulos de intervalo, classes de armazenamento padrão ou retenções baseadas em evento padrão | storage.buckets.get |
storage.buckets.update |
|
| Ativar o recurso de pagamentos do solicitante | storage.buckets.get |
storage.buckets.update |
|
| Desativar o recurso Pagamentos do solicitante | storage.buckets.get |
storage.buckets.update |
|
resourcemanager.projects.createBillingAssignment3 |
|
| Definir ou atualizar políticas do ciclo de vida do objeto | storage.buckets.get |
storage.buckets.update |
|
| Visualizar políticas do ciclo de vida do objeto | storage.buckets.get |
| Definir ou remover a chave padrão do Cloud Key Management Service de um intervalo | storage.buckets.get |
storage.buckets.update |
|
| Visualizar a chave padrão do Cloud Key Management Service de um intervalo | storage.buckets.get |
| Definir, remover ou bloquear a política de retenção de um intervalo | storage.buckets.get |
storage.buckets.update |
|
| Ver a política de retenção de um intervalo | storage.buckets.get |
| Definir ou remover "Somente a política do intervalo" de um intervalo | storage.buckets.get |
storage.buckets.update |
|
| Ver o status "Somente a política do intervalo" de um intervalo | storage.buckets.get |
| Alterar permissões do intervalo | storage.buckets.get |
storage.buckets.getIamPolicy |
|
storage.buckets.setIamPolicy |
|
storage.buckets.update |
|
| Excluir um intervalo vazio | storage.buckets.delete |
storage.objects.list |
|
| Excluir um intervalo não vazio | storage.buckets.delete |
storage.objects.delete |
|
storage.objects.list |
|
| Fazer o upload de um objeto | storage.objects.create |
| Visualizar ou fazer o download de um objeto | storage.objects.get |
| Listar objetos em um intervalo | Nenhuma permissão adicional |
| Use a coluna de acesso público para determinar como um objeto é acessível publicamente. | storage.objects.getIamPolicy4 |
| Renomear um objeto | storage.objects.create |
storage.objects.delete |
|
storage.objects.get |
|
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
| Copiar um objeto | storage.objects.create (para o intervalo de destino) |
storage.objects.delete1 (para o intervalo de destino) |
|
storage.objects.get (para o objeto de origem) |
|
storage.objects.getIamPolicy2,4 (para o objeto de origem) |
|
storage.objects.setIamPolicy2,4 (para o intervalo de destino) |
|
| Mover um objeto | storage.objects.create (para o intervalo de destino) |
storage.objects.delete1 (para o intervalo de destino) |
|
storage.objects.delete (para o intervalo de origem) |
|
storage.objects.get (para o objeto de origem) |
|
storage.objects.getIamPolicy2,4 (para o objeto de origem) |
|
storage.objects.setIamPolicy2,4 (para o intervalo de destino) |
|
| Compartilhar um objeto | storage.objects.get |
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
storage.objects.update |
|
| Editar permissões de um objeto | storage.objects.get |
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
storage.objects.update |
|
| Editar metadados de um objeto | storage.objects.get |
storage.objects.update |
|
| Adicionar ou remover uma retenção em um objeto | storage.objects.get |
storage.objects.update |
|
| Excluir um objeto | storage.objects.delete |
1Essa permissão só é obrigatória quando o objeto copiado/movido tem o mesmo nome que um objeto existente no intervalo.
2Essa permissão só é obrigatória quando são mantidas as permissões atualmente aplicadas ao objeto de origem.
3Essa permissão só será obrigatória se você não incluir um projeto de faturamento na solicitação. Consulte Requisitos de uso e acesso dos pagamentos do solicitante para mais informações.
4Essa permissão não se aplica a intervalos com o recurso Somente a política de intervalo ativado.
A seguir
- Para uma lista de papéis e as permissões que eles contêm, consulte Papéis do Cloud IAM para o Cloud Storage.
Precisa de ajuda? Acesse nossa