Como usar as permissões do Cloud IAM

Console

1. Abra o navegador do Cloud Storage no Console do Google Cloud.
   Abrir o navegador do Cloud Storage

2. Clique no menu flutuante Intervalo () associado ao intervalo onde você quer conceder a um membro um papel.

3. Selecione Editar permissões do intervalo.

4. No campo Adicionar membros, insira uma ou mais identidades que precisam acessar seu intervalo.

   

5. Escolha um ou mais papéis no menu suspenso Selecionar um papel. Os papéis selecionados são exibidos no painel com uma breve descrição das permissões que eles concedem.

6. Clique em Adicionar.

gsutil

Use o comando gsutil iam ch:

gsutil iam ch [MEMBER_TYPE]:[MEMBER_NAME]:[IAM_ROLE] gs://[BUCKET_NAME]

Em que:

• [MEMBER_TYPE] é o tipo de membro ao qual você concede acesso ao intervalo. Por exemplo, user.
• [MEMBER_NAME] é o nome do membro ao qual você concede acesso ao intervalo. Por exemplo, jane@gmail.com.
• [IAM_ROLE] é o papel do IAM que você concede ao membro. Por exemplo, roles/storage.objectCreator.
• [BUCKET_NAME] é o nome do intervalo ao qual você concede acesso ao membro. Por exemplo, my-bucket.

Para mais exemplos de como formatar [MEMBER_TYPE]:[MEMBER_NAME]:[IAM_ROLE], consulte a página de referência gsutil iam ch.

Amostras de código

namespace gcs = google::cloud::storage;
using ::google::cloud::StatusOr;
[](gcs::Client client, std::string bucket_name, std::string role,
   std::string member) {
  auto policy = client.GetNativeBucketIamPolicy(bucket_name);

  if (!policy) {
    throw std::runtime_error(policy.status().message());
  }

  for (auto& binding : policy->bindings()) {
    if (binding.role() != role) {
      continue;
    }
    auto& members = binding.members();
    if (std::find(members.begin(), members.end(), member) == members.end()) {
      members.emplace_back(member);
    }
  }

  auto updated_policy = client.SetNativeBucketIamPolicy(bucket_name, *policy);

  if (!updated_policy) {
    throw std::runtime_error(updated_policy.status().message());
  }

  std::cout << "Updated IAM policy bucket " << bucket_name
            << ". The new policy is " << *updated_policy << "\n";
}

private void AddBucketIamMember(string bucketName,
    string role, string member)
{
    var storage = StorageClient.Create();
    var policy = storage.GetBucketIamPolicy(bucketName);
    Policy.BindingsData bindingToAdd = new Policy.BindingsData();
    bindingToAdd.Role = role;
    string[] members = { member };
    bindingToAdd.Members = members;
    policy.Bindings.Add(bindingToAdd);
    storage.SetBucketIamPolicy(bucketName, policy);
    Console.WriteLine($"Added {member} with role {role} "
        + $"to {bucketName}");
}

bucket := c.Bucket(bucketName)
policy, err := bucket.IAM().Policy(ctx)
if err != nil {
	return err
}
// Other valid prefixes are "serviceAccount:", "user:"
// See the documentation for more values.
// https://cloud.google.com/storage/docs/access-control/iam
policy.Add("group:cloud-logs@google.com", "roles/storage.objectViewer")
if err := bucket.IAM().SetPolicy(ctx, policy); err != nil {
	return err
}
// NOTE: It may be necessary to retry this operation if IAM policies are
// being modified concurrently. SetPolicy will return an error if the policy
// was modified since it was retrieved.

// Initialize a Cloud Storage client
Storage storage = StorageOptions.getDefaultInstance().getService();

// Get IAM Policy for a bucket
Policy policy = storage.getIamPolicy(bucketName);

// Add identity to Bucket-level IAM role
Policy updatedPolicy =
    storage.setIamPolicy(bucketName, policy.toBuilder().addIdentity(role, identity).build());

if (updatedPolicy.getBindings().get(role).contains(identity)) {
  System.out.printf("Added %s with role %s to %s\n", identity, role, bucketName);
}

// Imports the Google Cloud client library
const {Storage} = require('@google-cloud/storage');

/**
 * TODO(developer): Uncomment the following lines before running the sample.
 */
// const bucketName = 'Name of a bucket, e.g. my-bucket';
// const roleName = 'Role to grant, e.g. roles/storage.objectViewer';
// const members = [
//   'user:jdoe@example.com',    // Example members to grant
//   'group:admins@example.com', // the new role to
// ];

// Creates a client
const storage = new Storage();

