הרשאות IAM למסוף Google Cloud

במאמר הזה מוסבר על ההרשאות של ניהול זהויות והרשאות גישה (IAM) שנדרשות לביצוע פעולות בחלק של Cloud Storage ב Google Cloud מסוף. הרשאות IAM שמקובצות יחד יוצרות תפקידים, שאותם מקצים למשתמשים ולקבוצות.

הרשאות נפוצות שנדרשות כדי להשתמש במסוף Google Cloud

באופן כללי צריך הרשאות מסוימות כדי להשתמש במסוףGoogle Cloud :

• כל הפעולות הקשורות לקטגוריות צריכות לכלול את ההרשאות resourcemanager.projects.get ו-storage.buckets.list ברמת הפרויקט.

  ההרשאות האלו מאפשרות כניסה לדף 'קטגוריות', שבו יוצרים, מציגים ומעדכנים קטגוריות.

• לכל הפעולות שכוללות פרויקט חיוב בבקשה נדרשת ההרשאה serviceusage.services.use בפרויקט שצוין.

  ההרשאה הזו מבטיחה שיש אפשרות לחייב את הפרויקט שמציינים. לדוגמה, צריך לכלול פרויקט חיוב כשניגשים לקטגוריה שמופעלת בה האפשרות מגיש הבקשה משלם.

הרשאות שנדרשות לביצוע פעולות ספציפיות

פעולה	הרשאות IAM הנדרשות (בנוסף לאלו המפורטות למעלה)
יצירת קטגוריה	storage.buckets.create storage.buckets.enableObjectRetention1
צירוף תג לקטגוריה	storage.buckets.createTagBinding
הצגת רשימה או סינון של קטגוריות	ללא הרשאות נוספות
הצגת רשימת תגים המצורפים ישירות לקטגוריה	storage.buckets.listTagBindings
הצגת רשימת תגים שעברו בירושה וגם תגים המצורפים ישירות לקטגוריה	storage.buckets.listEffectiveTags
צפייה בפרטים הבאים לגבי הקטגוריה: מיקום, סטטוס רפליקציה, וסוג האחסון (storage class) המוגדר כברירת מחדל הגדרות הגנה תוויות של קטגוריות כללי מדיניות בנושא מחזור החיים של אובייקט סטטוס מניעת גישה ציבורית סטטוס גישה אחידה ברמת הקטגוריה סטטוס הסיווג האוטומטי הגדרות אישיות של האתר	storage.buckets.get
שינוי ההגדרות הבאות של הקטגוריה: הגדרות הגנה סוג האחסון (storage class) המוגדר כברירת מחדל תוויות הקטגוריה כללי מדיניות בנושא מחזור החיים של אובייקט סטטוס גישה אחידה ברמת הקטגוריה סטטוס הסיווג האוטומטי הגדרות אישיות של האתר הגדרות של שמירת אובייקטים	storage.buckets.get storage.buckets.update storage.buckets.enableObjectRetention1
הפעלת התכונה 'מגיש הבקשה משלם'	storage.buckets.get storage.buckets.update
השבתת התכונה 'מגיש הבקשה משלם'	storage.buckets.get storage.buckets.update resourcemanager.projects.createBillingAssignment3
שינוי ההגדרה של מניעת גישה ציבורית	storage.buckets.get storage.buckets.setIamPolicy storage.buckets.update
שינוי ההרשאות בקטגוריה	storage.buckets.get storage.buckets.getIamPolicy storage.buckets.setIamPolicy storage.buckets.update
מחיקת קטגוריה ריקה	storage.buckets.delete storage.objects.list
מחיקת קטגוריה שאינה ריקה	storage.buckets.delete storage.objects.delete storage.objects.list
ניתוק תג מקטגוריה	storage.buckets.deleteTagBinding
יצירת תיקייה	storage.folders.create
אחזור המטא-נתונים של תיקייה	storage.folders.get
הצגת רשימה של תיקיות	storage.folders.list
שינוי השם של תיקיות	‫storage.folders.rename (לקטגוריית המקור) storage.folders.create (לקטגוריית היעד)
מחיקת תיקיות	storage.folders.delete
העלאת אובייקט או תיקייה של אובייקטים	‫storage.objects.create storage.objects.delete2 storage.objects.setRetention4
צפייה בפרטים של אובייקט5	storage.objects.get storage.objects.list
הצגת היסטוריית הגרסאות של אובייקט	storage.objects.get storage.objects.list
הורדת אובייקט5 או תיקייה של אובייקטים	storage.objects.get storage.objects.list
הצגת רשימה של אובייקטים בקטגוריה, כולל אובייקטים לא עדכניים ואובייקטים שנמחקו זמנית	storage.objects.list
קביעה האם אובייקט נגיש לציבור5	storage.buckets.getIamPolicy storage.objects.list storage.objects.getIamPolicy7
שינוי שם של אובייקט או שחזור גרסה קודמת של אובייקט	storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy7 storage.objects.setIamPolicy7
העתקת אובייקט	‫storage.objects.create (בשביל קטגוריית היעד) storage.objects.delete2 (בשביל קטגוריית היעד) storage.objects.get (בשביל אובייקט המקור) storage.objects.list (בשביל קטגוריית המקור וקטגוריית היעד) storage.objects.getIamPolicy7,8 (בשביל אובייקט המקור) storage.objects.setIamPolicy7,8 (בשביל קטגוריית היעד)
העברת אובייקט	‫storage.objects.create (לקטגוריית היעד) storage.objects.delete2 (לקטגוריית היעד) storage.objects.delete (לקטגוריית המקור) storage.objects.get (לאובייקט המקור) storage.objects.list (לקטגוריית המקור ולקטגוריית היעד) storage.objects.getIamPolicy7,8 (לאובייקט המקור) storage.objects.setIamPolicy7,8 (לקטגוריית היעד)
צפייה בהרשאות הגישה של אובייקט5,6	storage.objects.get storage.objects.list storage.objects.getIamPolicy
עריכת הרשאות הגישה של אובייקט5,6	storage.objects.get storage.objects.list storage.objects.getIamPolicy storage.objects.setIamPolicy storage.objects.update
עריכת מטא-נתונים של אובייקט5	storage.objects.get storage.objects.list storage.objects.update
הוספה, שינוי או הסרה של הגדרת שמירת נתונים באובייקט5	storage.objects.get storage.objects.list storage.objects.update storage.objects.setRetention storage.objects.overrideUnlockedRetention9
הוספה או הסרה של החזקה לצורך משפטי על אובייקט5	storage.objects.get storage.objects.list storage.objects.update
מחיקת אובייקט5, גרסה קודמת של אובייקט או תיקייה של אובייקטים	storage.objects.delete storage.objects.list
שחזור אובייקט שנמחק	storage.objects.create storage.objects.delete2 storage.objects.list storage.objects.restore
שחזור של כמות גדולה של אובייקטים שנמחקו	storage.objects.create storage.objects.delete10 storage.objects.restore storage.buckets.restore storage.objects.setIamPolicy7,11
הצגת שם סוכן השירות של Cloud Storage של פרויקט	resourcemanager.projects.get
צפייה במפתחות ה-HMAC של חשבונות השירות של פרויקט	resourcemanager.projects.get storage.hmacKeys.list
יצירת מפתח HMAC בשביל חשבון שירות	resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.create
השבתה או הפעלה מחדש של מפתח HMAC של חשבון שירות	resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.update
מחיקת מפתח HMAC של חשבון שירות	resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.delete
יצירה, הצגה או מחיקה של מפתח HMAC בחשבון המשתמש שבאמצעותו בוצעה התחברות לחשבון	resourcemanager.projects.get
הגדרה, עדכון או השבתה של הגדרות Storage Intelligence בפרויקט, בתיקייה או בארגון	storage.intelligenceConfigs.update
צפייה בהגדרות של Storage Intelligence בפרויקט, בתיקייה או בארגון	storage.intelligenceConfigs.get
יצירת מטמון באמצעות Anywhere Cache	storage.anywhereCaches.create
הצגת רשימה של מטמון באמצעות Anywhere Cache	storage.anywhereCaches.list
עדכון מטמון באמצעות Anywhere Cache	storage.anywhereCaches.update
השהיית מטמון באמצעות Anywhere Cache	storage.anywhereCaches.pause
המשך של מטמון באמצעות Anywhere Cache	storage.anywhereCaches.resume
אחזור המטא-נתונים של מטמון באמצעות Anywhere Cache	storage.anywhereCaches.get
השבתת מטמון באמצעות Anywhere Cache	storage.anywhereCaches.disable

