Ruoli predefiniti
La tabella seguente descrive i ruoli Identity and Access Management (IAM) associati a Cloud Storage ed elenca le autorizzazioni contenute in ciascun ruolo. Salvo diversa indicazione, questi ruoli possono essere applicati a progetti, bucket o cartelle gestite.
Per scoprire come controllare l'accesso ai bucket, consulta Utilizzare le autorizzazioni IAM. Per scoprire come controllare l'accesso alle cartelle gestite, consulta Utilizzare IAM per le cartelle gestite.
| Ruolo | Descrizione | Autorizzazioni |
|---|---|---|
Creatore oggetti Storage
(roles/storage.objectCreator) |
Consente agli utenti di creare oggetti, cartelle e cartelle gestite. Non concede l'autorizzazione per visualizzare, eliminare o sostituire gli oggetti. Non concede l'autorizzazione per recuperare gli elenchi di controllo dell'accesso dell'accesso (ACL) degli oggetti o impostare gli ACL degli oggetti nell'ambito di una richiesta di aggiornamento dell'oggetto. | orgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.objects.createstorage.folders.createstorage.managedFolders.createstorage.multipartUploads.createstorage.multipartUploads.abortstorage.multipartUploads.listParts |
Storage Object Viewer
(roles/storage.objectViewer) |
Concede l'accesso per visualizzare gli oggetti e i relativi metadati,
esclusi gli ACL. Consente anche di elencare gli oggetti, le cartelle e le cartelle gestite in un bucket. |
resourcemanager.projects.get2resourcemanager.projects.list2storage.folders.getstorage.folders.liststorage.managedFolders.getstorage.managedFolders.liststorage.objects.getstorage.objects.list |
Utente oggetto archiviazione
(roles/storage.objectUser) |
Concede l'accesso per creare, visualizzare, elencare, aggiornare ed eliminare oggetti, cartelle e cartelle gestite, nonché i relativi metadati. Non concede l'autorizzazione per ottenere o impostare ACL o criteri IAM. | orgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.folders.*storage.managedFolders.createstorage.managedFolders.deletestorage.managedFolders.liststorage.managedFolders.getstorage.multipartUploads.*storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.restorestorage.objects.update |
Storage Object Admin
(roles/storage.objectAdmin) |
Concede il controllo completo su oggetti e cartelle, inclusi l'elenco, la creazione, la visualizzazione, la ridenominazione ed l'eliminazione di oggetti e cartelle, nonché l'impostazione degli ACL degli oggetti. Inoltre, concede l'accesso per creare, eliminare, recuperare ed elencare le cartelle gestite. | orgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.folders.*storage.managedFolders.createstorage.managedFolders.deletestorage.managedFolders.getstorage.managedFolders.liststorage.objects.*storage.multipartUploads.* |
Storage Folder Admin
(roles/storage.folderAdmin) |
Concede il controllo completo su oggetti, cartelle e cartelle gestite, inclusi l'elenco, la creazione, la visualizzazione, l'eliminazione e la gestione delle autorizzazioni IAM. | orgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.folders.*storage.managedFolders.*storage.multipartUploads.*storage.objects.* |
Storage HMAC Key Admin
(roles/storage.hmacKeyAdmin) |
Controllo completo sulle chiavi HMAC in un progetto. Questo ruolo può essere applicato solo a un progetto. | orgpolicy.policy.get1storage.hmacKeys.* |
Amministratore archiviazione (roles/storage.admin) |
Concede il controllo completo di bucket, cartelle, cartelle gestite, consigli del Recommender e oggetti, inclusa la ricezione e l'impostazione di ACL degli oggetti o criteri IAM. Inoltre, concede il controllo completo delle operazioni a lunga esecuzione. Se applicato a un singolo bucket, il controllo si applica solo al bucket specificato e alle cartelle, agli oggetti e alle operazioni gestite di lunga durata al suo interno. |
firebase.projects.getorgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.buckets.*storage.bucketOperations.*storage.folders.*storage.managedFolders.*storage.objects.*storage.multipartUploads.*recommender.storageBucketSoftDeleteInsights.*recommender.storageBucketSoftDeleteRecommendations.* |
Storage Insights Admin (roles/storageinsights.admin) |
Concede il controllo completo delle configurazioni e dei report sull'inventario di Storage Insights. | cloudresourcemanager.projects.getcloudresourcemanager.projects.liststorageinsights.reportConfigs.*storageinsights.reportDetails.* |
Visualizzatore di Approfondimenti sullo spazio di archiviazione (roles/storageinsights.viewer) |
Concede l'accesso di sola lettura alle configurazioni e ai report dell'inventario di Storage Insights. | cloudresourcemanager.projects.getcloudresourcemanager.projects.liststorageinsights.reportConfigs.liststorageinsights.reportConfigs.getstorageinsights.reportDetails.liststorageinsights.reportDetails.get |
Storage Insights Collector Service (roles/storage.insightsCollectorService) |
Concede l'accesso in lettura ai metadati degli oggetti nei report sull'inventario. | resourcemanager.projects.getresourcemanager.projects.liststorage.buckets.getObjectInsightsstorage.buckets.get |
1 L'autorizzazione orgpolicy.policy.get consente alle entità di conoscere i limiti dei criteri dell'organizzazione a cui è soggetto un progetto.
