Esta página foi traduzida pela API Cloud Translation.

Permissões do IAM para comandos de armazenamento da gcloud

Nesta tabela, descrevemos as permissões do Identity and Access Management (IAM) necessárias para executar comandos do gcloud storage. As permissões do IAM são agrupadas para criar papéis. Você concede papéis aos principais.

Para mais informações sobre como usar caracteres curinga e as sinalizações --recursive e --billing-project, consulte as seções abaixo da tabela.

Comando	Flag	Permissões de IAM obrigatórias
`batch-operations jobs create`		`storagebatchoperations.jobs.create`
`batch-operations jobs cancel`		`storagebatchoperations.jobs.cancel`
`batch-operations jobs delete`		`storagebatchoperations.jobs.delete`
`batch-operations jobs get`		`storagebatchoperations.jobs.get`
`batch-operations jobs list`		`storagebatchoperations.jobs.list`
`buckets add-iam-policy-binding`		`storage.buckets.get` `storage.buckets.getIamPolicy` `storage.buckets.setIamPolicy` `storage.buckets.update`
`buckets anywhere-caches create`		`storage.anywhereCaches.create`
`buckets anywhere-caches describe`		`storage.anywhereCaches.get`
`buckets anywhere-caches list`		`storage.anywhereCaches.list`
`buckets anywhere-caches update`		`storage.anywhereCaches.update`
`buckets anywhere-caches pause`		`storage.anywhereCaches.pause`
`buckets anywhere-caches resume`		`storage.anywhereCaches.resume`
`buckets anywhere-caches disable`		`storage.anywhereCaches.disable`
`buckets create`		`storage.buckets.create` `storage.buckets.setIpFilter`¹⁵
`buckets delete`		`storage.buckets.delete`
`buckets describe`		`storage.buckets.get` `storage.buckets.getIamPolicy`¹ `storage.buckets.getIpFilter`¹⁶
`buckets get-iam-policy`		`storage.buckets.get` `storage.buckets.getIamPolicy`
`buckets list`		`storage.buckets.list` `storage.buckets.getIamPolicy`¹
`buckets notifications create`		`storage.buckets.get` `storage.buckets.update` `pubsub.topics.get` (para o projeto que contém o tópico do Pub/Sub) `pubsub.topics.create`³ (para o projeto que contém o tópico do Pub/Sub) `pubsub.topics.getIamPolicy` (para o tópico do Pub/Sub que recebe notificações) `pubsub.topics.setIamPolicy`³ (para o tópico do Pub/Sub que recebe notificações)
`buckets notifications create`	`--skip-topic-setup`	`storage.buckets.get` `storage.buckets.update`
`buckets notifications delete`		`storage.buckets.get` `storage.buckets.update`
`buckets notifications describe`		`storage.buckets.get`
`buckets notifications list`		`storage.buckets.get`
`buckets relocate`		`storage.buckets.relocate`
`buckets remove-iam-policy-binding`		`storage.buckets.get` `storage.buckets.getIamPolicy` `storage.buckets.setIamPolicy` `storage.buckets.update`
`buckets set-iam-policy`		`storage.buckets.setIamPolicy` `storage.buckets.update`
`buckets update`		`storage.buckets.update` `storage.buckets.setIpFilter`¹⁵
`buckets update`	`--no-requester-pays`	`storage.buckets.update` `resourcemanager.projects.createBillingAssignment`²
`buckets update`	`--recovery-point-objective` `--rpo` `--[no-]uniform-bucket-level-access`	`storage.buckets.get` `storage.buckets.update`
`buckets update`	`--clear-pap` `--clear-public-access-prevention` `--[no-]pap` `--[no-]public-access-prevention`	`storage.buckets.get` `storage.buckets.update` `storage.buckets.setIamPolicy`
`cat`		`storage.objects.get` `storage.objects.list`¹³
`cp`		`storage.objects.get` (para os objetos de origem) `storage.objects.create` (para o bucket de destino) `storage.objects.list`⁴ (para o bucket de destino) `storage.objects.delete`⁵ (para o bucket de destino) `storage.buckets.get`¹² (para o bucket de destino)
`du`		`storage.objects.list`
`folders create`		`storage.folders.create`
`folders delete`		`storage.folders.delete`
`folders describe`		`storage.folders.get`
`folders list`		`storage.folders.list`
`folders rename`		`storage.folders.rename` (para o bucket de origem) `storage.folders.create` (para o bucket de destino)
