Nesta página, falaremos sobre as permissões do Identity and Access Management (IAM) necessárias para executar várias ações nos objetos e buckets do Cloud Storage ao usar o console do Google Cloud. As permissões do IAM são agrupadas para criar papéis, que você atribui a usuários e grupos.
Permissões comuns necessárias para usar o console do Google Cloud
Algumas permissões são necessárias para usar o console do Google Cloud:
Todas as ações que envolvem buckets precisam incluir as permissões
resourcemanager.projects.getestorage.buckets.listpara envolvidos no projeto.Com essas permissões, é possível acessar a página no navegador do Console em que você cria, visualiza e atualiza buckets.
Todas as ações que incluem um projeto de faturamento na solicitação exigem a permissão
serviceusage.services.usepara o projeto especificado.Essa permissão garante que você tenha autorização para faturar o projeto especificado. Você inclui um projeto de faturamento, por exemplo, ao acessar um bucket com pagamentos do solicitante ativado.
Permissões obrigatórias para ações específicas
| Ação | Permissões de IAM obrigatórias (além das listadas acima) |
|---|---|
| Criar um bucket | storage.buckets.create |
| Listar ou filtrar buckets | Nenhuma permissão extra |
Visualize as seguintes informações do bucket:
|
storage.buckets.get |
Altere as seguintes configurações do bucket:
|
storage.buckets.getstorage.buckets.update |
| Ativar o recurso Pagamentos do solicitante | storage.buckets.getstorage.buckets.update |
| Desativar o recurso Pagamentos do solicitante | storage.buckets.getstorage.buckets.updateresourcemanager.projects.createBillingAssignment3 |
| Alterar a configuração de prevenção de acesso público | storage.buckets.getstorage.buckets.setIamPolicystorage.buckets.update |
| Alterar permissões do bucket | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
| Excluir um bucket vazio | storage.buckets.deletestorage.objects.list |
| Excluir um bucket não vazio | storage.buckets.deletestorage.objects.deletestorage.objects.list |
| Faça upload de um objeto ou de uma pasta de objetos | storage.objects.createstorage.objects.delete1 |
| Ver os detalhes de um objeto5 | storage.objects.getstorage.objects.list |
| Visualizar o histórico de versões de um objeto | storage.objects.getstorage.objects.list |
| Fazer o download de um objeto5 ou de uma pasta de objetos | storage.objects.getstorage.objects.list |
| Listar objetos em um bucket | storage.objects.list |
| Determinar se um objeto é acessível publicamente5 | storage.buckets.getIamPolicystorage.objects.liststorage.objects.getIamPolicy4 |
| Renomear ou restaurar uma versão arquivada de um objeto | storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy4storage.objects.setIamPolicy4 |
| Copiar um objeto | storage.objects.createstorage.objects.delete1storage.objects.getstorage.objects.liststorage.objects.getIamPolicy2,4storage.objects.setIamPolicy2,4 |
| Mover um objeto | storage.objects.createstorage.objects.delete1storage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy2,4storage.objects.setIamPolicy2,4 |
| Ver as permissões de acesso de um objeto5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicy |
| Editar as permissões de acesso de um objeto5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
| Editar os metadados de um objeto5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Adicionar ou remover uma retenção em um objeto5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Excluir um objeto5, uma versão arquivada de um objeto ou uma pasta de objetos | storage.objects.deletestorage.objects.list |
| Ver as chaves HMAC de um projeto | resourcemanager.projects.getstorage.hmacKeys.list |
| Criar uma chave HMAC para uma conta de serviço | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.create |
| Desativar ou reativar uma chave HMAC de uma conta de serviço | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.update |
| Excluir uma chave HMAC de uma conta de serviço | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.delete |
1Essa permissão é obrigatória somente se já houver um objeto com o mesmo nome no bucket de destino.
2Essa permissão é obrigatória somente quando são mantidas as permissões atualmente aplicadas ao objeto de origem.
3Essa permissão é obrigatória somente quando um projeto de faturamento não é incluído na solicitação. Consulte Requisitos de uso e acesso dos pagamentos do solicitante para mais informações.
4 Esta permissão não se aplica a buckets com acesso uniforme no nível do bucket ativado.
5Essa ação não requer storage.objects.list
quando realizada na página de detalhes do objeto relevante, e você não
acessa a página de detalhes da lista geral de objetos para o bucket.
6 Esta ação não se aplica a buckets com acesso uniforme no nível do intervalo ativado.
A seguir
Veja uma lista de papéis e as permissões que eles contêm em Papéis do IAM para o Cloud Storage.
Atribua papéis do IAM no nível do projeto e do bucket.