Nesta página, descrevemos como definir políticas de gerenciamento de identidade e acesso (IAM) em buckets para que você possa controlar o acesso a objetos e pastas gerenciadas nesses buckets.
Se você estiver procurando outros métodos de controle de acesso, consulte os seguintes recursos:
Para saber como ter um controle mais refinado de grupos de objetos, consulte Definir e gerenciar políticas do IAM em pastas gerenciadas.
Para conhecer uma maneira alternativa de controlar o acesso a objetos individuais dentro de buckets, consulte Listas de controle de acesso.
Para mais informações sobre como controlar o acesso a recursos do Cloud Storage, leia Visão geral do controle de acesso.
Funções exigidas
Para receber as permissões necessárias a fim de definir e gerenciar as políticas do IAM
de um bucket, peça ao administrador para conceder a você o papel do IAM de Administrador do Storage
(roles/storage.admin
) no bucket.
Esse papel contém as seguintes permissões, que são necessárias para definir e gerenciar políticas do IAM em buckets:
storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
storage.buckets.list
- Essa permissão só é necessária ao usar o console do Google Cloud para executar a tarefa nesta página.
Também é possível receber essas permissões com funções personalizadas.
Como adicionar um Principal a uma política no nível do bucket
Para ver a lista de papéis associados ao Cloud Storage, consulte Papéis do IAM. Para informações sobre entidades às quais você concede papéis do IAM, consulte Identificadores de principais.
Console
- No Console do Google Cloud, acesse a página Buckets do Cloud Storage.
Na lista de buckets, clique no nome do bucket para o qual você quer conceder um papel a um principal.
Selecione a guia Permissões na parte superior da página.
Clique no botão add_boxPermitir acesso.
A caixa de diálogo Adicionar principais será exibida.
No campo Novos principais, insira uma ou mais identidades que precisam acessar seu bucket.
Escolha um papel ou mais no menu suspenso Selecionar um papel. Os papéis selecionados são exibidos no painel com uma breve descrição das permissões que eles concedem.
Clique em Salvar.
Para saber como acessar informações detalhadas de erro sobre operações do Cloud Storage com falha no console do Google Cloud, consulte Solução de problemas.
Linha de comando
Use o comando buckets add-iam-policy-binding
:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Em que:
BUCKET_NAME
é o nome do bucket ao qual você concede acesso principal. Por exemplo,my-bucket
.PRINCIPAL_IDENTIFIER
identifica para quem você está concedendo acesso ao bucket. Por exemplo,user:jane@gmail.com
. Para ver uma lista de formatos de identificadores de principais, consulte Identificadores de principais.IAM_ROLE
é o papel do IAM que você concede à principal. Por exemplo,roles/storage.objectViewer
.
Bibliotecas de cliente
C++
Para mais informações, consulte a documentação de referência da API Cloud Storage C++.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
C#
Para mais informações, consulte a documentação de referência da API Cloud Storage C#.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Go
Para mais informações, consulte a documentação de referência da API Cloud Storage Go.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para mais informações, consulte a documentação de referência da API Cloud Storage Java.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Node.js
Para mais informações, consulte a documentação de referência da API Cloud Storage Node.js.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
PHP
Para mais informações, consulte a documentação de referência da API Cloud Storage PHP.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para mais informações, consulte a documentação de referência da API Cloud Storage Python.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Ruby
Para mais informações, consulte a documentação de referência da API Cloud Storage Ruby.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
APIs REST
JSON
Ter a gcloud CLI instalada e inicializadapara gerar um token de acesso para o cabeçalho
Authorization
.Como alternativa, é possível criar um token de acesso usando o OAuth 2.0 Playground e incluí-lo no cabeçalho
Authorization
.Crie um arquivo JSON com as informações a seguir:
{ "bindings":[ { "role": "IAM_ROLE", "members":[ "PRINCIPAL_IDENTIFIER" ] } ] }
Em que:
IAM_ROLE
é o papel do IAM que você concede. Por exemplo,roles/storage.objectViewer
.PRINCIPAL_IDENTIFIER
identifica para quem você está concedendo acesso ao bucket. Por exemplo,user:jane@gmail.com
. Para uma lista de formatos de identificadores de principais, consulte Identificadores de principais.
Use
cURL
para chamar a API JSON com uma solicitaçãoPUT setIamPolicy
:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Em que:
JSON_FILE_NAME
é o caminho para o arquivo criado na Etapa 2.BUCKET_NAME
é o nome do bucket ao qual você quer conceder o acesso principal. Por exemplo,my-bucket
.
Ver a política de IAM de um bucket
Console
- No Console do Google Cloud, acesse a página Buckets do Cloud Storage.
