Nesta página, falaremos sobre as permissões do gerenciamento de identidade e acesso (IAM, na sigla em inglês) necessárias para executar várias ações nos buckets e objetos do Cloud Storage ao usar o Console do Cloud. As permissões do IAM são agrupadas para criar papéis, que você atribui a usuários e grupos.
Permissões comuns necessárias para usar o Console do Cloud
Algumas permissões são necessárias para usar o Console do Cloud:
Todas as ações que envolvem buckets exigem as permissões
resourcemanager.projects.getestorage.buckets.listno nível do projeto.Com essas permissões, é possível acessar a página no navegador do Console em que você cria, visualiza e atualiza buckets.
Geralmente, as ações que envolvem objetos exigem a permissão
storage.objects.listno nível do projeto ou do bucket.Essa permissão não é necessária se você acessar apenas as páginas de detalhes de objetos específicos e nunca precisar acessar a lista geral de objetos em um bucket.
Todas as ações que incluem um projeto de faturamento na solicitação exigem a permissão
serviceusage.services.usepara o projeto especificado.Essa permissão garante que você tenha autorização para faturar o projeto especificado. Você inclui um projeto de faturamento, por exemplo, ao acessar um bucket com pagamentos do solicitante ativado.
Permissões obrigatórias para ações específicas
| Ação | Permissões de IAM obrigatórias (além das listadas acima) |
|---|---|
| Criar um bucket | storage.buckets.create |
| Listar ou filtrar buckets | Nenhuma permissão extra |
| Acessar a guia "Visão geral" de um bucket | storage.buckets.get |
| Visualizar ou editar a configuração do site de um bucket (se ativado) | storage.buckets.getstorage.buckets.update |
| Alterar rótulos de bucket, classes de armazenamento padrão ou retenções baseadas em evento padrão | storage.buckets.getstorage.buckets.update |
| Ativar o recurso Pagamentos do solicitante | storage.buckets.getstorage.buckets.update |
| Desativar o recurso Pagamentos do solicitante | storage.buckets.getstorage.buckets.updateresourcemanager.projects.createBillingAssignment3 |
| Definir ou atualizar políticas do ciclo de vida do objeto | storage.buckets.getstorage.buckets.update |
| Visualizar políticas do ciclo de vida do objeto | storage.buckets.get |
| Definir ou remover a chave padrão do Cloud Key Management Service de um intervalo | storage.buckets.getstorage.buckets.update |
| Visualizar a chave padrão do Cloud Key Management Service de um intervalo | storage.buckets.get |
| Definir, remover ou bloquear a política de retenção de um intervalo | storage.buckets.getstorage.buckets.update |
| Ver a política de retenção de um intervalo | storage.buckets.get |
| Definir ou remover o acesso uniforme no nível do bucket de um bucket | storage.buckets.getstorage.buckets.update |
| Ver o status de acesso uniforme no nível do bucket de um bucket | storage.buckets.get |
| Alterar permissões do bucket | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
| Excluir um bucket vazio | storage.buckets.deletestorage.objects.list |
| Excluir um bucket não vazio | storage.buckets.deletestorage.objects.deletestorage.objects.list |
| Fazer upload de um objeto | storage.objects.create |
| Ver a página de detalhes de um objeto5 | storage.objects.get |
| Fazer o download de um objeto5 | storage.objects.get |
| Listar objetos em um bucket | Nenhuma permissão extra |
| Determinar se um objeto é acessível publicamente5 | storage.buckets.getIamPolicystorage.objects.getIamPolicy4 |
| Renomear um objeto | storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.getIamPolicy4storage.objects.setIamPolicy4 |
| Copiar um objeto | storage.objects.createstorage.objects.delete1storage.objects.getstorage.objects.getIamPolicy2,4storage.objects.setIamPolicy2,4 |
| Mover um objeto | storage.objects.createstorage.objects.delete1storage.objects.deletestorage.objects.getstorage.objects.getIamPolicy2,4storage.objects.setIamPolicy2,4 |
| Ver as permissões de acesso de um objeto5,6 | storage.objects.getstorage.objects.getIamPolicy |
| Editar as permissões de acesso de um objeto5,6 | storage.objects.getstorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
| Editar metadados de um objeto | storage.objects.getstorage.objects.update |
| Adicionar ou remover uma retenção em um objeto | storage.objects.getstorage.objects.update |
| Excluir um objeto5 | storage.objects.delete |
| Ver as chaves HMAC de um projeto | resourcemanager.projects.getstorage.hmacKeys.list |
| Criar uma chave HMAC para uma conta de serviço | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.create |
| Desativar ou reativar uma chave HMAC de uma conta de serviço | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.update |
| Excluir uma chave HMAC de uma conta de serviço | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.delete |
1Essa permissão só é obrigatória quando o objeto copiado/movido tem o mesmo nome de um objeto que já está presente no bucket.
2Essa permissão é obrigatória somente quando são mantidas as permissões atualmente aplicadas ao objeto de origem.
3Essa permissão é obrigatória somente quando um projeto de faturamento não é incluído na solicitação. Consulte Requisitos de uso e acesso dos pagamentos do solicitante para mais informações.
4 Esta permissão não se aplica a buckets com acesso uniforme no nível do bucket ativado.
5Essa ação não requer storage.objects.list quando realizada na página de detalhes do objeto em questão.
6 Esta ação não se aplica a buckets com acesso uniforme no nível do intervalo ativado.
A seguir
Veja uma lista de papéis e as permissões que eles contêm em Papéis do IAM para o Cloud Storage.
Atribua papéis do IAM no nível do projeto e do bucket.