En esta página, se describe cómo configurar políticas de Identity and Access Management (IAM) en buckets para que puedas controlar el acceso a los objetos y las carpetas administradas dentro de esos buckets.
Si buscas otros métodos de control de acceso, consulta los siguientes recursos:
Para obtener información sobre cómo obtener un control más preciso sobre los grupos de objetos, consulta Configura y administra políticas de IAM en carpetas administradas.
Para obtener una forma alternativa de controlar el acceso a objetos individuales en los depósitos, consulta Listas de control de acceso.
Para obtener más información sobre cómo controlar el acceso a los recursos de Cloud Storage, consulta Descripción general del control de acceso.
Roles obligatorios
Para obtener los permisos que necesitas a fin de configurar y administrar las políticas de IAM para un bucket, pídele a tu administrador que te otorgue el rol de IAM Administrador de almacenamiento (roles/storage.admin
) para el bucket.
Esta función contiene los siguientes permisos, que son necesarios a fin de configurar y administrar las políticas de IAM para los buckets:
storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
storage.buckets.list
- Este permiso solo es necesario si planeas usar la consola de Google Cloud para realizar la tarea en esta página.
También puedes obtener estos permisos con roles personalizados.
Agrega un principal a una política a nivel de bucket
Para obtener una lista de los roles asociados con Cloud Storage, consulta Roles de IAM. Para obtener información de las entidades a las que les otorgas roles de IAM, consulta Identificadores principales.
Console
- En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.
En la lista de buckets, haz clic en el nombre del bucket para el que deseas otorgar un rol a una principal.
Selecciona la pestaña Permisos cerca de la parte superior de la página.
Haz clic en el botón add_box Otorgar acceso.
Aparecerá el cuadro de diálogo Agregar principales.
En el campo Nuevas principales, ingresa una o más identidades que necesiten acceso a tu bucket.
Elige un rol (o roles) del menú desplegable Selecciona un rol. Los roles que seleccionas aparecen en el panel con una descripción breve del permiso que otorgan.
Haz clic en Guardar.
Para obtener información sobre cómo ver detalles de errores acerca de operaciones fallidas de Cloud Storage en la consola de Google Cloud, consulta Solución de problemas.
Línea de comandos
Usa el comando buckets add-iam-policy-binding
:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Aquí:
BUCKET_NAME
es el nombre del bucket al cual le otorgas acceso principal. Por ejemplo,my-bucket
.PRINCIPAL_IDENTIFIER
identifica a quién le otorgas acceso al bucket. Por ejemplo,user:jane@gmail.com
Para obtener una lista de los formatos de identificador principal, consulta Identificadores principales.IAM_ROLE
es el rol de IAM que le estás otorgando a la principal. Por ejemplo,roles/storage.objectViewer
.
Bibliotecas cliente
C++
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage C++.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
C#
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage C#.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Go
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Go.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Java
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Java.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Node.js
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Node.js.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
PHP
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage PHP.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Python
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Python.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Ruby
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Ruby.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
API de REST
JSON
Tener la gcloud CLI instalada e inicializadaa fin de generar un token de acceso para el encabezado
Authorization
.Como alternativa, puedes crear un token de acceso con OAuth 2.0 Playground y, luego, incluirlo en el encabezado
Authorization
.Crea un archivo JSON que contenga la siguiente información:
{ "bindings":[ { "role": "IAM_ROLE", "members":[ "PRINCIPAL_IDENTIFIER" ] } ] }
Aquí:
IAM_ROLE
es el rol de IAM que deseas otorgar. Por ejemplo,roles/storage.objectViewer
.PRINCIPAL_IDENTIFIER
identifica a quién le otorgas acceso al bucket. Por ejemplo,user:jane@gmail.com
Para obtener una lista de los formatos de identificador principal, consulta Identificadores principales.
Usa
cURL
para llamar a la API de JSON con una solicitudPUT setIamPolicy
:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Aquí:
JSON_FILE_NAME
es la ruta de acceso del archivo que creaste en el paso 2.BUCKET_NAME
es el nombre del bucket al que le quieres otorgar acceso al principal. Por ejemplo,my-bucket
.
Visualiza la política de IAM para un bucket
Console
- En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.
En la lista de buckets, haz clic en el nombre del bucket cuya política deseas ver.
