Ruoli predefiniti
La tabella seguente descrive i ruoli di Identity and Access Management (IAM) associati a Cloud Storage ed elenca le autorizzazioni contenute in ciascun ruolo. Se non diversamente indicato, questi ruoli possono essere applicati a progetti, bucket o cartelle gestite.
Per informazioni su come controllare l'accesso ai bucket, consulta Utilizzare le autorizzazioni IAM. Per informazioni su come controllare l'accesso alle cartelle gestite, consulta Utilizzare IAM per le cartelle gestite.
| Ruolo | Descrizione | Autorizzazioni |
|---|---|---|
Creatore oggetti Storage
(roles/storage.objectCreator) |
Consente agli utenti di creare oggetti, cartelle e cartelle gestite. Non concede l'autorizzazione per visualizzare, eliminare o sostituire gli oggetti. Non concede l'autorizzazione per ottenere gli elenchi di controllo dell'accesso dell'accesso (ACL) degli oggetti o impostare ACL degli oggetti come parte di una richiesta di aggiornamento degli oggetti. | orgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.objects.createstorage.folders.createstorage.managedFolders.createstorage.multipartUploads.createstorage.multipartUploads.abortstorage.multipartUploads.listParts |
Visualizzatore oggetti Storage
(roles/storage.objectViewer) |
Concede l'accesso per visualizzare gli oggetti e i relativi metadati, esclusi gli ACL. Può anche elencare gli oggetti, le cartelle e le cartelle gestite in un bucket. |
resourcemanager.projects.get2resourcemanager.projects.list2storage.folders.getstorage.folders.liststorage.managedFolders.getstorage.managedFolders.liststorage.objects.getstorage.objects.list |
Utente oggetti Storage
(roles/storage.objectUser) |
Concede l'accesso per creare, visualizzare, elencare, aggiornare ed eliminare oggetti, cartelle e cartelle gestite, insieme ai relativi metadati. Non concede l'autorizzazione per ottenere o impostare ACL o criteri IAM. | orgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.folders.*storage.managedFolders.createstorage.managedFolders.deletestorage.managedFolders.liststorage.managedFolders.getstorage.multipartUploads.*storage.objects.createstorage.objects.deletestorage.objects.get
storage.objects.getstorage.objects.getstorage.objects.liststorage.objects.restorestorage.objects.update
|
Amministratore oggetti Storage
(roles/storage.objectAdmin) |
Concede il controllo completo su oggetti e cartelle, tra cui elenco, creazione, visualizzazione, ridenominazione ed eliminazione di oggetti e cartelle, nonché l'impostazione di ACL degli oggetti. Concede anche l'accesso per creare, eliminare, recuperare ed elencare le cartelle gestite. | orgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.folders.*storage.managedFolders.createstorage.managedFolders.deletestorage.managedFolders.getstorage.managedFolders.liststorage.objects.*storage.multipartUploads.* |
Amministratore cartelle Storage
(roles/storage.folderAdmin) |
Concede il controllo completo su oggetti, cartelle e cartelle gestite, compresi l'elenco, la creazione, la visualizzazione, l'eliminazione e la gestione delle autorizzazioni IAM. | orgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.folders.*storage.managedFolders.*storage.multipartUploads.*storage.objects.* |
Amministratore chiavi HMAC di archiviazione
(roles/storage.hmacKeyAdmin) |
Controllo completo sulle chiavi HMAC in un progetto. Questo ruolo può essere applicato solo a un progetto. | orgpolicy.policy.get1storage.hmacKeys.* |
Storage Admin (roles/storage.admin) |
Concede il controllo completo di bucket, cartelle, cartelle gestite e oggetti, compresi il recupero e l'impostazione degli ACL degli oggetti o dei criteri IAM. Se applicato a un singolo bucket, il controllo si applica solo al bucket specificato, nonché alle cartelle e agli oggetti gestiti al suo interno. |
firebase.projects.getorgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.buckets.*storage.folders.*storage.managedFolders.*storage.objects.*storage.multipartUploads.* |
Amministratore Storage Insights (roles/storageinsights.admin) |
Concede il controllo completo dei report e delle configurazioni sull'inventario di Storage Insights. | cloudresourcemanager.projects.getcloudresourcemanager.projects.liststorageinsights.reportConfigs.*storageinsights.reportDetails.* |
Visualizzatore Storage Insights (roles/storageinsights.viewer) |
Concede l'accesso di sola lettura ai report e alle configurazioni dell'inventario di Storage Insights. | cloudresourcemanager.projects.getcloudresourcemanager.projects.liststorageinsights.reportConfigs.liststorageinsights.reportConfigs.getstorageinsights.reportDetails.liststorageinsights.reportDetails.get |
Servizio di raccolta Storage Insights (roles/storage.insightsCollectorService) |
Concede l'accesso in lettura ai metadati degli oggetti nei report sull'inventario. | resourcemanager.projects.getresourcemanager.projects.liststorage.buckets.getObjectInsightsstorage.buckets.get |
1 L'autorizzazione orgpolicy.policy.get consente alle entità
di conoscere i vincoli dei criteri dell'organizzazione a cui è soggetto un progetto.
