Ruoli IAM per Cloud Storage

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Ruoli predefiniti

La tabella seguente descrive i ruoli di Identity and Access Management (IAM) associati a Cloud Storage ed elenca le autorizzazioni contenute in ogni ruolo. Se non diversamente indicato, questi ruoli possono essere applicati a interi progetti o a bucket specifici.

Per scoprire come controllare l'accesso ai bucket e agli oggetti, consulta Utilizzare le autorizzazioni IAM.

Ruolo Descrizione Autorizzazioni
Creatore oggetti Storage (roles/storage.objectCreator) Consente agli utenti di creare oggetti. Non autorizza la visualizzazione, l'eliminazione o la sostituzione di oggetti. orgpolicy.policy.get1
resourcemanager.projects.get2
resourcemanager.projects.list2
storage.objects.create
storage.multipartUploads.create
storage.multipartUploads.abort
storage.multipartUploads.listParts
Visualizzatore oggetti Storage (roles/storage.objectViewer) Concede l'accesso per visualizzare gli oggetti e i relativi metadati, esclusi gli ACL.

Può anche elencare gli oggetti in un bucket.

resourcemanager.projects.get2
resourcemanager.projects.list2
storage.objects.get
storage.objects.list
Amministratore oggetti Storage (roles/storage.objectAdmin) Concede il controllo completo sugli oggetti, inclusi elenco, creazione, visualizzazione ed eliminazione di oggetti. orgpolicy.policy.get1
resourcemanager.projects.get2
resourcemanager.projects.list2
storage.objects.*
storage.multipartUploads.*
Amministratore chiavi HMAC di archiviazione (roles/storage.hmacKeyAdmin) Controllo completo sulle chiavi HMAC in un progetto. Questo ruolo può essere applicato solo a un progetto. orgpolicy.policy.get1
storage.hmacKeys.*
Amministratore archiviazione (roles/storage.admin) Concede il controllo completo dei bucket e degli oggetti.

Quando è applicato a un singolo bucket, il controllo si applica solo al bucket e agli oggetti specificati all'interno del bucket.

firebase.projects.get
orgpolicy.policy.get1
resourcemanager.projects.get2
resourcemanager.projects.list2
storage.buckets.*
storage.objects.*
storage.multipartUploads.*
Amministratore Storage Insights (roles/storageinsights.admin) Concede il controllo completo delle configurazioni e dei report sull'inventario di Storage Insights. storageinsights.reportConfigs.create
storageinsights.reportConfigs.*
storageinsights.reportDetails.*
Visualizzatore Storage Insights (roles/storageinsights.viewer) Concede l'accesso in sola lettura ai report e alle configurazioni dell'inventario di Storage Insights. cloudresourcemanager.projects.get
cloudresourcemanager.projects.list
storageinsights.reportConfigs.list
storageinsights.reportConfigs.get
storageinsights.reportDetails.list
storageinsights.reportDetails.get

1 L'autorizzazione orgpolicy.policy.get consente alle entità di conoscere i vincoli dei criteri dell'organizzazione a cui è soggetto un progetto. Questa autorizzazione è attualmente valida solo se il ruolo viene concesso a livello di progetto o superiore.

2 Per saperne di più sulle autorizzazioni resourcemanager.projects.*, consulta Controllo dell'accesso per i progetti con IAM.

Ruoli di base

I ruoli di base esistevano prima di IAM. Questi ruoli hanno caratteristiche univoche:

  • I ruoli di base possono essere concessi solo per un intero progetto, non per i singoli bucket all'interno del progetto. Come altri ruoli concessi per un progetto, i ruoli di base si applicano a tutti i bucket e a tutti gli oggetti nel progetto.

  • I ruoli di base contengono autorizzazioni aggiuntive per altri servizi Google Cloud che non sono trattati in questa sezione. Consulta i ruoli di base per una discussione generale sulle autorizzazioni concesse dai ruoli di base.

  • Ogni ruolo di base ha un valore di convenienza che ti consente di utilizzare il ruolo di base come se fosse un gruppo. Quando utilizzata in questo modo, qualsiasi entità con il ruolo di base è considerata parte del gruppo. Tutti i membri del gruppo ottengono accesso aggiuntivo alle risorse in base all'accesso consentito dal valore.

    • I valori di convenienza possono essere utilizzati quando si assegnano ruoli per i bucket.

    • I valori di convenienza possono essere utilizzati quando si impostano ACL su oggetti.

  • I ruoli di base non concedono intrinsecamente l'accesso alle risorse Cloud Storage implicate dai rispettivi nomi. Al contrario, forniscono una parte dell'accesso previsto intrinsecamente e il resto dell'accesso previsto usando i valori di convenienza. Poiché i valori di comodità possono essere aggiunti o rimossi manualmente come qualsiasi altra entità IAM, è possibile revocare l'accesso che le entità potrebbero altrimenti avere.

    Per una discussione sull'accesso aggiuntivo che le entità con ruoli di base ottengono in genere a causa di valori di convenienza, consulta la sezione Comportamento modificabile.

Autorizzazioni intrinseche

La tabella seguente descrive le autorizzazioni di Cloud Storage associate sempre a ciascun ruolo di base.

