Autorisations IAM pour Cloud Storage

Les tableaux suivants répertorient les autorisations Cloud Identity and Access Management (Cloud IAM) associées à Cloud Storage. Les autorisations Cloud IAM sont regroupées par rôles, et vous attribuez des rôles à des utilisateurs et à des groupes.

Autorisations relatives aux buckets

Nom de l'autorisation relative aux buckets Description
storage.buckets.create Créer des buckets dans un projet.
storage.buckets.createTagBinding Créer une liaison de tag vers un bucket.
storage.buckets.delete Supprimer des buckets.
storage.buckets.deleteTagBinding Supprimer la liaison de tag sur un bucket.
storage.buckets.enableObjectRetention Activer les configurations de conservation des objets sur un bucket.
storage.buckets.exemptFromIpFilter Exempte l'utilisateur ou le compte de service des règles de filtrage par adresse IP pour les opérations au niveau du bucket.
storage.buckets.get Lire les métadonnées d'un bucket, y compris répertorier ou lire les configurations des notifications Pub/Sub sur un bucket. Cette autorisation seule ne vous permet pas de lire les règles de filtrage par adresse IP ni les stratégies IAM.
storage.buckets.getIamPolicy Lire les stratégies IAM associées aux buckets.
storage.buckets.getIpFilter Répertorie ou lit les règles de filtrage par adresse IP sur un bucket.
storage.buckets.getObjectInsights Lire les métadonnées d'objet dans les rapports d'inventaire et les ensembles de données Storage Insights.
storage.buckets.list Répertorier les buckets d'un projet, y compris lire les métadonnées des buckets. Cette autorisation seule ne vous permet pas de répertorier les règles de filtrage par adresse IP ni les stratégies IAM.
storage.buckets.listEffectiveTags Répertorier tous les tags associés à un bucket, y compris les tags hérités des niveaux supérieurs de la hiérarchie des ressources, tels que le projet du bucket.
storage.buckets.listTagBindings Répertorier les tags directement associés à un bucket.
storage.buckets.relocate Relocaliser des buckets entre des emplacements géographiques.
storage.buckets.restore Effectuer une restauration groupée des objets qui ont été supprimés de façon réversible.
storage.buckets.setIamPolicy Mettre à jour les stratégies IAM associées aux buckets.
storage.buckets.setIpFilter Définir des règles de filtrage par adresse IP sur un bucket.
storage.buckets.update Mettre à jour les métadonnées des buckets, y compris ajouter ou supprimer une configuration de notification Pub/Sub sur un bucket, et lire les métadonnées des buckets lors de la mise à jour. Cette autorisation seule ne vous permet pas de mettre à jour les règles de filtrage par adresse IP ni les stratégies IAM, ni de lire les stratégies IAM sur un bucket lors de la mise à jour.

Autorisations relatives aux objets

Nom de l'autorisation relative aux objets Description
storage.objects.create Ajouter des objets à un bucket.
storage.objects.createContext Associer des contextes à un objet.
storage.objects.delete Supprimer des objets
storage.objects.deleteContext Supprimer les contextes d'un objet.
storage.objects.get Lire les données et les métadonnées des objets, à l'exclusion des LCA. Cette autorisation renvoie également tous les contextes associés à l'objet.
storage.objects.getIamPolicy Lire les LCA d'objet, renvoyées sous forme de stratégies IAM.
storage.objects.list Répertorier les objets d'un bucket. Lire également les métadonnées des objets, à l'exclusion des LCA, lors de la création d'une liste. Cette autorisation renvoie également tous les contextes associés aux objets.
storage.objects.move Déplacez un objet dans un bucket sur lequel l'espace de noms hiérarchique est activé.
storage.objects.overrideUnlockedRetention Utilisez l'en-tête x-goog-bypass-governance-retention ou le paramètre de requête overrideUnlockedRetention lorsque vous utilisez des configurations de conservation des objets.
storage.objects.restore Restaurer les objets qui ont été supprimés de façon réversible.
storage.objects.setIamPolicy Mettre à jour les LCA d'objet.
storage.objects.setRetention Ajouter ou mettre à jour des conservations pour des objets.
storage.objects.update Mettre à jour les métadonnées des objets, à l'exclusion des LCA. Lire également les métadonnées des objets, à l'exclusion des LCA, lors de la mise à jour.
storage.objects.updateContext Mettre à jour les contextes d'un objet.

Autorisations relatives aux dossiers

Nom de l'autorisation relative au dossier Description
storage.folders.create Créer un dossier.
storage.folders.delete Supprimer un dossier.
storage.folders.get Lire les métadonnées d'un dossier.
storage.folders.list Répertorier les dossiers.
storage.folders.rename Renommer un dossier.

Autorisations relatives aux dossiers gérés

Nom de l'autorisation relative au dossier géré Description
storage.managedFolders.create Créer un dossier géré.
storage.managedFolders.delete Supprimer un dossier géré.
storage.managedFolders.get Lire un dossier géré.
storage.managedFolders.getIamPolicy Lire les stratégies IAM des dossiers gérés.
storage.managedFolders.list Répertorier les dossiers gérés dans un bucket ou un dossier.
storage.managedFolders.setIamPolicy Mettre à jour les stratégies IAM des dossiers gérés.