// Get a reference to a Google Cloud Storage bucket
const bucket = storage.bucket(bucketName);

// Gets and updates the bucket's IAM policy
const [policy] = await bucket.iam.getPolicy();

// Adds the new roles to the bucket's IAM policy
policy.bindings.push({
  role: roleName,
  members: members,
});

// Updates the bucket's IAM policy
await bucket.iam.setPolicy(policy);

console.log(
  `Added the following member(s) with role ${roleName} to ${bucketName}:`
);

members.forEach(member => {
  console.log(`  ${member}`);
});

use Google\Cloud\Storage\StorageClient;

/**
 * Adds a new member / role IAM pair to a given Cloud Storage bucket.
 *
 * @param string $bucketName the name of your Cloud Storage bucket.
 * @param string $role the role you want to add a given member to.
 * @param string $member the member you want to give the new role for the Cloud
 * Storage bucket.
 *
 * @return void
 */
function add_bucket_iam_member($bucketName, $role, $member)
{
    $storage = new StorageClient();
    $bucket = $storage->bucket($bucketName);

    $policy = $bucket->iam()->policy();

    $policy['bindings'][] = [
        'role' => $role,
        'members' => [$member]
    ];

    $bucket->iam()->setPolicy($policy);

    printf('User %s added to role %s for bucket %s' . PHP_EOL, $member, $role, $bucketName);
}

from google.cloud import storage

def add_bucket_iam_member(bucket_name, role, member):
    """Add a new member to an IAM Policy"""
    # bucket_name = "your-bucket-name"
    # role = "IAM role, e.g. roles/storage.objectViewer"
    # member = "IAM identity, e.g. user: name@example.com"

    storage_client = storage.Client()
    bucket = storage_client.bucket(bucket_name)

    policy = bucket.get_iam_policy()

    policy[role].add(member)

    bucket.set_iam_policy(policy)

    print("Added {} with role {} to {}.".format(member, role, bucket_name))

# project_id  = "Your Google Cloud project ID"
# bucket_name = "Your Google Cloud Storage bucket name"
# role        = "Bucket-level IAM role"
# member      = "Bucket-level IAM member"

require "google/cloud/storage"

storage = Google::Cloud::Storage.new project_id: project_id
bucket = storage.bucket bucket_name

bucket.policy do |policy|
  policy.add role, member
end

puts "Added #{member} with role #{role} to #{bucket_name}"

JSON

1. Receba um token de acesso de autorização do OAuth 2.0 Playground. Configure o Playground para usar suas credenciais do OAuth.

2. Crie um arquivo .json com as informações a seguir:

   {
     "bindings":[
       {
         "role": "[IAM_ROLE]",
         "members":[
           "[MEMBER_NAME]"
         ]
       }
     ]
   }

   Em que:

   • [IAM_ROLE] é o papel do IAM que você concede ao membro. Por exemplo, roles/storage.objectCreator.

   • [MEMBER_NAME] é o nome do membro ao qual você concede acesso ao intervalo. Por exemplo, jane@gmail.com.

     Para mais exemplos de como formatar [MEMBER_NAME], consulte a seção sobre membros aqui.

3. Use cURL para chamar a API JSON com uma solicitação PUT setIamPolicy:

   curl -X PUT --data-binary @[JSON_FILE_NAME].json \
     -H "Authorization: Bearer [OAUTH2_TOKEN]" \
     -H "Content-Type: application/json" \
     "https://storage.googleapis.com/storage/v1/b/[BUCKET_NAME]/iam"

   Em que:

   • [JSON_FILE_NAME] é o nome do arquivo que você criou na etapa 2.
   • [OAUTH2_TOKEN] é o token de acesso gerado na Etapa 1.
   • [BUCKET_NAME] é o nome do intervalo ao qual você quer conceder acesso ao membro. Por exemplo, my-bucket.

Console

1. Abra o navegador do Cloud Storage no Console do Google Cloud.
   Abrir o navegador do Cloud Storage

2. Clique no menu flutuante Intervalo () associado ao intervalo para onde você quer visualizar os membros do papel.

3. Selecione Editar permissões do intervalo.

4. Expanda o papel desejado para ver os membros que o receberam.

5. (Opcional) Use a barra de pesquisa para filtrar os resultados por papel ou membro.

   Se você pesquisar por membro, os resultados exibirão todos os papéis atribuídos ao membro.

gsutil

Use o comando gsutil iam get:

gsutil iam get gs://[BUCKET_NAME]

Em que [BUCKET_NAME] é o nome do Cloud IAM do intervalo cuja política você quer visualizar. Por exemplo, my-bucket.

