Les tableaux suivants répertorient les autorisations Cloud Identity and Access Management (Cloud IAM) associées à Cloud Storage. Les autorisations Cloud IAM sont regroupées par rôles, et vous attribuez des rôles à des utilisateurs et à des groupes.
Autorisations relatives aux buckets
| Nom de l'autorisation relative aux buckets | Description |
|---|---|
storage.buckets.create |
Créer des buckets dans un projet. |
storage.buckets.createTagBinding |
Créez une liaison de tag vers un bucket. |
storage.buckets.delete |
Supprimer des buckets. |
storage.buckets.deleteTagBinding |
Supprimez la liaison de tag vers un bucket. |
storage.buckets.enableObjectRetention |
Activez les configurations de conservation des objets sur un bucket. |
storage.buckets.exemptFromIpFilter |
Exempte l'utilisateur ou le compte de service des règles de filtrage des adresses IP pour les opérations au niveau du bucket. |
storage.buckets.get |
Lire les métadonnées d'un bucket, y compris en listant ou en lisant les configurations des notifications Pub/Sub associées à un bucket. Cette autorisation seule ne vous permet pas de lire les stratégies IAM ni les règles de filtrage des adresses IP. |
storage.buckets.getIamPolicy |
Lire les stratégies IAM associées aux buckets. |
storage.buckets.getIpFilter |
Liste ou lit les règles de filtrage des adresses IP d'un bucket. |
storage.buckets.getObjectInsights |
Lire les métadonnées d'objet dans les rapports d'inventaire. |
storage.buckets.list |
Répertorier les buckets d'un projet, y compris les métadonnées de bucket de lecture Cette autorisation seule ne vous permet pas de lister les stratégies IAM ni les règles de filtrage des adresses IP. |
storage.buckets.listEffectiveTags |
Répertorier tous les tags associés à un bucket, y compris les tags hérités des niveaux supérieurs de la hiérarchie des ressources, tels que le projet du bucket. |
storage.buckets.listTagBindings |
Répertorier les tags directement associés à un bucket. |
storage.buckets.restore |
Effectuer une restauration groupée des objets qui ont été supprimés de façon réversible. |
storage.buckets.setIamPolicy |
Mettre à jour les stratégies IAM associées aux buckets. |
storage.buckets.setIpFilter |
Définissez des règles de filtrage des adresses IP sur un bucket. |
storage.buckets.update |
Mettre à jour les métadonnées des buckets, y compris en ajoutant ou en supprimant une configuration de notification Pub/Sub sur un bucket, et lire les métadonnées des buckets lors de la mise à jour. Cette autorisation seule ne vous permet pas de mettre à jour les stratégies IAM, les règles de filtrage des adresses IP ni de lire les stratégies IAM d'un bucket lors de la mise à jour. |
Autorisations sur les dossiers
| Nom de l'autorisation sur le dossier | Description |
|---|---|
storage.folders.create |
Créer un dossier |
storage.folders.delete |
Supprimer un dossier |
storage.folders.get |
Lire les métadonnées d'un dossier |
storage.folders.list |
Répertorier les dossiers |
storage.folders.rename |
Renommer un dossier |
Autorisations sur les dossiers gérés
| Nom de l'autorisation sur le dossier géré | Description |
|---|---|
storage.managedFolders.create |
Créer un dossier géré. |
storage.managedFolders.delete |
Supprimer un dossier géré. |
storage.managedFolders.get |
Lire un dossier géré. |
storage.managedFolders.getIamPolicy |
Lire les stratégies IAM des dossiers gérés. |
storage.managedFolders.list |
Répertorier les dossiers gérés dans un bucket ou un dossier. |
storage.managedFolders.setIamPolicy |
Mettre à jour les stratégies IAM des dossiers gérés. |
Autorisations relatives aux objets
| Nom de l'autorisation relative aux objets | Description |
|---|---|
storage.objects.create |
