Funciones de IAM para Cloud Storage

Funciones predefinidas

En la siguiente tabla, se describen las funciones de administración de identidades y accesos (IAM) asociadas con Cloud Storage y se enumeran los permisos que contiene cada función. A menos que se indique lo contrario, estas funciones se pueden aplicar a proyectos enteros o depósitos específicos.

Para aprender a controlar el acceso a buckets y objetos, consulta Usa permisos de IAM.

Rol	Descripción	Permisos
Creador de objetos de almacenamiento (`roles/storage.objectCreator`)	Permite a los usuarios crear objetos. No otorga permisos para ver, borrar ni reemplazar objetos.	`orgpolicy.policy.get`¹ `resourcemanager.projects.get`² `resourcemanager.projects.list`² `storage.objects.create` `storage.multipartUploads.create` `storage.multipartUploads.abort` `storage.multipartUploads.listParts`
Visualizador de objetos de almacenamiento (`roles/storage.objectViewer`)	Otorga acceso para ver los objetos y sus metadatos, sin incluir las LCA. También se pueden enumerar los objetos de un bucket.	`resourcemanager.projects.get`² `resourcemanager.projects.list`² `storage.objects.get` `storage.objects.list`
Administrador de objetos de almacenamiento (`roles/storage.objectAdmin`)	Otorga control total sobre los objetos, lo que incluye permisos para enumerarlos, crearlos, verlos y borrarlos.	`orgpolicy.policy.get`¹ `resourcemanager.projects.get`² `resourcemanager.projects.list`² `storage.objects.` `storage.multipartUploads.`
Administrador de claves HMAC de almacenamiento (`roles/storage.hmacKeyAdmin`)	Otorga control total de las claves HMAC en un proyecto. Esta función solo se puede aplicar a un proyecto.	`orgpolicy.policy.get`¹ `storage.hmacKeys.*`
Administrador de almacenamiento (`roles/storage.admin`)	Otorga control total sobre los depósitos y objetos. Cuando se aplica en un bucket individual, el control solo se aplica al depósito especificado y a los objetos que contiene.	`firebase.projects.get` `orgpolicy.policy.get`¹ `resourcemanager.projects.get`² `resourcemanager.projects.list`² `storage.buckets.` `storage.objects.` `storage.multipartUploads.*`
Administrador de Storage Insights (`roles/storageinsights.admin`)	Otorga control total sobre los informes y las configuraciones de inventario de Storage Insights.	`cloudresourcemanager.projects.get` `cloudresourcemanager.projects.list` `storageinsights.reportConfigs.` `storageinsights.reportDetails.`
Visualizador de Storage Insights (`roles/storageinsights.viewer`)	Otorga acceso de solo lectura a los informes y configuraciones de inventario de Storage Insights.	`cloudresourcemanager.projects.get` `cloudresourcemanager.projects.list` `storageinsights.reportConfigs.list` `storageinsights.reportConfigs.get` `storageinsights.reportDetails.list` `storageinsights.reportDetails.get`
Servicio de recopilación de Storage Insights (`roles/storage.insightsCollectorService`)	Otorga acceso de lectura a los metadatos de objetos en los informes de inventario.	`resourcemanager.projects.get` `resourcemanager.projects.list` `storage.buckets.getObjectInsights` `storage.buckets.get`

¹ El permiso orgpolicy.policy.get permite que las principales conozcan las restricciones de las políticas de la organización a las que está sujeto un proyecto. Actualmente, este permiso solo es efectivo si el rol se otorga a nivel de proyecto o superior.

² Si deseas obtener más información sobre los permisos resourcemanager.projects.*, consulta Control de acceso para proyectos con la IAM.

Roles básicos

Las funciones básicas son funciones que existían antes de IAM. Estas funciones tienen características únicas:

