Ruoli predefiniti
La tabella seguente descrive i ruoli di Identity and Access Management (IAM) associate a Cloud Storage ed elenca le autorizzazioni contenuti in ciascun ruolo. Se non diversamente indicato, questi ruoli possono essere applicati a progetti, bucket o cartelle gestite.
Per scoprire come controllare l'accesso ai bucket, consulta utilizzare le autorizzazioni IAM. Per scoprire come controllare l'accesso a cartelle gestite, consulta l'articolo su come utilizzare IAM per le cartelle gestite.
| Ruolo | Descrizione | Autorizzazioni |
|---|---|---|
Creatore oggetti Storage
(roles/storage.objectCreator) |
Consente agli utenti di creare oggetti, cartelle e cartelle gestite. Non concede l'autorizzazione per visualizzare, eliminare o sostituire gli oggetti. Non non concedere l'autorizzazione per ottenere elenchi di controllo dell'accesso agli oggetti (ACL) o Impostare gli ACL degli oggetti come parte di una richiesta di aggiornamento degli oggetti. | orgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.objects.createstorage.folders.createstorage.managedFolders.createstorage.multipartUploads.createstorage.multipartUploads.abortstorage.multipartUploads.listParts |
Visualizzatore oggetti Storage
(roles/storage.objectViewer) |
Concede l'accesso per visualizzare gli oggetti e i relativi metadati
esclusi gli ACL. Può anche elencare gli oggetti, le cartelle e le cartelle gestite in un bucket. |
resourcemanager.projects.get2resourcemanager.projects.list2storage.folders.getstorage.folders.liststorage.managedFolders.getstorage.managedFolders.liststorage.objects.getstorage.objects.list |
Utente oggetti Storage
(roles/storage.objectUser) |
Concede l'accesso per creare, visualizzare, elencare, aggiornare ed eliminare oggetti, cartelle e cartelle gestite, insieme ai relativi metadati. Non concede l'autorizzazione a ottenere o impostare ACL o criteri IAM. | orgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.folders.*storage.managedFolders.createstorage.managedFolders.deletestorage.managedFolders.liststorage.managedFolders.getstorage.multipartUploads.*storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.restorestorage.objects.update |
Amministratore oggetti Storage
(roles/storage.objectAdmin) |
Concede il controllo completo su oggetti e cartelle, inclusi elenco, creazione, visualizzazione, ridenominazione ed eliminazione di oggetti e cartelle, nonché impostazione di ACL degli oggetti. Concede anche l'accesso per creare, eliminare, recuperare ed elencare le cartelle gestite. | orgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.folders.*storage.managedFolders.createstorage.managedFolders.deletestorage.managedFolders.getstorage.managedFolders.liststorage.objects.*storage.multipartUploads.* |
Amministratore cartelle Storage
(roles/storage.folderAdmin) |
Concede il controllo completo su oggetti, cartelle e cartelle gestite, tra cui elenco, creazione, visualizzazione, eliminazione e gestione delle autorizzazioni IAM. | orgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.folders.*storage.managedFolders.*storage.multipartUploads.*storage.objects.* |
Amministratore chiavi HMAC archiviazione
(roles/storage.hmacKeyAdmin) |
Controllo completo sulle chiavi HMAC in un progetto. Questo ruolo può essere eseguito applicati a un progetto. | orgpolicy.policy.get1storage.hmacKeys.* |
Storage Admin (roles/storage.admin) |
Concede il controllo completo su bucket, cartelle, cartelle gestite e oggetti, inclusi il recupero e l'ottimizzazione
impostare gli ACL degli oggetti o i criteri IAM. Quando applicato a un singolo bucket, il controllo si applica solo del bucket specificato e le cartelle e gli oggetti gestiti al suo interno. |
firebase.projects.getorgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.buckets.*storage.folders.*storage.managedFolders.*storage.objects.*storage.multipartUploads.* |
Amministratore Storage Insights (roles/storageinsights.admin) |
Concede il controllo completo dei report sull'inventario di Storage Insights e configurazioni. | cloudresourcemanager.projects.getcloudresourcemanager.projects.liststorageinsights.reportConfigs.*storageinsights.reportDetails.* |
Visualizzatore Storage Insights (roles/storageinsights.viewer) |
Concede l'accesso di sola lettura ai report sull'inventario di Storage Insights e configurazioni. | cloudresourcemanager.projects.getcloudresourcemanager.projects.liststorageinsights.reportConfigs.liststorageinsights.reportConfigs.getstorageinsights.reportDetails.liststorageinsights.reportDetails.get |
Servizio di raccolta Storage Insights (roles/storage.insightsCollectorService) |
Concede l'accesso in lettura ai metadati degli oggetti nei report sull'inventario. | resourcemanager.projects.getresourcemanager.projects.liststorage.buckets.getObjectInsightsstorage.buckets.get |
1 L'autorizzazione orgpolicy.policy.get consente alle entità
per conoscere i vincoli dei criteri dell'organizzazione a cui è soggetto un progetto.
