Вернуться наверх

IAM-роли

Для управления доступом к ресурсам сервиса Object Storage можно использовать:

При назначении ролей рекомендуется придерживаться принципа минимальных привилегий.

Описание ролей

На схеме показаны роли и особенности наследования разрешений:

Сервисные роли

storage.bucket.policyViewer

Роль storage.bucket.policyViewer позволяет получать текущую политику бакета.

storage.bucket.policyEditor

Роль storage.bucket.policyEditor позволяет получать текущую политику бакета и добавлять новые политики.

Роль включает все разрешения роли storage.bucket.policyViewer.

storage.bucket.objectViewer

Роль storage.bucket.objectViewer позволяет просматривать информацию об объектах в бакете и составных загрузках, а также скачивать объекты из бакета.

С этой ролью вы можете:

  • получать список объектов в бакете;
  • получать список версий объекта;
  • получать список тегов, назначенных объекту;
  • получать список составных загрузок в бакете;
  • получать список частей составной загрузки;
  • скачивать объекты из бакета.

storage.bucket.viewer

Роль storage.bucket.viewer позволяет просматривать информацию о бакете, объектах в бакете и составных загрузках, а также скачивать объекты из бакета.

С этой ролью вы можете:

  • получать список объектов в бакете;
  • получать список версий объекта;
  • получать список тегов, назначенных объекту;
  • получать список составных загрузок в бакете;
  • получать список частей составной загрузки;
  • просматривать настройки жизненного цикла для объектов в бакете;
  • просматривать текущие политики бакета;
  • просматривать информацию о статусе версионирования;
  • просматривать информацию о шифровании;
  • просматривать настройки CORS;
  • просматривать настройки логирования бакета.
  • скачивать объекты из бакета.

Роль включает все разрешения для роли storage.bucket.objectViewer.

storage.bucket.objectEditor

Роль storage.bucket.objectEditor позволяет просматривать информацию о бакете, объектах в бакете и составных загрузках, а также управлять объектами.

С этой ролью вы можете:

  • получать список объектов в бакете;
  • получать список версий объекта;
  • получать список тегов, назначенных объекту;
  • получать список составных загрузок в бакете;
  • получать список частей составной загрузки;
  • просматривать настройки жизненного цикла для объектов в бакете;
  • просматривать текущие политики бакета;
  • просматривать информацию о статусе версионирования;
  • просматривать информацию о шифровании;
  • просматривать настройки CORS;
  • просматривать настройки логирования бакета.
  • загружать и скачивать объекты;
  • удалять объекты;
  • добавлять и удалять теги объектов.

Роль включает все разрешения роли storage.bucket.viewer.

storage.bucket.editor

Роль storage.bucket.editor позволяет просматривать информацию о бакете, объектах в бакете и составных загрузках, а также управлять бакетами и объектами.

С этой ролью вы можете:

  • получать список объектов в бакете;
  • получать список версий объекта;
  • получать список тегов, назначенных объекту;
  • получать список составных загрузок в бакете;
  • получать список частей составной загрузки;
  • просматривать настройки жизненного цикла для объектов в бакете;
  • просматривать текущие политики бакета;
  • просматривать информацию о статусе версионирования;
  • просматривать информацию о шифровании;
  • просматривать настройки CORS;
  • просматривать настройки логирования бакета.
  • загружать и скачивать объекты;
  • удалять объекты;
  • добавлять и удалять теги объектов;
  • создавать, редактировать и удалять бакеты.

Роль включает все разрешения роли storage.bucket.viewer.

storage.bucket.admin

Роль storage.bucket.admin позволяет просматривать информацию о бакете, объектах в бакете и составных загрузках, а также управлять бакетами, объектами и доступом к бакетам.

С этой ролью вы можете:

  • получать список объектов в бакете;
  • получать список версий объекта;
  • получать список тегов, назначенных объекту;
  • получать список составных загрузок в бакете;
  • получать список частей составной загрузки;
  • просматривать настройки жизненного цикла для объектов в бакете;
  • просматривать текущие политики бакета;
  • просматривать информацию о статусе версионирования;
  • просматривать информацию о шифровании;
  • просматривать настройки CORS;
  • просматривать настройки логирования бакета.
  • загружать и скачивать объекты;
  • удалять объекты;
  • добавлять и удалять теги объектов;
  • создавать, редактировать и удалять бакеты;
  • управлять доступом к бакетам.

Роль включает все разрешения ролей storage.bucket.viewer и storage.bucket.editor.