Este documento fornece informações sobre as funções e as autorizações da gestão de identidade e de acesso (IAM) para o Cloud Storage.
Funções predefinidas
A tabela seguinte descreve as funções de gestão de identidade e acesso (IAM) associadas ao Cloud Storage e apresenta as autorizações contidas em cada função. Salvo indicação em contrário, estas funções podem ser aplicadas a projetos, contentores ou pastas geridas. No entanto, pode conceder funções antigas apenas a contentores individuais.
Para saber como controlar o acesso aos contentores, consulte o artigo Use as autorizações da IAM. Para saber como controlar o acesso a pastas geridas, consulte o artigo Use a IAM para pastas geridas.
Role | Permissions |
---|---|
Storage Admin( Grants full control of objects and buckets. When applied to an individual bucket, control applies only to the specified bucket and objects within the bucket. Lowest-level resources where you can grant this role:
|
|
Storage Bucket Viewer Beta( Grants permission to view buckets and their metadata, excluding IAM policies. |
|
Storage Express Mode Service Input Beta( Grants permission to Express Mode service accounts at a managed folder so they can create objects but not read them on input folders. |
|
Storage Express Mode Service Output Beta( Grants permission to EasyGCP service accounts at a managed folder so they can read objects but not write them on output folders. |
|
Storage Express Mode User Access Beta( Grants permission to Express Mode accounts at the project level so they can read, list, create and delete any object in any of their buckets in Express Mode. |
|
Storage Folder Admin( Grants full control over folders and objects, including listing, creating, viewing, and deleting objects. |
|
Storage HMAC Key Admin( Full control of Cloud Storage HMAC keys. |
|
Storage Insights Collector Service( Read-only access to Cloud Storage Inventory metadata for Storage Insights. |
|
Storage Legacy Bucket Owner( Grants permission to create, overwrite, and delete objects; list objects in a bucket and read object metadata, excluding allow policies, when listing; and read and edit bucket metadata, including allow policies. Use of this role is also reflected in the bucket's ACLs. For more information, see IAM relation to ACLs. Lowest-level resources where you can grant this role:
|
|
Storage Legacy Bucket Reader( Grants permission to list a bucket's contents and read bucket metadata, excluding allow policies. Also grants permission to read object metadata, excluding allow policies, when listing objects. Use of this role is also reflected in the bucket's ACLs. For more information, see IAM relation to ACLs. Lowest-level resources where you can grant this role:
|
|
Storage Legacy Bucket Writer( Grants permission to create, overwrite, and delete objects; list objects in a bucket and read object metadata, excluding allow policies, when listing; and read bucket metadata, excluding allow policies. Use of this role is also reflected in the bucket's ACLs. For more information, see IAM relation to ACLs. Lowest-level resources where you can grant this role:
|
|
Storage Legacy Object Owner( Grants permission to view and edit objects and their metadata, including ACLs. Lowest-level resources where you can grant this role:
|
|
Storage Legacy Object Reader( Grants permission to view objects and their metadata, excluding ACLs. Lowest-level resources where you can grant this role:
|
|
Storage Object Admin( Grants full control of objects, including listing, creating, viewing, and deleting objects. Lowest-level resources where you can grant this role:
|
|
Storage Object Creator( Allows users to create objects. Does not give permission to view, delete, or overwrite objects. Lowest-level resources where you can grant this role:
|
|
Storage Object User( Access to create, read, update and delete objects and multipart uploads in GCS. |
|
Storage Object Viewer( Grants access to view objects and their metadata, excluding ACLs. Can also list the objects in a bucket. Lowest-level resources where you can grant this role:
|
|
Funções predefinidas das Estatísticas de armazenamento
A tabela seguinte descreve as funções de IAM associadas ao Storage Insights e indica as autorizações contidas em cada função.
Role | Permissions |
---|---|
Storage Insights Admin( Full access to Storage Insights resources. |
|
Storage Insights Analyst( Data access to Storage Insights. |
|
StorageInsights Service Agent( Permissions for Insights to write reports into customer project |
|
Storage Insights Viewer( Read-only access to Storage Insights resources. |
|
Funções básicas
As funções básicas são funções que existiam antes do IAM. Estas funções têm características únicas:
As funções básicas só podem ser concedidas para um projeto completo e não para contentores individuais no projeto. Tal como outras funções que concede para um projeto, as funções básicas aplicam-se a todos os contentores e objetos no projeto.
As funções básicas contêm autorizações adicionais para outros Google Cloud serviços que não são abordados nesta secção. Consulte as funções básicas para uma discussão geral das autorizações que as funções básicas concedem.
Cada função básica tem um valor de conveniência que lhe permite usar a função básica como se fosse um grupo. Quando usado desta forma, qualquer principal que tenha a função básica é considerado parte do grupo. Todos os membros do grupo têm acesso adicional aos recursos com base no acesso que o valor de conveniência tem.
