La pagina seguente illustra le autorizzazioni Identity and Access Management (IAM) necessarie per eseguire azioni nella parte Cloud Storage della console Google Cloud . Le autorizzazioni IAM sono raggruppate per formare i ruoli e tu concedi i ruoli a utenti e gruppi.
Autorizzazioni comuni richieste per l'utilizzo della console Google Cloud
Alcune autorizzazioni sono necessarie in generale per utilizzare la consoleGoogle Cloud :
Tutte le azioni che coinvolgono i bucket devono includere le autorizzazioni
resourcemanager.projects.getestorage.buckets.lista livello di progetto.Queste autorizzazioni ti consentono di accedere alla pagina Bucket, dove puoi creare, visualizzare e aggiornare i bucket.
Tutte le azioni che includono un progetto di fatturazione nella richiesta richiedono l'autorizzazione
serviceusage.services.useper il progetto specificato.Questa autorizzazione garantisce che tu sia autorizzato a fatturare il progetto specificato. L'inclusione di un progetto di fatturazione viene utilizzata, ad esempio, quando si accede a un bucket con la funzionalità Pagamenti a carico del richiedente abilitata.
Autorizzazioni richieste per azioni specifiche
| Azione | Autorizzazioni IAM richieste (oltre a quelle elencate sopra) |
|---|---|
| Crea un bucket | storage.buckets.createstorage.buckets.enableObjectRetention1 |
| Allegare un tag a un bucket | storage.buckets.createTagBinding |
| Elencare o filtrare i bucket | Nessuna autorizzazione aggiuntiva |
| Elenca i tag collegati direttamente a un bucket | storage.buckets.listTagBindings |
| Elenca sia i tag ereditati sia quelli collegati direttamente a un bucket | storage.buckets.listEffectiveTags |
Visualizza le seguenti informazioni sul bucket:
|
storage.buckets.get |
Modifica le seguenti impostazioni del bucket:
|
storage.buckets.getstorage.buckets.updatestorage.buckets.enableObjectRetention1 |
| Attivare la funzionalità Pagamenti a carico del richiedente | storage.buckets.getstorage.buckets.update |
| Disattivare la funzionalità Pagamenti a carico del richiedente | storage.buckets.getstorage.buckets.updateresourcemanager.projects.createBillingAssignment3 |
| Modificare l'impostazione di prevenzione dell'accesso pubblico | storage.buckets.getstorage.buckets.setIamPolicystorage.buckets.update |
| Modificare le autorizzazioni del bucket | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
| Eliminare un bucket vuoto | storage.buckets.deletestorage.objects.list |
| Elimina un bucket non vuoto | storage.buckets.deletestorage.objects.deletestorage.objects.list |
| Scollegare un tag da un bucket | storage.buckets.deleteTagBinding |
| Crea una cartella | storage.folders.create |
| Recuperare i metadati di una cartella | storage.folders.get |
| Elenca cartelle | storage.folders.list |
| Rinominare le cartelle | storage.folders.rename (per il bucket di origine)storage.folders.create (per il bucket di destinazione) |
| Eliminare cartelle | storage.folders.delete |
| Caricare un oggetto o una cartella di oggetti | storage.objects.createstorage.objects.delete2storage.objects.setRetention4 |
| Visualizzare i dettagli di un oggetto5 | storage.objects.getstorage.objects.list |
| Visualizzare la cronologia delle versioni di un oggetto | storage.objects.getstorage.objects.list |
| Scaricare un oggetto5 o una cartella di oggetti | storage.objects.getstorage.objects.list |
| Elenca gli oggetti in un bucket, inclusi gli oggetti non correnti e quelli eliminati temporaneamente | storage.objects.list |
| Determinare se un oggetto è accessibile pubblicamente5 | storage.buckets.getIamPolicystorage.objects.liststorage.objects.getIamPolicy7 |
| Rinominare un oggetto o ripristinare una versione non corrente di un oggetto | storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy7storage.objects.setIamPolicy7 |
| Copiare un oggetto | storage.objects.createstorage.objects.delete2storage.objects.getstorage.objects.liststorage.objects.getIamPolicy7,8storage.objects.setIamPolicy7,8 |
| Spostare un oggetto | storage.objects.createstorage.objects.delete2storage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy7,8storage.objects.setIamPolicy7,8 |
| Visualizzare le autorizzazioni di accesso di un oggetto5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicy |
