IAM-Richtlinien und ACLs erfordern eine aktive Verwaltung, um wirksam zu sein.
Bevor Sie Nutzern Zugriff auf einen Bucket oder ein Objekt gewähren, sollten Sie wissen, für wen Sie den Bucket oder das Objekt freigeben möchten und welche Rolle diese Personen haben sollen. Veränderungen im Projektmanagement, den Nutzungsmustern sowie den Verantwortungsbereichen im Unternehmen können es im Lauf der Zeit erforderlich machen, die IAM- oder ACL-Einstellungen für Buckets und Projekte anzupassen, insbesondere wenn Sie Cloud Storage in einer großen Organisation oder für eine große Gruppe von Nutzern verwalten. Berücksichtigen Sie die folgenden Best Practices bei der Bewertung und Planung Ihrer Zugriffssteuerungseinstellungen:
Gewähren Sie Zugriff auf Buckets oder Objekte nach dem Prinzip der geringsten Berechtigung.
Das Prinzip der geringsten Berechtigung ist eine Sicherheitsrichtlinie zum Gewähren von Zugriff auf Ihre Ressourcen. Wenn Sie danach vorgehen, gewähren Sie nur die Berechtigung, die absolut notwendig ist, damit ein Nutzer die ihm zugewiesene Aufgabe erfüllen kann. Wenn Sie beispielsweise Dateien mit Personen teilen möchten, sollten Sie ihnen die IAM-Rolle storage.objectViewer oder die ACL-Berechtigung READER und nicht die IAM-Rolle storage.admin oder die ACL-Berechtigung OWNER zuweisen.
Vermeiden Sie es, Personen, die Sie nicht kennen, IAM-Rollen mit der Berechtigung setIamPolicy oder die ACL-Berechtigung OWNER zuzuweisen.
Mit der IAM-Berechtigung setIamPolicy oder der ACL OWNER Berechtigung können Nutzer Berechtigungen ändern und die Kontrolle über Daten übernehmen. Sie sollten Rollen mit diesen Berechtigungen nur verwenden, wenn Sie die administrative Kontrolle über Objekte und Buckets delegieren möchten.
Seien Sie vorsichtig, wenn Sie anonymen Nutzern Berechtigungen gewähren.
Die Hauptkontotypen allUsers und allAuthenticatedUsers sollten Sie nur verwenden, wenn jeder über das Internet Ihre Daten lesen und analysieren darf. Ein solch großer Nutzungsumfang ist für einige Anwendungen und Szenarien sicher hilfreich, aber es ist normalerweise nicht sinnvoll, allen Nutzern bestimmte Berechtigungen zu gewähren, z. B. die IAM-Berechtigungen setIamPolicy, update, create oder delete oder die ACL-Berechtigung OWNER.
Achten Sie darauf, die administrative Kontrolle Ihrer Buckets zu delegieren.
Achten Sie darauf, dass Ihre Ressourcen weiterhin von anderen Teammitgliedern verwaltet werden können, wenn eine Person mit Administratorzugriff die Gruppe verlässt.
Sie können Folgendes tun, um zu verhindern, dass Ressourcen nicht mehr zugänglich sind:
Weisen Sie die IAM-Rolle Storage-Administrator für Ihr Projekt einer Gruppe statt einer einzelnen Person zu.
Weisen Sie mindestens zwei Personen die IAM-Rolle Storage-Administrator für Ihr Projekt zu.
Weisen Sie die ACL-Berechtigung OWNER für Ihren Bucket mindestens zwei Personen zu.
Berücksichtigen Sie das interoperable Verhalten von Cloud Storage.
