Permissões de IAM para o Cloud Storage

Nas tabelas a seguir listamos as permissões de Gerenciamento de identidade e acesso (IAM) associadas ao Cloud Storage. As permissões de IAM são agrupadas em papéis e você atribui papéis a usuários e grupos.

Permissões de bucket

Nome da permissão de bucket Descrição
storage.buckets.create Criar novos buckets em um projeto.
storage.buckets.createTagBinding Criar uma nova vinculação de tag para um bucket.
storage.buckets.delete Excluir buckets.
storage.buckets.deleteTagBinding Excluir a vinculação de tag de um bucket.
storage.buckets.enableObjectRetention Ative as configurações de retenção de objetos em um bucket.
storage.buckets.exemptFromIpFilter Isenta a conta de usuário ou de serviço das regras de filtragem de IP para operações no nível do bucket.
storage.buckets.get Ler metadados do bucket, incluindo listar ou ler as configurações de notificação do Pub/Sub em um bucket. Essa permissão não permite ler políticas do IAM ou regras de filtragem de IP.
storage.buckets.getIamPolicy Ler políticas de IAM do bucket.
storage.buckets.getIpFilter Lista ou lê as regras de filtragem de IP em um bucket.
storage.buckets.getObjectInsights Ler metadados de objetos em relatórios de inventário.
storage.buckets.list Listar buckets em um projeto, incluindo metadados de bucket de leitura. Essa permissão sozinha não permite listar políticas do IAM ou regras de filtragem de IP.
storage.buckets.listEffectiveTags Lista todas as tags associadas a um bucket, incluindo tags herdadas de níveis mais altos na hierarquia de recursos, como as do projeto do bucket.
storage.buckets.listTagBindings Lista tags anexadas diretamente a um bucket.
storage.buckets.restore Restaure em massa objetos que foram excluídos de maneira reversível.
storage.buckets.setIamPolicy Atualizar políticas de IAM do bucket.
storage.buckets.setIpFilter Defina regras de filtragem de IP em um bucket.
storage.buckets.update Atualizar metadados do bucket, incluindo a adição ou remoção de uma configuração de notificação do Pub/Sub em um bucket e a leitura de metadados do bucket durante a atualização. Essa permissão sozinha não permite atualizar políticas do IAM, regras de filtragem de IP ou ler as políticas do IAM em um bucket durante a atualização.

Permissões de pasta

Nome da permissão da pasta Descrição
storage.folders.create Criar uma pasta.
storage.folders.delete Excluir uma pasta.
storage.folders.get Ler os metadados de uma pasta.
storage.folders.list Listar pastas.
storage.folders.rename Renomear uma pasta.

Permissões de pasta gerenciada

Nome da permissão da pasta gerenciada Descrição
storage.managedFolders.create Crie uma pasta gerenciada.
storage.managedFolders.delete Excluir uma pasta gerenciada.
storage.managedFolders.get Ler uma pasta gerenciada.
storage.managedFolders.getIamPolicy Ler as políticas do IAM de pasta gerenciada.
storage.managedFolders.list Listar as pastas gerenciadas em um bucket ou pasta.
storage.managedFolders.setIamPolicy Atualizar políticas do IAM de pasta gerenciada.

Permissões de objeto

Nome da permissão do objeto Descrição
storage.objects.create Adicionar novos objetos a um bucket.
storage.objects.delete Excluir objetos.
storage.objects.get Ler dados e metadados do objeto com a exclusão de listas de controle de acesso (ACLs, na sigla em inglês).
storage.objects.getIamPolicy Ler listas de controle de acesso (ACLs, na sigla em inglês) de objeto, retornadas como políticas de IAM.
storage.objects.list Listar objetos em um bucket. Ler também metadados de objetos, com a exclusão de ACLs, ao listar.
storage.objects.overrideUnlockedRetention Use o cabeçalho x-goog-bypass-governance-retention ou o parâmetro de consulta overrideUnlockedRetention ao trabalhar com configurações de retenção de objetos.
storage.objects.restore Restaure objetos que foram excluídos de maneira reversível.
storage.objects.setIamPolicy Atualizar ACLs de objeto.
storage.objects.setRetention Adicione ou atualize as retenção de objetos.
storage.objects.update Atualizar metadados de objeto, exceto ACLs. Ler também metadados de objetos, com a exclusão de ACLs, ao atualizar.

Permissões de operações de longa duração

Nome da permissão de operação de longa duração Descrição
storage.bucketOperations.cancel Cancelar uma operação de longa duração.
storage.bucketOperations.get Receber uma operação de longa duração.
storage.bucketOperations.list Listar operações de longa duração.

Permissões de chave HMAC

Nome da permissão da chave HMAC Descrição
storage.hmacKeys.create Criar novas chaves HMAC para contas de serviço em um projeto.
storage.hmacKeys.delete Excluir chaves HMAC atuais.
storage.hmacKeys.get Ler os metadados da chave HMAC.
storage.hmacKeys.list Listar os metadados das chaves HMAC em um projeto.
storage.hmacKeys.update Atualiza o status da chave HMAC.

Permissões de upload de várias partes

Nome da permissão de upload de várias partes Descrição
storage.multipartUploads.create Faça upload de objetos de várias partes.
storage.multipartUploads.abort Cancele sessões de upload de várias partes.
storage.multipartUploads.listParts Liste as partes do objeto enviado em uma sessão de upload de várias partes.
storage.multipartUploads.list Listar as sessões de upload de várias partes em um bucket.

Permissões do relatório de inventário do Storage Insights

Nome da permissão do relatório de inventário Descrição
storageinsights.reportConfigs.create Crie configurações de relatório de inventário.
storageinsights.reportConfigs.delete Exclua configurações de relatório de inventário.
storageinsights.reportConfigs.get Recupere as configurações de relatório de inventário.
storageinsights.reportConfigs.list Liste configurações de relatório de inventário.
storageinsights.reportConfigs.update Modifique configurações de relatório de inventário.
storageinsights.reportDetails.get Recupere relatórios de inventário.
storageinsights.reportDetails.list Liste relatórios de inventário.

A seguir