Amostras de código

namespace gcs = google::cloud::storage;
using ::google::cloud::StatusOr;
[](gcs::Client client, std::string bucket_name) {
  auto policy = client.GetNativeBucketIamPolicy(bucket_name);

  if (!policy) {
    throw std::runtime_error(policy.status().message());
  }

  std::cout << "The IAM policy for bucket " << bucket_name << " is "
            << *policy << "\n";
}

private void ViewBucketIamMembers(string bucketName)
{
    var storage = StorageClient.Create();
    var policy = storage.GetBucketIamPolicy(bucketName);
    foreach (var binding in policy.Bindings)
    {
        Console.WriteLine($"  Role: {binding.Role}");
        Console.WriteLine("  Members:");
        foreach (var member in binding.Members)
        {
            Console.WriteLine($"    {member}");
        }
    }
}

policy, err := c.Bucket(bucketName).IAM().Policy(ctx)
if err != nil {
	return nil, err
}
for _, role := range policy.Roles() {
	log.Printf("%q: %q", role, policy.Members(role))
}

// Initialize a Cloud Storage client
Storage storage = StorageOptions.getDefaultInstance().getService();

// Get IAM Policy for a bucket
Policy policy = storage.getIamPolicy(bucketName);

// Print Roles and its identities
Map<Role, Set<Identity>> policyBindings = policy.getBindings();
for (Map.Entry<Role, Set<Identity>> entry : policyBindings.entrySet()) {
  System.out.printf("Role: %s Identities: %s\n", entry.getKey(), entry.getValue());
}

// Imports the Google Cloud client library
const {Storage} = require('@google-cloud/storage');

// Creates a client
const storage = new Storage();

/**
 * TODO(developer): Uncomment the following line before running the sample.
 */
// const bucketName = 'Name of a bucket, e.g. my-bucket';

// Gets and displays the bucket's IAM policy
const results = await storage.bucket(bucketName).iam.getPolicy();

const policy = results[0].bindings;

// Displays the roles in the bucket's IAM policy
console.log(`Roles for bucket ${bucketName}:`);
policy.forEach(role => {
  console.log(`  Role: ${role.role}`);
  console.log(`  Members:`);

  const members = role.members;
  members.forEach(member => {
    console.log(`    ${member}`);
  });
});

use Google\Cloud\Storage\StorageClient;

/**
 * View Bucket IAM members for a given Cloud Storage bucket.
 *
 * @param string $bucketName the name of your Cloud Storage bucket.
 *
 * @return void
 */
function view_bucket_iam_members($bucketName)
{
    $storage = new StorageClient();
    $bucket = $storage->bucket($bucketName);

    $policy = $bucket->iam()->policy();

    printf('Printing Bucket IAM members for Bucket: %s' . PHP_EOL, $bucketName);
    printf(PHP_EOL);

    foreach ($policy['bindings'] as $binding) {
        printf('Role: %s' . PHP_EOL, $binding['role']);
        printf('Members:' . PHP_EOL);
        foreach ($binding['members'] as $member) {
            printf('  %s' . PHP_EOL, $member);
        }
        printf(PHP_EOL);
    }
}

from google.cloud import storage

def view_bucket_iam_members(bucket_name):
    """View IAM Policy for a bucket"""
    # bucket_name = "your-bucket-name"

    storage_client = storage.Client()
    bucket = storage_client.bucket(bucket_name)

    policy = bucket.get_iam_policy()

    for role in policy:
        members = policy[role]
        print("Role: {}, Members: {}".format(role, members))

# project_id  = "Your Google Cloud project ID"
# bucket_name = "Your Google Cloud Storage bucket name"

require "google/cloud/storage"

storage = Google::Cloud::Storage.new project_id: project_id
bucket = storage.bucket bucket_name

policy = bucket.policy

policy.roles.each do |role, members|
  puts "Role: #{role} Members: #{members}"
end

JSON

1. Receba um token de acesso de autorização do OAuth 2.0 Playground. Configure o Playground para usar suas credenciais do OAuth.

2. Use cURL para chamar a API JSON com uma solicitação GET getIamPolicy:

   curl -X GET \
     -H "Authorization: Bearer [OAUTH2_TOKEN]" \
     "https://storage.googleapis.com/storage/v1/b/[BUCKET_NAME]/iam"

   Em que:

   • [OAUTH2_TOKEN] é o token de acesso gerado na Etapa 1.
   • [BUCKET_NAME] é o nome do intervalo cuja política do Cloud IAM você quer visualizar. Por exemplo, my-bucket.

