Funciones de Cloud IAM para Cloud Storage

Funciones estándar

En la siguiente tabla, se describen las funciones de Cloud Identity and Access Management (Cloud IAM) asociadas con Cloud Storage y se enumeran los permisos de objetos y depósitos que se incluyen en cada una. Estas funciones se pueden aplicar a proyectos completos o depósitos específicos.

Función Descripción Permisos
roles/storage.objectCreator Permite a los usuarios crear objetos. No otorga permisos para ver, borrar o reemplazar objetos. resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.create
roles/storage.objectViewer Otorga acceso para ver los objetos y sus metadatos, sin incluir las LCA.

También puede enumerar los objetos de un depósito.

resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.get
storage.objects.list
roles/storage.objectAdmin Otorga control total sobre los objetos para enumerarlos, crearlos, verlos y borrarlos. resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.*
roles/storage.admin Otorga control total sobre los depósitos y objetos.

Cuando se aplica en un depósito individual, el control solo se aplica a los depósitos y objetos especificados en el depósito.

firebase.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
storage.buckets.*
storage.objects.*

Funciones básicas

En la siguiente tabla, se describen las funciones básicas y los permisos de Cloud Storage que contienen. Las funciones básicas no se pueden agregar en el nivel del depósito.

Función Descripción Permisos
role/viewer Otorga permiso para enumerar depósitos y ver sus metadatos, sin incluir las LCA. storage.buckets.list
role/editor Otorga permiso para crear, enumerar y borrar depósitos. También otorga permiso para ver sus metadatos, sin incluir las LCA. storage.buckets.create
storage.buckets.delete
storage.buckets.list
role/owner Otorga permiso para crear, enumerar y borrar depósitos. También otorga permiso para ver sus metadatos, sin incluir las LCA. storage.buckets.create
storage.buckets.delete
storage.buckets.list

Funciones heredadas

En la siguiente tabla, se enumeran las funciones de Cloud IAM que son equivalentes a los permisos de Lista de control de acceso (LCA). Estas funciones de Cloud IAM solo se pueden aplicar a un depósito, no a un proyecto.

Función Descripción Permisos
roles/storage.legacyObjectReader Otorga permiso para ver los objetos y sus metadatos, sin incluir las LCA. storage.objects.get
roles/storage.legacyObjectOwner Otorga permiso para ver y editar objetos y sus metadatos, incluidas las LCA. storage.objects.get
storage.objects.update
storage.objects.setIamPolicy
storage.objects.getIamPolicy
roles/storage.legacyBucketReader Otorga permiso para enumerar el contenido y leer los metadatos de un depósito, sin incluir las políticas de Cloud IAM. También otorga permiso para leer metadatos de objetos cuando se enumeran, sin incluir las políticas de Cloud IAM.

El uso de esta función también se refleja en las LCA del depósito. Consulta la relación de Cloud IAM con las LCA para obtener más información.

storage.buckets.get
storage.objects.list
roles/storage.legacyBucketWriter Otorga permiso para crear, reemplazar y borrar objetos, enumerar los objetos de un depósito y leer sus metadatos, y leer los metadatos del depósito, sin incluir las políticas de Cloud IAM de objetos y depósitos.

El uso de esta función también se refleja en las LCA del depósito. Consulta la relación de Cloud IAM con las LCA para obtener más información.

storage.buckets.get
storage.objects.list
storage.objects.create
storage.objects.delete
roles/storage.legacyBucketOwner Otorga permiso para crear, reemplazar y borrar objetos, enumerar los objetos de un depósito y leer sus metadatos (sin incluir las políticas de Cloud IAM), además de leer y editar los metadatos del depósito (incluidas las políticas de Cloud IAM).

El uso de esta función también se refleja en las LCA del depósito. Consulta la relación de Cloud IAM con las LCA para obtener más información.

storage.buckets.get
storage.buckets.update
storage.buckets.setIamPolicy
storage.buckets.getIamPolicy
storage.objects.list
storage.objects.create
storage.objects.delete

Funciones personalizadas

Es posible que desees definir tus propias funciones que contengan paquetes de permisos específicos. Para ello, Cloud IAM ofrece funciones personalizadas.

Pasos siguientes

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Si necesitas ayuda, visita nuestra página de asistencia.