Ruoli IAM per Cloud Storage

Ruoli predefiniti

La tabella seguente descrive i ruoli Identity and Access Management (IAM) associati a Cloud Storage ed elenca le autorizzazioni contenute in ogni ruolo. Se non diversamente indicato, questi ruoli possono essere applicati a interi progetti o a bucket specifici.

Ruolo	Descrizione	Autorizzazioni
Creatore oggetti Storage (roles/storage.objectCreator)	Consente agli utenti di creare oggetti. Non concede l'autorizzazione per visualizzare, eliminare o sostituire oggetti.	orgpolicy.policy.get1 resourcemanager.projects.get resourcemanager.projects.list storage.objects.create storage.multipartUploads.create storage.multipartUploads.abort storage.multipartUploads.listParts,
Visualizzatore oggetti Storage (roles/storage.objectViewer)	Concede l'accesso per visualizzare gli oggetti e i relativi metadati, esclusi gli ACL. Può anche elencare gli oggetti in un bucket.	resourcemanager.projects.get resourcemanager.projects.list storage.objects.get storage.objects.list
Amministratore oggetti Storage (roles/storage.objectAdmin)	Concede il pieno controllo sugli oggetti, inclusi elenco, creazione, visualizzazione ed eliminazione di oggetti.	orgpolicy.policy.get1 resourcemanager.projects.get resourcemanager.projects.list storage.objects.* storage.multipartUploads.*
Storage chiavi HMAC Admin (roles/storage.hmacKeyAdmin)	Controllo completo sulle chiavi HMAC in un progetto. Questo ruolo può essere applicato solo a un progetto.	orgpolicy.policy.get1 storage.hmacKeys.*
Amministratore Storage (roles/storage.admin)	Concede il pieno controllo dei bucket e degli oggetti. Se applicato a un singolo bucket, il controllo si applica solo al bucket specificato e agli oggetti all'interno del bucket.	firebase.projects.get orgpolicy.policy.get1 resourcemanager.projects.get resourcemanager.projects.list storage.buckets.* storage.objects.* storage.multipartUploads.*

¹ L'autorizzazione orgpolicy.policy.get consente alle entità di conoscere i vincoli dei criteri dell'organizzazione a cui è soggetto un progetto. Questa autorizzazione è attualmente inclusa nel ruolo solo se è impostata a livello di progetto.

Ruoli di base

I ruoli di base esistevano prima di IAM. Questi ruoli hanno caratteristiche uniche:

• I ruoli di base possono essere concessi solo per un intero progetto, non per singoli bucket all'interno del progetto. Come per gli altri ruoli concessi per un progetto, i ruoli di base vengono applicati a tutti i bucket e a tutti gli oggetti del progetto.

• I ruoli di base contengono autorizzazioni aggiuntive per altri servizi Google Cloud non trattati in questa sezione. Consulta la sezione Ruoli di base per una discussione generale sulle autorizzazioni concesse dai ruoli di base.

• Ogni ruolo di base ha un valore di convenienza che ti consente di utilizzare il ruolo di base come se fosse un gruppo. Se utilizzato in questo modo, qualsiasi entità con il ruolo di base viene considerata parte del gruppo. Tutti i membri del gruppo hanno accesso aggiuntivo alle risorse in base all'accesso al valore di convenienza.

  • I valori di convenienza possono essere utilizzati durante la concessione di ruoli per i bucket.

  • I valori di convenienza possono essere utilizzati quando si impostano gli ACL sugli oggetti.

• I ruoli di base non forniscono intrinsecamente tutti gli accessi alle risorse Cloud Storage implicite nei loro nomi. Al contrario, forniscono una parte dell'accesso previsto intrinsecamente e il resto dell'accesso previsto tramite l'uso di valori di convenienza. Poiché i valori di convenienza possono essere aggiunti o rimossi manualmente come qualsiasi altra entità IAM, è possibile revocare l'accesso che le entità potrebbero altrimenti visualizzare.

  Per un'analisi dell'accesso aggiuntivo che le entità con ruoli di base in genere acquisiscono a causa di valori di convenienza, consulta il comportamento modificabile.

Autorizzazioni intrinseche

La tabella seguente descrive le autorizzazioni di Cloud Storage associate a ogni ruolo di base.

Ruolo	Descrizione	Autorizzazioni di Cloud Storage
Visualizzatore (roles/viewer)	Concede l'autorizzazione per elencare i bucket nel progetto; visualizza i metadati dei bucket durante l'elenco (esclusi gli ACL), elenca le chiavi HMAC nel progetto e recuperale.	storage.buckets.list storage.hmacKeys.get storage.hmacKeys.list
Editor (roles/editor)	Concede l'autorizzazione per creare, elencare ed eliminare bucket nel progetto; visualizzare i metadati dei bucket durante l'elenco (esclusi gli ACL) e controllare le chiavi HMAC nel progetto.	storage.buckets.create storage.buckets.delete storage.buckets.list storage.hmacKeys.*
Proprietario (roles/owner)	Concede l'autorizzazione per creare, elencare ed eliminare bucket nel progetto; visualizzare i metadati dei bucket durante l'elenco (esclusi gli ACL) e controllare le chiavi HMAC nel progetto. Più internamente di Google Cloud, le entità con questo ruolo possono eseguire attività amministrative come la modifica delle entità per il progetto o la modifica della fatturazione.	storage.buckets.create storage.buckets.delete storage.buckets.list storage.hmacKeys.*

Comportamento modificabile

La tabella seguente descrive l'accesso aggiuntivo a Cloud Storage in genere associato a ciascun ruolo di base a causa dei valori di convenienza. Questo accesso aggiuntivo viene concesso al momento della creazione del bucket, ma in seguito puoi modificare i criteri IAM del bucket e gli ACL degli oggetti per rimuoverli o modificarlo.