Na lista de buckets, clique no nome daquele que contém a política que você quer visualizar.
Na página Detalhes do bucket, clique na guia Permissões.
A política do IAM que se aplica ao bucket aparece na seção Permissões.
(Opcional) Use a barra Filtro para filtrar os resultados.
Se você pesquisar por principal, os resultados exibirão todos os papéis concedidos pelo principal.
Linha de comando
Use o comando buckets get-iam-policy
:
gcloud storage buckets get-iam-policy gs://BUCKET_NAME
Em que BUCKET_NAME
é o nome do bucket
em que está a política de IAM que você quer visualizar. Por exemplo, my-bucket
.
Bibliotecas de cliente
C++
Para mais informações, consulte a documentação de referência da API Cloud Storage C++.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
C#
Para mais informações, consulte a documentação de referência da API Cloud Storage C#.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Go
Para mais informações, consulte a documentação de referência da API Cloud Storage Go.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para mais informações, consulte a documentação de referência da API Cloud Storage Java.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Node.js
Para mais informações, consulte a documentação de referência da API Cloud Storage Node.js.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
PHP
Para mais informações, consulte a documentação de referência da API Cloud Storage PHP.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para mais informações, consulte a documentação de referência da API Cloud Storage Python.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Ruby
Para mais informações, consulte a documentação de referência da API Cloud Storage Ruby.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
APIs REST
JSON
Ter a gcloud CLI instalada e inicializadapara gerar um token de acesso para o cabeçalho
Authorization
.Como alternativa, é possível criar um token de acesso usando o OAuth 2.0 Playground e incluí-lo no cabeçalho
Authorization
.Use
cURL
para chamar a API JSON com uma solicitaçãoGET getIamPolicy
:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Em que
BUCKET_NAME
é o nome do bucket em que está a política de IAM que você quer visualizar. Por exemplo,my-bucket
.
Remover um membro de uma política no nível do bucket
Console
- No Console do Google Cloud, acesse a página Buckets do Cloud Storage.
Na lista de buckets, clique no nome daquele de que contém um papel do principal que você quer remover.
Na página Detalhes do bucket, clique na guia Permissões.
A política do IAM que se aplica ao bucket aparece na seção Permissões.
Na guia Visualizar por principais, marque a caixa de seleção do principal que você está removendo.
Clique no botão - Remover acesso.
Na janela de sobreposição exibida, clique em Confirmar.
Para saber como acessar informações detalhadas de erro sobre operações do Cloud Storage com falha no console do Google Cloud, consulte Solução de problemas.
Linha de comando
Use o comando buckets remove-iam-policy-binding
:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Em que:
BUCKET_NAME
é o nome do bucket que você está revogando o acesso. Por exemplo,my-bucket
.PRINCIPAL_IDENTIFIER
identifica de quem você está revogando o acesso. Por exemplo,user:jane@gmail.com
. Para uma lista de formatos de identificadores de principais, consulte Identificadores de principais.IAM_ROLE
é o papel do IAM que você está revogando. Por exemplo,roles/storage.objectViewer
.
Bibliotecas de cliente
C++
Para mais informações, consulte a documentação de referência da API Cloud Storage C++.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
C#
Para mais informações, consulte a documentação de referência da API Cloud Storage C#.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Go
Para mais informações, consulte a documentação de referência da API Cloud Storage Go.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para mais informações, consulte a documentação de referência da API Cloud Storage Java.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Node.js
Para mais informações, consulte a documentação de referência da API Cloud Storage Node.js.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
PHP
Para mais informações, consulte a documentação de referência da API Cloud Storage PHP.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para mais informações, consulte a documentação de referência da API Cloud Storage Python.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Ruby
Para mais informações, consulte a documentação de referência da API Cloud Storage Ruby.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
APIs REST
JSON
Ter a gcloud CLI instalada e inicializadapara gerar um token de acesso para o cabeçalho
Authorization
.Como alternativa, é possível criar um token de acesso usando o OAuth 2.0 Playground e incluí-lo no cabeçalho
Authorization
.Receba a política atual aplicada ao bucket. Para fazer isso, use
cURL
para chamar a API JSON com uma solicitaçãoGET getIamPolicy
:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Em que
BUCKET_NAME
é o nome do bucket em que está a política de IAM que você quer visualizar. Por exemplo,my-bucket
.Crie um arquivo JSON com a política que você recuperou na etapa anterior.
Edite o arquivo JSON para remover o principal da política.
Use
cURL
para chamar a API JSON com uma solicitaçãoPUT setIamPolicy
:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Em que:
JSON_FILE_NAME
é o caminho para o arquivo criado na Etapa 3.BUCKET_NAME
é o nome do bucket a partir do qual você quer remover o acesso. Por exemplo,my-bucket
.
