Autorisations IAM pour Cloud Storage

Les tableaux suivants répertorient les autorisations Cloud Identity and Access Management (Cloud IAM) associées à Cloud Storage. Les autorisations Cloud IAM sont regroupées par rôles, et vous attribuez des rôles à des utilisateurs et à des groupes.

Autorisations relatives aux buckets

Nom de l'autorisation relative aux buckets	Description
storage.buckets.create	Créer des buckets dans un projet.
storage.buckets.createTagBinding	Créez une liaison de tag vers un bucket.
storage.buckets.delete	Supprimer des buckets.
storage.buckets.deleteTagBinding	Supprimez la liaison de tag vers un bucket.
storage.buckets.enableObjectRetention	Activez les configurations de conservation des objets sur un bucket.
storage.buckets.exemptFromIpFilter	Exempte l'utilisateur ou le compte de service des règles de filtrage des adresses IP pour les opérations au niveau du bucket.
storage.buckets.get	Lire les métadonnées d'un bucket, y compris répertorier ou lire les configurations des notifications Pub/Sub associées à un bucket. Cette autorisation seule ne vous permet pas de lire les règles de filtrage des adresses IP ni les stratégies IAM.
storage.buckets.getIamPolicy	Lire les stratégies IAM associées aux buckets.
storage.buckets.getIpFilter	Liste ou lit les règles de filtrage des adresses IP sur un bucket.
storage.buckets.getObjectInsights	Lire les métadonnées d'objet dans les rapports d'inventaire.
storage.buckets.list	Répertorier les buckets d'un projet, y compris lire les métadonnées des buckets. Cette autorisation seule ne vous permet pas de lister les règles de filtrage des adresses IP ni les stratégies IAM.
storage.buckets.listEffectiveTags	Répertorier tous les tags associés à un bucket, y compris les tags hérités des niveaux supérieurs de la hiérarchie des ressources, tels que le projet du bucket.
storage.buckets.listTagBindings	Répertorier les tags directement associés à un bucket.
storage.buckets.relocate	Relocalisez des buckets entre des emplacements géographiques.
storage.buckets.restore	Effectuer une restauration groupée des objets qui ont été supprimés de façon réversible.
storage.buckets.setIamPolicy	Mettre à jour les stratégies IAM associées aux buckets.
storage.buckets.setIpFilter	Définissez des règles de filtrage des adresses IP sur un bucket.
storage.buckets.update	Mettre à jour les métadonnées des buckets, y compris en ajoutant ou en supprimant une configuration de notification Pub/Sub sur un bucket, et lire les métadonnées des buckets lors de la mise à jour. Cette autorisation seule ne vous permet pas de mettre à jour les stratégies IAM ni les règles de filtrage des adresses IP, ni de lire les stratégies IAM sur un bucket lors de la mise à jour.

Autorisations relatives aux objets

Nom de l'autorisation relative aux objets	Description
storage.objects.create	Ajouter des objets à un bucket.
storage.objects.delete	Supprimer des objets
storage.objects.get	Lire les données et les métadonnées des objets, à l'exclusion des LCA.
storage.objects.getIamPolicy	Lire les LCA d'objets, renvoyées sous forme de stratégies IAM.
storage.objects.list	Répertorier les objets d'un bucket. Lire également les métadonnées des objets, à l'exclusion des LCA, lors de la création d'une liste.
storage.objects.move	Déplacez un objet dans un bucket pour lequel l'espace de noms hiérarchique est activé.
storage.objects.overrideUnlockedRetention	Utilisez l'en-tête x-goog-bypass-governance-retention ou le paramètre de requête overrideUnlockedRetention lorsque vous utilisez des configurations de conservation des objets.
storage.objects.restore	Restaurer les objets qui ont été supprimés de façon réversible.
storage.objects.setIamPolicy	Mettre à jour les LCA des objets.
storage.objects.setRetention	Ajouter ou mettre à jour des conservations pour des objets.
storage.objects.update	Mettre à jour les métadonnées des objets, à l'exclusion des LCA. Lire également les métadonnées des objets, à l'exclusion des LCA, lors de la mise à jour.

Autorisations sur les dossiers

Nom de l'autorisation sur le dossier	Description
storage.folders.create	Créer un dossier
storage.folders.delete	Supprimer un dossier
storage.folders.get	Lire les métadonnées d'un dossier
storage.folders.list	Répertorier les dossiers
storage.folders.rename	Renommer un dossier

Autorisations sur les dossiers gérés

Nom de l'autorisation sur le dossier géré	Description
storage.managedFolders.create	Créer un dossier géré.
storage.managedFolders.delete	Supprimer un dossier géré.
storage.managedFolders.get	Lire un dossier géré.
storage.managedFolders.getIamPolicy	Lire les stratégies IAM des dossiers gérés.
storage.managedFolders.list	Répertorier les dossiers gérés dans un bucket ou un dossier.
storage.managedFolders.setIamPolicy	Mettre à jour les stratégies IAM des dossiers gérés.