Ruolo	Accesso aggiuntivo ottenuto per valori di convenienza
Visualizzatore (roles/viewer)	Ruolo roles/storage.legacyBucketReader assegnato per ciascun bucket nel progetto. Autorizzazione READER concessa nell'elenco di controllo di accesso oggetti predefinito per ogni bucket nel progetto. Se abiliti l'accesso uniforme a livello di bucket al momento della creazione del bucket, ti viene concesso anche roles/storage.legacyObjectReader
Editor (roles/editor)	Ruolo roles/storage.legacyBucketOwner assegnato per ciascun bucket nel progetto. Autorizzazione OWNER concessa nell'elenco di controllo di accesso oggetti predefinito per ogni bucket nel progetto. Se abiliti l'accesso uniforme a livello di bucket al momento della creazione del bucket,ti viene concesso anche il ruolo roles/storage.legacyObjectOwner
Proprietario (roles/owner)	Ruolo roles/storage.legacyBucketOwner assegnato per ciascun bucket nel progetto. Autorizzazione OWNER concessa nell'elenco di controllo di accesso oggetti predefinito per ogni bucket nel progetto. Se abiliti l'accesso uniforme a livello di bucket al momento della creazione del bucket,ti viene concesso anche il ruolo roles/storage.legacyObjectOwner

Ruoli legacy predefiniti

La seguente tabella elenca i ruoli IAM equivalenti alle autorizzazioni Access Control List (ACL). Puoi concedere ruoli precedenti solo per singoli bucket, non per progetti.

Ruolo	Descrizione	Autorizzazioni
Lettore oggetti legacy Storage (roles/storage.legacyObjectReader)	Concede l'autorizzazione per visualizzare oggetti e relativi metadati, esclusi gli ACL.	storage.objects.get
Proprietario oggetti legacy Storage (roles/storage.legacyObjectOwner)	Concede l'autorizzazione per visualizzare e modificare oggetti e i metadati, inclusi gli ACL.	storage.objects.get storage.objects.update storage.objects.setIamPolicy storage.objects.getIamPolicy
Lettore del bucket legacy di Storage (roles/storage.legacyBucketReader)	Concede l'autorizzazione per elencare i contenuti di un bucket e leggere i metadati del bucket, esclusi i criteri IAM. Concede inoltre l'autorizzazione per leggere i metadati degli oggetti quando elenchi gli oggetti (esclusi i criteri IAM). L'utilizzo di questo ruolo si riflette anche negli ACL del bucket. Per ulteriori informazioni, consulta Relazione IAM per gli ACL.	storage.buckets.get storage.objects.list storage.multipartUploads.list
Writer bucket precedente Storage (roles/storage.legacyBucketWriter)	Concede l'autorizzazione per creare, sostituire ed eliminare oggetti, elencare oggetti in un bucket, leggere i metadati degli oggetti durante l'elenco (esclusi i criteri IAM) e leggere i metadati dei bucket, esclusi i criteri IAM. L'utilizzo di questo ruolo si riflette anche negli ACL del bucket. Per ulteriori informazioni, consulta Relazione IAM per gli ACL.	storage.buckets.get storage.objects.list storage.objects.create storage.objects.delete storage.multipartUploads.create storage.multipartUploads.abort storage.multipartUploads.listParts
Proprietario bucket Cloud Storage precedente (roles/storage.legacyBucketOwner)	Concede l'autorizzazione per creare, sostituire ed eliminare oggetti, elencare oggetti in un bucket, leggere i metadati degli oggetti durante l'elenco (esclusi i criteri IAM) e leggere e modificare i metadati dei bucket, inclusi i criteri IAM. L'utilizzo di questo ruolo si riflette anche negli ACL del bucket. Per ulteriori informazioni, consulta Relazione IAM per gli ACL.	storage.buckets.get storage.buckets.update storage.buckets.setIamPolicy storage.buckets.getIamPolicy storage.objects.list storage.objects.create storage.objects.delete storage.multipartUploads.*

Ruoli personalizzati

Puoi definire i tuoi ruoli contenenti i gruppi di autorizzazioni da te specificati. A questo scopo, IAM offre ruoli personalizzati.

Passaggi successivi

• Utilizza le autorizzazioni IAM per controllare l'accesso ai bucket e agli oggetti.

• Scopri di più su ogni autorizzazione IAM per Cloud Storage.

• Scopri quali autorizzazioni IAM consentono agli utenti di eseguire azioni con Cloud Console, con gsutil, con l'API JSON e con l'API XML.

• Per un riferimento ad altri ruoli di Google Cloud, vedi Informazioni sui ruoli.