Questa autorizzazione al momento è efficace solo se il ruolo è
concesso a livello di progetto o superiore.
2 Per ulteriori informazioni sulle
resourcemanager.projects.* autorizzazioni; vedi
Controllo dell'accesso per i progetti con IAM.
Ruoli di base
I ruoli di base sono ruoli esistenti prima di IAM. Questi ruoli hanno caratteristiche uniche:
I ruoli di base possono essere concessi solo per un intero progetto, non per singoli utenti dei bucket all'interno del progetto. Come per gli altri ruoli che concedi per un progetto, i ruoli di base si applicano a tutti i bucket e gli oggetti nel progetto.
I ruoli di base contengono autorizzazioni aggiuntive per altri servizi Google Cloud non trattati in questa sezione. Consulta i ruoli di base per un discussione generale sulle autorizzazioni concesse dai ruoli di base.
Ogni ruolo di base ha un valore di convenienza che ti consente di utilizzare come se fosse un gruppo. Se utilizzata in questo modo, qualsiasi entità con ruolo di base è considerato parte del gruppo. Tutti nel gruppo ricevono un accesso aggiuntivo alle risorse in base all'accesso del valore di convenienza.
È possibile utilizzare valori pratici quando si assegnano ruoli per i bucket.
È possibile utilizzare valori di convenienza durante l'impostazione di ACL sugli oggetti.
I ruoli di base non concedono intrinsecamente tutto l'accesso alle risorse di Cloud Storage che implicano il loro nome. Danno invece parte dell'accesso previsto intrinsecamente e il resto dei dati l'accesso tramite l'uso di valori di convenienza. Poiché i valori di convenienza possono aggiungere o rimuovere manualmente come qualsiasi altra entità IAM, è possibile revocare l'accesso che le entità potrebbero aspettarsi di avere.
Per una discussione sull'accesso aggiuntivo che le entità con ruoli di base in genere guadagnano a causa di valori di convenienza; consulta il comportamento modificabile.
Autorizzazioni intrinseche
La tabella seguente descrive le autorizzazioni di Cloud Storage sempre associati a ciascun ruolo di base.
| Ruolo | Descrizione | Autorizzazioni di Cloud Storage |
|---|---|---|
Visualizzatore (roles/viewer) |
Concede l'autorizzazione per elencare i bucket nel progetto. visualizza bucket metadati durante l'elenco (esclusi gli ACL); ed elenca e recupera le chiavi HMAC del progetto. | storage.buckets.liststorage.hmacKeys.getstorage.hmacKeys.list |
Editor (roles/editor) |
Concede l'autorizzazione per creare, elencare ed eliminare bucket nel progetto. visualizza i metadati del bucket nell'elenco (ACL esclusi); e controllare HMAC chiave del progetto. | storage.buckets.createstorage.buckets.deletestorage.buckets.liststorage.hmacKeys.* |
Proprietario (roles/owner) |
Concede l'autorizzazione per creare, elencare ed eliminare bucket nel progetto; visualizza i metadati del bucket nell'elenco (ACL esclusi); creare, eliminare ed elencare le associazioni di tag; e controllare le chiavi HMAC nel progetto. All'interno di Google Cloud più in generale, le entità con questo ruolo può eseguire attività amministrative come la modifica di entità ruoli per il progetto o la modifica della fatturazione. |
storage.buckets.createstorage.buckets.deletestorage.buckets.liststorage.buckets.createTagBindingstorage.buckets.deleteTagBindingstorage.buckets.listEffectiveTagsstorage.buckets.listTagBindingsstorage.hmacKeys.* |
Comportamento modificabile
Le entità a cui sono stati assegnati ruoli di base spesso hanno accesso aggiuntivo ai ruoli bucket e oggetti a causa di valori di convenienza. Quando viene creato un bucket, ai valori di convenienza viene concesso un accesso a determinati livelli di bucket, ma è possibile modificare i criteri IAM del bucket e gli ACL degli oggetti per rimuovere modificare l'accesso.
Quando crei un bucket in cui è abilitato l'accesso uniforme a livello di bucket, il seguente accesso viene concesso tramite valori di convenienza:
Le entità a cui è stato concesso l'abbonamento
roles/viewerottengono ilroles/storage.legacyBucketReadereroles/storage.legacyObjectReaderper il bucket.Le entità a cui è stato concesso l'abbonamento
roles/editorottengono ilroles/storage.legacyBucketOwnereroles/storage.legacyObjectOwnerper il bucket.Le entità a cui è stato concesso l'abbonamento
roles/ownerottengono ilroles/storage.legacyBucketOwnereroles/storage.legacyObjectOwnerper il bucket.