Console

1. Abra o navegador do Cloud Storage no Console do Google Cloud.
   Abrir o navegador do Cloud Storage

2. Clique no menu flutuante Intervalo () associado ao intervalo onde que remover o papel do membro.

3. Selecione Editar permissões do intervalo.

4. Expanda o papel que contém o membro que você quer remover.

5. Passe o cursor sobre o membro e clique no ícone de lixeira que é exibido.

   

6. Na janela de sobreposição que aparece, clique em Remover.

gsutil

Use o comando gsutil iam ch com uma sinalização -d:

gsutil iam ch -d [MEMBER_TYPE]:[MEMBER_NAME] gs://[BUCKET_NAME]

Em que:

• [MEMBER_TYPE] é o tipo do membro que você está removendo da política. Por exemplo, user.
• [MEMBER_NAME] é o nome do membro que você está removendo da política. Por exemplo, jane@gmail.com.
• [BUCKET_NAME] é o nome do intervalo do qual você está removendo o acesso do membro. Por exemplo, my-bucket.

Para mais exemplos de como formatar [MEMBER_TYPE]:[MEMBER_NAME], consulte a página de referência gsutil iam ch.

Amostras de código

namespace gcs = google::cloud::storage;
using ::google::cloud::StatusOr;
[](gcs::Client client, std::string bucket_name, std::string role,
   std::string member) {
  auto policy = client.GetNativeBucketIamPolicy(bucket_name);
  if (!policy) {
    throw std::runtime_error(policy.status().message());
  }

  std::vector<google::cloud::storage::NativeIamBinding> updated_bindings;
  for (auto& binding : policy->bindings()) {
    auto& members = binding.members();
    if (binding.role() == role) {
      members.erase(std::remove(members.begin(), members.end(), member),
                    members.end());
    }
    if (!members.empty()) {
      updated_bindings.emplace_back(std::move(binding));
    }
  }
  policy->bindings() = std::move(updated_bindings);

  auto updated_policy = client.SetNativeBucketIamPolicy(bucket_name, *policy);

  if (!updated_policy) {
    throw std::runtime_error(updated_policy.status().message());
  }

  std::cout << "Updated IAM policy bucket " << bucket_name
            << ". The new policy is " << *updated_policy << "\n";
}

private void RemoveBucketIamMember(string bucketName,
    string role, string member)
{
    var storage = StorageClient.Create();
    var policy = storage.GetBucketIamPolicy(bucketName);
    policy.Bindings.ToList().ForEach(response =>
    {
        if (response.Role == role)
        {
            // Remove the role/member combo from the IAM policy.
            response.Members = response.Members
                .Where(m => m != member).ToList();
            // Remove role if it contains no members.
            if (response.Members.Count == 0)
            {
                policy.Bindings.Remove(response);
            }
        }
    });
    // Set the modified IAM policy to be the current IAM policy.
    storage.SetBucketIamPolicy(bucketName, policy);
    Console.WriteLine($"Removed {member} with role {role} "
        + $"to {bucketName}");
}

bucket := c.Bucket(bucketName)
policy, err := bucket.IAM().Policy(ctx)
if err != nil {
	return err
}
// Other valid prefixes are "serviceAccount:", "user:"
// See the documentation for more values.
// https://cloud.google.com/storage/docs/access-control/iam
policy.Remove("group:cloud-logs@google.com", "roles/storage.objectViewer")
if err := bucket.IAM().SetPolicy(ctx, policy); err != nil {
	return err
}
// NOTE: It may be necessary to retry this operation if IAM policies are
// being modified concurrently. SetPolicy will return an error if the policy
// was modified since it was retrieved.

// Initialize a Cloud Storage client
Storage storage = StorageOptions.getDefaultInstance().getService();

// Get IAM Policy for a bucket
Policy policy = storage.getIamPolicy(bucketName);

// Remove an identity from a Bucket-level IAM role
Policy updatedPolicy =
    storage.setIamPolicy(bucketName, policy.toBuilder().removeIdentity(role, identity).build());

if (updatedPolicy.getBindings().get(role) == null
    || !updatedPolicy.getBindings().get(role).contains(identity)) {
  System.out.printf("Removed %s with role %s from %s\n", identity, role, bucketName);
}

// Imports the Google Cloud client library
const {Storage} = require('@google-cloud/storage');

/**
 * TODO(developer): Uncomment the following lines before running the sample.
 */
// const bucketName = 'Name of a bucket, e.g. my-bucket';
// const roleName = 'Role to grant, e.g. roles/storage.objectViewer';
// const members = [
//   'user:jdoe@example.com',    // Example members to grant
//   'group:admins@example.com', // the new role to
// ];

