Permissões do Cloud IAM para métodos JSON

A tabela a seguir lista as permissões do Cloud Identity and Access Management (Cloud IAM) necessárias para executar todos os métodos JSON do Cloud Storage em um determinado recurso. As permissões do Cloud IAM são agrupadas para criar papéis. Você pode conceder papéis a usuários e grupos.

Para outros métodos que só se aplicam a buckets com acesso uniforme no nível do bucket desativado, consulte a tabela de métodos da ACL.

Recurso Método Permissões necessárias do Cloud IAM1
Buckets delete storage.buckets.delete
Buckets get storage.buckets.get
storage.buckets.getIamPolicy2
Buckets getIamPolicy storage.buckets.getIamPolicy
Buckets insert storage.buckets.create
Buckets list storage.buckets.list
storage.buckets.getIamPolicy2
Buckets lockRetentionPolicy storage.buckets.update
Buckets patch storage.buckets.update
storage.buckets.getIamPolicy3
storage.buckets.setIamPolicy5
Buckets setIamPolicy storage.buckets.setIamPolicy
Buckets testIamPermissions Nenhuma
Buckets update storage.buckets.setIamPolicy
storage.buckets.update
Channels stop Nenhuma
Notifications delete storage.buckets.update
Notifications get storage.buckets.get
Notifications insert storage.buckets.update
Notifications list storage.buckets.get
Objects compose storage.objects.create
storage.objects.delete4
storage.objects.get
Objects copy storage.objects.create (para o bucket de destino)
storage.objects.delete (para o bucket de destino)4
storage.objects.get (para o bucket de origem)
Objects delete storage.objects.delete
Objects get storage.objects.get
storage.objects.getIamPolicy2,6
Objects insert storage.objects.create
storage.objects.delete4
Objects list storage.objects.list
storage.objects.getIamPolicy2,6
Objects patch storage.objects.get
storage.objects.getIamPolicy6
storage.objects.update
storage.objects.setIamPolicy3,6
Objects rewrite storage.objects.create (para o bucket de destino)
storage.objects.delete (para o bucket de destino)4
storage.objects.get (para o bucket de origem)
Objects update storage.objects.setIamPolicy6
storage.objects.update
Objects watchAll storage.buckets.update
Projects.hmacKeys create storage.hmacKeys.create
Projects.hmacKeys delete storage.hmacKeys.delete
Projects.hmacKeys get storage.hmacKeys.get
Projects.hmacKeys list storage.hmacKeys.list
Projects.hmacKeys update storage.hmacKeys.update
Projects.serviceAccount get resourceManager.projects.get

1Se você usar o parâmetro userProject ou o cabeçalho x-goog-user-project na sua solicitação, precisará ter a permissão serviceusage.services.use para o ID do projeto especificado, além das permissões do Cloud IAM normalmente necessárias para fazer a solicitação.

2Essa permissão será obrigatória somente se você quiser incluir listas de controle de acesso (ACLs, na sigla em inglês) ou políticas do Cloud IAM como parte de uma projeção full. Se você não tiver essa permissão e solicitar uma projeção full, receberá apenas uma projeção parcial.

3Essa permissão será obrigatória somente se você quiser incluir ACLs ou políticas do Cloud IAM como parte da resposta.

4Essa permissão será obrigatória somente se o objeto inserido tiver o mesmo nome de um objeto atual no bucket.

5Essa permissão será obrigatória se você quiser incluir ACLs ou políticas do Cloud IAM como parte da solicitação.

6 Essa permissão não se aplica a buckets com o acesso uniforme no nível do bucket ativado.

Métodos relacionados à ACL

A tabela a seguir lista as permissões do Cloud IAM necessárias para executar métodos JSON que se aplicam especificamente ao gerenciamento de ACLs. Esses métodos se aplicam somente a buckets com o acesso uniforme no nível do bucket desativado.

Recurso Método Permissões necessárias do Cloud IAM1
BucketAccessControls delete storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
BucketAccessControls get storage.buckets.get
storage.buckets.getIamPolicy
BucketAccessControls insert storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
BucketAccessControls list storage.buckets.get
storage.buckets.getIamPolicy
BucketAccessControls patch storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
BucketAccessControls update storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
DefaultObjectAccessControls delete storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
DefaultObjectAccessControls get storage.buckets.get
storage.buckets.getIamPolicy
DefaultObjectAccessControls insert storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
DefaultObjectAccessControls list storage.buckets.get
storage.buckets.getIamPolicy
DefaultObjectAccessControls patch storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
DefaultObjectAccessControls update storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
ObjectAccessControls delete storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
ObjectAccessControls get storage.objects.get
storage.objects.getIamPolicy
ObjectAccessControls insert storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
ObjectAccessControls list storage.objects.get
storage.objects.getIamPolicy
ObjectAccessControls patch storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
ObjectAccessControls update storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update

1Se você usar o parâmetro userProject ou o cabeçalho x-goog-user-project na solicitação, será necessário ter a permissão serviceusage.services.use para o ID do projeto especificado, além das permissões do Cloud IAM normalmente necessárias para fazer a solicitação.

A seguir