`hash`		`storage.objects.get`
`hmac create`		`storage.hmacKeys.create`
`hmac delete`		`storage.hmacKeys.delete`
`hmac describe`		`storage.hmacKeys.get`
`hmac list`		`storage.hmacKeys.list`
`hmac update`		`storage.hmacKeys.update`
`insights dataset-configs create`		`storageinsights.datasetConfigs.create`
`insights dataset-configs create-link`		`storageinsights.datasetConfigs.linkDataset`
`insights dataset-configs delete`		`storageinsights.datasetConfigs.delete`
`insights dataset-configs delete-link`		`storageinsights.datasetConfigs.unlinkDataset`
`insights dataset-configs describe`		`storageinsights.datasetConfigs.get`
`insights dataset-configs list`		`storageinsights.datasetConfigs.list`
`insights dataset-configs update`		`storageinsights.datasetConfigs.update`
`insights inventory-reports create`		`storageinsights.reportConfigs.create`
`insights inventory-reports delete`		`storageinsights.reportConfigs.delete`
`insights inventory-reports details list`		`storageinsights.reportDetails.list`
`insights inventory-reports details describe`		`storageinsights.reportDetails.get`
`insights inventory-reports list`		`storageinsights.reportConfigs.list`
`insights inventory-reports update`		`storageinsights.reportConfigs.get` `storageinsights.reportConfigs.update`
`ls` (para a listagem de buckets)		`storage.buckets.list` `storage.buckets.getIamPolicy`⁶
`ls` (para a listagem de objetos)		`storage.objects.get`⁷ `storage.objects.list` `storage.objects.getIamPolicy`⁸
`ls`	`--buckets`	`storage.buckets.get` `storage.buckets.getIamPolicy`⁶
`storage intelligence-config enable`		`storage.intelligenceConfigs.update`
`storage-intelligence disable`		`storage.intelligenceConfigs.update`
`storage-intelligence describe`		`storage.intelligenceConfigs.get`
`storage-intelligence update`		`storage.intelligenceConfigs.update`
`mv`		`storage.objects.get` (para os objetos de origem) `storage.objects.delete` (para o bucket de origem) `storage.objects.create` (para o bucket de destino) `storage.objects.list`⁴ (para o bucket de destino) `storage.objects.delete`⁵ (para o bucket de destino) `storage.buckets.get`¹² (para o bucket de destino)
`objects compose`		`storage.objects.get` `storage.objects.create` `storage.objects.delete`⁹
`objects describe`		`storage.objects.get` `storage.objects.getIamPolicy`⁸
`objects list`		`storage.objects.list` `storage.objects.getIamPolicy`⁸
`objects update`		`storage.objects.get` `storage.objects.list` `storage.objects.update`
`objects update`	`--storage-class` `--encryption-key` `--clear-encryption-key`	`storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.delete`
`objects update`	`--retention-mode` `--retain-until` `--clear-retention`	`storage.objects.get` `storage.objects.list` `storage.objects.update` `storage.objects.setRetention` `storage.objects.overrideUnlockedRetention`¹¹
`operations cancel`		`storage.bucketOperations.cancel`
`operations describe`		`storage.bucketOperations.get`
`operations list`		`storage.bucketOperations.list`
`restore`		`storage.objects.create` `storage.objects.delete`⁹ `storage.objects.restore`
`restore`	`--async`	`storage.objects.create` `storage.objects.delete`¹⁴ `storage.objects.restore` `storage.buckets.restore`
`rm`		`storage.buckets.delete` `storage.objects.delete` `storage.objects.list`
`rsync`		`storage.objects.list` (para o bucket de origem) `storage.objects.get` (para os objetos de origem) `storage.objects.list` (para o bucket de destino) `storage.objects.get` (para o bucket de destino) `storage.objects.create` (para o bucket de destino) `storage.objects.delete`¹⁰ (para o bucket de destino) `storage.buckets.get`¹² (para o bucket de destino)
`rsync`	`--dry-run`	`storage.objects.list` (para os buckets de origem e destino)
`service-agent`		`resourceManager.projects.get`
`sign-url`		Nenhum. No entanto, a conta de serviço cuja chave é usada como parte deste comando precisa ter permissão para executar a solicitação codificada no URL assinado.

