Ruoli predefiniti
La seguente tabella descrive i ruoli di Identity and Access Management (IAM) associati a Cloud Storage ed elenca le autorizzazioni contenute in ciascun ruolo. Salvo diversa indicazione, questi ruoli possono essere applicati a interi progetti o a bucket specifici.
| Ruolo | Descrizione | Autorizzazioni |
|---|---|---|
Creatore oggetti Storage
(roles/storage.objectCreator) |
Consente agli utenti di creare oggetti. Non autorizza la visualizzazione, l'eliminazione o la sostituzione di oggetti. | orgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.objects.createstorage.multipartUploads.createstorage.multipartUploads.abortstorage.multipartUploads.listParts |
Visualizzatore oggetti Storage
(roles/storage.objectViewer) |
Concede l'accesso per visualizzare gli oggetti e i relativi metadati, esclusi gli ACL. Può anche elencare gli oggetti in un bucket. |
resourcemanager.projects.get2resourcemanager.projects.list2storage.objects.getstorage.objects.list |
Amministratore oggetti Storage
(roles/storage.objectAdmin) |
Concede il controllo completo sugli oggetti, inclusi elenco, creazione, visualizzazione ed eliminazione di oggetti. | orgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.objects.*storage.multipartUploads.* |
Amministratore chiavi HMAC di Storage
(roles/storage.hmacKeyAdmin) |
Controllo completo sulle chiavi HMAC in un progetto. Questo ruolo può essere applicato solo a un progetto. | orgpolicy.policy.get1storage.hmacKeys.* |
Amministratore Storage (roles/storage.admin) |
Concede il controllo completo dei bucket e degli oggetti. Se applicato a un singolo bucket, il controllo si applica solo al bucket e agli oggetti specificati all'interno del bucket. |
firebase.projects.getorgpolicy.policy.get1resourcemanager.projects.get2resourcemanager.projects.list2storage.buckets.*storage.objects.*storage.multipartUploads.* |
Amministratore insight di archiviazione (roles/storageinsights.admin) |
Concede il controllo completo dei report e delle configurazioni dell'inventario di Storage Insights. |
storageinsights.reportConfigs.createstorageinsights.reportConfigs.*storageinsights.reportDetails.* |
Visualizzatore insight di archiviazione (roles/storageinsights.viewer) |
Concede l'accesso in sola lettura ai report e alle configurazioni dell'inventario di Storage Insights. | cloudresourcemanager.projects.getcloudresourcemanager.projects.liststorageinsights.reportConfigs.liststorageinsights.reportConfigs.getstorageinsights.reportDetails.liststorageinsights.reportDetails.get |
1 L'autorizzazione orgpolicy.policy.get consente alle entità di conoscere i vincoli dei criteri dell'organizzazione a cui è soggetto un progetto.
Al momento questa autorizzazione è inclusa nel ruolo solo se è impostata a livello di progetto.
2 Per ulteriori informazioni sulle autorizzazioni resourcemanager.projects.*, vedi Controllo dell'accesso per i progetti con IAM.
Ruoli di base
I ruoli di base sono i ruoli esistenti prima di IAM. Questi ruoli hanno caratteristiche uniche:
I ruoli di base possono essere concessi solo per un intero progetto, non per singoli bucket all'interno del progetto. Come gli altri ruoli concessi per un progetto, i ruoli di base si applicano a tutti i bucket e a tutti gli oggetti del progetto.
I ruoli di base contengono autorizzazioni aggiuntive per altri servizi di Google Cloud che non sono trattati in questa sezione. Consulta i ruoli di base per una discussione generale sulle autorizzazioni concesse dai ruoli di base.
Ogni ruolo di base ha un valore di convenienza che ti consente di utilizzare il ruolo di base come se fosse un gruppo. In questo modo, qualsiasi entità con il ruolo di base viene considerata parte del gruppo. Tutti i membri del gruppo ottengono un accesso aggiuntivo alle risorse in base all'accesso di cui dispongono il valore di convenienza.
I valori di convenienza possono essere utilizzati quando si assegnano i ruoli per i bucket.
I valori di convenienza possono essere utilizzati durante l'impostazione degli ACL negli oggetti.
I ruoli di base non forniscono intrinsecamente l'accesso alle risorse Cloud Storage suggerite dai loro nomi. Al contrario, forniscono una parte dell'accesso previsto intrinsecamente e il resto dell'accesso previsto tramite l'uso di valori di convenienza. Poiché i valori di convenienza possono essere aggiunti o rimossi manualmente come qualsiasi altra entità IAM, è possibile revocare l'accesso che le entità avrebbero altrimenti previsto.
Per una discussione sull'accesso aggiuntivo che le entità con ruoli di base acquisiscono in genere a causa dei valori di convenienza, vedi Comportamento modificabile.
