En la página siguiente se describen los permisos de Gestión de Identidades y Accesos (IAM) que se necesitan para realizar acciones en la parte de Cloud Storage de la consola de Google Cloud . Los permisos de gestión de identidades y accesos se agrupan para formar roles, y tú concedes roles a usuarios y grupos.
Permisos habituales necesarios para usar la consola de Google Cloud
Para usar la consola, se necesitan ciertos permisos: Google Cloud
Todas las acciones que impliquen contenedores deben incluir los permisos
resourcemanager.projects.getystorage.buckets.lista nivel de proyecto.Estos permisos le permiten acceder a la página Segmentos, donde puede crear, ver y actualizar segmentos.
Todas las acciones que incluyan un proyecto de facturación en la solicitud requieren el permiso
serviceusage.services.usepara el proyecto especificado.Este permiso asegura que tienes autorización para facturar el proyecto que especifiques. Por ejemplo, se incluye un proyecto de facturación cuando se accede a un segmento con la opción Pagos del solicitante habilitada.
Permisos necesarios para acciones específicas
| Acción | Permisos de gestión de identidades y accesos necesarios (además de los que se indican más arriba) |
|---|---|
| Crear un segmento | storage.buckets.createstorage.buckets.enableObjectRetention1 |
| Asociar una etiqueta a un segmento | storage.buckets.createTagBinding |
| Listar o filtrar segmentos | No se necesitan permisos adicionales |
| Mostrar las etiquetas asociadas directamente a un segmento | storage.buckets.listTagBindings |
| Mostrar las etiquetas heredadas y las etiquetas adjuntas directamente a un contenedor | storage.buckets.listEffectiveTags |
Consulte la siguiente información del contenedor:
|
storage.buckets.get |
Cambie los siguientes ajustes del contenedor:
|
storage.buckets.getstorage.buckets.updatestorage.buckets.enableObjectRetention1 |
| Habilitar la función Pagos del solicitante | storage.buckets.getstorage.buckets.update |
| Inhabilitar la función Pagos del solicitante | storage.buckets.getstorage.buckets.updateresourcemanager.projects.createBillingAssignment3 |
| Cambiar la configuración de prevención de acceso público | storage.buckets.getstorage.buckets.setIamPolicystorage.buckets.update |
| Cambiar los permisos de un segmento | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
| Eliminar un segmento vacío | storage.buckets.deletestorage.objects.list |
| Eliminar un segmento que no esté vacío | storage.buckets.deletestorage.objects.deletestorage.objects.list |
| Desasociar una etiqueta de un segmento | storage.buckets.deleteTagBinding |
| Crear una carpeta | storage.folders.create |
| Obtener los metadatos de una carpeta | storage.folders.get |
| Mostrar carpetas | storage.folders.list |
| Cambiar el nombre de las carpetas | storage.folders.rename (del segmento de origen)storage.folders.create (del segmento de destino) |
| Eliminar carpetas | storage.folders.delete |
| Subir un objeto o una carpeta de objetos | storage.objects.createstorage.objects.delete2storage.objects.setRetention4 |
| Ver los detalles de un objeto5 | storage.objects.getstorage.objects.list |
| Ver el historial de versiones de un objeto | storage.objects.getstorage.objects.list |
| Descargar un objeto5 o una carpeta de objetos | storage.objects.getstorage.objects.list |
| Mostrar los objetos de un segmento, incluidos los objetos no actuales y los objetos eliminados de forma no definitiva | storage.objects.list |
| Determinar si se puede acceder públicamente a un objeto5 | storage.buckets.getIamPolicystorage.objects.liststorage.objects.getIamPolicy7 |
| Cambiar el nombre de un objeto o restaurar una versión no actual de un objeto | storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy7storage.objects.setIamPolicy7 |
| Copiar un objeto | storage.objects.createstorage.objects.delete2storage.objects.getstorage.objects.liststorage.objects.getIamPolicy7,8storage.objects.setIamPolicy7,8 |
| Desplazamiento de un objeto | storage.objects.createstorage.objects.delete2storage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy7,8storage.objects.setIamPolicy7,8 |