// Creates a client
const storage = new Storage();

// Get a reference to a Google Cloud Storage bucket
const bucket = storage.bucket(bucketName);

// Gets and updates the bucket's IAM policy
const [policy] = await bucket.iam.getPolicy();

// Finds and updates the appropriate role-member group
const index = policy.bindings.findIndex(role => role.role === roleName);
const role = policy.bindings[index];
if (role) {
  role.members = role.members.filter(
    member => members.indexOf(member) === -1
  );

  // Updates the policy object with the new (or empty) role-member group
  if (role.members.length === 0) {
    policy.bindings.splice(index, 1);
  } else {
    policy.bindings.index = role;
  }

  // Updates the bucket's IAM policy
  await bucket.iam.setPolicy(policy);
} else {
  // No matching role-member group(s) were found
  throw new Error('No matching role-member group(s) found.');
}

console.log(
  `Removed the following member(s) with role ${roleName} from ${bucketName}:`
);
members.forEach(member => {
  console.log(`  ${member}`);
});

use Google\Cloud\Core\Iam\PolicyBuilder;
use Google\Cloud\Storage\StorageClient;

/**
 * Removes a member / role IAM pair from a given Cloud Storage bucket.
 *
 * @param string $bucketName the name of your Cloud Storage bucket.
 * @param string $role the role you want to remove a given member from.
 * @param string $member the member you want to remove from the given role.
 *
 * @return void
 */
function remove_bucket_iam_member($bucketName, $role, $member)
{
    $storage = new StorageClient();
    $bucket = $storage->bucket($bucketName);
    $policy = $bucket->iam()->policy();
    $policyBuilder = new PolicyBuilder($policy);
    $policyBuilder->removeBinding($role, [$member]);

    $bucket->iam()->setPolicy($policyBuilder->result());
    printf('User %s removed from role %s for bucket %s' . PHP_EOL, $member, $role, $bucketName);
}

from google.cloud import storage

def remove_bucket_iam_member(bucket_name, role, member):
    """Remove member from bucket IAM Policy"""
    # bucket_name = "your-bucket-name"
    # role = "IAM role, e.g. roles/storage.objectViewer"
    # member = "IAM identity, e.g. user: name@example.com"

    storage_client = storage.Client()
    bucket = storage_client.bucket(bucket_name)

    policy = bucket.get_iam_policy()

    policy[role].discard(member)

    bucket.set_iam_policy(policy)

    print("Removed {} with role {} from {}.".format(member, role, bucket_name))

# project_id  = "Your Google Cloud project ID"
# bucket_name = "Your Google Cloud Storage bucket name"
# role        = "Bucket-level IAM role"
# member      = "Bucket-level IAM member"

require "google/cloud/storage"

storage = Google::Cloud::Storage.new project_id: project_id
bucket = storage.bucket bucket_name

bucket.policy do |policy|
  policy.remove role, member
end

puts "Removed #{member} with role #{role} from #{bucket_name}"

JSON

1. Receba um token de acesso de autorização do OAuth 2.0 Playground. Configure o Playground para usar suas credenciais do OAuth.

2. Receba a política atual aplicada ao projeto. Para fazer isso, use cURL para chamar a API JSON com uma solicitação GET getIamPolicy:

   curl -X GET \
     -H "Authorization: Bearer [OAUTH2_TOKEN]" \
     "https://storage.googleapis.com/storage/v1/b/[BUCKET_NAME]/iam"

   Em que:

   • [OAUTH2_TOKEN] é o token de acesso gerado na Etapa 1.
   • [BUCKET_NAME] é o nome do intervalo cuja política do Cloud IAM você quer visualizar. Por exemplo, my-bucket.

3. Crie um arquivo .json com a política que você recuperou na etapa anterior.

4. Edite o arquivo .json para remover o membro da política.

5. Use cURL para chamar a API JSON com uma solicitação PUT setIamPolicy:

   curl -X PUT --data-binary @[JSON_FILE_NAME].json \
     -H "Authorization: Bearer [OAUTH2_TOKEN]" \
     -H "Content-Type: application/json" \
     "https://storage.googleapis.com/storage/v1/b/[BUCKET_NAME]/iam"

   Em que:

   • [JSON_FILE_NAME] é o nome do arquivo criado na Etapa 3.
   • [OAUTH2_TOKEN] é o token de acesso gerado na Etapa 1.
   • [BUCKET_NAME] é o nome do intervalo a partir do qual você quer remover o acesso de membro. Por exemplo, my-bucket.