Autorizzazioni intrinseche
La tabella seguente descrive le autorizzazioni di Cloud Storage sempre associate a ciascun ruolo di base.
| Ruolo | Descrizione | Autorizzazioni di Cloud Storage |
|---|---|---|
Visualizzatore (roles/viewer) |
Concede l'autorizzazione per elencare i bucket nel progetto; visualizzare i metadati dei bucket durante l'elenco (esclusi gli ACL); elencare e recuperare le chiavi HMAC nel progetto. | storage.buckets.liststorage.hmacKeys.getstorage.hmacKeys.list |
Editor (roles/editor) |
Concede l'autorizzazione per creare, elencare ed eliminare bucket nel progetto, visualizzare i metadati dei bucket durante l'elenco (esclusi gli ACL) e controllare le chiavi HMAC nel progetto. | storage.buckets.createstorage.buckets.deletestorage.buckets.liststorage.hmacKeys.* |
Proprietario (roles/owner) |
Concede l'autorizzazione per creare, elencare ed eliminare bucket nel progetto, visualizzare i metadati dei bucket durante l'elenco (esclusi gli ACL) e controllare le chiavi HMAC nel progetto. In Google Cloud, in generale, le entità con questo ruolo possono eseguire attività amministrative come la modifica dei ruoli delle entità per il progetto o la fatturazione. |
storage.buckets.createstorage.buckets.deletestorage.buckets.liststorage.hmacKeys.* |
Comportamento modificabile
La tabella seguente descrive l'accesso aggiuntivo a Cloud Storage in genere associato a ciascun ruolo di base a causa di valori di convenienza. Questo accesso aggiuntivo viene concesso al momento della creazione del bucket, ma in seguito puoi modificare i criteri IAM del bucket e gli ACL degli oggetti per rimuoverlo o modificarlo.
| Ruolo | Accesso aggiuntivo ottenuto per valori di convenienza |
|---|---|
Visualizzatore (roles/viewer) |
|
Editor (roles/editor) |
|
Proprietario (roles/owner) |
|
Ruoli precedenti predefiniti
La tabella seguente elenca i ruoli IAM equivalenti alle autorizzazioni Elenco di controllo di accesso (ACL). Puoi concedere ruoli legacy solo per singoli bucket, non per progetti.
| Ruolo | Descrizione | Autorizzazioni |
|---|---|---|
Lettore di oggetti legacy Storage
(roles/storage.legacyObjectReader) |
Concede l'autorizzazione per visualizzare gli oggetti e i relativi metadati, esclusi gli ACL. | storage.objects.get |
Proprietario oggetti legacy Storage
(roles/storage.legacyObjectOwner) |
Concede l'autorizzazione per visualizzare e modificare oggetti e relativi metadati, inclusi gli ACL. | storage.objects.getstorage.objects.updatestorage.objects.setIamPolicystorage.objects.getIamPolicy |
Lettore del bucket legacy di Storage
(roles/storage.legacyBucketReader) |
Concede l'autorizzazione per elencare i contenuti di un bucket e leggere i metadati del bucket, esclusi i criteri IAM. Concede inoltre l'autorizzazione per leggere i metadati degli oggetti quando elenca gli oggetti (esclusi i criteri IAM).
L'uso di questo ruolo si riflette anche negli ACL del bucket. Per ulteriori informazioni, consulta la relazione IAM con gli ACL. |
storage.buckets.getstorage.objects.liststorage.multipartUploads.list |
Writer bucket legacy di Storage
(roles/storage.legacyBucketWriter) |
Concede l'autorizzazione per creare, sostituire ed eliminare oggetti, elencare gli oggetti in un bucket, leggere i metadati degli oggetti durante l'elenco (esclusi i criteri IAM) e leggere i metadati dei bucket, esclusi i criteri IAM.
L'uso di questo ruolo si riflette anche negli ACL del bucket. Per ulteriori informazioni, consulta la relazione IAM con gli ACL. |
storage.buckets.getstorage.objects.liststorage.objects.createstorage.objects.deletestorage.multipartUploads.* |
Proprietario bucket legacy di Storage
(roles/storage.legacyBucketOwner) |
Concede l'autorizzazione per creare, sostituire ed eliminare oggetti; elencare gli oggetti in un bucket; creare, eliminare ed elencare associazioni di tag; leggere i metadati degli oggetti durante l'elenco (esclusi i criteri IAM) e leggere e modificare i metadati dei bucket, inclusi i criteri IAM.
L'uso di questo ruolo si riflette anche negli ACL del bucket. Per ulteriori informazioni, consulta la relazione IAM con gli ACL. |
storage.buckets.getstorage.buckets.createTagBindingstorage.buckets.deleteTagBindingstorage.buckets.listTagBindingsstorage.buckets.updatestorage.buckets.setIamPolicystorage.buckets.getIamPolicystorage.objects.liststorage.objects.createstorage.objects.deletestorage.multipartUploads.* |
Ruoli personalizzati
Puoi definire i tuoi ruoli contenenti i pacchetti di autorizzazioni da te specificati. A questo scopo, IAM offre ruoli personalizzati.
Passaggi successivi
Utilizza le autorizzazioni IAM per controllare l'accesso ai bucket e agli oggetti.
Scopri di più su ciascuna autorizzazione IAM per Cloud Storage.
Scopri quali autorizzazioni IAM consentono agli utenti di eseguire azioni con Cloud Console, con gsutil, con l'API JSON e con l'API XML.
Per un riferimento ad altri ruoli di Google Cloud, consulta la sezione Informazioni sui ruoli.