Usar condições de IAM em buckets
As seções a seguir mostram como adicionar e remover Condições de IAM nos seus buckets. Para ver as condições de IAM de seu bucket, consulte Como visualizar a política de IAM de um bucket. Para mais informações sobre como usar as condições do IAM com o Cloud Storage, consulte Condições.
Você precisa ativar o acesso uniforme no nível do bucket no bucket antes de adicionar condições.
Definir uma nova condição em um bucket
Console
- No Console do Google Cloud, acesse a página Buckets do Cloud Storage.
Na lista de buckets, clique no nome daquele em que você quer adicionar uma nova condição.
Na página Detalhes do bucket, clique na guia Permissões.
A política do IAM que se aplica ao bucket aparece na seção Permissões.
Clique em + Conceder acesso.
Em Novos principais, preencha os principais para os quais você quer conceder acesso ao seu bucket.
Para cada papel onde quer aplicar uma condição:
Selecione um Papel para conceder os membros.
Clique em Adicionar condição para abrir o formulário Editar condição.
Preencha o Título da condição. O campo Descrição é opcional.
Use o Criador de condições para construir sua condição visual ou use a guia Editor de condições para inserir a expressão CEL.
Clique em Salvar para retornar ao formulário Adicionar principal. Para adicionar mais papéis, clique em Adicionar outro papel.
Clique em Salvar.
Para saber como acessar informações detalhadas de erro sobre operações do Cloud Storage com falha no console do Google Cloud, consulte Solução de problemas.
Linha de comando
Crie um arquivo JSON ou YAML que defina a condição, incluindo o
title
da condição, a lógica baseada em atributoexpression
da condição e, opcionalmente, umdescription
para a condição.O Cloud Storage só é compatível com a data/hora, tipo de recurso e nome do recurso atribuídos no
expression
.Use o comando
buckets add-iam-policy-binding
com a flag--condition-from-file
:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE --condition-from-file=CONDITION_FILE
Em que:
BUCKET_NAME
é o nome do bucket ao qual você concede acesso principal. Por exemplo,my-bucket
.PRINCIPAL_IDENTIFIER
identifica a quem a condição se aplica. Por exemplo,user:jane@gmail.com
. Para ver uma lista de formatos de identificadores de principais, consulte Identificadores de principais.IAM_ROLE
é o papel do IAM que você concede à principal. Por exemplo,roles/storage.objectViewer
.CONDITION_FILE
é o arquivo criado na etapa anterior.
Como alternativa, é possível incluir a condição diretamente no comando
com a flag --condition
em vez da flag --condition-from-file
.
Bibliotecas de cliente
C++
Para mais informações, consulte a documentação de referência da API Cloud Storage C++.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
C#
Para mais informações, consulte a documentação de referência da API Cloud Storage C#.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Go
Para mais informações, consulte a documentação de referência da API Cloud Storage Go.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para mais informações, consulte a documentação de referência da API Cloud Storage Java.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Node.js
Para mais informações, consulte a documentação de referência da API Cloud Storage Node.js.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
PHP
Para mais informações, consulte a documentação de referência da API Cloud Storage PHP.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para mais informações, consulte a documentação de referência da API Cloud Storage Python.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Ruby
Para mais informações, consulte a documentação de referência da API Cloud Storage Ruby.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
APIs REST
JSON
Ter a gcloud CLI instalada e inicializadapara gerar um token de acesso para o cabeçalho
Authorization
.Como alternativa, é possível criar um token de acesso usando o OAuth 2.0 Playground e incluí-lo no cabeçalho
Authorization
.Use uma solicitação
GET getIamPolicy
para salvar a política de IAM do bucket em um arquivo JSON temporário:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer $(gcloud auth print-access-token)' > tmp-policy.json
em que
BUCKET_NAME
é o nome do bucket pertinente. Por exemplo,my-bucket
.Edite o arquivo
tmp-policy.json
em um editor de texto para adicionar novas condições às vinculações na política do IAM:{ "version": VERSION, "bindings": [ { "role": "IAM_ROLE", "members": [ "PRINCIPAL_IDENTIFIER" ], "condition": { "title": "TITLE", "description": "DESCRIPTION", "expression": "EXPRESSION" } } ], "etag": "ETAG" }
Em que:
VERSION
é a versão da política do IAM, que precisa ser três para buckets com condições do IAM.IAM_ROLE
é o papel ao qual a condição se aplica. Por exemplo,roles/storage.objectViewer
.PRINCIPAL_IDENTIFIER
identifica a quem a condição se aplica. Por exemplo,user:jane@gmail.com
. Para uma lista de formatos de identificadores de principais, consulte Identificadores de principais.TITLE
é o título da condição. Por exemplo,expires in 2019
.DESCRIPTION
é uma descrição opcional da condição. Por exemplo,Permission revoked on New Year's
.EXPRESSION
é uma expressão lógica com base em atributos. Por exemplo,request.time < timestamp(\"2019-01-01T00:00:00Z\")
. Para ver mais exemplos de expressões, consulte a referência do atributo Condições. O Cloud Storage é compatível apenas com os atributos data/hora, tipo de recurso e nome do recurso.