¹ההרשאה הזו נדרשת רק כשמפעילים בקטגוריה תמיכה בהגדרות שימור אובייקטים.

²ההרשאה הזו נדרשת רק במקרה שאובייקט עם אותו שם כבר קיים בקטגוריית היעד.

³ההרשאה הזו נדרשת רק אם לא כוללים פרויקט חיוב בבקשה. למידע נוסף, ראו דרישות השימוש והגישה של 'מגיש הבקשה משלם'.

⁴ההרשאה הזו נדרשת רק כשמוסיפים הגדרת שמירה כחלק מהעלאת האובייקט.

⁵הפעולה הזו לא מחייבת storage.objects.list אם היא מבוצעת בדף הפרטים של האובייקט הרלוונטי ולא ניגשים לדף הפרטים מהרשימה הכוללת של האובייקטים בקטגוריה.

⁶הפעולה הזו לא חלה על קטגוריות שבהן מופעלת גישה אחידה ברמת הקטגוריה.

⁷ ההרשאה הזו לא חלה על קטגוריות שמופעלת בהן גישה אחידה ברמת הקטגוריה.

⁸ההרשאה הזו נדרשת רק כששומרים את ההרשאות שחלות כרגע על אובייקט המקור.

⁹ההרשאה הזו נדרשת כשמשנים הגדרת שמירה קיימת כך שההגדרה ננעלת, מצטמצמת או מוסרת.

¹⁰ההרשאה הזו נדרשת רק אם אובייקט עם אותו שם כבר קיים בקטגוריית היעד ואתם בוחרים באפשרות Overwrite live objects (החלפת אובייקטים פעילים).

^‫11 ההרשאה הזו נדרשת רק כשבוחרים באפשרות העתקת אמצעי בקרת הגישה (ACL) של המקור.

המאמרים הבאים

• במאמר תפקידי IAM ב-Cloud Storage מופיעה רשימת התפקידים וההרשאות שמוגדרות בהם.

• הענקת תפקידי IAM ברמת הפרויקט וברמת הקטגוריה.