Al momento, questa autorizzazione è efficace solo se il ruolo viene conseguito a livello di progetto o superiore.
2 Per ulteriori informazioni sulle autorizzazioniresourcemanager.projects.*, consultaControllo dell'accesso per i progetti con IAM.
Ruoli di base
I ruoli di base sono ruoli esistenti prima di IAM. Questi ruoli hanno caratteristiche uniche:
I ruoli di base possono essere concessi solo per un intero progetto, non per singoli bucket all'interno del progetto. Come gli altri ruoli concessi per un progetto, i ruoli di base si applicano a tutti i bucket e gli oggetti del progetto.
I ruoli di base contengono autorizzazioni aggiuntive per altri servizi Google Cloud che non sono coperti in questa sezione. Consulta i ruoli di base per una discussione generale sulle autorizzazioni concesse dai ruoli di base.
Ogni ruolo di base ha un valore di praticità che ti consente di utilizzarlo come se fosse un gruppo. Se utilizzato in questo modo, qualsiasi entità con il ruolo di base è considerata parte del gruppo. Tutti i membri del gruppo ottengono accesso aggiuntivo alle risorse in base al valore di convenienza.
I valori di praticità possono essere utilizzati per concedere i ruoli per i bucket.
I valori di praticità possono essere utilizzati per impostare le ACL sugli oggetti.
I ruoli di base non forniscono intrinsecamente tutto l'accesso alle risorse Cloud Storage che è implicito nei loro nomi. Forniscono invece una parte dell'accesso previsto in modo intrinseco e il resto dell'accesso previsto tramite l'utilizzo di valori di praticità. Poiché i valori di convenienza possono essere aggiunti o rimossi manualmente come qualsiasi altro entità IAM, è possibile revocare l'accesso che le entità potrebbero altrimenti aspettarsi di avere.
Per una discussione sull'accesso aggiuntivo che gli entità con ruoli di base tipicamente ottengono a causa dei valori di convenienza, consulta Comportamento modificabile.
Autorizzazioni intrinseche
La tabella seguente descrive le autorizzazioni di Cloud Storage sempre associate a ciascun ruolo di base.
| Ruolo | Descrizione | Autorizzazioni di Cloud Storage |
|---|---|---|
Visualizzatore (roles/viewer) |
Concede l'autorizzazione per elencare i bucket nel progetto, visualizzare i metadati del bucket durante l'elenco (esclusi gli ACL) ed elencare e ottenere le chiavi HMAC nel progetto. | storage.buckets.getIpFilterstorage.buckets.liststorage.hmacKeys.getstorage.hmacKeys.list |
Editor (roles/editor) |
Concede l'autorizzazione per creare, elencare ed eliminare i bucket nel progetto, visualizzare i metadati dei bucket durante l'elenco (esclusi gli ACL) e controllare le chiavi HMAC nel progetto. | storage.buckets.createstorage.buckets.deletestorage.buckets.getIpFilterstorage.buckets.liststorage.hmacKeys.* |
Proprietario (roles/owner) |
Concede l'autorizzazione per creare, elencare ed eliminare i bucket nel progetto; visualizzare i metadati del bucket durante l'elenco (esclusi gli ACL); creare, eliminare ed elencare le associazioni di tag; e controllare le chiavi HMAC nel progetto. In Google Cloud in generale, gli amministratori con questo ruolo possono eseguire attività amministrative come modificare i ruoli degli amministratori per il progetto o la fatturazione. |
storage.buckets.createstorage.buckets.deletestorage.buckets.liststorage.buckets.createTagBindingstorage.buckets.deleteTagBindingstorage.buckets.getIpFilterstorage.buckets.listEffectiveTagsstorage.buckets.listTagBindingsstorage.buckets.setIpFilterstorage.hmacKeys.* |
Comportamento modificabile
Le entità a cui sono stati concessi ruoli di base hanno spesso accesso aggiuntivo ai bucket e agli oggetti di un progetto a causa dei valori di convenienza. Quando viene creato un bucket, i valori di convenienza vengono concessi determinati accessi a livello di bucket, ma in un secondo momento puoi modificare i criteri IAM del bucket e gli ACL degli oggetti per rimuovere o modificare l'accesso.
Quando crei un bucket con l'accesso uniforme a livello di bucket abilitato, il seguente accesso viene concesso tramite valori di praticità:
Le entità a cui è stato concesso il ruolo
roles/viewerottengono i ruoliroles/storage.legacyBucketReadereroles/storage.legacyObjectReaderper il bucket.Le entità a cui è stato concesso il ruolo
roles/editorottengono i ruoliroles/storage.legacyBucketOwnereroles/storage.legacyObjectOwnerper il bucket.Le entità a cui è stato concesso il ruolo
roles/ownerottengono i ruoliroles/storage.legacyBucketOwnereroles/storage.legacyObjectOwnerper il bucket.