Las funciones básicas solo se pueden otorgar a un proyecto completo, no a depósitos individuales dentro del proyecto. Al igual que las otras funciones que se otorgan a un proyecto, las funciones básicas se aplican a todos los depósitos y objetos del proyecto.
Las funciones básicas contienen permisos adicionales para otros servicios de Google Cloud que no se tratan en esta sección. Consulta las funciones básicas para ver un análisis general de los permisos que otorgan estas funciones.
Cada rol básico tiene un valor de conveniencia que te permite usar el rol básico como si fuera un grupo. Cuando se usa de esta manera, se considera que cualquier principal que tiene el rol básico es parte del grupo. Todos los miembros del grupo obtienen acceso adicional a los recursos según el acceso que tenga el valor de conveniencia.
- Los valores de conveniencia se pueden usar cuando se otorgan funciones para buckets.
- Los valores de conveniencia se pueden usar cuando se configuran las LCA en los objetos.
Los roles básicos no otorgan de forma intrínseca todo el acceso a los recursos de Cloud Storage que implican sus nombres. En cambio, proporcionan una parte del acceso esperado de forma intrínseca y el resto del acceso esperado mediante el uso de valores de conveniencia. Debido a que los valores de conveniencia se pueden agregar o quitar de forma manual, como cualquiera otra principal de IAM, es posible revocar el acceso que, de lo contrario, las principales podrían tener.

Para ver un análisis del acceso adicional que los principales de las funciones básicas suelen obtener debido a los valores de conveniencia, consulta comportamiento modificable.

Permisos intrínsecos

En la siguiente tabla, se describen los permisos de Cloud Storage que siempre están asociados con cada función básica.

Función Descripción Permisos de Cloud Storage

Visualizador (roles/viewer) Otorga permiso para enumerar los bucket s del proyecto, ver los metadatos del bucket durante la enumeración (sin incluir las LCA), y enumerar y obtener las claves HMAC del proyecto. storage.buckets.list
storage.hmacKeys.get
storage.hmacKeys.list

Editor (roles/editor) Otorga el permiso para crear, enumerar y borrar los bucket s en el proyecto, ver los metadatos del bucket durante la enumeración (sin incluir las LCA), y controlar las claves HMAC del proyecto. storage.buckets.create
storage.buckets.delete
storage.buckets.list
storage.hmacKeys.*

Función	Descripción	Permisos de Cloud Storage
Visualizador (`roles/viewer`)	Otorga permiso para enumerar los bucket s del proyecto, ver los metadatos del bucket durante la enumeración (sin incluir las LCA), y enumerar y obtener las claves HMAC del proyecto.	`storage.buckets.list` `storage.hmacKeys.get` `storage.hmacKeys.list`
Editor (`roles/editor`)	Otorga el permiso para crear, enumerar y borrar los bucket s en el proyecto, ver los metadatos del bucket durante la enumeración (sin incluir las LCA), y controlar las claves HMAC del proyecto.	`storage.buckets.create` `storage.buckets.delete` `storage.buckets.list` `storage.hmacKeys.*`
Propietario (`roles/owner`)	Otorga permiso para crear, enumerar y borrar buckets en el proyecto; ver los metadatos del bucket durante la enumeración (sin incluir las LCA); crear, borrar y enumerar vinculaciones de etiquetas y controlar las claves HMAC del proyecto. En general, en Google Cloud, los miembros con esta función pueden realizar tareas administrativas, como cambiar las funciones de los principales del proyecto o cambiar la facturación.	`storage.buckets.create` `storage.buckets.delete` `storage.buckets.list` `storage.buckets.createTagBinding` `storage.buckets.deleteTagBinding` `storage.buckets.listEffectiveTags` `storage.buckets.listTagBindings` `storage.hmacKeys.*`

Propietario (roles/owner)

Otorga permiso para crear, enumerar y borrar buckets en el proyecto; ver los metadatos del bucket durante la enumeración (sin incluir las LCA); crear, borrar y enumerar vinculaciones de etiquetas y controlar las claves HMAC del proyecto.

En general, en Google Cloud, los miembros con esta función pueden realizar tareas administrativas, como cambiar las funciones de los principales del proyecto o cambiar la facturación.

storage.buckets.create
storage.buckets.delete
storage.buckets.list
storage.buckets.createTagBinding
storage.buckets.deleteTagBinding
storage.buckets.listEffectiveTags
storage.buckets.listTagBindings
storage.hmacKeys.*

Comportamiento modificable

En la siguiente tabla, se describe el acceso adicional a Cloud Storage que suele asociarse con cada rol básico debido a los valores de conveniencia. Este acceso adicional se otorga en el momento de la creación del bucket, pero luego puedes editar las políticas de IAM del bucket y las LCA del objeto para quitarlo o cambiarlo.