Ajouter des objets à un bucket. |
storage.objects.delete |
Supprimer des objets |
storage.objects.get |
Lire les données et les métadonnées des objets, à l'exclusion des LCA. |
storage.objects.getIamPolicy |
Lire les LCA d'objets, renvoyées sous forme de stratégies IAM. |
storage.objects.list |
Répertorier les objets d'un bucket. Lire également les métadonnées des objets, à l'exclusion des LCA, lors de la création d'une liste. |
storage.objects.overrideUnlockedRetention |
Utilisez l'en-tête x-goog-bypass-governance-retention ou le paramètre de requête overrideUnlockedRetention lorsque vous utilisez des configurations de conservation des objets. |
storage.objects.restore |
Restaurer les objets qui ont été supprimés de façon réversible. |
storage.objects.setIamPolicy |
Mettre à jour les LCA des objets. |
storage.objects.setRetention |
Ajouter ou mettre à jour des conservations pour des objets. |
storage.objects.update |
Mettre à jour les métadonnées des objets, à l'exclusion des LCA. Lire également les métadonnées des objets, à l'exclusion des LCA, lors de la mise à jour. |
Autorisations sur les opérations de longue durée
| Nom de l'autorisation sur l'opération de longue durée | Description |
|---|---|
storage.bucketOperations.cancel |
Annule une opération de longue durée. |
storage.bucketOperations.get |
Obtenez une opération de longue durée. |
storage.bucketOperations.list |
Répertorie les opérations de longue durée. |
Autorisations de clé HMAC
| Nom de l'autorisation de clé HMAC | Description |
|---|---|
storage.hmacKeys.create |
Créer des clés HMAC pour les comptes de service d'un projet. |
storage.hmacKeys.delete |
Supprimer des clés HMAC existantes. |
storage.hmacKeys.get |
Lire les métadonnées de clés HMAC |
storage.hmacKeys.list |
Répertorier les métadonnées des clés HMAC dans un projet. |
storage.hmacKeys.update |
Mettre à jour l'état d'une clé HMAC |
Autorisations d'importation en plusieurs parties
| Nom de l'autorisation d'importation en plusieurs parties | Description |
|---|---|
storage.multipartUploads.create |
Importer des objets en plusieurs parties. |
storage.multipartUploads.abort |
Annuler les sessions d'importation en plusieurs parties. |
storage.multipartUploads.listParts |
Répertorier les parties d'objet importées dans une session d'importation en plusieurs parties. |
storage.multipartUploads.list |
Répertorier les sessions d'importation en plusieurs parties dans un bucket. |
Autorisations de rapports d'inventaire Storage Insights
| Nom de l'autorisation de rapports d'inventaire | Description |
|---|---|
storageinsights.reportConfigs.create |
Créez des configurations de rapports d'inventaire. |
storageinsights.reportConfigs.delete |
Supprimez des configurations de rapports d'inventaire. |
storageinsights.reportConfigs.get |
Récupérez des configurations de rapports d'inventaire. |
storageinsights.reportConfigs.list |
Répertoriez des configurations de rapports d'inventaire. |
storageinsights.reportConfigs.update |
Modifiez des configurations de rapports d'inventaire. |
storageinsights.reportDetails.get |
Récupérez des rapports d'inventaire. |
storageinsights.reportDetails.list |
Répertoriez des rapports d'inventaire. |
Étapes suivantes
Découvrez quelles autorisations IAM sont contenues dans chaque rôle IAM pour Cloud Storage.
Attribuez des rôles IAM au niveau du projet et du bucket.
Consultez les références IAM disponibles pour Cloud Storage, telles que les autorisations IAM qui permettent aux utilisateurs d'effectuer des actions avec divers outils et API.
Pour obtenir la liste des autres autorisations Google Cloud, consultez la page Niveau de compatibilité des autorisations dans les rôles personnalisés.