Autorisations Anywhere Cache

Nom de l'autorisation Anywhere Cache Description
storage.anywhereCaches.create Créer un cache à l'aide d'Anywhere Cache.
storage.anywhereCaches.list Répertorie les caches à l'aide d'Anywhere Cache.
storage.anywhereCaches.update Mettre à jour un cache à l'aide d'Anywhere Cache.
storage.anywhereCaches.get Obtenir les métadonnées d'un cache à l'aide d'Anywhere Cache.
storage.anywhereCaches.pause Suspendre un cache à l'aide d'Anywhere Cache.
storage.anywhereCaches.resume Réactiver un cache à l'aide d'Anywhere Cache.
storage.anywhereCaches.disable Désactiver un cache à l'aide d'Anywhere Cache.

Autorisations Storage Intelligence

Nom de l'autorisation Storage Intelligence Description
storage.intelligenceConfigs.update Configurer Storage Intelligence sur un projet, un dossier ou une organisation.
storage.intelligenceConfigs.get Lit la configuration Storage Intelligence sur un projet, un dossier ou une organisation.

Autorisations relatives aux rapports d'inventaire Storage Insights

Nom de l'autorisation relative aux rapports d'inventaire Description
storageinsights.reportConfigs.create Créer des configurations de rapports d'inventaire.
storageinsights.reportConfigs.delete Supprimer des configurations de rapports d'inventaire.
storageinsights.reportConfigs.get Récupérer des configurations de rapports d'inventaire.
storageinsights.reportConfigs.list Répertorier des configurations de rapports d'inventaire.
storageinsights.reportConfigs.update Modifier des configurations de rapports d'inventaire.
storageinsights.reportDetails.get Récupérer des rapports d'inventaire.
storageinsights.reportDetails.list Répertorier des rapports d'inventaire.

Autorisations associées aux ensembles de données Storage Insights

Nom de l'autorisation associée à l'ensemble de données Description
storageinsights.datasetConfigs.create Créer des configurations d'ensembles de données.
storageinsights.datasetConfigs.delete Supprimer des configurations d'ensembles de données.
storageinsights.datasetConfigs.linkDataset Créer des ensembles de données associés dans BigQuery qui contiennent les résultats des ensembles de données Storage Insights.
storageinsights.datasetConfigs.unlinkDataset Supprimer de BigQuery des ensembles de données associés qui contiennent la sortie des ensembles de données Storage Insights.
storageinsights.datasetConfigs.update Modifier les configurations d'ensembles de données.
storageinsights.datasetConfigs.get Récupérer les configurations d'ensembles de données.
storageinsights.datasetConfigs.list Répertorier les configurations d'ensembles de données.

Autorisations associées aux opérations Storage par lot

Nom de l'autorisation associée aux opérations Storage par lot Description
storagebatchoperations.jobs.create Créer des jobs d'opérations Storage par lot.
storagebatchoperations.jobs.cancel Annuler les jobs d'opérations Storage par lot.
storagebatchoperations.jobs.delete Supprimer les jobs d'opérations Storage par lot.
storagebatchoperations.jobs.get Récupérer les jobs d'opérations Storage par lot.
storagebatchoperations.jobs.list Répertorier les jobs d'opérations Storage par lot.
storagebatchoperations.operations.get Récupérer les opérations de longue durée associées aux jobs d'opérations Storage par lot.
storagebatchoperations.operations.list Répertorier les opérations de longue durée associées aux jobs d'opérations Storage par lot.
storagebatchoperations.operations.cancel Annuler les opérations de longue durée associées aux jobs d'opérations Storage par lot.
storagebatchoperations.operations.delete Supprimer les opérations de longue durée associées aux jobs d'opérations Storage par lot.

Autorisations associées aux opérations de longue durée

Nom de l'autorisation associée aux opérations de longue durée Description
storage.bucketOperations.cancel Annuler une opération de longue durée.
storage.bucketOperations.get Récupérer une opération de longue durée.
storage.bucketOperations.list Répertorier les opérations de longue durée.

Autorisations de clé HMAC

Nom de l'autorisation de clé HMAC Description
storage.hmacKeys.create Créer des clés HMAC pour les comptes de service d'un projet.
storage.hmacKeys.delete Supprimer des clés HMAC existantes.
storage.hmacKeys.get Lire les métadonnées de clés HMAC
storage.hmacKeys.list Répertorier les métadonnées des clés HMAC dans un projet.
storage.hmacKeys.update Mettre à jour l'état d'une clé HMAC.

Autorisations d'importation en plusieurs parties

Nom de l'autorisation d'importation en plusieurs parties Description
storage.multipartUploads.create Importer des objets en plusieurs parties.
storage.multipartUploads.abort Annuler les sessions d'importation en plusieurs parties.
storage.multipartUploads.listParts Répertorier les parties d'objet importées dans une session d'importation en plusieurs parties.
storage.multipartUploads.list Répertorier les sessions d'importation en plusieurs parties dans un bucket.

Étapes suivantes