Permisos de IAM para solicitudes XML

En la siguiente tabla, se enumeran los permisos de la administración de identidades y accesos (IAM) necesarios para ejecutar cada método XML de Cloud Storage en un recurso determinado.

Método Recurso Subrecurso Permisos de IAM obligatorios1
DELETE bucket storage.buckets.delete
DELETE object storage.objects.delete
DELETE object uploadId storage.multipartUploads.abort
GET storage.buckets.list
GET bucket storage.objects.list
GET bucket acls3 storage.buckets.get
storage.buckets.getIamPolicy
GET bucket Metadatos que no son de LCA storage.buckets.get
GET bucket uploads storage.multipartUploads.list
GET object storage.objects.get
GET object acls3 storage.objects.get
storage.objects.getIamPolicy
GET object encryption storage.objects.get
GET object retention storage.objects.get
GET object uploadId storage.multipartUploads.listParts
HEAD bucket storage.buckets.get
HEAD object storage.objects.get
POST object storage.objects.create
storage.objects.delete4
storage.objects.setRetention5
POST object uploadId storage.multipartUploads.create
storage.objects.create
storage.objects.delete4
POST object uploads storage.multipartUploads.create
storage.objects.create
storage.objects.setRetention5
PUT bucket storage.buckets.create
storage.buckets.enableObjectRetention6
PUT bucket acls3 storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
PUT bucket Metadatos que no son de LCA storage.buckets.update
PUT7 object storage.objects.create
storage.objects.get2
storage.objects.delete4
storage.objects.setRetention5
PUT object acls3 storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
PUT object compose storage.objects.create
storage.objects.get
storage.objects.delete4
storage.objects.setRetention5
PUT object retention storage.objects.setRetention
storage.objects.update
storage.objects.overrideUnlockedRetention8
PUT object uploadId storage.multipartUploads.create
storage.objects.create

1 Si usas el encabezado x-goog-user-project o el parámetro de string de consulta userProject en tu solicitud, debes tener el permiso serviceusage.services.use para el ID del proyecto que especificas, además de los permisos de IAM normales que se necesitan para realizar la solicitud.

2 Este permiso es obligatorio para el depósito de origen cuando la solicitud incluye el encabezado x-goog-copy-source.

3Este subrecurso no se aplica a los depósitos que tienen habilitado el acceso uniforme a nivel de depósito.

4 Este permiso solo es necesario cuando el objeto insertado tiene el mismo nombre que un objeto que ya existe en tu bucket.

5 Este permiso solo es necesario cuando la solicitud incluye los encabezados x-goog-object-lock-mode y x-goog-object-lock-retain-until-date.

6 Este permiso solo es necesario cuando la solicitud incluye un encabezado x-goog-bucket-object-lock-enabled establecido en true.

7 No se requieren permisos para realizar solicitudes PUT asociadas a una carga reanudable.

8 Este permiso solo es necesario cuando la solicitud incluye un encabezado x-goog-bypass-governance-retention establecido en true.

¿Qué sigue?