Quando crei un bucket per il quale non è abilitato l'accesso uniforme a livello di bucket, il seguente accesso viene concesso utilizzando valori di convenienza:
Le entità a cui è stato concesso l'abbonamento
roles/viewerottengono ilroles/storage.legacyBucketReaderper il bucket.Le entità a cui è stato concesso l'abbonamento
roles/editorottengono ilroles/storage.legacyBucketOwnerper il bucket.Le entità a cui è stato concesso l'abbonamento
roles/ownerottengono ilroles/storage.legacyBucketOwnerper il bucket.Inoltre, il bucket ha un oggetto predefinito per l'elenco di controllo dell'accesso (ACL). Questo ACL predefinito viene spesso applicato ai nuovi oggetti nel bucket e spesso concede accesso aggiuntivo ai valori di convenienza.
Ruoli precedenti predefiniti
La tabella seguente elenca i ruoli IAM equivalenti a Autorizzazioni dell'elenco di controllo dell'accesso (ACL). Puoi concedere ruoli legacy solo per i singoli bucket, non per i progetti.
| Ruolo | Descrizione | Autorizzazioni |
|---|---|---|
Lettore oggetti legacy Storage
(roles/storage.legacyObjectReader) |
Concede l'autorizzazione per visualizzare gli oggetti e i relativi metadati, esclusi ACL. | storage.objects.get |
Proprietario oggetti legacy Storage
(roles/storage.legacyObjectOwner) |
Concede l'autorizzazione per visualizzare e modificare gli oggetti e i relativi inclusi gli ACL. | storage.objects.getstorage.objects.updatestorage.objects.setRetentionstorage.objects.overrideUnlockedRetentionstorage.objects.setIamPolicystorage.objects.getIamPolicy |
Lettore bucket Storage legacy
(roles/storage.legacyBucketReader) |
Concede l'autorizzazione per elencare i contenuti di un bucket e leggere il bucket
metadati, esclusi i criteri IAM. Concede anche l'autorizzazione
per leggere i metadati degli oggetti quando si elencano oggetti e cartelle gestite (esclusi
criteri IAM).
L'utilizzo di questo ruolo è visibile anche negli ACL del bucket. Consulta Relazione IAM con gli ACL per ulteriori informazioni. |
storage.buckets.getstorage.objects.liststorage.managedFolders.getstorage.managedFolders.liststorage.multipartUploads.list |
Autore bucket legacy Storage
(roles/storage.legacyBucketWriter) |
Concede l'autorizzazione per creare, sostituire, elencare ed eliminare oggetti e
le cartelle gestite creare oggetti con una configurazione di conservazione;
legge i metadati degli oggetti e delle cartelle gestite durante l'elenco (esclusi
criteri IAM); e leggere i metadati del bucket, esclusi
i criteri IAM.
L'utilizzo di questo ruolo è visibile anche negli ACL del bucket. Consulta Relazione IAM con gli ACL per ulteriori informazioni. |
storage.buckets.getstorage.objects.liststorage.objects.createstorage.objects.deletestorage.objects.restorestorage.objects.setRetentionstorage.managedFolders.createstorage.managedFolders.deletestorage.managedFolders.getstorage.managedFolders.liststorage.multipartUploads.* |
Proprietario bucket legacy Storage
(roles/storage.legacyBucketOwner) |
Concede l'autorizzazione per creare, sostituire, elencare ed eliminare oggetti e
le cartelle gestite creare oggetti con una configurazione di conservazione;
creare, eliminare ed elencare associazioni di tag; leggi i metadati degli oggetti nell'elenco
(esclusi i criteri IAM); lettura metadati della cartella gestita
durante l'elenco (inclusi i criteri IAM); leggere e modificare
metadati del bucket (inclusi i criteri IAM).
L'utilizzo di questo ruolo è visibile anche negli ACL del bucket. Consulta Relazione IAM con gli ACL per ulteriori informazioni. |
storage.buckets.getstorage.buckets.createTagBindingstorage.buckets.deleteTagBindingstorage.buckets.listEffectiveTagsstorage.buckets.listTagBindingsstorage.buckets.updatestorage.buckets.enableObjectRetentionstorage.buckets.restorestorage.buckets.setIamPolicystorage.buckets.getIamPolicystorage.managedFolders.*storage.objects.liststorage.objects.createstorage.objects.deletestorage.objects.restorestorage.objects.setRetentionstorage.multipartUploads.* |
Ruoli personalizzati
Puoi definire ruoli personalizzati che contengono pacchetti di autorizzazioni da te specificato. A supporto di ciò, IAM offre ruoli personalizzati.
Passaggi successivi
Utilizza le autorizzazioni IAM per controllare l'accesso ai bucket di oggetti strutturati.
Scopri di più su ciascuna autorizzazione IAM per Cloud Storage.
Consulta i riferimenti IAM disponibili per Cloud Storage. ad esempio quali autorizzazioni IAM consentono agli utenti di eseguire azioni con vari strumenti e API.
Per riferimento agli altri ruoli di Google Cloud, consulta Informazioni sui ruoli.