Não modifique
ETAG
.Use uma solicitação
PUT setIamPolicy
para definir a política de IAM modificada no bucket:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
em que
BUCKET_NAME
é o nome do bucket pertinente. Por exemplo,my-bucket
.
Remover uma condição de um bucket
Console
- No Console do Google Cloud, acesse a página Buckets do Cloud Storage.
Na lista de buckets, clique no nome daquele que contém uma condição que você quer remover.
Na página Detalhes do bucket, clique na guia Permissões.
A política do IAM que se aplica ao bucket aparece na seção Permissões.
Clique no ícone Editar (edit) do principal associado à condição.
Na sobreposição Editar acesso que é exibida, clique no nome da condição que você quer excluir.
Na sobreposição Editar condições exibida, clique em Excluir e, em seguida, Confirmar.
Clique em Salvar.
Para saber como acessar informações detalhadas de erro sobre operações do Cloud Storage com falha no console do Google Cloud, consulte Solução de problemas.
Linha de comando
Use o comando
buckets get-iam-policy
para salvar a política de IAM do bucket em um arquivo JSON temporário.gcloud storage buckets get-iam-policy gs://BUCKET_NAME > tmp-policy.json
Edite o arquivo
tmp-policy.json
em um editor de texto para remover condições da política de IAM.Use
buckets set-iam-policy
para definir a política de IAM modificada no bucket.gcloud storage buckets set-iam-policy gs://BUCKET_NAME tmp-policy.json
Amostras de código
C++
Para mais informações, consulte a documentação de referência da API Cloud Storage C++.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
C#
Para mais informações, consulte a documentação de referência da API Cloud Storage C#.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Go
Para mais informações, consulte a documentação de referência da API Cloud Storage Go.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Java
Para mais informações, consulte a documentação de referência da API Cloud Storage Java.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Node.js
Para mais informações, consulte a documentação de referência da API Cloud Storage Node.js.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
PHP
Para mais informações, consulte a documentação de referência da API Cloud Storage PHP.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Python
Para mais informações, consulte a documentação de referência da API Cloud Storage Python.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
Ruby
Para mais informações, consulte a documentação de referência da API Cloud Storage Ruby.
Para autenticar no Cloud Storage, configure o Application Default Credentials. Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local.
APIs REST
JSON
Ter a gcloud CLI instalada e inicializadapara gerar um token de acesso para o cabeçalho
Authorization
.Como alternativa, é possível criar um token de acesso usando o OAuth 2.0 Playground e incluí-lo no cabeçalho
Authorization
.Use uma solicitação
GET getIamPolicy
para salvar a política de IAM do bucket em um arquivo JSON temporário:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer $(gcloud auth print-access-token)' > tmp-policy.json
Em que
BUCKET_NAME
é o nome do bucket ao qual você está concedendo acesso. Por exemplo,my-bucket
.Edite o arquivo
tmp-policy.json
em um editor de texto para remover condições da política de IAM.Use uma solicitação
PUT setIamPolicy
para definir a política de IAM modificada no bucket:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Em que
BUCKET_NAME
é o nome do bucket com a política de IAM que você quer modificar. Por exemplo,my-bucket
.
Práticas recomendadas
Defina o papel mínimo necessário para conceder ao principal
o acesso necessário. Por exemplo, se um membro da equipe só precisa ler
os objetos armazenados em um bucket, conceda a ele o papel Leitor de objetos do Storage
(roles/storage.objectViewer
) em vez do papel Administrador de objetos do Storage
(roles/storage.objectAdmin
). Da mesma forma, se o membro da equipe precisa ter controle
total dos objetos no bucket, mas não sobre o bucket em si, conceda a ele o
papel Administrador de objetos do Storage (roles/storage.objectAdmin
) em vez do
Administrador do Storage (roles/storage.admin
).
A seguir
- Saiba como compartilhar seus dados publicamente.
- Veja exemplos específicos de compartilhamento e colaboração.
- Saiba mais sobre as práticas recomendadas para o uso do IAM.
- Saiba como usar recomendações de papel para buckets.
- Para resolver problemas de operações com falha relacionadas a papéis e permissões do IAM, consulte Solução de problemas.