Al momento questa autorizzazione è efficace solo se il ruolo viene
concesso a livello di progetto o superiore.
2 Per ulteriori informazioni sulle autorizzazioni resourcemanager.projects.*, consulta Controllo dell'accesso per i progetti con IAM.
Ruoli di base
I ruoli di base sono ruoli esistenti prima di IAM. Questi ruoli hanno caratteristiche uniche:
I ruoli di base possono essere concessi solo per un intero progetto, non per singoli bucket all'interno del progetto. Come altri ruoli che concedi per un progetto, i ruoli di base si applicano a tutti i bucket e gli oggetti nel progetto.
I ruoli di base contengono autorizzazioni aggiuntive per altri servizi Google Cloud che non sono trattati in questa sezione. Consulta i ruoli di base per una discussione generale sulle autorizzazioni concesse dai ruoli di base.
Ogni ruolo di base ha un valore di convenienza che ti consente di utilizzare il ruolo di base come se fosse un gruppo. Se utilizzata in questo modo, qualsiasi entità con il ruolo di base viene considerata parte del gruppo. Tutti i membri del gruppo ottengono un accesso aggiuntivo alle risorse in base all'accesso del valore di convenienza.
È possibile utilizzare valori pratici quando si assegnano ruoli per i bucket.
È possibile utilizzare valori di convenienza durante l'impostazione di ACL sugli oggetti.
I ruoli di base non danno intrinsecamente tutto l'accesso alle risorse Cloud Storage che il loro nome implica. Al contrario, danno intrinsecamente una parte dell'accesso previsto e il resto dell'accesso previsto mediante l'uso di valori di convenienza. Poiché i valori di convenienza possono essere aggiunti o rimossi manualmente come qualsiasi altra entità IAM, è possibile revocare l'accesso che le entità potrebbero altrimenti aspettarsi.
Per una discussione sull'accesso aggiuntivo che le entità con ruoli di base solitamente ottengono per via di valori di convenienza, consulta il comportamento modificabile.
Autorizzazioni intrinseche
La tabella seguente descrive le autorizzazioni di Cloud Storage sempre associate a ciascun ruolo di base.
| Ruolo | Descrizione | Autorizzazioni di Cloud Storage |
|---|---|---|
Visualizzatore (roles/viewer) |
Concede l'autorizzazione per elencare i bucket nel progetto, visualizzare i metadati dei bucket durante l'elenco (esclusi gli ACL) ed elencare e ottenere le chiavi HMAC nel progetto. | storage.buckets.liststorage.hmacKeys.getstorage.hmacKeys.list |
Editor (roles/editor) |
Concede l'autorizzazione per creare, elencare ed eliminare bucket nel progetto, visualizzare i metadati dei bucket durante l'elenco (esclusi gli ACL) e controllare le chiavi HMAC nel progetto. | storage.buckets.createstorage.buckets.deletestorage.buckets.liststorage.hmacKeys.* |
Proprietario (roles/owner) |
Concede l'autorizzazione per creare, elencare ed eliminare bucket nel progetto, visualizzare i metadati del bucket durante l'elenco (esclusi gli ACL), creare, eliminare ed elencare le associazioni di tag e controllare le chiavi HMAC nel progetto. All'interno di Google Cloud più in generale, le entità con questo ruolo possono eseguire attività amministrative, ad esempio modificare i ruoli delle entità per il progetto o modificare la fatturazione. |
storage.buckets.createstorage.buckets.deletestorage.buckets.liststorage.buckets.createTagBindingstorage.buckets.deleteTagBindingstorage.buckets.listEffectiveTagsstorage.buckets.listTagBindingsstorage.hmacKeys.* |
Comportamento modificabile
Le entità a cui sono stati assegnati ruoli di base spesso hanno accesso aggiuntivo ai bucket e agli oggetti di un progetto a causa di valori di convenienza. Quando viene creato un bucket, ai valori di convenienza vengono concessi determinati accessi a livello di bucket, ma in un secondo momento puoi modificare i criteri IAM del bucket e gli ACL degli oggetti per rimuovere o modificare l'accesso.
Quando crei un bucket in cui è abilitato l'accesso uniforme a livello di bucket, il seguente accesso viene concesso tramite valori di convenienza:
Le entità a cui è stato concesso l'accesso a
roles/viewerottengono i ruoliroles/storage.legacyBucketReadereroles/storage.legacyObjectReaderper il bucket.Le entità a cui è stato concesso l'accesso a
roles/editorottengono i ruoliroles/storage.legacyBucketOwnereroles/storage.legacyObjectOwnerper il bucket.Le entità a cui è stato concesso l'accesso a
roles/ownerottengono i ruoliroles/storage.legacyBucketOwnereroles/storage.legacyObjectOwnerper il bucket.
