En la siguiente tabla, se enumeran los permisos de la administración de identidades y accesos (IAM) necesarios para ejecutar cada método XML de Cloud Storage en un recurso determinado.
Método | Recurso | Subrecurso | Permisos de IAM obligatorios1 |
---|---|---|---|
DELETE |
bucket |
storage.buckets.delete |
|
DELETE |
object |
storage.objects.delete |
|
DELETE |
object |
uploadId |
storage.multipartUploads.abort |
GET |
storage.buckets.list |
||
GET |
bucket |
storage.objects.list |
|
GET |
bucket |
acls 3 |
storage.buckets.get storage.buckets.getIamPolicy |
GET |
bucket |
Metadatos que no son de LCA | storage.buckets.get |
GET |
bucket |
uploads |
storage.multipartUploads.list |
GET |
object |
storage.objects.get |
|
GET |
object |
acls 3 |
storage.objects.get storage.objects.getIamPolicy |
GET |
object |
encryption |
storage.objects.get |
GET |
object |
retention |
storage.objects.get |
GET |
object |
uploadId |
storage.multipartUploads.listParts |
HEAD |
bucket |
storage.buckets.get |
|
HEAD |
object |
storage.objects.get |
|
POST |
object |
storage.objects.create storage.objects.delete 4storage.objects.setRetention 5 |
|
POST |
object |
uploadId |
storage.multipartUploads.create storage.objects.create storage.objects.delete 4 |
POST |
object |
uploads |
storage.multipartUploads.create storage.objects.create storage.objects.setRetention 5 |
PUT |
bucket |
storage.buckets.create storage.buckets.enableObjectRetention 6 |
|
PUT |
bucket |
acls 3 |
storage.buckets.get storage.buckets.getIamPolicy storage.buckets.setIamPolicy storage.buckets.update |
PUT |
bucket |
Metadatos que no son de LCA | storage.buckets.update |
PUT 7 |
object |
storage.objects.create storage.objects.get 2storage.objects.delete 4storage.objects.setRetention 5 |
|
PUT |
object |
acls 3 |
storage.objects.get storage.objects.getIamPolicy storage.objects.setIamPolicy storage.objects.update |
PUT |
object |
compose |
storage.objects.create storage.objects.get storage.objects.delete 4storage.objects.setRetention 5 |
PUT |
object |
retention |
storage.objects.setRetention storage.objects.update storage.objects.overrideUnlockedRetention 8 |
PUT |
object |
uploadId |
storage.multipartUploads.create storage.objects.create |
1 Si usas el encabezado x-goog-user-project
o el parámetro de string de consulta userProject
en tu solicitud, debes tener el permiso serviceusage.services.use
para el ID del proyecto que especificas, además de los permisos de IAM normales que se necesitan para realizar la solicitud.
2 Este permiso es obligatorio para el depósito de origen cuando la solicitud incluye el encabezado x-goog-copy-source
.
3Este subrecurso no se aplica a los depósitos que tienen habilitado el acceso uniforme a nivel de depósito.
4 Este permiso solo es necesario cuando el objeto insertado tiene el mismo nombre que un objeto que ya existe en tu bucket.
5 Este permiso solo es necesario cuando la solicitud incluye los encabezados x-goog-object-lock-mode
y x-goog-object-lock-retain-until-date
.
6 Este permiso solo es necesario cuando la solicitud incluye un encabezado x-goog-bucket-object-lock-enabled
establecido en true
.
7 No se requieren permisos para realizar solicitudes PUT
asociadas a una carga reanudable.
8 Este permiso solo es necesario cuando la solicitud incluye un encabezado x-goog-bypass-governance-retention
establecido en true
.
¿Qué sigue?
- A fin de obtener una lista de las funciones y los permisos que contienen, consulta Funciones de IAM para Cloud Storage.