Le tableau ci-dessous répertorie les autorisations IAM (Identity and Access Management) requises pour exécuter chaque méthode XML de Cloud Storage sur une ressource donnée.
| Méthode | Ressource | Sous-ressource | Autorisations IAM requises1 |
|---|---|---|---|
DELETE |
bucket |
storage.buckets.delete |
|
DELETE |
object |
storage.objects.delete |
|
DELETE |
object |
uploadId |
storage.multipartUploads.abort |
GET |
storage.buckets.list |
||
GET |
bucket |
storage.objects.list |
|
GET |
bucket |
acls3 |
storage.buckets.getstorage.buckets.getIamPolicy |
GET |
bucket |
Métadonnées non liées aux LCA | storage.buckets.get |
GET |
bucket |
uploads |
storage.multipartUploads.list |
GET |
object |
storage.objects.get |
|
GET |
object |
acls3 |
storage.objects.getstorage.objects.getIamPolicy |
GET |
object |
encryption |
storage.objects.get |
GET |
object |
retention |
storage.objects.get |
GET |
object |
uploadId |
storage.multipartUploads.listParts |
HEAD |
bucket |
storage.buckets.get |
|
HEAD |
object |
storage.objects.get |
|
POST |
object |
storage.objects.createstorage.objects.delete4storage.objects.setRetention5 |
|
POST |
object |
uploadId |
storage.multipartUploads.createstorage.objects.createstorage.objects.delete4 |
POST |
object |
uploads |
storage.multipartUploads.createstorage.objects.createstorage.objects.setRetention5 |
PUT |
bucket |
storage.buckets.createstorage.buckets.enableObjectRetention6 |
|
PUT |
bucket |
acls3 |
storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
PUT |
bucket |
Métadonnées non liées aux LCA | storage.buckets.update |
PUT7 |
object |
storage.objects.createstorage.objects.get2storage.objects.delete4storage.objects.setRetention5 |
|
PUT |
object |
acls3 |
storage.objects.getstorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
PUT |
object |
compose |
storage.objects.createstorage.objects.getstorage.objects.delete4storage.objects.setRetention5 |
PUT |
object |
retention |
storage.objects.setRetentionstorage.objects.updatestorage.objects.overrideUnlockedRetention8 |
PUT |
object |
uploadId |
storage.multipartUploads.createstorage.objects.create |
GET |
Projects.hmacKeys |
storage.hmacKeys.get |
|
POST |
Projects.hmacKeys |
storage.hmacKeys.createstorage.hmacKeys.updatestorage.hmacKeys.delete |
1 Si vous utilisez l'en-tête x-goog-user-project ou le paramètre de chaîne de requête userProject dans votre requête, vous devez avoir l'autorisation serviceusage.services.use pour l'ID de projet que vous spécifiez, en plus des autorisations IAM normales requises pour effectuer la requête.
2 Cette autorisation est requise pour le bucket source lorsque la requête inclut l'en-tête x-goog-copy-source.
3 Cette sous-ressource ne s'applique pas aux buckets pour lesquels l'accès uniforme au niveau du bucket est activé.
4 Cette autorisation n'est requise que si l'objet inséré a le même nom qu'un objet présent dans le bucket.
5 Cette autorisation n'est requise que lorsque la requête inclut les en-têtes x-goog-object-lock-mode et x-goog-object-lock-retain-until-date.
6 Cette autorisation n'est requise que lorsque la requête inclut un en-tête x-goog-bucket-object-lock-enabled défini sur true.
7 Aucune autorisation n'est requise pour effectuer des requêtes PUT associées à une importation avec reprise.
8 Cette autorisation n'est requise que lorsque la requête inclut un en-tête x-goog-bypass-governance-retention défini sur true.
Étapes suivantes
- Consultez la page Rôles IAM pour Cloud Storage pour découvrir la liste des rôles et les autorisations qu'ils comprennent.