Cloud Storage에 대한 IAM 권한

다음 표에는 Cloud Storage와 관련된 Identity and Access Management(IAM) 권한이 있습니다. IAM 권한은 역할로 그룹화되고 사용자 및 그룹에 역할이 할당됩니다.

버킷 권한

버킷 권한 이름	설명
storage.buckets.create	프로젝트에 새 버킷을 만듭니다.
storage.buckets.createTagBinding	버킷에 새 태그 바인딩을 만듭니다.
storage.buckets.delete	버킷을 삭제합니다.
storage.buckets.deleteTagBinding	버킷의 태그 바인딩을 삭제합니다.
storage.buckets.enableObjectRetention	버킷에서 객체 보관 구성을 사용 설정합니다.
storage.buckets.exemptFromIpFilter	버킷 수준 작업에 대한 IP 필터링 규칙에서 사용자 또는 서비스 계정을 제외합니다.
storage.buckets.get	버킷의 Pub/Sub 알림 구성 나열 또는 읽기를 비롯해 버킷 메타데이터를 읽습니다. 이 권한만으로는 IAM 정책이나 IP 필터링 규칙을 읽을 수 없습니다.
storage.buckets.getIamPolicy	버킷 IAM 정책을 읽습니다.
storage.buckets.getIpFilter	버킷의 IP 필터링 규칙을 나열하거나 읽습니다.
storage.buckets.getObjectInsights	인벤토리 보고서 및 Storage Insights 데이터 세트에서 객체 메타데이터를 읽습니다.
storage.buckets.list	읽기 버킷 메타데이터를 포함하여 프로젝트의 버킷을 나열합니다. 이 권한만으로는 IAM 정책 또는 IP 필터링 규칙을 나열할 수 없습니다.
storage.buckets.listEffectiveTags	버킷의 프로젝트와 같이 리소스 계층 구조의 상위에서 상속된 태그를 포함하여 버킷과 연결된 모든 태그를 나열합니다.
storage.buckets.listTagBindings	버킷에 직접 연결된 태그를 나열합니다.
storage.buckets.relocate	지리적 위치 간에 버킷을 재배치합니다.
storage.buckets.restore	소프트 삭제된 객체를 일괄 복원합니다.
storage.buckets.setIamPolicy	버킷 IAM 정책을 업데이트합니다.
storage.buckets.setIpFilter	버킷에서 IP 필터링 규칙을 만듭니다.
storage.buckets.update	버킷에 Pub/Sub 알림 구성 추가 또는 제거, 업데이트 시 버킷 메타데이터 읽기를 비롯해 버킷 메타데이터를 업데이트합니다. 이 권한만으로는 업데이트 중에 IAM 정책, IP 필터링 규칙을 업데이트하거나 버킷의 IAM 정책을 읽을 수 없습니다.

객체 권한

객체 권한 이름	설명
storage.objects.create	새 객체를 버킷에 추가합니다.
storage.objects.createContext	객체에 컨텍스트를 연결합니다.
storage.objects.delete	객체를 삭제합니다.
storage.objects.deleteContext	객체 컨텍스트를 삭제합니다.
storage.objects.get	ACL을 제외한 객체 데이터와 메타데이터를 읽습니다. 또한 객체에 연결된 컨텍스트도 반환합니다.
storage.objects.getIamPolicy	IAM 정책으로 반환된 객체 ACL을 읽습니다.
storage.objects.list	버킷의 객체를 나열합니다. 또한 나열 시 ACL을 제외한 객체 메타데이터를 읽습니다. 또한 객체에 연결된 컨텍스트도 반환합니다.
storage.objects.move	계층적 네임스페이스가 사용 설정된 버킷 내에서 객체를 이동합니다.
storage.objects.overrideUnlockedRetention	객체 보관 구성을 사용할 때는 x-goog-bypass-governance-retention 헤더 또는 overrideUnlockedRetention 쿼리 매개변수를 사용합니다.
storage.objects.restore	소프트 삭제된 객체를 복원합니다.
storage.objects.setIamPolicy	객체 ACL을 업데이트합니다.
storage.objects.setRetention	객체의 보관을 추가하거나 업데이트합니다.
storage.objects.update	ACL을 제외한 객체 메타데이터를 업데이트합니다. 또한 업데이트 시 ACL을 제외한 객체 메타데이터를 읽습니다.
storage.objects.updateContext	객체 컨텍스트를 업데이트합니다.

폴더 권한

폴더 권한 이름	설명
storage.folders.create	폴더를 만듭니다.
storage.folders.delete	폴더를 삭제합니다.
storage.folders.get	폴더의 메타데이터를 읽습니다.
storage.folders.list	폴더를 나열합니다.
storage.folders.rename	폴더의 이름을 바꿉니다.

관리형 폴더 권한

관리형 폴더 권한 이름	설명
storage.managedFolders.create	관리형 폴더를 만듭니다.
storage.managedFolders.delete	관리형 폴더를 삭제합니다.
storage.managedFolders.get	관리형 폴더를 읽습니다.
storage.managedFolders.getIamPolicy	관리형 폴더 IAM 정책을 읽습니다.
storage.managedFolders.list	버킷이나 폴더의 관리형 폴더를 나열합니다.
storage.managedFolders.setIamPolicy	관리형 폴더 IAM 정책을 업데이트합니다.