Console

1. Abra o navegador do Cloud Storage no Console do Google Cloud.
   Abrir o navegador do Cloud Storage

2. Clique no menu flutuante Intervalo () à extrema direita da linha associada ao intervalo.

3. Selecione Editar permissões do intervalo.

4. Clique em Adicionar membros.

5. Para Novos membros, preencha os membros aos quais você quer conceder acesso ao seu intervalo.

6. Para cada papel onde quer aplicar uma condição:

   1. Selecione um Papel para conceder os membros.

   2. Clique em Adicionar condição para abrir o formulário Editar condição.

   3. Preencha o Título da condição. O campo Descrição é opcional.

   4. Use Criador de condições para construir sua condição visual ou use a guia Editor de condições para inserir a expressão CEL.

   5. Clique em Salvar para retornar ao formulário Adicionar membros. Para adicionar mais papéis, clique em Adicionar outro papel.

7. Clique em Salvar.

gsutil

1. Use o comando gsutil iam para salvar a política do Cloud IAM do intervalo em um arquivo JSON temporário.

   gsutil iam get gs://[BUCKET_NAME] > /tmp/policy.json

   Onde [BUCKET_NAME] é o nome do intervalo no qual está a política do Cloud IAM que você quer recuperar. Por exemplo, my-bucket.

2. Edite o arquivo /tmp/policy.json em um editor de texto para adicionar novas condições às vinculações na política do Cloud IAM:

   {
     "version": [VERSION],
     "bindings": [
       {
         "role": "[IAM_ROLE]",
         "members": [
           "[MEMBER_NAME]"
         ],
         "condition": {
           "title": "[TITLE]",
           "description": "[DESCRIPTION]",
           "expression": "[EXPRESSION]"
         }
     ],
     "etag": "[ETAG]"
   }

   Em que:

   • [VERSION] é a versão da política do Cloud IAM, que precisa ser 3 para os intervalos com condições do Cloud IAM.
   • [IAM ROLE] é o papel ao qual a condição se aplica. Por exemplo, roles/storage.objectCreator.
   • [MEMBER_NAME] é o membro ao qual a condição se aplica. Por exemplo, jane@gmail.com.
   • [TITLE] é o título da condição. Por exemplo, expires in 2019.
   • [DESCRIPTION] é uma descrição opcional da condição. Por exemplo, Permission revoked on New Year's.
   • [EXPRESSION] é uma expressão lógica com base em atributos. Por exemplo, request.time < timestamp(\"2019-01-01T00:00:00Z\"). Para ver mais exemplos de expressões, consulte a referência do atributo Condições. O Cloud Storage é compatível apenas com os atributos data/hora e nome do recurso.

   Não modifique [ETAG].

3. Use gsutil iam para definir a política do Cloud IAM modificada no intervalo.

   gsutil iam set /tmp/policy.json gs://[BUCKET_NAME]

JSON

1. Receba um token de acesso de autorização do OAuth 2.0 Playground. Configure o Playground para usar suas credenciais do OAuth.

2. Use uma solicitação GET getIamPolicy para salvar a política do Cloud IAM do intervalo em um arquivo JSON temporário:

   curl \
   'https://storage.googleapis.com/storage/v1/b/[BUCKET_NAME]/iam' \
   --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' > /tmp/policy.json

   Em que:

   • [YOUR_ACCESS_TOKEN] é o token de acesso gerado na Etapa 1.

3. Edite o arquivo /tmp/policy.json em um editor de texto para adicionar novas condições às vinculações na política do Cloud IAM:

   {
         "version": [VERSION],
         "bindings": [
           {
             "role": "[IAM_ROLE]",
             "members": [
               "[MEMBER_NAME]"
             ],
             "condition": {
               "title": "[TITLE]",
               "description": "[DESCRIPTION]",
               "expression": "[EXPRESSION]"
             }
         ],
         "etag": "[ETAG]"
    }

   Em que:

   • [VERSION] é a versão da política do Cloud IAM, que precisa ser 3 para os intervalos com condições do Cloud IAM.
   • [IAM_ROLE] é o papel ao qual a condição se aplica. Por exemplo, roles/storage.objectCreator.
   • [MEMBER_NAME] é o membro ao qual a condição se aplica. Por exemplo, jane@gmail.com.
   • [TITLE] é o título da condição. Por exemplo, expires in 2019.
   • [DESCRIPTION] é uma descrição opcional da condição. Por exemplo, Permission revoked on New Year's.

   • [EXPRESSION] é uma expressão lógica com base em atributos. Por exemplo, request.time < timestamp(\"2019-01-01T00:00:00Z\"). Para ver mais exemplos de expressões, consulte a referência do atributo Condições. O Cloud Storage é compatível apenas com os atributos data/hora e nome do recurso.