Función	Acceso adicional obtenido debido a valores de conveniencia
Visualizador (`roles/viewer`)	Se otorga la función `roles/storage.legacyBucketReader` para cada depósito del proyecto. Se otorga un permiso `READER` en la Lista de control de acceso a objetos predeterminada para cada depósito del proyecto. Si habilitas el acceso uniforme a nivel de depósito durante la creación del depósito, también se te otorga `roles/storage.legacyObjectReader`.
Editor (`roles/editor`)	Se otorga la función `roles/storage.legacyBucketOwner` para cada depósito del proyecto. Se otorga un permiso `OWNER` en la Lista de control de acceso a objetos predeterminada para cada depósito del proyecto. Si habilitas el acceso uniforme a nivel de depósito durante la creación del depósito, también se te otorga la función `roles/storage.legacyObjectOwner`.
Propietario (`roles/owner`)	Se otorga la función `roles/storage.legacyBucketOwner` para cada depósito del proyecto. Se otorga un permiso `OWNER` en la Lista de control de acceso a objetos predeterminada para cada depósito del proyecto. Si habilitas el acceso uniforme a nivel de depósito durante la creación del depósito, también se te otorga la función `roles/storage.legacyObjectOwner`.

Funciones heredadas predefinidas

En la siguiente tabla, se enumeran las funciones de IAM que son equivalentes a los permisos de Lista de control de acceso (LCA). Puedes otorgar funciones heredadas solo para depósitos individuales, no para proyectos.

Función	Descripción	Permisos
Lector de objetos heredados de almacenamiento (`roles/storage.legacyObjectReader`)	Otorga permiso para ver los objetos y sus metadatos, sin incluir las LCA.	`storage.objects.get`
Propietario de objetos heredados de almacenamiento (`roles/storage.legacyObjectOwner`)	Otorga permiso para ver y editar objetos y sus metadatos, incluidas las LCA.	`storage.objects.get` `storage.objects.update` `storage.objects.setIamPolicy` `storage.objects.getIamPolicy`
Lector de depósitos heredados de almacenamiento (`roles/storage.legacyBucketReader`)	Otorga permiso para enumerar el contenido y leer los metadatos de un bucket, sin incluir las políticas de IAM. También otorga permiso para leer metadatos de objeto cuando se enumeran objetos (sin incluir las políticas de IAM). El uso de este rol también se refleja en las LCA del bucket. Consulta la relación de la IAM con las LCA para obtener más información.	`storage.buckets.get` `storage.objects.list` `storage.multipartUploads.list`
Escritor de depósitos heredados de almacenamiento (`roles/storage.legacyBucketWriter`)	Otorga permiso para crear, reemplazar y borrar objetos; enumerar objetos en un bucket ; leer los metadatos de objetos cuando se los enumera (excepto las políticas de IAM); y leer los metadatos del bucket, excepto las políticas de IAM. El uso de este rol también se refleja en las LCA del bucket. Consulta la relación de la IAM con las LCA para obtener más información.	`storage.buckets.get` `storage.objects.list` `storage.objects.create` `storage.objects.delete` `storage.multipartUploads.*`
Propietario de buckets heredados de almacenamiento (`roles/storage.legacyBucketOwner`)	Otorga permiso para crear, reemplazar y borrar objetos; crear una lista de los objetos en un bucket; crear, borrar y enumerar vinculaciones de etiquetas; leer los metadatos del objeto cuando se los enumera (excepto las políticas de IAM); así como leer y editar los metadatos del bucket, incluidas las políticas de IAM. El uso de este rol también se refleja en las LCA del bucket. Consulta la relación de la IAM con las LCA para obtener más información.	`storage.buckets.get` `storage.buckets.createTagBinding` `storage.buckets.deleteTagBinding` `storage.buckets.listEffectiveTags` `storage.buckets.listTagBindings` `storage.buckets.update` `storage.buckets.setIamPolicy` `storage.buckets.getIamPolicy` `storage.objects.list` `storage.objects.create` `storage.objects.delete` `storage.multipartUploads.*`

Funciones personalizadas

Es posible que desees definir tus propias funciones que contengan paquetes de permisos específicos. Para ello, IAM ofrece funciones personalizadas.

¿Qué sigue?

Usa los permisos de IAM para controlar el acceso a los depósitos y objetos.
Obtén información sobre cada permiso de IAM para Cloud Storage.
Obtén información sobre qué permisos de IAM permiten a los usuarios realizar acciones con la consola de Cloud, con gsutil, con la API de JSON y con la API de XML.
Para obtener una referencia de otras funciones de Google Cloud, consulta la página Comprende las funciones.