É possível usar valores de conveniência quando conceder funções para contentores.
Os valores de conveniência podem ser usados quando define ACLs em objetos.
As funções básicas não concedem intrinsecamente todo o acesso aos recursos do Cloud Storage que os respetivos nomes implicam. Em vez disso, dão uma parte do acesso esperado intrinsecamente e o resto do acesso esperado através da utilização de valores de conveniência. Uma vez que os valores de conveniência podem ser adicionados ou removidos manualmente, como qualquer outro principal da IAM, é possível revogar o acesso que os principais poderiam esperar ter.
Para uma discussão sobre o acesso adicional que os principais com funções básicas normalmente obtêm devido aos valores de conveniência, consulte o comportamento modificável.
Autorizações intrínsecas
A tabela seguinte descreve as autorizações do Cloud Storage que estão sempre associadas a cada função básica.
Função | Descrição | Autorizações do Cloud Storage |
---|---|---|
Leitor (roles/viewer ) |
Concede autorização para listar contentores no projeto; ver metadados de contentores ao listar (excluindo LCAs); e listar e obter chaves HMAC no projeto. | storage.buckets.getIpFilter storage.buckets.list storage.hmacKeys.get storage.hmacKeys.list |
Editor (roles/editor ) |
Concede autorização para criar, listar e eliminar contentores no projeto; ver metadados de contentores ao listar (excluindo ACLs); e controlar chaves HMAC no projeto. | storage.buckets.create storage.buckets.delete storage.buckets.getIpFilter storage.buckets.list storage.hmacKeys.* |
Proprietário (roles/owner ) |
Concede autorização para criar, listar e eliminar contentores no projeto; ver metadados de contentores ao listar (excluindo ACLs); criar, eliminar e listar associações de etiquetas; e controlar chaves HMAC no projeto; ativar, desativar, atualizar e obter a configuração da Storage Intelligence num projeto, numa pasta ou numa organização. De forma mais geral, os principais com esta função podem realizar tarefas administrativas, como alterar as funções dos principais para o projeto ou alterar a faturação. Google Cloud |
storage.buckets.create storage.buckets.delete storage.buckets.list storage.buckets.createTagBinding storage.buckets.deleteTagBinding storage.buckets.getIpFilter storage.buckets.listEffectiveTags storage.buckets.listTagBindings storage.buckets.setIpFilter storage.hmacKeys.* storage.intelligenceConfigs.get storage.intelligenceConfigs.update |
Comportamento modificável
Os principais aos quais foram concedidas funções básicas têm frequentemente acesso adicional aos contentores e aos objetos de um projeto devido aos valores de conveniência. Quando um contentor é criado, os valores de conveniência recebem determinado acesso ao nível do contentor, mas pode editar posteriormente as políticas do IAM do contentor e as ACLs de objetos para remover ou alterar o acesso.
Quando cria um contentor com o acesso de nível de contentor uniforme ativado, o acesso seguinte é concedido através de valores de conveniência:
Os principais aos quais foi concedido o acesso
roles/viewer
obtêm as funçõesroles/storage.legacyBucketReader
eroles/storage.legacyObjectReader
para o contentor.Os principais aos quais foi concedido o acesso
roles/editor
obtêm as funçõesroles/storage.legacyBucketOwner
eroles/storage.legacyObjectOwner
para o contentor.Os principais aos quais foi concedido o acesso
roles/owner
obtêm as funçõesroles/storage.legacyBucketOwner
eroles/storage.legacyObjectOwner
para o contentor.
Quando cria um contentor que não tem o acesso uniforme ao nível do contentor ativado, é concedido o seguinte acesso através de valores de conveniência:
Os principais aos quais foi concedida a função
roles/viewer
obtêm a funçãoroles/storage.legacyBucketReader
para o contentor.Os principais aos quais foi concedida a função
roles/editor
obtêm a funçãoroles/storage.legacyBucketOwner
para o contentor.Os principais aos quais foi concedida a função
roles/owner
obtêm a funçãoroles/storage.legacyBucketOwner
para o contentor.Além disso, o contentor tem uma Lista de controlo de acesso (LCA) de objetos predefinida. Esta ACL predefinida é frequentemente aplicada a novos objetos no contentor e concede frequentemente acesso adicional a valores de conveniência.
Funções personalizadas
Pode definir as suas próprias funções que contêm conjuntos de autorizações que especifica. Para tal, o IAM oferece funções personalizadas.
O que se segue?
Use as autorizações da IAM para controlar o acesso a contentores e objetos.
Saiba mais acerca de cada autorização de IAM para o Cloud Storage.
Consulte as referências de IAM disponíveis para o Cloud Storage, como as autorizações de IAM que permitem aos utilizadores realizar ações com várias ferramentas e APIs.
Para uma referência de outras Google Cloud funções, consulte o artigo Compreender as funções.