Wenn die XML API für den interoperablen Zugriff mit anderen Speicherdiensten wie Amazon S3 verwendet wird, bestimmt der Signaturbezeichner die ACL-Syntax. Beispiel: Das von Ihnen verwendete Tool oder die Bibliothek sendet an Cloud Storage eine Anfrage zum Abrufen von ACLs. Dabei wird der Signaturbezeichner eines anderen Storage-Anbieters verwendet. Cloud Storage gibt in diesem Fall ein XML-Dokument mit der ACL-Syntax dieses Storage-Anbieters zurück. Weiteres Beispiel: Das von Ihnen verwendete Tool oder die Bibliothek sendet an Cloud Storage eine Anfrage zum Anwenden von ACLs. Dabei wird der Signaturbezeichner eines anderen Storage-Anbieters verwendet. Cloud Storage erwartet in diesem Fall den Empfang eines XML-Dokuments mit der Syntax dieses Storage-Anbieters.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-09-05 (UTC)."],[],[],null,["# Access control best practices\n\nThis page describes best practices for using\n[Identity and Access Management (IAM)](/storage/docs/access-control/iam)\nand [Access Control Lists (ACLs)](/storage/docs/access-control/lists) to manage access to your data.\n\nIAM policies and ACLs require active management to be effective.\nBefore you make a bucket or object accessible to other users, be sure you know\nwho you want to share the bucket or object with and what roles you want each of\nthose people to have. Over time, changes in project management, usage patterns,\nand organizational ownership may require you to modify IAM or ACL\nsettings on buckets and projects, especially if you manage\nCloud Storage in a large organization or for a large group of users. As\nyou evaluate and plan your access control settings, keep the following best\npractices in mind:\n\n- **Use the principle of least privilege when granting access to your buckets or\n objects.**\n\n The [*principle of least privilege*](https://en.wikipedia.org/wiki/Principle_of_least_privilege) is a security\n guideline for granting access to your resources. When you grant access based\n on the principle of least privilege, you grant the minimum permission\n that's necessary for a user to accomplish their assigned task. For example,\n if you want to share files with someone, you should grant them the\n `storage.objectViewer` IAM role or the `READER` ACLs\n permission, and not the `storage.admin` IAM role or the\n `OWNER` ACLs permission.\n- **Avoid granting IAM roles with `setIamPolicy` permission or\n granting the ACL `OWNER` permission to people you do not know.**\n\n Granting the `setIamPolicy` IAM permission or the\n `OWNER` ACLs permission allows a user to change permissions and take control\n of data. You should use roles with these permissions only when you want to\n delegate administrative control over objects and buckets.\n- **Be careful how you grant permissions for anonymous users.**\n\n The `allUsers` and `allAuthenticatedUsers` principal types should only be\n used when it is acceptable for anyone on the Internet to read and analyze\n your data. While these scopes are useful for some applications and\n scenarios, it is usually not a good idea to grant all users certain\n permissions, such as the IAM permissions `setIamPolicy`,\n `update`, `create`, or `delete`, or the ACLs `OWNER` permission.\n- **Be sure you delegate administrative control of your buckets.**\n\n You should be sure that your resources can still be managed by\n other team members should an individual with administrative access leave the\n group.\n\n To prevent resources from becoming inaccessible, you can do any of the\n following:\n - Grant the **Storage Admin** IAM role for your project to a\n group instead of an individual\n\n - Grant the **Storage Admin** IAM role for your project to\n at least two individuals\n\n - Grant the `OWNER` ACLs permission for your bucket to at least two\n individuals\n\n- **Be aware of Cloud Storage's interoperable behavior.**\n\n When using the XML API for interoperable access with other storage services,\n such as Amazon S3, the signature identifier determines the ACL syntax. For\n example, if the tool or library you are using makes a request to\n Cloud Storage to retrieve ACLs and the request uses another storage\n provider's signature identifier, then Cloud Storage returns an XML\n document that uses the corresponding storage provider's ACL syntax. If the\n tool or library you are using makes a request to Cloud Storage to\n apply ACLs and the request uses another storage provider's signature\n identifier, then Cloud Storage expects to receive an XML document\n that uses the corresponding storage provider's ACL syntax.\n\n For more information about using the XML API for interoperability with\n Amazon S3, see [Simple migration from Amazon S3 to Cloud Storage](/storage/docs/aws-simple-migration).\n\nWhat's next\n-----------\n\n- [Learn how to use IAM policies with Cloud Storage](/storage/docs/access-control/using-iam-permissions).\n- [Learn how to use ACLs with Cloud Storage](/storage/docs/access-control/create-manage-lists).\n- [Review the IAM reference table for Cloud Storage](/storage/docs/access-control/iam-reference)."]]
