En esta página, se describe cómo controlar el acceso a los depósitos y objetos mediante los permisos de Cloud Identity and Access Management (Cloud IAM). Cloud IAM te permite controlar quién tiene acceso a tus depósitos y objetos. Si deseas obtener más información sobre Cloud IAM para Cloud Storage, consulta la Descripción general de Cloud IAM.
Para obtener información sobre otras formas de controlar el acceso a los depósitos y objetos, consulta la Descripción general del control de acceso. Para obtener información sobre cómo controlar el acceso a objetos individuales en tus depósitos, consulta Listas de control de acceso.
Usa Cloud IAM con depósitos
En las siguientes secciones, se muestra cómo completar las tareas básicas de Cloud IAM en depósitos.
Agrega un miembro a una política a nivel de depósito
Para obtener una lista de las funciones asociadas con Cloud Storage, consulta Funciones de Cloud IAM. Para obtener información sobre las entidades a las que otorgas funciones de Cloud IAM, consulta Tipos de miembros.
Console
- Abre el navegador de Cloud Storage en Google Cloud Platform Console.
Abrir el navegador de Cloud Storage Haz clic en el menú desplegable asociado con el depósito en el que deseas otorgarle una función a un miembro.
El menú desplegable aparece como tres puntos verticales en el extremo derecho de la fila del depósito.
Elige Edit bucket permissions (Editar permisos de depósito).
En el campo Agregar miembros (Add members), ingresa una o más identidades que necesiten acceso a tu depósito.
Selecciona una función (o funciones) del menú desplegable Seleccionar una función. Las funciones que seleccionas aparecen en el panel con una descripción breve del permiso que otorgan.
Haz clic en Agregar (Add).
gsutil
Usa el comando gsutil iam ch
:
gsutil iam ch [MEMBER_TYPE]:[MEMBER_NAME]:[IAM_ROLE] gs://[BUCKET_NAME]
donde:
[MEMBER_TYPE]
es el tipo de miembro al que le estás otorgando acceso al depósito. Por ejemplo,user
.[MEMBER_NAME]
es el nombre del miembro al que le estás otorgando acceso al depósito. Por ejemplo,jane@gmail.com
.[IAM_ROLE]
es la función de IAM que le estás otorgando al miembro. Por ejemplo,roles/storage.objectCreator
.[BUCKET_NAME]
es el nombre del depósito para el cual el miembro recibirá acceso. Por ejemplo,my-bucket
.
Para obtener más ejemplos sobre cómo dar formato a [MEMBER_TYPE]:[MEMBER_NAME]:[IAM_ROLE]
, consulta la página de referencia de gsutil iam ch
.
Ejemplos de código
C++
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para C++.
C#
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para C#.
Go
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Go.
Java
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Java.
Node.js
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Node.js.
PHP
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para PHP.
Python
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Python.
Ruby
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Ruby.
JSON
- Obtén un token de acceso de autorización de OAuth 2.0 Playground. Configura Playground para usar tus propias credenciales de OAuth.
Crea un archivo .json que contenga la siguiente información:
{ "bindings":[ { "role": "[IAM_ROLE]", "members":[ "[MEMBER_NAME]" ] } ] }
donde:
[IAM_ROLE]
es la función de IAM que le estás otorgando al miembro. Por ejemplo,roles/storage.objectCreator
.[MEMBER_NAME]
es el nombre del miembro al que le estás otorgando acceso al depósito. Por ejemplo,jane@gmail.com
.Si deseas obtener más ejemplos sobre cómo dar formato a
[MEMBER_NAME]
, consulta la sección para miembros aquí.
Usa
cURL
para llamar a la API de JSON con una solicitudPUT setIamPolicy
:curl -X PUT --data-binary @[JSON_FILE_NAME].json \ -H "Authorization: Bearer [OAUTH2_TOKEN]" \ -H "Content-Type: application/json" \ "https://www.googleapis.com/storage/v1/b/[BUCKET_NAME]/iam"
donde:
[JSON_FILE_NAME]
es el nombre del archivo que creaste en el paso 2.[OAUTH2_TOKEN]
es el token de acceso que generaste en el paso 1.[BUCKET_NAME]
es el nombre del depósito al cual le quieres otorgar acceso al miembro. Por ejemplo,my-bucket
.