Quando crei un bucket per cui non è abilitato l'accesso uniforme a livello di bucket, viene concesso il seguente accesso utilizzando valori di praticità:
Le entità a cui è stato concesso
roles/viewerottengono il ruoloroles/storage.legacyBucketReaderper il bucket.Le entità a cui è stato concesso
roles/editorottengono il ruoloroles/storage.legacyBucketOwnerper il bucket.Le entità a cui è stato concesso
roles/ownerottengono il ruoloroles/storage.legacyBucketOwnerper il bucket.Inoltre, il bucket ha un elenco di controllo dell'accesso (ACL) predefinito per gli oggetti. Questo ACL predefinito viene spesso applicato ai nuovi oggetti nel bucket e spesso grants additional access to convenience values.
Ruoli precedenti predefiniti
La tabella seguente elenca i ruoli IAM equivalenti alle autorizzazioni dell'elenco di controllo dell'accesso (ACL). Puoi concedere i ruoli precedenti solo per i singoli bucket, non per i progetti.
| Ruolo | Descrizione | Autorizzazioni |
|---|---|---|
Lettore oggetti legacy Storage
(roles/storage.legacyObjectReader) |
Concede l'autorizzazione per visualizzare gli oggetti e i relativi metadati, esclusi gli ACL. | storage.objects.get |
Proprietario oggetti legacy Storage
(roles/storage.legacyObjectOwner) |
Concede l'autorizzazione per visualizzare e modificare gli oggetti e i relativi metadata, compresi gli ACL. | storage.objects.getstorage.objects.updatestorage.objects.setRetentionstorage.objects.overrideUnlockedRetentionstorage.objects.setIamPolicystorage.objects.getIamPolicy |
Storage Legacy Bucket Reader
(roles/storage.legacyBucketReader) |
Concede l'autorizzazione per elencare i contenuti di un bucket e leggere i metadati del bucket, esclusi i criteri IAM. Concede inoltre l'autorizzazione
per leggere i metadati degli oggetti durante la creazione dell'elenco degli oggetti e delle cartelle gestite (esclusi
i criteri IAM).
L'utilizzo di questo ruolo è riportato anche nelle ACL del bucket. Per ulteriori informazioni, consulta la sezione Relazione tra IAM e ACL. |
storage.buckets.getstorage.objects.liststorage.managedFolders.getstorage.managedFolders.liststorage.multipartUploads.list |
Storage Legacy Bucket Writer
(roles/storage.legacyBucketWriter) |
Concede l'autorizzazione per creare, sostituire, elencare ed eliminare oggetti e
cartelle gestite; creare oggetti con una configurazione di conservazione;
leggere i metadati degli oggetti e delle cartelle gestite durante l'elenco (esclusi
i criteri IAM); e leggere i metadati del bucket, esclusi
i criteri IAM.
L'utilizzo di questo ruolo è riportato anche nelle ACL del bucket. Per ulteriori informazioni, consulta la sezione Relazione tra IAM e ACL. |
storage.buckets.getstorage.objects.liststorage.objects.createstorage.objects.deletestorage.objects.restorestorage.objects.setRetentionstorage.managedFolders.createstorage.managedFolders.deletestorage.managedFolders.getstorage.managedFolders.liststorage.multipartUploads.* |
Proprietario bucket legacy Storage
(roles/storage.legacyBucketOwner) |
Concede l'autorizzazione per creare, sostituire, elencare ed eliminare oggetti e
cartelle gestite; creare oggetti con una configurazione di conservazione;
creare, eliminare ed elencare associazioni di tag; leggere i metadati degli oggetti durante l'elenco
(esclusi i criteri IAM); leggere i metadati delle cartelle gestite
durante l'elenco (inclusi i criteri IAM); leggere e modificare
i metadati del bucket (inclusi i criteri IAM) e gestire
le operazioni di lunga durata.
L'utilizzo di questo ruolo è riportato anche nelle ACL del bucket. Per ulteriori informazioni, consulta la sezione Relazione tra IAM e ACL. |
storage.buckets.getstorage.buckets.createTagBindingstorage.buckets.deleteTagBindingstorage.buckets.listEffectiveTagsstorage.buckets.listTagBindingsstorage.buckets.updatestorage.buckets.enableObjectRetentionstorage.buckets.restorestorage.buckets.setIamPolicystorage.buckets.getIamPolicystorage.bucketOperations.*storage.managedFolders.*storage.objects.liststorage.objects.createstorage.objects.deletestorage.objects.restorestorage.objects.setRetentionstorage.multipartUploads.* |
Ruoli personalizzati
Ti consigliamo di definire i tuoi ruoli contenenti pacchetti di autorizzazioni da te specificati. Per supportare questa funzionalità, IAM offre ruoli personalizzati.
Passaggi successivi
Utilizza le autorizzazioni IAM per controllare l'accesso ai bucket e agli oggetti.
Scopri di più su ogni autorizzazione IAM per Cloud Storage.
Consulta i riferimenti IAM per Cloud Storage disponibili, ad esempio le autorizzazioni IAM che consentono agli utenti di eseguire azioni con vari strumenti e API.
Per un riferimento ad altri ruoli Google Cloud, consulta Informazioni sui ruoli.