Nesta página, você conhecerá as permissões do Cloud Identity and Access Management (Cloud IAM) necessárias para executar várias ações em objetos e intervalos do Cloud Storage ao usar o Console do GCP.
Permissões comuns obrigatórias para usar o Console do GCP
Algumas permissões são obrigatórias para usar o Console do GCP:
Todas as ações que envolvem intervalos exigem as permissões
resourcemanager.projects.getestorage.buckets.listno nível do projeto.Com essas permissões, é possível acessar a página no navegador do Console em que você cria, visualiza e atualiza intervalos.
Geralmente, as ações que envolvem objetos exigem a permissão
storage.objects.listno nível do projeto ou do intervalo.Essa permissão não é necessária se você acessar apenas as páginas de detalhes de objetos específicos e nunca precisar acessar a lista geral de objetos em um intervalo.
Todas as ações que incluem um projeto de faturamento na solicitação exigem a permissão
serviceusage.services.usepara o projeto especificado.Essa permissão garante que você tenha autorização para faturar o projeto especificado. Você inclui um projeto de faturamento, por exemplo, ao acessar um intervalo com pagamentos do solicitante ativado.
Permissões obrigatórias para ações específicas
| Ação | Permissões do Cloud IAM obrigatórias (além das listadas acima) |
|---|---|
| Criar um intervalo | storage.buckets.create |
| Listar ou filtrar intervalos | Nenhuma permissão extra |
| Acessar a guia "Visão geral" de um intervalo | storage.buckets.get |
| Visualizar ou editar a configuração do site de um intervalo (se ativado) | storage.buckets.get |
storage.buckets.update |
|
| Alterar rótulos de intervalo, classes de armazenamento padrão ou retenções baseadas em eventos padrão | storage.buckets.get |
storage.buckets.update |
|
| Ativar o recurso Pagamentos do solicitante | storage.buckets.get |
storage.buckets.update |
|
| Desativar o recurso Pagamentos do solicitante | storage.buckets.get |
storage.buckets.update |
|
resourcemanager.projects.createBillingAssignment3 |
|
| Definir ou atualizar políticas de ciclo de vida de objetos | storage.buckets.get |
storage.buckets.update |
|
| Visualizar políticas do ciclo de vida de objetos | storage.buckets.get |
| Definir ou remover a chave padrão do Cloud Key Management Service de um intervalo | storage.buckets.get |
storage.buckets.update |
|
| Visualizar a chave padrão do Cloud Key Management Service de um intervalo | storage.buckets.get |
| Definir, remover ou bloquear a política de retenção de um intervalo | storage.buckets.get |
storage.buckets.update |
|
| Ver a política de retenção de um intervalo | storage.buckets.get |
| Definir ou remover "Somente a política do intervalo" de um intervalo | storage.buckets.get |
storage.buckets.update |
|
| Ver o status "Somente a política do intervalo" de um intervalo | storage.buckets.get |
| Alterar permissões do intervalo | storage.buckets.get |
storage.buckets.getIamPolicy |
|
storage.buckets.setIamPolicy |
|
storage.buckets.update |
|
| Excluir um intervalo vazio | storage.buckets.delete |
storage.objects.list |
|
| Excluir um intervalo não vazio | storage.buckets.delete |
storage.objects.delete |
|
storage.objects.list |
|
| Fazer o upload de um objeto | storage.objects.create |
| Visualizar a página de detalhes de um objeto5 | storage.objects.get |
| Fazer o download de um objeto5 | storage.objects.get |
| Listar objetos em um intervalo | Nenhuma permissão extra |
| Determinar se um objeto é acessível publicamente5 | storage.objects.getIamPolicy4 |
| Renomear um objeto | storage.objects.create |
storage.objects.delete |
|
storage.objects.get |
|
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
| Copiar um objeto | storage.objects.create (para o intervalo de destino) |
storage.objects.delete1 (para o intervalo de destino) |
|
storage.objects.get (para o objeto de origem) |
|
storage.objects.getIamPolicy2, 4 (para o objeto de origem) |
|
storage.objects.setIamPolicy2, 4 (para o intervalo de destino) |
|
| Mover um objeto | storage.objects.create (para o intervalo de destino) |
storage.objects.delete1 (para o intervalo de destino) |
|
storage.objects.delete (para o intervalo de origem) |
|
storage.objects.get (para o objeto de origem) |
|
storage.objects.getIamPolicy2, 4 (para o objeto de origem) |
|
storage.objects.setIamPolicy2, 4 (para o intervalo de destino) |
|
| Visualizar as permissões de acesso de um objeto5 | storage.objects.get |
storage.objects.getIamPolicy4 |
|
| Editar as permissões de acesso de um objeto5 | storage.objects.get |
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
storage.objects.update |
|
| Editar metadados de um objeto | storage.objects.get |
storage.objects.update |
|
| Adicionar ou remover uma retenção em um objeto | storage.objects.get |
storage.objects.update |
|
| Excluir um objeto5 | storage.objects.delete |
| Ver as chaves HMAC de um projeto | resourcemanager.projects.get |
storage.hmacKeys.list |
|
| Criar uma chave HMAC para uma conta de serviço | resourcemanager.projects.get |
storage.hmacKeys.list |
|
storage.hmacKeys.create |
|
| Desativar ou reativar uma chave HMAC de uma conta de serviço | resourcemanager.projects.get |
storage.hmacKeys.list |
|
storage.hmacKeys.update |
|
| Excluir uma chave HMAC de uma conta de serviço | resourcemanager.projects.get |
storage.hmacKeys.list |
|
storage.hmacKeys.delete |
1Essa permissão é obrigatória somente quando o objeto copiado/movido tem o mesmo nome de um objeto que já está presente no intervalo.
2Essa permissão é obrigatória somente quando são mantidas as permissões atualmente aplicadas ao objeto de origem.
3Essa permissão é obrigatória somente quando um projeto de faturamento não é incluído na solicitação. Consulte Requisitos de uso e acesso dos pagamentos do solicitante para mais informações.
4Essa permissão não se aplica a intervalos com a opção Somente a política do intervalo ativada.
5Essa ação não requer storage.objects.list quando realizada na página de detalhes do objeto em questão.
A seguir
- Para uma lista de papéis e as permissões contidas neles, consulte Papéis do Cloud IAM para o Cloud Storage.
Precisa de ajuda? Acesse nossa