Visualiza la Política de Cloud IAM de un depósito
Console
- Abre el navegador de Cloud Storage en Google Cloud Platform Console.
Abrir el navegador de Cloud Storage Haz clic en el menú desplegable asociado con el depósito en el que deseas ver los miembros de las funciones.
El menú desplegable aparece como tres puntos verticales en el extremo derecho del nombre del depósito.
Elige Edit bucket permissions.
Expande la función deseada para ver los miembros que tiene asignados.
(Opcional) Usa la barra de búsqueda para filtrar los resultados por función o por miembro.
Si buscas por miembro, tus resultados mostrarán cada función a la que está asignado el miembro.
gsutil
Usa el comando gsutil iam get
:
gsutil iam get gs://[BUCKET_NAME]
donde [BUCKET_NAME]
es el nombre del depósito cuya Política de Cloud IAM deseas ver. Por ejemplo, my-bucket
.
Ejemplos de código
C++
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para C++.
C#
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para C#.
Go
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Go.
Java
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Java.
Node.js
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Node.js.
PHP
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para PHP.
Python
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Python.
Ruby
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Ruby.
JSON
- Obtén un token de acceso de autorización de OAuth 2.0 Playground. Configura Playground para usar tus propias credenciales de OAuth.
Usa
cURL
para llamar a la API de JSON con una solicitudGET getIamPolicy
:curl -X GET \ -H "Authorization: Bearer [OAUTH2_TOKEN]" \ "https://www.googleapis.com/storage/v1/b/[BUCKET_NAME]/iam"
donde:
[OAUTH2_TOKEN]
es el token de acceso que generaste en el paso 1.[BUCKET_NAME]
es el nombre del depósito cuya Política de Cloud IAM deseas ver. Por ejemplo,my-bucket
.
Quita a un miembro de una política a nivel del depósito
Console
- Abre el navegador de Cloud Storage en Google Cloud Platform Console.
Abrir el navegador de Cloud Storage Haz clic en el menú desplegable asociado con el depósito en el que deseas quitarle una función a un miembro.
El menú desplegable aparece como tres puntos verticales en el extremo derecho del nombre del depósito.
Elige Edit bucket permissions.
Expande la función que contiene el miembro que quieres quitar.
Coloca el cursor sobre el miembro y haz clic en el ícono de papelera que aparece.
En la ventana de superposición que aparece, haz clic en Quitar.
gsutil
Usa el comando gsutil iam ch
con un marcador -d
:
gsutil iam ch -d [MEMBER_TYPE]:[MEMBER_NAME] gs://[BUCKET_NAME]
donde:
[MEMBER_TYPE]
es el tipo de miembro que quitas de la política. Por ejemplo,user
.[MEMBER_NAME]
es el nombre del miembro que quitas de la política. Por ejemplo,jane@gmail.com
.[BUCKET_NAME]
es el nombre del depósito del cual quitas el acceso al miembro. Por ejemplo,my-bucket
.
Para obtener más ejemplos sobre cómo dar formato a [MEMBER_TYPE]:[MEMBER_NAME]
, consulta la página de referencia de gsutil iam ch
.
Ejemplos de código
C++
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para C++.
C#
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para C#.
Go
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Go.
Java
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Java.
Node.js
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Node.js.
PHP
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para PHP.
Python
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Python.
Ruby
Si deseas obtener más información, consulta la documentación de referencia de la API de Cloud Storage para Ruby.
JSON
- Obtén un token de acceso de autorización de OAuth 2.0 Playground. Configura Playground para usar tus propias credenciales de OAuth.
