IAM-роли
Для управления доступом к ресурсам сервиса Object Storage можно использовать:
При назначении ролей рекомендуется придерживаться принципа минимальных привилегий.
Описание ролей
Заголовок раздела «Описание ролей»На схеме показаны роли и особенности наследования разрешений:
Сервисные роли
Заголовок раздела «Сервисные роли»storage.bucket.policyViewer
Заголовок раздела «storage.bucket.policyViewer»Роль storage.bucket.policyViewer позволяет получать текущую политику бакета.
storage.bucket.policyEditor
Заголовок раздела «storage.bucket.policyEditor»Роль storage.bucket.policyEditor позволяет получать текущую политику бакета и добавлять новые политики.
Роль включает все разрешения роли storage.bucket.policyViewer.
storage.bucket.objectViewer
Заголовок раздела «storage.bucket.objectViewer»Роль storage.bucket.objectViewer позволяет просматривать информацию об объектах в бакете и составных загрузках, а также скачивать объекты из бакета.
С этой ролью вы можете:
- получать список объектов в бакете;
- получать список версий объекта;
- получать список тегов, назначенных объекту;
- получать список составных загрузок в бакете;
- получать список частей составной загрузки;
- скачивать объекты из бакета.
storage.bucket.viewer
Заголовок раздела «storage.bucket.viewer»Роль storage.bucket.viewer позволяет просматривать информацию о бакете, объектах в бакете и составных загрузках, а также скачивать объекты из бакета.
С этой ролью вы можете:
- получать список объектов в бакете;
- получать список версий объекта;
- получать список тегов, назначенных объекту;
- получать список составных загрузок в бакете;
- получать список частей составной загрузки;
- просматривать настройки жизненного цикла для объектов в бакете;
- просматривать текущие политики бакета;
- просматривать информацию о статусе версионирования;
- просматривать информацию о шифровании;
- просматривать настройки CORS;
- просматривать настройки логирования бакета.
- скачивать объекты из бакета.
Роль включает все разрешения для роли storage.bucket.objectViewer.
storage.bucket.objectEditor
Заголовок раздела «storage.bucket.objectEditor»Роль storage.bucket.objectEditor позволяет просматривать информацию о бакете, объектах в бакете и составных загрузках, а также управлять объектами.
С этой ролью вы можете:
- получать список объектов в бакете;
- получать список версий объекта;
- получать список тегов, назначенных объекту;
- получать список составных загрузок в бакете;
- получать список частей составной загрузки;
- просматривать настройки жизненного цикла для объектов в бакете;
- просматривать текущие политики бакета;
- просматривать информацию о статусе версионирования;
- просматривать информацию о шифровании;
- просматривать настройки CORS;
- просматривать настройки логирования бакета.
- загружать и скачивать объекты;
- удалять объекты;
- добавлять и удалять теги объектов.
Роль включает все разрешения роли storage.bucket.viewer.
storage.bucket.editor
Заголовок раздела «storage.bucket.editor»Роль storage.bucket.editor позволяет просматривать информацию о бакете, объектах в бакете и составных загрузках, а также управлять бакетами и объектами.
С этой ролью вы можете:
- получать список объектов в бакете;
- получать список версий объекта;
- получать список тегов, назначенных объекту;
- получать список составных загрузок в бакете;
- получать список частей составной загрузки;
- просматривать настройки жизненного цикла для объектов в бакете;
- просматривать текущие политики бакета;
- просматривать информацию о статусе версионирования;
- просматривать информацию о шифровании;
- просматривать настройки CORS;
- просматривать настройки логирования бакета.
- загружать и скачивать объекты;
- удалять объекты;
- добавлять и удалять теги объектов;
- создавать, редактировать и удалять бакеты.
Роль включает все разрешения роли storage.bucket.viewer.
storage.bucket.admin
Заголовок раздела «storage.bucket.admin»Роль storage.bucket.admin позволяет просматривать информацию о бакете, объектах в бакете и составных загрузках, а также управлять бакетами, объектами и доступом к бакетам.
С этой ролью вы можете:
- получать список объектов в бакете;
- получать список версий объекта;
- получать список тегов, назначенных объекту;
- получать список составных загрузок в бакете;
- получать список частей составной загрузки;
- просматривать настройки жизненного цикла для объектов в бакете;
- просматривать текущие политики бакета;
- просматривать информацию о статусе версионирования;
- просматривать информацию о шифровании;
- просматривать настройки CORS;
- просматривать настройки логирования бакета.
- загружать и скачивать объекты;
- удалять объекты;
- добавлять и удалять теги объектов;
- создавать, редактировать и удалять бакеты;
- управлять доступом к бакетам.
Роль включает все разрешения ролей storage.bucket.viewer и storage.bucket.editor.