     Não modifique [ETAG].

4. Use uma solicitação PUT setIamPolicy para definir a política do Cloud IAM modificada no intervalo:

   curl -X PUT --data-binary @/tmp/policy.json \
     -H "Authorization: Bearer [OAUTH2_TOKEN]" \
     -H "Content-Type: application/json" \
     "https://storage.googleapis.com/storage/v1/b/[BUCKET_NAME]/iam"

   Em que:

   • [YOUR_ACCESS_TOKEN] é o token de acesso gerado na Etapa 1.

Console

1. Abra o navegador do Cloud Storage no Console do Google Cloud.
   Abrir o navegador do Cloud Storage

2. Clique no menu flutuante Intervalo () à extrema direita da linha associada ao intervalo.

3. Selecione Editar permissões do intervalo.

4. Expanda o papel que contém a condição que você está removendo.

5. Clique no menu Editar () do membro associado à condição.

6. Na sobreposição Editar permissões exibida, clique no nome da condição que você quer excluir.

7. Na sobreposição Editar condições exibida, clique em Excluir e, em seguida, Confirmar.

8. Clique em Salvar.

gsutil

1. Use o comando gsutil iam para salvar a política do Cloud IAM do intervalo em um arquivo JSON temporário.

   gsutil iam get gs://[BUCKET_NAME] > /tmp/policy.json

2. Edite o arquivo /tmp/policy.json em um editor de texto para remover condições da política do Cloud IAM.

3. Use gsutil iam para definir a política do Cloud IAM modificada no intervalo.

   gsutil iam set /tmp/policy.json gs://[BUCKET_NAME]

JSON

1. Receba um token de acesso de autorização do OAuth 2.0 Playground. Configure o Playground para usar suas credenciais do OAuth.

2. Use uma solicitação GET getIamPolicy para salvar a política do Cloud IAM do intervalo em um arquivo JSON temporário:

   curl \
   'https://storage.googleapis.com/storage/v1/b/[BUCKET]/iam' \
   --header 'Authorization: Bearer [YOUR_ACCESS_TOKEN]' > /tmp/policy.json

   Em que:

   • [YOUR_ACCESS_TOKEN] é o token de acesso gerado na Etapa 1.

3. Edite o arquivo /tmp/policy.json em um editor de texto para remover condições da política do Cloud IAM.

4. Use uma solicitação PUT setIamPolicy para definir a política do Cloud IAM modificada no intervalo:

   curl -X PUT --data-binary @/tmp/policy.json \
     -H "Authorization: Bearer [YOUR_ACCESS_TOKEN]" \
     -H "Content-Type: application/json" \
     "https://storage.googleapis.com/storage/v1/b/[BUCKET_NAME]/iam"

   Em que:

   • [YOUR_ACCESS_TOKEN] é o token de acesso gerado na Etapa 1.
   • [BUCKET_NAME] é o nome do intervalo no qual está a política do IAM que você quer modificar. Por exemplo, my-bucket.

Console

1. Abra o navegador IAM e administrador no Console do Google Cloud.
   Abrir o navegador de IAM e administrador

2. No menu suspenso do projeto, na barra superior, selecione o projeto onde você quer adicionar um membro.

3. Clique em Adicionar. A caixa de diálogo Adicionar membros, papéis ao projeto é exibida.

4. No campo Novos membros, especifique o nome da entidade onde você está concedendo acesso.

5. Na lista suspensa Selecionar papel, escolha o papel que você quer conceder a esses membros.

   Os papéis que afetam os intervalos e objetos do Cloud Storage estão nos submenus Projeto e Armazenamento.

6. Clique em Salvar.

gsutil

As políticas do Cloud IAM para envolvidos no projeto são gerenciadas por meio do comando gcloud, que faz parte do SDK do Google Cloud. Para adicionar uma política para envolvidos no projeto, use gcloud beta projects add-iam-policy-binding.

JSON

1. Receba um token de acesso de autorização do OAuth 2.0 Playground. Configure o Playground para usar suas credenciais do OAuth.

2. Crie um arquivo .json com as informações a seguir:

   {
     "policy": {
       "version": "0",
       "bindings": {
         "role": "[IAM_ROLE]",
         "members": "[MEMBER_NAME]"
       },
     }
   }

   Em que:

   • [IAM_ROLE] é o papel do IAM que você concede ao membro. Por exemplo, roles/storage.objectCreator.
   • [MEMBER_NAME] é o tipo e o nome do membro ao qual você concede acesso ao projeto. Por exemplo, user:jane@gmail.com.

