Nesta página, falaremos sobre as permissões do Identity and Access Management (IAM) necessárias para executar várias ações nos objetos e buckets do Cloud Storage ao usar o console do Google Cloud. As permissões do IAM são agrupadas para criar papéis, que você atribui a usuários e grupos.
Permissões comuns necessárias para usar o console do Google Cloud
Algumas permissões são necessárias para usar o console do Google Cloud:
Todas as ações que envolvem buckets precisam incluir as permissões
resourcemanager.projects.get
estorage.buckets.list
para envolvidos no projeto.Com essas permissões, é possível acessar a página no navegador do Console em que você cria, visualiza e atualiza buckets.
Todas as ações que incluem um projeto de faturamento na solicitação exigem a permissão
serviceusage.services.use
para o projeto especificado.Essa permissão garante que você tenha autorização para faturar o projeto especificado. Você inclui um projeto de faturamento, por exemplo, ao acessar um bucket com pagamentos do solicitante ativado.
Permissões obrigatórias para ações específicas
Ação | Permissões de IAM obrigatórias (além das listadas acima) |
---|---|
Criar um bucket | storage.buckets.create |
Listar ou filtrar buckets | Nenhuma permissão extra |
Visualize as seguintes informações do bucket:
|
storage.buckets.get |
Altere as seguintes configurações do bucket:
|
storage.buckets.get storage.buckets.update |
Ativar o recurso Pagamentos do solicitante | storage.buckets.get storage.buckets.update |
Desativar o recurso Pagamentos do solicitante | storage.buckets.get storage.buckets.update resourcemanager.projects.createBillingAssignment 3 |
Alterar a configuração de prevenção de acesso público | storage.buckets.get storage.buckets.setIamPolicy storage.buckets.update |
Alterar permissões do bucket | storage.buckets.get storage.buckets.getIamPolicy storage.buckets.setIamPolicy storage.buckets.update |
Excluir um bucket vazio | storage.buckets.delete storage.objects.list |
Excluir um bucket não vazio | storage.buckets.delete storage.objects.delete storage.objects.list |
Faça upload de um objeto ou de uma pasta de objetos | storage.objects.create storage.objects.delete 1 |
Ver os detalhes de um objeto5 | storage.objects.get storage.objects.list |
Visualizar o histórico de versões de um objeto | storage.objects.get storage.objects.list |
Fazer o download de um objeto5 ou de uma pasta de objetos | storage.objects.get storage.objects.list |
Listar objetos em um bucket | storage.objects.list |
Determinar se um objeto é acessível publicamente5 | storage.buckets.getIamPolicy storage.objects.list storage.objects.getIamPolicy 4 |
Renomear ou restaurar uma versão arquivada de um objeto | storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 4storage.objects.setIamPolicy 4 |
Copiar um objeto | storage.objects.create storage.objects.delete 1storage.objects.get storage.objects.list storage.objects.getIamPolicy 2,4storage.objects.setIamPolicy 2,4 |
Mover um objeto | storage.objects.create storage.objects.delete 1storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 2,4storage.objects.setIamPolicy 2,4 |
Ver as permissões de acesso de um objeto5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy |
Editar as permissões de acesso de um objeto5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy storage.objects.setIamPolicy storage.objects.update |
Editar os metadados de um objeto5 | storage.objects.get storage.objects.list storage.objects.update |
Adicionar ou remover uma retenção em um objeto5 | storage.objects.get storage.objects.list storage.objects.update |
Excluir um objeto5, uma versão arquivada de um objeto ou uma pasta de objetos | storage.objects.delete storage.objects.list |
Ver as chaves HMAC de um projeto | resourcemanager.projects.get storage.hmacKeys.list |
Criar uma chave HMAC para uma conta de serviço | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.create |
Desativar ou reativar uma chave HMAC de uma conta de serviço | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.update |
Excluir uma chave HMAC de uma conta de serviço | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.delete |
1Essa permissão é obrigatória somente se já houver um objeto com o mesmo nome no bucket de destino.
2Essa permissão é obrigatória somente quando são mantidas as permissões atualmente aplicadas ao objeto de origem.
3Essa permissão é obrigatória somente quando um projeto de faturamento não é incluído na solicitação. Consulte Requisitos de uso e acesso dos pagamentos do solicitante para mais informações.
4 Esta permissão não se aplica a buckets com acesso uniforme no nível do bucket ativado.
5Essa ação não requer storage.objects.list
quando realizada na página de detalhes do objeto relevante, e você não
acessa a página de detalhes da lista geral de objetos para o bucket.
6 Esta ação não se aplica a buckets com acesso uniforme no nível do intervalo ativado.
A seguir
Veja uma lista de papéis e as permissões que eles contêm em Papéis do IAM para o Cloud Storage.
Atribua papéis do IAM no nível do projeto e do bucket.