Papéis padrão
Na tabela a seguir, descrevemos os papéis do Cloud Identity and Access Management (Cloud IAM) associados ao Cloud Storage. Além disso, listamos as permissões de objeto e intervalo contidas em cada papel. Esses papéis podem ser aplicados a projetos inteiros ou a intervalos específicos.
| Papel | Descrição | Permissões |
|---|---|---|
roles/storage.objectCreator |
Permite que usuários criem objetos. Não concede permissões para ver, excluir ou substituir objetos. | resourcemanager.projects.getresourcemanager.projects.liststorage.objects.create |
roles/storage.objectViewer |
Dá acesso para visualizar objetos e metadados, exceto ACLs. Também pode listar os objetos em um intervalo. |
resourcemanager.projects.getresourcemanager.projects.liststorage.objects.getstorage.objects.list |
roles/storage.objectAdmin |
Concede controle total dos objetos, incluindo listagem, criação, visualização e exclusão de objetos. | resourcemanager.projects.getresourcemanager.projects.liststorage.objects.* |
roles/storage.admin |
Concede controle total de intervalos e objetos. Quando aplicado a um intervalo individual, o controle se aplica apenas ao intervalo e aos objetos especificados nele. |
firebase.projects.getresourcemanager.projects.getresourcemanager.projects.liststorage.buckets.*storage.objects.* |
Papéis primários
A tabela a seguir descreve papéis primários e as permissões do Cloud Storage que esses papéis contêm. Os papéis primários não podem ser adicionados no nível do intervalo.
| Papel | Descrição | Permissões |
|---|---|---|
role/viewer |
Concede permissão para listar intervalos, bem como visualizar metadados do intervalo, exceto ACLs, durante a listagem. | storage.buckets.list |
role/editor |
Concede permissão para criar, listar e excluir intervalos. Também concede permissão para visualizar metadados do intervalo, exceto ACLs, durante a listagem. | storage.buckets.createstorage.buckets.deletestorage.buckets.list |
role/owner |
Concede permissão para criar, listar e excluir intervalos. Também concede permissão para visualizar metadados do intervalo, exceto ACLs, durante a listagem. | storage.buckets.createstorage.buckets.deletestorage.buckets.list |
Papéis legados
Na tabela a seguir, listamos os papéis do Cloud IAM que são equivalentes às permissões da Lista de controle de acesso (ACL, na sigla em inglês). Esses papéis só podem ser aplicados a um intervalo, e não a um projeto.
| Papel | Descrição | Permissões |
|---|---|---|
roles/storage.legacyObjectReader |
Concede permissão para ver objetos e os respectivos metadados, exceto ACLs. | storage.objects.get |
roles/storage.legacyObjectOwner |
Concede permissão para ver e editar objetos e os respectivos metadados, incluindo ACLs. | storage.objects.getstorage.objects.updatestorage.objects.setIamPolicystorage.objects.getIamPolicy |
roles/storage.legacyBucketReader |
Concede permissão para listar o conteúdo de um intervalo e ler os respectivos metadados, exceto políticas do Cloud IAM. Também permite ler metadados do objeto, exceto políticas do Cloud IAM, ao listá-los.
O uso desse papel também se reflete nas ACLs do intervalo. Consulte a relação do Cloud IAM com as ACLs para saber mais informações. |
storage.buckets.getstorage.objects.list |
roles/storage.legacyBucketWriter |
Concede permissão para criar, substituir e excluir objetos. Também concede permissão para listar objetos em um intervalo e ler os respectivos metadados (exceto políticas do Cloud IAM) durante o processo, e ler os metadados do intervalo (exceto políticas do Cloud IAM).
O uso desse papel também se reflete nas ACLs do intervalo. Consulte a relação do Cloud IAM com as ACLs para saber mais informações. |
storage.buckets.getstorage.objects.liststorage.objects.createstorage.objects.delete |
roles/storage.legacyBucketOwner |
Concede permissão para criar, substituir e excluir objetos. Também concede permissão para listar objetos em um intervalo e ler os respectivos metadados (exceto políticas do Cloud IAM) durante o processo, e ler os metadados do intervalo (exceto políticas do Cloud IAM).
O uso desse papel também se reflete nas ACLs do intervalo. Consulte a relação do Cloud IAM com as ACLs para saber mais informações. |
storage.buckets.getstorage.buckets.updatestorage.buckets.setIamPolicystorage.buckets.getIamPolicystorage.objects.liststorage.objects.createstorage.objects.delete |
Papéis personalizados
É possível definir papéis contendo os pacotes de permissões que você especificar. Para isso, o Cloud IAM oferece papéis personalizados.
A seguir
Saiba como controlar o acesso a intervalos e objetos usando as permissões do Cloud IAM.
Para ver uma referência que descreva cada permissão do Cloud IAM para o Cloud Storage, consulte este artigo.
Para saber quais permissões do Cloud IAM os usuários podem usar para executar ações com as diferentes ferramentas do Cloud Storage, consulte Cloud IAM para o Console do Cloud, Cloud IAM para gsutil, Cloud IAM para JSON e Cloud IAM para XML.
Para conhecer outros papéis do Google Cloud Platform, consulte Noções básicas sobre papéis.
Precisa de ajuda? Acesse nossa