¹Essa permissão é obrigatória somente se você quiser incluir as políticas de IAM nos detalhes.

²Essa permissão só será obrigatória se você não incluir um projeto de faturamento na solicitação. Consulte Requisitos de uso e acesso dos pagamentos do solicitante para mais informações.

³Essas permissões não são obrigatórias se o tópico já existe e a conta de serviço relevante tem acesso a ele.

⁴Essa permissão é obrigatória somente quando o destino no comando contém um caminho de objeto.

⁵Essa permissão é obrigatória somente se você usa uploads compostos paralelos ou se não usa a sinalização --no-clobber, mas insere um objeto que tem o mesmo nome de um objeto que já existe no bucket.

⁶Essa permissão é obrigatória somente se você quiser incluir as políticas de IAM nos detalhes.

⁷Essa permissão só será obrigatória se você usar a flag --fetch-encrypted-object-hashes.

⁸Essa permissão é obrigatória somente se você quiser incluir as políticas de IAM nos detalhes e não se aplica a buckets com o acesso uniforme no nível do bucket ativado.

⁹Essa permissão só será obrigatória se a operação criar um objeto com o mesmo nome de um objeto atual no bucket.

¹⁰Essa permissão é obrigatória somente se você usar a sinalização --delete-unmatched-destination-objects ou se inserir um objeto com o mesmo nome de dados diferentes que Um objeto que já existe no bucket.

¹¹Essa permissão só será obrigatória se a solicitação também exigir que você use a sinalização --override-unlocked-retention.

¹²Essa permissão será necessária para fazer uploads compostos paralelos se a property storage/parallel_composite_upload_compatibility_check da gcloud CLI estiver definida como True.

¹³Essa permissão só será obrigatória se você quiser usar expressões regulares para extrair objetos.

¹⁴Essa permissão só será obrigatória se a solicitação incluir a flag --allow-overwrite e a operação criar um objeto com o mesmo nome de um objeto que já existe no bucket.

¹⁵Essa permissão só será obrigatória se a solicitação incluir a flag --ip-filter-file para criar, atualizar ou excluir as regras de filtragem de IP em um bucket.

¹⁶Essa permissão só é obrigatória se você quiser receber a configuração de filtro de IP do bucket como parte da resposta.

Sinalização de nível superior `--billing-project`

Se você usar a sinalização global --billing-project para especificar um projeto que deverá ser faturado na solicitação, será necessário ter a permissão serviceusage.services.use no projeto especificado. A sinalização --billing-project é usada, por exemplo, ao acessar um bucket com pagamentos do solicitante ativados.

Caracteres curinga e sinalizações recursivas

Se você usar caracteres curinga de URI para selecionar vários objetos em um comando, será necessário ter a permissão storage.objects.list para o bucket que contém os objetos. Da mesma forma, se usar caracteres curinga de URI para selecionar vários buckets em um comando, será necessário ter a permissão storage.buckets.list nos projetos que contêm os buckets.

Se você usar a sinalização --recursive, será necessário ter a permissão storage.objects.list para o bucket relevante, além das permissões necessárias para o comando específico que você está usando.

A seguir

Atribua papéis do IAM no nível do projeto e do bucket.
Consulte os papéis do IAM que contêm permissões do Cloud Storage.

Permissões do IAM para comandos de armazenamento da gcloud Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Sinalização de nível superior --billing-project

Caracteres curinga e sinalizações recursivas

A seguir

Permissões do IAM para comandos de armazenamento da gcloud

Sinalização de nível superior `--billing-project`