Autorisations Anywhere Cache

Nom de l'autorisation Anywhere Cache	Description
storage.anywhereCaches.create	Créez un cache à l'aide d'Anywhere Cache.
storage.anywhereCaches.list	Répertorie les caches à l'aide d'Anywhere Cache.
storage.anywhereCaches.update	Mettez à jour un cache à l'aide du cache Anywhere.
storage.anywhereCaches.get	Obtenez les métadonnées d'un cache à l'aide d'Anywhere Cache.
storage.anywhereCaches.pause	Mettez en veille un cache à l'aide d'Anywhere Cache.
storage.anywhereCaches.resume	Réactivez un cache à l'aide d'Anywhere Cache.
storage.anywhereCaches.disable	Désactivez un cache à l'aide d'Anywhere Cache.

Autorisations Storage Intelligence

Nom de l'autorisation Storage Intelligence	Description
storage.intelligenceConfigs.update	Configurez Storage Intelligence pour un projet, un dossier ou une organisation.
storage.intelligenceConfigs.get	Lit la configuration Storage Intelligence d'un projet, d'un dossier ou d'une organisation.

Autorisations de rapports d'inventaire Storage Insights

Nom de l'autorisation de rapports d'inventaire	Description
storageinsights.reportConfigs.create	Créez des configurations de rapports d'inventaire.
storageinsights.reportConfigs.delete	Supprimez des configurations de rapports d'inventaire.
storageinsights.reportConfigs.get	Récupérez des configurations de rapports d'inventaire.
storageinsights.reportConfigs.list	Répertoriez des configurations de rapports d'inventaire.
storageinsights.reportConfigs.update	Modifiez des configurations de rapports d'inventaire.
storageinsights.reportDetails.get	Récupérez des rapports d'inventaire.
storageinsights.reportDetails.list	Répertoriez des rapports d'inventaire.

Autorisations liées aux ensembles de données Storage Insights

Nom de l'autorisation pour l'ensemble de données	Description
storageinsights.datasetConfigs.create	Créez des configurations d'ensembles de données.
storageinsights.datasetConfigs.delete	Supprimez les configurations d'ensembles de données.
storageinsights.datasetConfigs.linkDataset	Créez des ensembles de données associés dans BigQuery qui contiennent les données de sortie des ensembles de données Storage Insights.
storageinsights.datasetConfigs.unlinkDataset	Supprimez les ensembles de données associés à BigQuery qui contiennent la sortie des ensembles de données Storage Insights.
storageinsights.datasetConfigs.update	Modifiez les configurations des ensembles de données.
storageinsights.datasetConfigs.get	Obtenez les configurations d'ensembles de données.
storageinsights.datasetConfigs.list	Lister les configurations d'ensembles de données.

Autorisations pour les opérations Storage par lot

Nom de l'autorisation des opérations Storage par lot	Description
storagebatchoperations.jobs.create	Créez des tâches d'opérations par lot de stockage.
storagebatchoperations.jobs.cancel	Annulez les tâches d'opérations par lot de stockage.
storagebatchoperations.jobs.delete	Supprimez les jobs d'opérations par lot de stockage.
storagebatchoperations.jobs.get	Récupérez les jobs d'opérations Storage par lot.
storagebatchoperations.jobs.list	Répertorie les jobs d'opérations Storage par lot.
storagebatchoperations.operations.get	Récupérer les opérations Storage par lot.
storagebatchoperations.operations.list	Répertorie les opérations par lot de stockage.
storagebatchoperations.operations.cancel	Annulez les opérations par lot de stockage.

Autorisations sur les opérations de longue durée

Nom de l'autorisation sur l'opération de longue durée	Description
storage.bucketOperations.cancel	Annule une opération de longue durée.
storage.bucketOperations.get	Obtenez une opération de longue durée.
storage.bucketOperations.list	Répertorie les opérations de longue durée.

Autorisations de clé HMAC

Nom de l'autorisation de clé HMAC	Description
storage.hmacKeys.create	Créer des clés HMAC pour les comptes de service d'un projet.
storage.hmacKeys.delete	Supprimer des clés HMAC existantes.
storage.hmacKeys.get	Lire les métadonnées de clés HMAC
storage.hmacKeys.list	Répertorier les métadonnées des clés HMAC dans un projet.
storage.hmacKeys.update	Mettre à jour l'état d'une clé HMAC

Autorisations d'importation en plusieurs parties

Nom de l'autorisation d'importation en plusieurs parties	Description
storage.multipartUploads.create	Importer des objets en plusieurs parties.
storage.multipartUploads.abort	Annuler les sessions d'importation en plusieurs parties.
storage.multipartUploads.listParts	Répertorier les parties d'objet importées dans une session d'importation en plusieurs parties.
storage.multipartUploads.list	Répertorier les sessions d'importation en plusieurs parties dans un bucket.

Étapes suivantes

• Découvrez quelles autorisations IAM sont contenues dans chaque rôle IAM pour Cloud Storage.

• Attribuez des rôles IAM au niveau du projet et du bucket.

• Consultez les références IAM disponibles pour Cloud Storage, telles que les autorisations IAM qui permettent aux utilisateurs d'effectuer des actions avec divers outils et API.

• Pour obtenir la liste des autres autorisations Google Cloud , consultez la page Niveau de compatibilité des autorisations dans les rôles personnalisés.