3. Use cURL para chamar a API Resource Manager com uma solicitação POST setIamPolicy:

   curl -X POST --data-binary @[JSON_FILE_NAME].json \
     -H "Authorization: Bearer [OAUTH2_TOKEN]" \
     -H "Content-Type: application/json" \
     "https://cloudresourcemanager.googleapis.com/v1/projects/[PROJECT_NAME]:setIamPolicy"

   Em que:

   • [JSON_FILE_NAME] é o nome do arquivo que você criou na etapa 2.
   • [OAUTH2_TOKEN] é o token de acesso gerado na Etapa 1.
   • [PROJECT_NAME] é o nome do projeto ao qual você concede acesso de membro. Por exemplo, my-project.

Console

1. Abra o navegador IAM e administrador no Console do Google Cloud.
   Abrir o navegador de IAM e administrador

2. No menu suspenso do projeto, na barra superior, selecione o projeto no qual está a política que você quer visualizar.

3. Há duas maneiras de visualizar as permissões do projeto:

   • Visualizar por membros: visualize a coluna Papel associada a membros individuais para ver quais papéis cada membro tem.
   • Visualizar por Papéis: use a lista suspensa associada a papéis individuais para ver quais membros têm o papel.

gsutil

As políticas do Cloud IAM para envolvidos no projeto são gerenciadas por meio do comando gcloud, que faz parte do SDK do Google Cloud. Para exibir a política do Cloud IAM de um projeto, use o comando gcloud beta projects get-iam-policy.

JSON

1. Receba um token de acesso de autorização do OAuth 2.0 Playground. Configure o Playground para usar suas credenciais do OAuth.

2. Use cURL para chamar a API Resource Manager com uma solicitação POST getIamPolicy:

   curl -X POST \
     -H "Authorization: Bearer [OAUTH2_TOKEN]" \
     -H "Content-Length: 0" \
     "https://cloudresourcemanager.googleapis.com/v1/projects/[PROJECT_NAME]:getIamPolicy"

   Em que:

   • [OAUTH2_TOKEN] é o token de acesso gerado na Etapa 1.
   • [PROJECT_NAME] é o nome do projeto ao qual você concede acesso de membro. Por exemplo, my-project.

Console

1. Abra o navegador IAM e administrador no Console do Google Cloud.
   Abrir o navegador de IAM e administrador

2. No menu suspenso do projeto, na barra superior, selecione o projeto onde você quer remover um membro.

3. Verifique se você está visualizando as permissões por Membros e selecione aqueles que quer remover.

4. Clique em Remover.

5. Na janela de sobreposição exibida, clique em Confirmar.

gsutil

As políticas do Cloud IAM para envolvidos no projeto são gerenciadas por meio do comando gcloud, que faz parte do SDK do Google Cloud. Para remover uma política para envolvidos no projeto, use gcloud beta projects remove-iam-policy-binding.

JSON

1. Receba um token de acesso de autorização do OAuth 2.0 Playground. Configure o Playground para usar suas credenciais do OAuth.

2. Receba a política atual aplicada ao projeto. Para isso, use cURL para chamar a API Resource Manager com uma solicitação POST getIamPolicy:

   curl -X POST \
     -H "Authorization: Bearer [OAUTH2_TOKEN]" \
     -H "Content-Length: 0" \
     "https://cloudresourcemanager.googleapis.com/v1/projects/[PROJECT_NAME]:getIamPolicy"

   Em que:

   • [OAUTH2_TOKEN] é o token de acesso gerado na Etapa 1.
   • [PROJECT_NAME] é o nome do projeto ao qual você quer adicionar acesso de membro. Por exemplo, my-project.

3. Crie um arquivo .json com a política que você recuperou na etapa anterior.

4. Edite o arquivo .json para remover o membro da política.

5. Use cURL para chamar a API Resource Manager com uma solicitação POST setIamPolicy:

   curl -X POST --data-binary @[JSON_FILE_NAME].json \
     -H "Authorization: Bearer [OAUTH2_TOKEN]" \
     -H "Content-Type: application/json" \
     "https://cloudresourcemanager.googleapis.com/v1/projects/[PROJECT_NAME]:setIamPolicy"

   Em que:

   • [JSON_FILE_NAME] é o nome do arquivo que você criou na etapa 2.
   • [OAUTH2_TOKEN] é o token de acesso gerado na Etapa 1.
   • [PROJECT_NAME] é o nome do projeto ao qual você quer conceder acesso de membro. Por exemplo, my-project.