En la página Detalles del bucket, haz clic en la pestaña Permisos.
La política de IAM que se aplica al bucket aparece en la sección Permisos.
Opcional: Usa la barra Filtros para filtrar tus resultados.
Si buscas por principal, tus resultados mostrarán cada rol que se otorga al principal.
Línea de comandos
Usa el comando buckets get-iam-policy
:
gcloud storage buckets get-iam-policy gs://BUCKET_NAME
En el ejemplo anterior, BUCKET_NAME
es el nombre del bucket cuya política de IAM deseas ver. Por ejemplo, my-bucket
.
Bibliotecas cliente
C++
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage C++.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
C#
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage C#.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Go
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Go.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Java
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Java.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Node.js
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Node.js.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
PHP
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage PHP.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Python
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Python.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Ruby
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Ruby.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
API de REST
JSON
Tener la gcloud CLI instalada e inicializadaa fin de generar un token de acceso para el encabezado
Authorization
.Como alternativa, puedes crear un token de acceso con OAuth 2.0 Playground y, luego, incluirlo en el encabezado
Authorization
.Usa
cURL
para llamar a la API de JSON con una solicitudGET getIamPolicy
:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
En el ejemplo anterior,
BUCKET_NAME
es el nombre del bucket cuya política de IAM deseas ver. Por ejemplo,my-bucket
.
Quita a un principal de una política de nivel de bucket
Console
- En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.
En la lista de buckets, haz clic en el nombre del bucket del que deseas quitar el rol de una principal.
En la página Detalles del bucket, haz clic en la pestaña Permisos.
La política de IAM que se aplica al bucket aparece en la sección Permisos.
En la pestaña Ver por principales, selecciona la casilla de verificación de la principal que deseas quitar.
Haz clic en el botón Quitar acceso.
En la ventana de superposición que aparece, haz clic en Confirmar.
Para obtener información acerca de cómo ver detalles de errores acerca de operaciones fallidas de Cloud Storage en la consola de Google Cloud, consulta Solución de problemas.
Línea de comandos
Usa el comando buckets remove-iam-policy-binding
:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Aquí:
BUCKET_NAME
es el nombre del bucket al que revocas el acceso. Por ejemplo,my-bucket
.PRINCIPAL_IDENTIFIER
identifica a quién revocas el acceso. Por ejemplo,user:jane@gmail.com
Para obtener una lista de los formatos de identificador principal, consulta Identificadores de principal.IAM_ROLE
es el rol de IAM que estás revocando. Por ejemplo,roles/storage.objectViewer
.
Bibliotecas cliente
C++
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage C++.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
C#
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage C#.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Go
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Go.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Java
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Java.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Node.js
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Node.js.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
PHP
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage PHP.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Python
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Python.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Ruby
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Ruby.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
API de REST
JSON
Tener la gcloud CLI instalada e inicializadaa fin de generar un token de acceso para el encabezado
Authorization
.Como alternativa, puedes crear un token de acceso con OAuth 2.0 Playground y, luego, incluirlo en el encabezado
Authorization
.Obtén la política existente aplicada a tu bucket. Para ello, usa
cURL
para llamar a la API de JSON con una solicitudGET getIamPolicy
:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
En el ejemplo anterior,
BUCKET_NAME
es el nombre del bucket cuya política de IAM deseas ver. Por ejemplo,my-bucket
.Crea un archivo JSON que contenga la política que recuperaste en el paso anterior.
Edita el archivo JSON para quitar al miembro de la política.
Usa
cURL
para llamar a la API de JSON con una solicitudPUT setIamPolicy
:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Aquí:
JSON_FILE_NAME
es la ruta de acceso del archivo que creaste en el paso 3.BUCKET_NAME
es el nombre del bucket del que deseas quitar el acceso. Por ejemplo,my-bucket
.
Usa condiciones de IAM en buckets
En las siguientes secciones, se muestra cómo agregar y quitar Condiciones de IAM en los buckets. Para ver las Condiciones de IAM para tu bucket, consulta Visualiza la política de IAM de un bucket. Si quieres obtener más información del uso de las Condiciones de IAM con Cloud Storage, consulta Condiciones.
Debes habilitar el acceso uniforme a nivel de bucket en el bucket antes de agregar condiciones.