Anywhere Cache 권한

Anywhere Cache 권한 이름	설명
storage.anywhereCaches.create	Anywhere Cache를 사용하여 캐시를 만듭니다.
storage.anywhereCaches.list	Anywhere Cache를 사용하여 캐시를 나열합니다.
storage.anywhereCaches.update	Anywhere Cache를 사용하여 캐시를 업데이트합니다.
storage.anywhereCaches.get	Anywhere Cache를 사용하여 캐시의 메타데이터를 가져옵니다.
storage.anywhereCaches.pause	Anywhere Cache를 사용하여 캐시를 일시중지합니다.
storage.anywhereCaches.resume	Anywhere Cache를 사용하여 캐시를 재개합니다.
storage.anywhereCaches.disable	Anywhere Cache를 사용하여 캐시를 사용 중지합니다.

Storage Intelligence 권한

Storage Intelligence 권한 이름	설명
storage.intelligenceConfigs.update	프로젝트, 폴더 또는 조직에서 Storage Intelligence를 구성합니다.
storage.intelligenceConfigs.get	프로젝트, 폴더 또는 조직에서 Storage Intelligence 구성을 열람합니다.

Storage Insights 인벤토리 보고서 권한

인벤토리 보고서 권한 이름	설명
storageinsights.reportConfigs.create	인벤토리 보고서 구성을 만듭니다.
storageinsights.reportConfigs.delete	인벤토리 보고서 구성을 삭제합니다.
storageinsights.reportConfigs.get	인벤토리 보고서 구성을 가져옵니다.
storageinsights.reportConfigs.list	인벤토리 보고서 구성을 나열합니다.
storageinsights.reportConfigs.update	인벤토리 보고서 구성을 수정합니다.
storageinsights.reportDetails.get	인벤토리 보고서를 가져옵니다.
storageinsights.reportDetails.list	인벤토리 보고서를 나열합니다.

Storage Insights 데이터 세트 권한

데이터 세트 권한 이름	설명
storageinsights.datasetConfigs.create	데이터 세트 구성을 만듭니다.
storageinsights.datasetConfigs.delete	데이터 세트 구성을 삭제합니다.
storageinsights.datasetConfigs.linkDataset	Storage Insights 데이터 세트의 출력을 포함하는 연결된 데이터 세트를 BigQuery에서 만듭니다.
storageinsights.datasetConfigs.unlinkDataset	Storage Insights 데이터 세트의 출력이 포함된 연결된 데이터 세트를 BigQuery에서 삭제합니다.
storageinsights.datasetConfigs.update	데이터 세트 구성을 수정합니다.
storageinsights.datasetConfigs.get	데이터 세트 구성을 가져옵니다.
storageinsights.datasetConfigs.list	데이터 세트 구성을 나열합니다.

스토리지 일괄 작업 권한

스토리지 일괄 작업 권한 이름	설명
storagebatchoperations.jobs.create	스토리지 일괄 작업을 만듭니다.
storagebatchoperations.jobs.cancel	스토리지 일괄 작업을 취소합니다.
storagebatchoperations.jobs.delete	스토리지 일괄 작업을 삭제합니다.
storagebatchoperations.jobs.get	스토리지 일괄 작업 작업을 가져옵니다.
storagebatchoperations.jobs.list	스토리지 일괄 작업을 나열합니다.
storagebatchoperations.operations.get	스토리지 일괄 작업을 가져옵니다.
storagebatchoperations.operations.list	스토리지 일괄 작업을 나열합니다.
storagebatchoperations.operations.cancel	스토리지 일괄 작업을 취소합니다.

장기 실행 작업 권한

장기 실행 작업 권한 이름	설명
storage.bucketOperations.cancel	장기 실행 작업을 취소합니다.
storage.bucketOperations.get	장기 실행 작업을 가져옵니다.
storage.bucketOperations.list	장기 실행 작업을 나열합니다.

HMAC 키 권한

HMAC 키 권한 이름	설명
storage.hmacKeys.create	프로젝트의 서비스 계정에 대한 HMAC 키를 새로 만듭니다.
storage.hmacKeys.delete	기존 HMAC 키를 삭제합니다.
storage.hmacKeys.get	HMAC 키 메타데이터를 읽습니다.
storage.hmacKeys.list	프로젝트의 HMAC 키 메타데이터를 나열합니다.
storage.hmacKeys.update	HMAC 키 상태를 업데이트합니다.

멀티파트 업로드 권한

멀티파트 업로드 권한 이름	설명
storage.multipartUploads.create	여러 부분으로 객체를 업로드합니다.
storage.multipartUploads.abort	멀티파트 업로드 세션을 취소합니다.
storage.multipartUploads.listParts	멀티파트 업로드 세션에서 업로드된 객체 부분을 나열합니다.
storage.multipartUploads.list	버킷의 멀티파트 업로드 세션을 나열합니다.

다음 단계

• 각 Cloud Storage IAM 역할에 포함된 IAM 권한에 대해 알아보기

• 프로젝트 및 버킷 수준에서 IAM 역할을 할당하기

• 사용자가 다양한 도구 및 API로 작업을 수행할 수 있는 IAM 권한 등 Cloud Storage에 사용 가능한 IAM 참조 확인하기

• 다른 Google Cloud 권한 목록은 커스텀 역할의 권한 지원 수준 참고하기