Funciones de Cloud IAM para Cloud Storage

Funciones estándar

En la siguiente tabla, se describen las funciones Cloud Identity and Access Management (Cloud IAM) que se asocian con Cloud Storage y se enumeran los permisos de cada función. A menos que se indique lo contrario, estas funciones se pueden aplicar a proyectos enteros o depósitos específicos.

Función	Descripción	Permisos
`roles/storage.objectCreator`	Permite a los usuarios crear objetos. No otorga permisos para ver, borrar ni reemplazar objetos.	`resourcemanager.projects.get` `resourcemanager.projects.list` `storage.objects.create`
`roles/storage.objectViewer`	Otorga acceso para ver los objetos y sus metadatos, sin incluir las LCA. También se pueden enumerar los objetos de un depósito.	`resourcemanager.projects.get` `resourcemanager.projects.list` `storage.objects.get` `storage.objects.list`
`roles/storage.objectAdmin`	Otorga control total sobre los objetos, lo que incluye permisos para enumerarlos, crearlos, verlos y borrarlos.	`resourcemanager.projects.get` `resourcemanager.projects.list` `storage.objects.*`
`roles/storage.hmacKeyAdmin`	Otorga control total de las claves HMAC en un proyecto.	`storage.hmacKeys.*`
`roles/storage.admin`	Otorga control total sobre los depósitos y objetos. Cuando se aplica en un depósito individual, el control solo se aplica a los depósitos y objetos especificados en el depósito.	`firebase.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `storage.buckets.` `storage.objects.`

Funciones básicas

En la siguiente tabla, se describen las funciones básicas y los permisos de Cloud Storage que contienen. Las funciones básicas no se pueden agregar en el nivel del depósito.

Función	Descripción	Permisos
`role/viewer`	Otorga permiso para enumerar depósitos y ver sus metadatos, sin incluir las LCA. También otorga permiso para enumerar y obtener claves HMAC en el proyecto.	`storage.buckets.list` `storage.hmacKeys.get` `storage.hmacKeys.list`
`role/editor`	Otorga permiso para crear, enumerar y borrar depósitos. Otorga permiso para ver los metadatos del depósito, sin incluir las LCA, cuando los enumeres. Otorga control total sobre las claves HMAC en un proyecto.	`storage.buckets.create` `storage.buckets.delete` `storage.buckets.list` `storage.hmacKeys.*`
`role/owner`	Otorga permiso para crear, enumerar y borrar depósitos. También otorga permiso para ver sus metadatos, sin incluir las LCA, cuando los enumeres. Otorga control total sobre las claves HMAC en un proyecto.	`storage.buckets.create` `storage.buckets.delete` `storage.buckets.list` `storage.hmacKeys.*`

Funciones heredadas

En la siguiente tabla, se enumeran las funciones de Cloud IAM que son equivalentes a los permisos de Lista de control de acceso (LCA). Estas funciones de Cloud IAM solo se pueden aplicar a un depósito, no a un proyecto.

Función	Descripción	Permisos
`roles/storage.legacyObjectReader`	Otorga permiso para ver los objetos y sus metadatos, sin incluir las LCA.	`storage.objects.get`
`roles/storage.legacyObjectOwner`	Otorga permiso para ver y editar objetos y sus metadatos, incluidas las LCA.	`storage.objects.get` `storage.objects.update` `storage.objects.setIamPolicy` `storage.objects.getIamPolicy`
`roles/storage.legacyBucketReader`	Otorga permiso para enumerar el contenido y leer los metadatos de un depósito, sin incluir las políticas de Cloud IAM. También otorga permiso para leer metadatos de objetos cuando se enumeran los objetos, sin incluir las políticas de Cloud IAM. El uso de esta función también se refleja en las LCA del depósito. Consulta la relación de Cloud IAM con las LCA para obtener más información.	`storage.buckets.get` `storage.objects.list`
`roles/storage.legacyBucketWriter`	Otorga permiso para crear, reemplazar y borrar objetos. También, permite enumerar los objetos de un depósito y leer sus metadatos, sin incluir las políticas de Cloud IAM, durante la enumeración. Además, otorga permiso para leer metadatos de un depósito, sin incluir las políticas de Cloud IAM. El uso de esta función también se refleja en las LCA del depósito. Consulta la relación de Cloud IAM con las LCA para obtener más información.	`storage.buckets.get` `storage.objects.list` `storage.objects.create` `storage.objects.delete`
`roles/storage.legacyBucketOwner`	Otorga permiso para crear, reemplazar y borrar objetos. También, permite enumerar los objetos de un depósito y leer sus metadatos, sin incluir las políticas de Cloud IAM, durante la enumeración. Además, otorga permiso para leer y editar los metadatos del depósito, incluidas las políticas de Cloud IAM. El uso de esta función también se refleja en las LCA del depósito. Consulta la relación de Cloud IAM con las LCA para obtener más información.	`storage.buckets.get` `storage.buckets.update` `storage.buckets.setIamPolicy` `storage.buckets.getIamPolicy` `storage.objects.list` `storage.objects.create` `storage.objects.delete`

Funciones personalizadas

Es posible que desees definir tus propias funciones que contengan paquetes de permisos específicos. Para ello, Cloud IAM ofrece funciones personalizadas.

Próximos pasos

Aprende a controlar el acceso a los depósitos y objetos con los permisos de Cloud IAM.
Si deseas obtener una referencia en la que se describe cada permiso de Cloud IAM en Cloud Storage, consulta Permisos de Cloud IAM para Cloud Storage.
Para obtener referencias sobre cuáles permisos de Cloud IAM permiten que los usuarios realicen acciones con herramientas diferentes de Cloud Storage, consulta Cloud IAM con Cloud Console, Cloud IAM con gsutil, Cloud IAM con JSON y Cloud IAM con XML.
Para obtener una referencia de otras funciones de Google Cloud Platform, consulta Comprende las funciones.

¿Te sirvió esta página? Envíanos tu opinión:

Except as otherwise noted, the content of this page is licensed under the Creative Commons Attribution 4.0 License, and code samples are licensed under the Apache 2.0 License. For details, see our Site Policies. Java is a registered trademark of Oracle and/or its affiliates.

Última actualización: Noviembre 20, 2019