| Ver los permisos de acceso de un objeto5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicy |
| Editar los permisos de acceso de un objeto5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
| Editar los metadatos de un objeto5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Añadir, cambiar o quitar una configuración de conservación en un objeto5 | storage.objects.getstorage.objects.liststorage.objects.updatestorage.objects.setRetentionstorage.objects.overrideUnlockedRetention9 |
| Añadir o quitar una retención de un objeto5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Eliminar un objeto5, una versión no actual de un objeto o una carpeta de objetos | storage.objects.deletestorage.objects.list |
| Restaurar un objeto eliminado | storage.objects.createstorage.objects.delete2storage.objects.liststorage.objects.restore |
| Restaurar objetos eliminados en bloque | storage.objects.createstorage.objects.delete10storage.objects.restorestorage.buckets.restorestorage.objects.setIamPolicy7,11 |
| Ver el nombre del agente de servicio de Cloud Storage de un proyecto | resourcemanager.projects.get |
| Ver las claves HMAC de cuenta de servicio de un proyecto | resourcemanager.projects.getstorage.hmacKeys.list |
| Crear una clave HMAC para una cuenta de servicio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.create |
| Inhabilitar o volver a habilitar una clave HMAC de una cuenta de servicio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.update |
| Eliminar una clave HMAC de una cuenta de servicio | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.delete |
| Crear, ver o eliminar una clave HMAC de la cuenta de usuario con la que has iniciado sesión | resourcemanager.projects.get |
| Configurar, actualizar o inhabilitar la configuración de Storage Intelligence en un proyecto, una carpeta o una organización | storage.intelligenceConfigs.update |
| Ver la configuración de Storage Intelligence en un proyecto, una carpeta o una organización | storage.intelligenceConfigs.get |
| Crear una caché con Anywhere Cache | storage.anywhereCaches.create |
| Mostrar una caché con Anywhere Cache | storage.anywhereCaches.list |
| Actualizar una caché con Anywhere Cache | storage.anywhereCaches.update |
| Pausar una caché con Anywhere Cache | storage.anywhereCaches.pause |
| Reanudar una caché con Anywhere Cache | storage.anywhereCaches.resume |
| Obtener los metadatos de una caché con Anywhere Cache | storage.anywhereCaches.get |
| Inhabilitar una caché con Anywhere Cache | storage.anywhereCaches.disable |
1Este permiso solo es necesario cuando se habilita un segmento para que admita configuraciones de conservación de objetos.
2Este permiso solo es necesario si ya existe un objeto con el mismo nombre en el segmento de destino.
3Este permiso solo es necesario si no incluyes un proyecto de facturación en tu solicitud. Consulta los requisitos de uso y acceso de la función de pago del solicitante para obtener más información.
4 Este permiso solo es necesario cuando se añade una configuración de retención al subir el objeto.
5 Esta acción no requiere storage.objects.list
si se realiza en la página de detalles del objeto correspondiente y no
se accede a la página de detalles desde la lista general de objetos del contenedor.
6Esta acción no se aplica a los segmentos que tienen habilitado el acceso uniforme a nivel de segmento.
7 Este permiso no se aplica a los segmentos que tienen habilitado el acceso uniforme a nivel de segmento.
8Este permiso solo es necesario cuando se conservan los permisos aplicados al objeto de origen.
9Este permiso es necesario cuando se cambia una configuración de conservación para que se bloquee, se reduzca o se elimine.
10 Este permiso solo es necesario si ya existe un objeto con el mismo nombre en el segmento de destino y seleccionas la opción Sobrescribir objetos activos.
11 Este permiso solo es necesario cuando se selecciona la opción Copiar controles de acceso de origen (LCAs).
Siguientes pasos
Para ver una lista de los roles y los permisos que contienen, consulta Roles de gestión de identidades y accesos para Cloud Storage.
Asigna roles de gestión de identidades y accesos a nivel de proyecto y de segmento.