Funciones estándar
En la siguiente tabla, se describen las funciones Cloud Identity and Access Management (Cloud IAM) que se asocian con Cloud Storage y se enumeran los permisos de cada función. A menos que se indique lo contrario, estas funciones se pueden aplicar a proyectos enteros o depósitos específicos.
| Función | Descripción | Permisos |
|---|---|---|
roles/storage.objectCreator |
Permite a los usuarios crear objetos. No otorga permisos para ver, borrar ni reemplazar objetos. | resourcemanager.projects.getresourcemanager.projects.liststorage.objects.create |
roles/storage.objectViewer |
Otorga acceso para ver los objetos y sus metadatos, sin incluir las LCA. También se pueden enumerar los objetos de un depósito. |
resourcemanager.projects.getresourcemanager.projects.liststorage.objects.getstorage.objects.list |
roles/storage.objectAdmin |
Otorga control total sobre los objetos, lo que incluye permisos para enumerarlos, crearlos, verlos y borrarlos. | resourcemanager.projects.getresourcemanager.projects.liststorage.objects.* |
roles/storage.hmacKeyAdmin |
Otorga control total de las claves HMAC en un proyecto. | storage.hmacKeys.* |
roles/storage.admin |
Otorga control total sobre los depósitos y objetos. Cuando se aplica en un depósito individual, el control solo se aplica al depósito especificado y a los objetos que contiene. |
firebase.projects.getresourcemanager.projects.getresourcemanager.projects.liststorage.buckets.*storage.objects.* |
Funciones básicas
En la siguiente tabla, se describen las funciones básicas y los permisos de Cloud Storage que contienen. Las funciones básicas no se pueden agregar a nivel de depósito.
| Función | Descripción | Permisos |
|---|---|---|
role/viewer |
Otorga permiso para enumerar depósitos y ver sus metadatos, sin incluir las LCA. También otorga permiso para enumerar y obtener claves HMAC en el proyecto. | storage.buckets.liststorage.hmacKeys.getstorage.hmacKeys.list |
role/editor |
Otorga permiso para crear, enumerar y borrar depósitos. Otorga permiso para ver los metadatos del depósito, sin incluir las LCA, cuando los enumeres. Otorga control total sobre las claves HMAC en un proyecto. | storage.buckets.createstorage.buckets.deletestorage.buckets.liststorage.hmacKeys.* |
role/owner |
Otorga permiso para crear, enumerar y borrar depósitos. También otorga permiso para ver sus metadatos, sin incluir las LCA, cuando los enumeres. Otorga control total sobre las claves HMAC en un proyecto. | storage.buckets.createstorage.buckets.deletestorage.buckets.liststorage.hmacKeys.* |
Funciones heredadas
En la siguiente tabla, se enumeran las funciones de Cloud IAM que son equivalentes a los permisos de Lista de control de acceso (LCA). Estas funciones de Cloud IAM solo se pueden aplicar a un depósito, no a un proyecto.
| Función | Descripción | Permisos |
|---|---|---|
roles/storage.legacyObjectReader |
Otorga permiso para ver los objetos y sus metadatos, sin incluir las LCA. | storage.objects.get |
roles/storage.legacyObjectOwner |
Otorga permiso para ver y editar objetos y sus metadatos, incluidas las LCA. | storage.objects.getstorage.objects.updatestorage.objects.setIamPolicystorage.objects.getIamPolicy |
roles/storage.legacyBucketReader |
Otorga permiso para enumerar el contenido y leer los metadatos de un depósito, sin incluir las políticas de Cloud IAM. También otorga permiso para leer metadatos de objetos cuando se enumeran los objetos, sin incluir las políticas de Cloud IAM.
El uso de esta función también se refleja en las LCA del depósito. Consulta la relación de Cloud IAM con las LCA para obtener más información. |
storage.buckets.getstorage.objects.list |
roles/storage.legacyBucketWriter |
Otorga permiso para crear, reemplazar y borrar objetos. También, permite enumerar los objetos de un depósito y leer sus metadatos, sin incluir las políticas de Cloud IAM, durante la enumeración. Además, otorga permiso para leer metadatos de un depósito, sin incluir las políticas de Cloud IAM. El uso de esta función también se refleja en las LCA del depósito. Consulta la relación de Cloud IAM con las LCA para obtener más información. |
storage.buckets.getstorage.objects.liststorage.objects.createstorage.objects.delete |
roles/storage.legacyBucketOwner |
Otorga permiso para crear, reemplazar y borrar objetos. También, permite enumerar los objetos de un depósito y leer sus metadatos, sin incluir las políticas de Cloud IAM, durante la enumeración. Además, otorga permiso para leer y editar los metadatos del depósito, incluidas las políticas de Cloud IAM. El uso de esta función también se refleja en las LCA del depósito. Consulta la relación de Cloud IAM con las LCA para obtener más información. |
storage.buckets.getstorage.buckets.updatestorage.buckets.setIamPolicystorage.buckets.getIamPolicystorage.objects.liststorage.objects.createstorage.objects.delete |
Funciones personalizadas
Es posible que desees definir tus propias funciones que contengan paquetes de permisos específicos. Para ello, Cloud IAM ofrece funciones personalizadas.
Próximos pasos
Aprende a controlar el acceso a los depósitos y objetos con los permisos de Cloud IAM.
Si deseas obtener una referencia en la que se describe cada permiso de Cloud IAM en Cloud Storage, consulta Permisos de Cloud IAM para Cloud Storage.
Para obtener referencias sobre cuáles permisos de Cloud IAM permiten que los usuarios realicen acciones con diferentes herramientas de Cloud Storage, consulta Cloud IAM con Cloud Console, Cloud IAM con gsutil, Cloud IAM con JSON y Cloud IAM con XML.
Para obtener una referencia de otras funciones de Google Cloud, consulta la página Comprende las funciones.