Rôles Cloud IAM pour Cloud Storage

Rôles standards

Le tableau ci-dessous décrit les rôles Cloud Identity and Access Management (Cloud IAM) associés à Cloud Storage, et répertorie les autorisations relatives aux buckets et aux objets comprises dans chaque rôle. Ces rôles peuvent être appliqués à des projets entiers ou à des buckets spécifiques.

Rôle Description Autorisations
roles/storage.objectCreator Permet aux utilisateurs de créer des objets, mais pas de les supprimer, ni de les écraser. resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.create
roles/storage.objectViewer Permet d'afficher les objets et leurs métadonnées, à l'exclusion des listes de contrôle d'accès.

Peut aussi répertorier les objets d'un bucket.

resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.get
storage.objects.list
roles/storage.objectAdmin Offre un contrôle complet sur les objets (dont la possibilité de répertorier, créer, afficher et supprimer des objets). resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.*
roles/storage.admin Offre un contrôle complet des buckets et des objets.

Lorsque ce rôle est appliqué à un bucket individuel, le contrôle ne concerne que le bucket spécifié et les objets qu'il contient.

firebase.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
storage.buckets.*
storage.objects.*

Rôles primitifs

Le tableau suivant décrit les rôles primitifs ainsi que les autorisations Cloud Storage associées à ces rôles. Les rôles primitifs ne peuvent pas être ajoutés au niveau du bucket.

Rôle Description Autorisations
role/viewer Octroie l'autorisation de répertorier les buckets et d'afficher leurs métadonnées, à l'exclusion des LCA, lors de la création d'une liste. storage.buckets.list
role/editor Octroie l'autorisation de créer, de répertorier et de supprimer des buckets. Permet également d'afficher leurs métadonnées, à l'exclusion des LCA, lors de la création d'une liste. storage.buckets.create
storage.buckets.delete
storage.buckets.list
role/owner Octroie l'autorisation de créer, de répertorier et de supprimer des buckets. Permet également d'afficher leurs métadonnées, à l'exclusion des LCA, lors de la création d'une liste. storage.buckets.create
storage.buckets.delete
storage.buckets.list

Anciens rôles

Le tableau suivant répertorie les rôles Cloud IAM équivalents aux autorisations octroyées par les listes de contrôle d'accès (LCA). Ces rôles Cloud IAM ne peuvent être appliqués qu'à un bucket, pas à un projet.

Rôle Description Autorisations
roles/storage.legacyObjectReader Octroie l'autorisation d'afficher des objets et leurs métadonnées, à l'exclusion des LCA. storage.objects.get
roles/storage.legacyObjectOwner Octroie l'autorisation d'afficher et de modifier des objets et leurs métadonnées, y compris les LCA. storage.objects.get
storage.objects.update
storage.objects.setIamPolicy
storage.objects.getIamPolicy
roles/storage.legacyBucketReader Octroie l'autorisation de répertorier le contenu d'un bucket et de lire ses métadonnées, à l'exclusion des stratégies IAM Cloud. Permet également de lire les métadonnées des objets, à l'exclusion des stratégies IAM Cloud, lors de la création d'une liste des objets.

L'utilisation de ce rôle est également reflétée dans les LCA du bucket. Pour plus d'informations, consultez la section Relation entre Cloud IAM et les LCA.

storage.buckets.get
storage.objects.list
roles/storage.legacyBucketWriter Octroie l'autorisation de créer, d'écraser et de supprimer des objets, de répertorier les objets d'un bucket et de lire les métadonnées des objets (à l'exclusion des stratégies IAM Cloud) lors de la création de listes. Ce rôle permet également de lire les métadonnées d'un bucket, à l'exclusion des stratégies IAM Cloud.

L'utilisation de ce rôle est également reflétée dans les LCA du bucket. Pour plus d'informations, consultez la section Relation entre Cloud IAM et les LCA.

storage.buckets.get
storage.objects.list
storage.objects.create
storage.objects.delete
roles/storage.legacyBucketOwner Octroie l'autorisation de créer, d'écraser et de supprimer des objets, de répertorier les objets d'un bucket et de lire les métadonnées des objets (à l'exclusion des stratégies IAM Cloud) lors de la création de listes. Ce rôle permet également de lire et de modifier les métadonnées d'un bucket, y compris les stratégies IAM Cloud.

L'utilisation de ce rôle est également reflétée dans les LCA du bucket. Pour en savoir plus, consultez la section Relation entre Cloud IAM et les LCA.

storage.buckets.get
storage.buckets.update
storage.buckets.setIamPolicy
storage.buckets.getIamPolicy
storage.objects.list
storage.objects.create
storage.objects.delete

Rôles personnalisés

Vous pouvez définir vos propres rôles et y associer plusieurs autorisations. Pour ce faire, Cloud IAM propose des rôles personnalisés.

Étape suivante

Cette page vous a-t-elle été utile ? Évaluez-la :

Envoyer des commentaires concernant…

Besoin d'aide ? Consultez notre page d'assistance.