Permissões do Cloud IAM para o Console do Google Cloud Platform

Nesta página, você conhecerá as permissões do Cloud Identity and Access Management (Cloud IAM) necessárias para executar várias ações em objetos e intervalos do Cloud Storage ao usar o Console do GCP.

Permissões comuns obrigatórias para usar o Console do GCP

Algumas permissões são obrigatórias para usar o Console do GCP:

  • Todas as ações que envolvem intervalos exigem as permissões resourcemanager.projects.get e storage.buckets.list no nível do projeto.

    Com essas permissões, é possível acessar a página no navegador do Console em que você cria, visualiza e atualiza intervalos.

  • Geralmente, as ações que envolvem objetos exigem a permissão storage.objects.list no nível do projeto ou do intervalo.

    Essa permissão não é necessária se você acessar apenas as páginas de detalhes de objetos específicos e nunca precisar acessar a lista geral de objetos em um intervalo.

  • Todas as ações que incluem um projeto de faturamento na solicitação exigem a permissão serviceusage.services.use para o projeto especificado.

    Essa permissão garante que você tenha autorização para faturar o projeto especificado. Você inclui um projeto de faturamento, por exemplo, ao acessar um intervalo com pagamentos do solicitante ativado.

Permissões obrigatórias para ações específicas

Ação Permissões do Cloud IAM obrigatórias (além das listadas acima)
Criar um intervalo storage.buckets.create
Listar ou filtrar intervalos Nenhuma permissão extra
Acessar a guia "Visão geral" de um intervalo storage.buckets.get
Visualizar ou editar a configuração do site de um intervalo (se ativado) storage.buckets.get
storage.buckets.update
Alterar rótulos de intervalo, classes de armazenamento padrão ou retenções baseadas em eventos padrão storage.buckets.get
storage.buckets.update
Ativar o recurso Pagamentos do solicitante storage.buckets.get
storage.buckets.update
Desativar o recurso Pagamentos do solicitante storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
Definir ou atualizar políticas de ciclo de vida de objetos storage.buckets.get
storage.buckets.update
Visualizar políticas do ciclo de vida de objetos storage.buckets.get
Definir ou remover a chave padrão do Cloud Key Management Service de um intervalo storage.buckets.get
storage.buckets.update
Visualizar a chave padrão do Cloud Key Management Service de um intervalo storage.buckets.get
Definir, remover ou bloquear a política de retenção de um intervalo storage.buckets.get
storage.buckets.update
Ver a política de retenção de um intervalo storage.buckets.get
Definir ou remover "Somente a política do intervalo" de um intervalo storage.buckets.get
storage.buckets.update
Ver o status "Somente a política do intervalo" de um intervalo storage.buckets.get
Alterar permissões do intervalo storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
Excluir um intervalo vazio storage.buckets.delete
storage.objects.list
Excluir um intervalo não vazio storage.buckets.delete
storage.objects.delete
storage.objects.list
Fazer o upload de um objeto storage.objects.create
Visualizar a página de detalhes de um objeto5 storage.objects.get
Fazer o download de um objeto5 storage.objects.get
Listar objetos em um intervalo Nenhuma permissão extra
Determinar se um objeto é acessível publicamente5 storage.objects.getIamPolicy4
Renomear um objeto storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
Copiar um objeto storage.objects.create (para o intervalo de destino)
storage.objects.delete1 (para o intervalo de destino)
storage.objects.get (para o objeto de origem)
storage.objects.getIamPolicy2, 4 (para o objeto de origem)
storage.objects.setIamPolicy2, 4 (para o intervalo de destino)
Mover um objeto storage.objects.create (para o intervalo de destino)
storage.objects.delete1 (para o intervalo de destino)
storage.objects.delete (para o intervalo de origem)
storage.objects.get (para o objeto de origem)
storage.objects.getIamPolicy2, 4 (para o objeto de origem)
storage.objects.setIamPolicy2, 4 (para o intervalo de destino)
Visualizar as permissões de acesso de um objeto5 storage.objects.get
storage.objects.getIamPolicy4
Editar as permissões de acesso de um objeto5 storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
storage.objects.update
Editar metadados de um objeto storage.objects.get
storage.objects.update
Adicionar ou remover uma retenção em um objeto storage.objects.get
storage.objects.update
Excluir um objeto5 storage.objects.delete
Ver as chaves HMAC de um projeto resourcemanager.projects.get
storage.hmacKeys.list
Criar uma chave HMAC para uma conta de serviço resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.create
Desativar ou reativar uma chave HMAC de uma conta de serviço resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.update
Excluir uma chave HMAC de uma conta de serviço resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.delete

1Essa permissão é obrigatória somente quando o objeto copiado/movido tem o mesmo nome de um objeto que já está presente no intervalo.

2Essa permissão é obrigatória somente quando são mantidas as permissões atualmente aplicadas ao objeto de origem.

3Essa permissão é obrigatória somente quando um projeto de faturamento não é incluído na solicitação. Consulte Requisitos de uso e acesso dos pagamentos do solicitante para mais informações.

4Essa permissão não se aplica a intervalos com a opção Somente a política do intervalo ativada.

5Essa ação não requer storage.objects.list quando realizada na página de detalhes do objeto em questão.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Precisa de ajuda? Acesse nossa página de suporte.