Papéis do Cloud IAM para o Cloud Storage

Papéis padrão

A tabela a seguir descreve papéis do Cloud Identity and Access Management (Cloud IAM) que estão associados ao Cloud Storage e lista as permissões contidas em cada papel. Caso contrário, esses papéis podem ser aplicados a projetos inteiros ou a intervalos específicos.

Papel	Descrição	Permissões
`roles/storage.objectCreator`	Permite que usuários criem objetos. Não concede permissões para ver, excluir ou substituir objetos.	`resourcemanager.projects.get` `resourcemanager.projects.list` `storage.objects.create`
`roles/storage.objectViewer`	Dá acesso para visualizar objetos e metadados, exceto ACLs. Também pode listar os objetos em um intervalo.	`resourcemanager.projects.get` `resourcemanager.projects.list` `storage.objects.get` `storage.objects.list`
`roles/storage.objectAdmin`	Concede controle total dos objetos, incluindo listagem, criação, visualização e exclusão de objetos.	`resourcemanager.projects.get` `resourcemanager.projects.list` `storage.objects.*`
`roles/storage.hmacKeyAdmin`	Controle total das chaves HMAC em um projeto.	`storage.hmacKeys.*`
`roles/storage.admin`	Concede controle total de intervalos e objetos. Quando aplicado a um intervalo individual, o controle se aplica apenas ao intervalo e aos objetos especificados nele.	`firebase.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `storage.buckets.` `storage.objects.`

Papéis primários

A tabela a seguir descreve papéis primários e as permissões do Cloud Storage que esses papéis contêm. Os papéis primários não podem ser adicionados no nível do intervalo.

Papel	Descrição	Permissões
`role/viewer`	Concede permissão para listar intervalos, bem como visualizar metadados do intervalo, exceto ACLs, durante a listagem. Também concede permissão para listar e receber chaves HMAC no projeto.	`storage.buckets.list` `storage.hmacKeys.get` `storage.hmacKeys.list`
`role/editor`	Concede permissão para criar, listar e excluir intervalos. Concede permissão para visualizar os metadados do intervalo, excluindo ACLs, ao listar. Concede controle total sobre chaves de HMAC em um projeto.	`storage.buckets.create` `storage.buckets.delete` `storage.buckets.list` `storage.hmacKeys.*`
`role/owner`	Concede permissão para criar, listar e excluir intervalos. Também concede permissão para visualizar metadados do intervalo, exceto ACLs, durante a listagem. Concede controle total sobre chaves de HMAC em um projeto.	`storage.buckets.create` `storage.buckets.delete` `storage.buckets.list` `storage.hmacKeys.*`

Papéis legados

Na tabela a seguir, listamos os papéis do Cloud IAM que são equivalentes às permissões da Lista de controle de acesso (ACL, na sigla em inglês). Esses papéis só podem ser aplicados a um intervalo, e não a um projeto.

Papel	Descrição	Permissões
`roles/storage.legacyObjectReader`	Concede permissão para ver objetos e os respectivos metadados, exceto ACLs.	`storage.objects.get`
`roles/storage.legacyObjectOwner`	Concede permissão para ver e editar objetos e os respectivos metadados, incluindo ACLs.	`storage.objects.get` `storage.objects.update` `storage.objects.setIamPolicy` `storage.objects.getIamPolicy`
`roles/storage.legacyBucketReader`	Concede permissão para listar o conteúdo de um intervalo e ler os respectivos metadados, exceto políticas do Cloud IAM. Também permite ler metadados do objeto, exceto políticas do Cloud IAM, ao listá-los. O uso desse papel também se reflete nas ACLs do intervalo. Consulte a relação do Cloud IAM com as ACLs para saber mais informações.	`storage.buckets.get` `storage.objects.list`
`roles/storage.legacyBucketWriter`	Concede permissão para criar, substituir e excluir objetos. Também concede permissão para listar objetos em um intervalo e ler os respectivos metadados (exceto políticas do Cloud IAM) durante o processo, e ler os metadados do intervalo (exceto políticas do Cloud IAM). O uso desse papel também se reflete nas ACLs do intervalo. Consulte a relação do Cloud IAM com as ACLs para saber mais.	`storage.buckets.get` `storage.objects.list` `storage.objects.create` `storage.objects.delete`
`roles/storage.legacyBucketOwner`	Concede permissão para criar, substituir e excluir objetos. Também concede permissão para listar objetos em um intervalo e ler os respectivos metadados (exceto políticas do Cloud IAM) durante o processo, e ler os metadados do intervalo (exceto políticas do Cloud IAM). O uso desse papel também se reflete nas ACLs do intervalo. Consulte a relação do Cloud IAM com as ACLs para saber mais.	`storage.buckets.get` `storage.buckets.update` `storage.buckets.setIamPolicy` `storage.buckets.getIamPolicy` `storage.objects.list` `storage.objects.create` `storage.objects.delete`

Papéis personalizados

É possível definir papéis contendo os pacotes de permissões que você especificar. Para isso, o Cloud IAM oferece papéis personalizados.

A seguir

Saiba como controlar o acesso a intervalos e objetos usando as permissões do Cloud IAM.
Para ver uma referência que descreva cada permissão do Cloud IAM para o Cloud Storage, consulte este artigo.
Se quiser saber quais permissões do Cloud IAM os usuários podem usar para executar ações com as diferentes ferramentas do Cloud Storage, consulte Cloud IAM para o Console do Cloud, Cloud IAM para gsutil, Cloud IAM para JSON e Cloud IAM para XML.
Para conhecer outros papéis do Google Cloud Platform, consulte Noções básicas sobre papéis.

Esta página foi útil? Conte sua opinião sobre:

Except as otherwise noted, the content of this page is licensed under the Creative Commons Attribution 4.0 License, and code samples are licensed under the Apache 2.0 License. For details, see our Site Policies. Java is a registered trademark of Oracle and/or its affiliates.

Última atualização: Novembro 21, 2019.