Ruolo Descrizione Autorizzazioni di Cloud Storage
Visualizzatore (roles/viewer) Concede l'autorizzazione per elencare i bucket nel progetto; visualizzare i metadati dei bucket durante l'elenco (esclusi gli ACL) ed elencare le chiavi HMAC nel progetto. storage.buckets.list
storage.hmacKeys.get
storage.hmacKeys.list
Editor (roles/editor) Concede l'autorizzazione per creare, elencare ed eliminare bucket nel progetto; visualizzare i metadati dei bucket durante l'elenco (esclusi gli ACL) e controllare le chiavi HMAC nel progetto. storage.buckets.create
storage.buckets.delete
storage.buckets.list
storage.hmacKeys.*
Proprietario (roles/owner)

Concede l'autorizzazione per creare, elencare ed eliminare bucket nel progetto, visualizzare i metadati dei bucket durante l'elenco (esclusi gli ACL), creare, eliminare ed elencare le associazioni di tag e controllare le chiavi HMAC nel progetto.

In Google Cloud, più in generale, le entità con questo ruolo possono eseguire attività amministrative come la modifica dei ruoli delle entità per il progetto o la modifica della fatturazione.

storage.buckets.create
storage.buckets.delete
storage.buckets.list
storage.buckets.createTagBinding
storage.buckets.deleteTagBinding
storage.buckets.listEffectiveTags
storage.buckets.listTagBindings
storage.hmacKeys.*

Comportamento modificabile

La tabella seguente descrive l'accesso aggiuntivo a Cloud Storage in genere associato a ciascun ruolo di base a causa dei valori di convenienza. Questo accesso aggiuntivo viene concesso al momento della creazione del bucket, ma in seguito puoi modificare i criteri IAM del bucket e gli ACL degli oggetti per rimuoverli o modificarli.

Ruolo Accesso aggiuntivo ottenuto a causa di valori di comodità
Visualizzatore (roles/viewer)
Editor (roles/editor)
Proprietario (roles/owner)

Ruoli legacy predefiniti

Nella tabella seguente sono elencati i ruoli IAM che corrispondono alle autorizzazioni previste per l'elenco di controllo dell'accesso (ACL). Puoi concedere ruoli legacy solo per i singoli bucket, non per i progetti.

Ruolo Descrizione Autorizzazioni
Lettore di oggetti legacy Storage (roles/storage.legacyObjectReader) Concede l'autorizzazione per visualizzare gli oggetti e i relativi metadati, esclusi gli ACL. storage.objects.get
Proprietario oggetti legacy Storage (roles/storage.legacyObjectOwner) Concede l'autorizzazione per visualizzare e modificare oggetti e i relativi metadati, inclusi gli ACL. storage.objects.get
storage.objects.update
storage.objects.setIamPolicy
storage.objects.getIamPolicy
Lettore del bucket legacy di Storage (roles/storage.legacyBucketReader) Concede l'autorizzazione per elencare i contenuti di un bucket e leggere i metadati del bucket, esclusi i criteri IAM. Concede inoltre l'autorizzazione per leggere i metadati degli oggetti durante l'elenco degli oggetti (esclusi i criteri IAM).

L'uso di questo ruolo si riflette anche negli ACL del bucket. Per ulteriori informazioni, consulta la Relazione IAM agli ACL.

storage.buckets.get
storage.objects.list
storage.multipartUploads.list
Writer bucket legacy Storage (roles/storage.legacyBucketWriter) Concede l'autorizzazione per creare, sostituire ed eliminare oggetti; elencare gli oggetti in un bucket; leggere i metadati degli oggetti durante l'elenco (esclusi i criteri IAM) e leggere i metadati dei bucket, esclusi i criteri IAM.

L'uso di questo ruolo si riflette anche negli ACL del bucket. Per ulteriori informazioni, consulta la Relazione IAM agli ACL.

storage.buckets.get
storage.objects.list
storage.objects.create
storage.objects.delete
storage.multipartUploads.*
Proprietario bucket Cloud Storage (roles/storage.legacyBucketOwner) Concede l'autorizzazione per creare, sostituire ed eliminare oggetti; elencare oggetti in un bucket; creare, eliminare ed elencare associazioni di tag; leggere metadati di oggetti durante l'elenco (esclusi i criteri IAM) e leggere e modificare i metadati di bucket, inclusi i criteri IAM.

L'uso di questo ruolo si riflette anche negli ACL del bucket. Per ulteriori informazioni, consulta la Relazione IAM agli ACL.

storage.buckets.get
storage.buckets.createTagBinding
storage.buckets.deleteTagBinding
storage.buckets.listEffectiveTags
storage.buckets.listTagBindings
storage.buckets.update
storage.buckets.setIamPolicy
storage.buckets.getIamPolicy
storage.objects.list
storage.objects.create
storage.objects.delete
storage.multipartUploads.*

Ruoli personalizzati

Puoi definire i tuoi ruoli, che contengono pacchetti di autorizzazioni specificati da te. A questo scopo, IAM offre ruoli personalizzati.

Passaggi successivi