Establece una nueva condición en un bucket
Console
- En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.
En la lista de buckets, haz clic en el nombre del bucket al que quieres agregar una condición nueva.
En la página Detalles del bucket, haz clic en la pestaña Permisos.
La política de IAM que se aplica al bucket aparece en la sección Permisos.
Haz clic en + Otorgar acceso.
En Principales nuevos, completa los principales a los que deseas otorgarles acceso a tu bucket.
Para cada rol al que desees aplicar una condición, sigue estos pasos:
Selecciona el rol que quieres otorgarles a los principales.
Haz clic en Agregar condición para abrir el formulario Editar condición.
Completa el Título de la condición. El campo Descripción es opcional.
Usa el Creador de condiciones para crear tu condición de forma visual o usa la pestaña Editor de condiciones para ingresar la expresión CEL.
Haz clic en Guardar para regresar al formulario Agregar miembros. Para agregar varios roles, haz clic en Agregar otro rol.
Haz clic en Guardar.
Para obtener información sobre cómo ver detalles de errores acerca de operaciones fallidas de Cloud Storage en la consola de Google Cloud, consulta Solución de problemas.
Línea de comandos
Crea un archivo JSON o YAML que defina la condición, incluido el
title
de la condición, laexpression
lógica basada en atributos para la condición y, de forma opcional, , unadescription
de la condición.Ten en cuenta que Cloud Storage solo admite los atributos de fecha/hora ,tipo de recurso y nombre del recurso en el
expression
.Usa el comando
buckets add-iam-policy-binding
con la marca--condition-from-file
:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE --condition-from-file=CONDITION_FILE
Aquí:
BUCKET_NAME
es el nombre del bucket al cual le otorgas acceso principal. Por ejemplo,my-bucket
.PRINCIPAL_IDENTIFIER
identifica a quién se aplica la condición. Por ejemplo,user:jane@gmail.com
Para obtener una lista de los formatos de identificador principal, consulta Identificadores principales.IAM_ROLE
es el rol de IAM que le estás otorgando a la principal. Por ejemplo,roles/storage.objectViewer
.CONDITION_FILE
es el archivo que creaste en el paso anterior.
Como alternativa, puedes incluir la condición de forma directa en el comando con la marca --condition
en lugar de la marca --condition-from-file
.
Bibliotecas cliente
C++
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage C++.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
C#
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage C#.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Go
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Go.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Java
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Java.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Node.js
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Node.js.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
PHP
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage PHP.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Python
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Python.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Ruby
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Ruby.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
API de REST
JSON
Tener la gcloud CLI instalada e inicializadaa fin de generar un token de acceso para el encabezado
Authorization
.Como alternativa, puedes crear un token de acceso con OAuth 2.0 Playground y, luego, incluirlo en el encabezado
Authorization
.Usa una solicitud
GET getIamPolicy
para guardar la política de IAM del bucket en un archivo JSON temporal:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer $(gcloud auth print-access-token)' > tmp-policy.json
En el ejemplo anterior,
BUCKET_NAME
es el nombre del bucket correspondiente. Por ejemplo,my-bucket
.Edita el archivo
tmp-policy.json
en un editor de texto para agregar condiciones nuevas a las vinculaciones en la política de IAM:{ "version": VERSION, "bindings": [ { "role": "IAM_ROLE", "members": [ "PRINCIPAL_IDENTIFIER" ], "condition": { "title": "TITLE", "description": "DESCRIPTION", "expression": "EXPRESSION" } } ], "etag": "ETAG" }
Aquí:
VERSION
es la versión de la política de IAM, que debe ser 3 para los buckets con Condiciones de IAM.IAM_ROLE
es el rol al que se aplica la condición. Por ejemplo,roles/storage.objectViewer
.PRINCIPAL_IDENTIFIER
identifica a quién se aplica la condición. Por ejemplo,user:jane@gmail.com
Para obtener una lista de los formatos de identificador principal, consulta Identificadores de principal.TITLE
es el título de la condición. Por ejemplo,expires in 2019
.DESCRIPTION
es una descripción opcional de la condición. Por ejemplo,Permission revoked on New Year's
EXPRESSION
es una expresión lógica basada en atributos. Por ejemplo,request.time < timestamp(\"2019-01-01T00:00:00Z\")
. Si quieres obtener más ejemplos de expresiones, consulta la referencia de atributos para las Condiciones. Ten en cuenta que Cloud Storage solo admite los atributos de fecha y hora, tipo de recurso y nombre de recurso.