Quando crei un bucket in cui non è abilitato l'accesso uniforme a livello di bucket, il seguente accesso viene concesso utilizzando valori di convenienza:
Le entità a cui è stato concesso a
roles/viewerottengono il ruoloroles/storage.legacyBucketReaderper il bucket.Le entità a cui è stato concesso a
roles/editorottengono il ruoloroles/storage.legacyBucketOwnerper il bucket.Le entità a cui è stato concesso a
roles/ownerottengono il ruoloroles/storage.legacyBucketOwnerper il bucket.Inoltre, il bucket ha un oggetto predefinito per l'elenco di controllo dell'accesso (ACL). Questo ACL predefinito viene spesso applicato ai nuovi oggetti nel bucket e spesso concede accesso aggiuntivo a valori di convenienza.
Ruoli precedenti predefiniti
La seguente tabella elenca i ruoli IAM equivalenti alle autorizzazioni ACL (Access Control List). Puoi concedere ruoli legacy solo per singoli bucket, non per progetti.
| Ruolo | Descrizione | Autorizzazioni |
|---|---|---|
Lettore oggetti legacy Storage
(roles/storage.legacyObjectReader) |
Concede l'autorizzazione per visualizzare gli oggetti e i relativi metadati, esclusi gli ACL. | storage.objects.get |
Proprietario oggetti legacy Storage
(roles/storage.legacyObjectOwner) |
Concede l'autorizzazione per visualizzare e modificare gli oggetti e i relativi metadati, inclusi gli ACL. | storage.objects.getstorage.objects.updatestorage.objects.setRetentionstorage.objects.overrideUnlockedRetentionstorage.objects.setIamPolicystorage.objects.getIamPolicy |
Lettore bucket Storage legacy
(roles/storage.legacyBucketReader) |
Concede l'autorizzazione per elencare i contenuti di un bucket e leggere i metadati del bucket, esclusi i criteri IAM. Concede anche l'autorizzazione
per leggere i metadati degli oggetti quando vengono elencati oggetti e cartelle gestite (esclusi
i criteri IAM).
L'utilizzo di questo ruolo è visibile anche negli ACL del bucket. Per ulteriori informazioni, consulta Relazione IAM con gli ACL. |
storage.buckets.getstorage.objects.liststorage.managedFolders.getstorage.managedFolders.liststorage.multipartUploads.list |
Writer bucket legacy Storage
(roles/storage.legacyBucketWriter) |
Concede l'autorizzazione per creare, sostituire, elencare ed eliminare oggetti e cartelle gestite, creare oggetti che hanno una configurazione di conservazione, leggere i metadati degli oggetti e delle cartelle gestite durante l'elenco (esclusi i criteri IAM) e leggere i metadati del bucket, esclusi i criteri IAM.
L'utilizzo di questo ruolo è visibile anche negli ACL del bucket. Per ulteriori informazioni, consulta Relazione IAM con gli ACL. |
storage.buckets.getstorage.objects.liststorage.objects.createstorage.objects.deletestorage.objects.restorestorage.objects.setRetentionstorage.managedFolders.createstorage.managedFolders.deletestorage.managedFolders.getstorage.managedFolders.liststorage.multipartUploads.* |
Proprietario bucket legacy Storage
(roles/storage.legacyBucketOwner) |
Concede l'autorizzazione per creare, sostituire, elencare ed eliminare oggetti e cartelle gestite, creare oggetti che hanno una configurazione di conservazione, creare, eliminare ed elencare associazioni di tag, leggere i metadati degli oggetti durante l'elenco (esclusi i criteri IAM), leggere i metadati delle cartelle gestite durante l'elenco (inclusi i criteri IAM) e leggere e modificare i metadati del bucket (inclusi i criteri IAM).
L'utilizzo di questo ruolo è visibile anche negli ACL del bucket. Per ulteriori informazioni, consulta Relazione IAM con gli ACL. |
storage.buckets.getstorage.buckets.createTagBindingstorage.buckets.deleteTagBindingstorage.buckets.listEffectiveTagsstorage.buckets.listTagBindingsstorage.buckets.updatestorage.buckets.enableObjectRetentionstorage.buckets.restorestorage.buckets.setIamPolicystorage.buckets.getIamPolicystorage.managedFolders.*storage.objects.liststorage.objects.createstorage.objects.deletestorage.objects.restorestorage.objects.setRetentionstorage.multipartUploads.* |
Ruoli personalizzati
È consigliabile definire ruoli personalizzati che contengono i pacchetti di autorizzazioni da te specificati. A supporto di ciò, IAM offre ruoli personalizzati.
Passaggi successivi
Utilizza le autorizzazioni IAM per controllare l'accesso ai bucket e agli oggetti.
Scopri di più su ciascuna autorizzazione IAM per Cloud Storage.
Consulta i riferimenti IAM per Cloud Storage disponibili, ad esempio quali autorizzazioni IAM consentono agli utenti di eseguire azioni con vari strumenti e API.
Per riferimento agli altri ruoli di Google Cloud, consulta Informazioni sui ruoli.