Obtén la política existente aplicada a tu proyecto. Para ello, usa
cURL
para llamar a la API de JSON con una solicitudGET getIamPolicy
:curl -X GET \ -H "Authorization: Bearer [OAUTH2_TOKEN]" \ "https://www.googleapis.com/storage/v1/b/[BUCKET_NAME]/iam"
donde:
[OAUTH2_TOKEN]
es el token de acceso que generaste en el paso 1.[BUCKET_NAME]
es el nombre del depósito cuya Política de Cloud IAM deseas ver. Por ejemplo,my-bucket
.
Crea un archivo .json que contenga la política que recuperaste en el paso anterior.
Edita el archivo .json para quitar al miembro de la política.
Usa
cURL
para llamar a la API de JSON con una solicitudPUT setIamPolicy
:curl -X PUT --data-binary @[JSON_FILE_NAME].json \ -H "Authorization: Bearer [OAUTH2_TOKEN]" \ -H "Content-Type: application/json" \ "https://www.googleapis.com/storage/v1/b/[BUCKET_NAME]/iam"
donde:
[JSON_FILE_NAME]
es el nombre del archivo que creaste en el paso 3.[OAUTH2_TOKEN]
es el token de acceso que generaste en el paso 1.[BUCKET_NAME]
es el nombre del depósito para el cual quieres quitar el acceso al miembro. Por ejemplo,my-bucket
.
Cómo usar Cloud IAM con proyectos
En las siguientes secciones, se muestra cómo completar tareas básicas de Cloud IAM en proyectos. Ten en cuenta que estas tareas utilizan un comando diferente de la línea de comandos, gcloud
, y un extremo diferente, cloudresourcemanager.googleapis.com
, en comparación con la mayoría de las tareas de Cloud Storage.
Agrega un miembro a una política a nivel de proyecto
Para obtener una lista de las funciones asociadas con Cloud Storage, consulta Funciones de Cloud IAM. Para obtener información sobre las entidades a las que otorgas funciones de Cloud IAM, consulta Tipos de miembros.
Console
- Abre el navegador IAM y administración en Google Cloud Platform Console.
Abrir el navegador IAM y administración Selecciona el proyecto al que deseas agregar un miembro.
En el cuadro de diálogo Agregar miembros (Add members), especifica el nombre de la entidad a la que le otorgas acceso.
En el menú desplegable Seleccionar una función (Select a role), establece los permisos adecuados para el miembro del equipo.
Las funciones que afectan a los depósitos y objetos de Cloud Storage se encuentran en los submenús Project (Proyecto) y Storage (Almacenamiento).
Haz clic en Agregar (Add).
gsutil
Las Políticas de Cloud IAM a nivel de proyecto se administran a través del comando de gcloud
, que forma parte del SDK de Google Cloud. Para agregar una política a nivel de proyecto, usa gcloud beta projects add-iam-policy-binding
.
JSON
- Obtén un token de acceso de autorización de OAuth 2.0 Playground. Configura Playground para usar tus propias credenciales de OAuth.
Crea un archivo .json que contenga la siguiente información:
{ "policy": { "version": "0", "bindings": { "role": "[IAM_ROLE]", "members": "[MEMBER_NAME]" }, } }
donde:
[IAM_ROLE]
es la función de IAM que le estás otorgando al miembro. Por ejemplo,roles/storage.objectCreator
.[MEMBER_NAME]
es el tipo y nombre del miembro al que le estás otorgando acceso al proyecto. Por ejemplo,user:jane@gmail.com
.
Usa
cURL
para llamar a la API de Resource Manager con una solicitudPOST setIamPolicy
:curl -X POST --data-binary @[JSON_FILE_NAME].json \ -H "Authorization: Bearer [OAUTH2_TOKEN]" \ -H "Content-Type: application/json" \ "https://cloudresourcemanager.googleapis.com/v1/projects/[PROJECT_NAME]:setIamPolicy"
donde:
[JSON_FILE_NAME]
es el nombre del archivo que creaste en el paso 2.[OAUTH2_TOKEN]
es el token de acceso que generaste en el paso 1.[PROJECT_NAME]
es el nombre del proyecto al que le estás otorgando acceso de miembro. Por ejemplo,my-project
.