No modifiques
ETAG
.Usa una solicitud
PUT setIamPolicy
para establecer la política de IAM modificada en el bucket:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
En el ejemplo anterior,
BUCKET_NAME
es el nombre del bucket correspondiente. Por ejemplo,my-bucket
.
Quita una condición de un bucket
Console
- En la consola de Google Cloud, ve a la página Buckets de Cloud Storage.
En la lista de buckets, haz clic en el nombre del bucket al que deseas quitar una condición.
En la página Detalles del bucket, haz clic en la pestaña Permisos.
La política de IAM que se aplica al bucket aparece en la sección Permisos.
Haz clic en el ícono Editar edit del principal asociado con la condición.
En la superposición Editar acceso que aparece, haz clic en el nombre de la condición que deseas borrar.
En la superposición Editar condición que aparece, haz clic en Borrar y, luego, en Confirmar.
Haz clic en Guardar.
Para obtener información sobre cómo ver detalles de errores acerca de operaciones fallidas de Cloud Storage en la consola de Google Cloud, consulta Solución de problemas.
Línea de comandos
Usa el comando
buckets get-iam-policy
para guardar la política de IAM del bucket en un archivo JSON temporal.gcloud storage buckets get-iam-policy gs://BUCKET_NAME > tmp-policy.json
Edita el archivo
tmp-policy.json
en un editor de texto para quitar las condiciones de la política de IAM.Usa
buckets set-iam-policy
para establecer la política de IAM modificada en el bucket.gcloud storage buckets set-iam-policy gs://BUCKET_NAME tmp-policy.json
Muestras de código
C++
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage C++.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
C#
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage C#.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Go
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Go.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Java
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Java.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Node.js
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Node.js.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
PHP
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage PHP.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Python
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Python.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
Ruby
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage Ruby.
Para autenticarte en Cloud Storage, configura las credenciales predeterminadas de la aplicación. Si deseas obtener más información, consulta Configura la autenticación para un entorno de desarrollo local.
API de REST
JSON
Tener la gcloud CLI instalada e inicializadaa fin de generar un token de acceso para el encabezado
Authorization
.Como alternativa, puedes crear un token de acceso con OAuth 2.0 Playground y, luego, incluirlo en el encabezado
Authorization
.Usa una solicitud
GET getIamPolicy
para guardar la política de IAM del bucket en un archivo JSON temporal:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer $(gcloud auth print-access-token)' > tmp-policy.json
En el que
BUCKET_NAME
es el nombre del bucket al que le otorgas acceso. Por ejemplo,my-bucket
.Edita el archivo
tmp-policy.json
en un editor de texto para quitar las condiciones de la política de IAM.Usa una solicitud
PUT setIamPolicy
para establecer la política de IAM modificada en el bucket:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
En el ejemplo anterior,
BUCKET_NAME
es el nombre del bucket cuya política de IAM deseas ver. Por ejemplo,my-bucket
.
Prácticas recomendadas
Debes establecer el rol mínimo necesario para otorgar al principal el acceso requerido. Por ejemplo, si un miembro del equipo solo necesita leer los objetos almacenados en un bucket, otórgale la función de visualizador de objetos de almacenamiento (roles/storage.objectViewer
) en lugar de la función de administrador de objetos de almacenamiento (roles/storage.objectAdmin
). ). Del mismo modo, si el miembro del equipo necesita el control total de los objetos en el bucket, pero no del bucket en sí, otórgale el Administrador de objetos de almacenamiento (roles/storage.objectAdmin
) en lugar de la función de administrador de almacenamiento (roles/storage.admin
).
¿Qué sigue?
- Aprende cómo compartir tus datos de forma pública.
- Consulta Ejemplos de colaboración y uso compartido específicos.
- Obtén información de las prácticas recomendadas para usar IAM.
- Obtén más información acerca de cómo usar las recomendaciones de roles para los buckets.
- Para solucionar problemas de operaciones fallidas relacionadas con los roles y los permisos de IAM, consulta Solución de problemas.