| Modificare le autorizzazioni di accesso di un oggetto5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
| Modificare i metadati di un oggetto5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Aggiungere, modificare o rimuovere una configurazione della conservazione su un oggetto5 | storage.objects.getstorage.objects.liststorage.objects.updatestorage.objects.setRetentionstorage.objects.overrideUnlockedRetention9 |
| Aggiungere o rimuovere un blocco su un oggetto5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Elimina un oggetto5, una versione non corrente di un oggetto o una cartella di oggetti | storage.objects.deletestorage.objects.list |
| Ripristinare un oggetto eliminato | storage.objects.createstorage.objects.delete2storage.objects.liststorage.objects.restore |
| Ripristinare in blocco gli oggetti eliminati | storage.objects.createstorage.objects.delete10storage.objects.restorestorage.buckets.restorestorage.objects.setIamPolicy7,11 |
| Visualizzare il nome dell'agente di servizio Cloud Storage di un progetto | resourcemanager.projects.get |
| Visualizza le chiavi HMAC del account di servizio per un progetto | resourcemanager.projects.getstorage.hmacKeys.list |
| Crea una chiave HMAC per un account di servizio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.create |
| Disattivare o riattivare una chiave HMAC per un account di servizio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.update |
| Eliminare una chiave HMAC per un account di servizio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.delete |
| Creare, visualizzare o eliminare una chiave HMAC per l'account utente con cui hai eseguito l'accesso | resourcemanager.projects.get |
| Configurare, aggiornare o disabilitare la configurazione di Storage Intelligence in un progetto, una cartella o un'organizzazione | storage.intelligenceConfigs.update |
| Visualizzare la configurazione di Storage Intelligence in un progetto, una cartella o un'organizzazione | storage.intelligenceConfigs.get |
| Crea una cache utilizzando Anywhere Cache | storage.anywhereCaches.create |
| Elencare una cache utilizzando Anywhere Cache | storage.anywhereCaches.list |
| Aggiornare una cache utilizzando Anywhere Cache | storage.anywhereCaches.update |
| Mettere in pausa una cache utilizzando Anywhere Cache | storage.anywhereCaches.pause |
| Riprendere una cache utilizzando Anywhere Cache | storage.anywhereCaches.resume |
| Recuperare i metadati di una cache utilizzando Anywhere Cache | storage.anywhereCaches.get |
| Disattivare una cache utilizzando Anywhere Cache | storage.anywhereCaches.disable |
1 Questa autorizzazione è obbligatoria solo quando si abilita un bucket per supportare le configurazioni di conservazione degli oggetti.
2 Questa autorizzazione è necessaria solo se nel bucket di destinazione esiste già un oggetto con lo stesso nome.
3 Questa autorizzazione è necessaria solo se non includi un progetto di fatturazione nella richiesta. Per ulteriori informazioni, consulta i requisiti di utilizzo e accesso per i pagamenti a carico del richiedente.
4Questa autorizzazione è obbligatoria solo quando aggiungi una configurazione della conservazione durante il caricamento dell'oggetto.
5Questa azione non richiede storage.objects.list
se viene eseguita nella pagina dei dettagli dell'oggetto pertinente e non
accedi alla pagina dei dettagli dall'elenco generale degli oggetti per il bucket.
6Questa azione non si applica ai bucket con accesso uniforme a livello di bucket abilitato.
7Questa autorizzazione non si applica ai bucket con accesso uniforme a livello di bucket abilitato.
8Questa autorizzazione è obbligatoria solo quando vengono mantenute le autorizzazioni attualmente applicate all'oggetto di origine.
9Questa autorizzazione è necessaria quando si modifica una configurazione di conservazione esistente in modo che la configurazione venga bloccata, ridotta o rimossa.
10Questa autorizzazione è necessaria solo se nel bucket di destinazione esiste già un oggetto con lo stesso nome e selezioni l'opzione Sovrascrivi oggetti live.
11 Questa autorizzazione è necessaria solo quando selezioni l'opzione Copia controlli dell'accesso (ACL) di origine.
Passaggi successivi
Per un elenco dei ruoli e delle autorizzazioni che contengono, consulta Ruoli IAM per Cloud Storage.
Concedi ruoli IAM a livello di progetto e bucket.