Visualiza la Política de Cloud IAM de un proyecto
Console
- Abre el navegador IAM y administración en Google Cloud Platform Console.
Abrir el navegador IAM y administración Selecciona el proyecto cuya política deseas ver.
Usa el menú desplegable asociado con funciones individuales para ver qué miembros tienen la función, o usa el cuadro de diálogo Buscar miembros para filtrar tus resultados.
gsutil
Las Políticas de Cloud IAM a nivel de proyecto se administran a través del comando de gcloud
, que forma parte del SDK de Google Cloud. Para ver las Políticas de Cloud IAM de un proyecto, usa el comando gcloud beta projects get-iam-policy
.
JSON
- Obtén un token de acceso de autorización de OAuth 2.0 Playground. Configura Playground para usar tus propias credenciales de OAuth.
Usa
cURL
para llamar a la API de Resource Manager con una solicitudPOST getIamPolicy
:curl -X POST \ -H "Authorization: Bearer [OAUTH2_TOKEN]" \ -H "Content-Length: 0" \ "https://cloudresourcemanager.googleapis.com/v1/projects/[PROJECT_NAME]:getIamPolicy"
donde:
[OAUTH2_TOKEN]
es el token de acceso que generaste en el paso 1.[PROJECT_NAME]
es el nombre del proyecto al que le estás otorgando acceso de miembro. Por ejemplo,my-project
.
Quita a un miembro de una política a nivel de proyecto
Console
- Abre el navegador IAM y administración en Google Cloud Platform Console.
Abrir el navegador IAM y administración Selecciona el proyecto en el que deseas quitar a un miembro.
En el cuadro de diálogo Buscar miembros, especifica el nombre del miembro cuyo acceso quieres quitar.
En los resultados debajo de la búsqueda, coloca el cursor sobre el miembro que quieres quitar y haz clic en el ícono de papelera que aparece.
En la ventana de superposición que aparece, haz clic en Quitar.
gsutil
Las Políticas de Cloud IAM a nivel de proyecto se administran a través del comando de gcloud
, que forma parte del SDK de Google Cloud. Para quitar una política a nivel de proyecto, usa gcloud beta projects remove-iam-policy-binding
.
JSON
- Obtén un token de acceso de autorización de OAuth 2.0 Playground. Configura Playground para usar tus propias credenciales de OAuth.
Obtén la política existente aplicada a tu proyecto. Para ello, usa
cURL
para llamar a la API de Resource Manager con una solicitudPOST getIamPolicy
:curl -X POST \ -H "Authorization: Bearer [OAUTH2_TOKEN]" \ -H "Content-Length: 0" \ "https://cloudresourcemanager.googleapis.com/v1/projects/[PROJECT_NAME]:getIamPolicy"
donde:
[OAUTH2_TOKEN]
es el token de acceso que generaste en el paso 1.[PROJECT_NAME]
es el nombre del proyecto al que deseas agregar acceso de miembro. Por ejemplo,my-project
.
Crea un archivo .json que contenga la política que recuperaste en el paso anterior.
Edita el archivo .json para quitar al miembro de la política.
Usa
cURL
para llamar a la API de Resource Manager con una solicitudPOST setIamPolicy
:curl -X POST --data-binary @[JSON_FILE_NAME].json \ -H "Authorization: Bearer [OAUTH2_TOKEN]" \ -H "Content-Type: application/json" \ "https://cloudresourcemanager.googleapis.com/v1/projects/[PROJECT_NAME]:setIamPolicy"
donde:
[JSON_FILE_NAME]
es el nombre del archivo que creaste en el paso 2.[OAUTH2_TOKEN]
es el token de acceso que generaste en el paso 1.[PROJECT_NAME]
es el nombre del proyecto al que deseas otorgar acceso de miembro. Por ejemplo,my-project
.
Qué sigue
- Aprende cómo compartir tus datos de forma pública.
- Obtén más información sobre Cloud IAM en Cloud Storage.
- Conoce las opciones para controlar el acceso a tus datos.