Auf dieser Seite werden die IAM-Berechtigungen (Identity and Access Management) erläutert, die erforderlich sind, um Aktionen im Cloud Storage-Teil der Google Cloud Console auszuführen. IAM-Berechtigungen werden zusammengefasst, um Rollen zu erstellen. Außerdem weisen Sie Nutzern und Gruppen Rollen zu.
Allgemeine Berechtigungen, die zum Verwenden der Google Cloud Console erforderlich sind
Zum Verwenden der Google Cloud Console sind bestimmte Berechtigungen erforderlich:
Alle Aktionen mit Buckets sollten die Berechtigungen
resourcemanager.projects.getundstorage.buckets.listauf Projektebene enthalten.Mit diesen Berechtigungen können Sie auf die Buckets-Seite zugreifen, auf der Sie Buckets erstellen, ansehen und aktualisieren.
Für alle Aktionen, bei denen in der Anfrage ein Abrechnungsprojekt enthalten ist, brauchen Sie die Berechtigung
serviceusage.services.usefür das angegebene Projekt.Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen. Ein Abrechnungsprojekt wird beispielsweise hinzugefügt, wenn auf einen Bucket bei aktivierter Funktion Anforderer bezahlt zugegriffen wird.
Berechtigungen für bestimmte Aktionen
| Aktion | Erforderliche IAM-Berechtigungen (zusätzlich zu den oben aufgeführten) |
|---|---|
| Bucket erstellen | storage.buckets.createstorage.buckets.enableObjectRetention1 |
| Tag an einen Bucket anhängen | storage.buckets.createTagBinding |
| Buckets auflisten oder filtern | Keine weiteren Berechtigungen |
| Tags auflisten, die direkt an einen Bucket angehängt sind | storage.buckets.listTagBindings |
| Sowohl übernommene Tags als auch Tags auflisten, die direkt an einen Bucket angehängt sind | storage.buckets.listEffectiveTags |
Sehen Sie sich die folgenden Bucket-Informationen an:
|
storage.buckets.get |
Ändern Sie die folgenden Bucket-Einstellungen:
|
storage.buckets.getstorage.buckets.update |
| Funktion "Sender bezahlt" aktivieren | storage.buckets.getstorage.buckets.update |
| Funktion "Sender bezahlt" deaktivieren | storage.buckets.getstorage.buckets.updateresourcemanager.projects.createBillingAssignment3 |
| Einstellung für die Verhinderung des öffentlichen Zugriffs ändern | storage.buckets.getstorage.buckets.setIamPolicystorage.buckets.update |
| Bucket-Berechtigungen ändern | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
| Leeren Bucket löschen | storage.buckets.deletestorage.objects.list |
| Nichtleeren Bucket löschen | storage.buckets.deletestorage.objects.deletestorage.objects.list |
| Tags von einem Bucket trennen | storage.buckets.deleteTagBinding |
| Objekt oder Objektordner hochladen | storage.objects.createstorage.objects.delete2storage.objects.setRetention4 |
| Details zu einem Objekt ansehen5 | storage.objects.getstorage.objects.list |
| Versionsverlauf eines Objekts ansehen | storage.objects.getstorage.objects.list |
| Objekt5 oder Objektordner herunterladen | storage.objects.getstorage.objects.list |
| Objekte in einem Bucket auflisten, einschließlich nicht aktueller Objekte und vorläufig gelöschter Objekte | storage.objects.list |
| Bestimmen, ob ein Objekt öffentlich zugänglich ist5 | storage.buckets.getIamPolicystorage.objects.liststorage.objects.getIamPolicy7 |
| Objekt umbenennen oder eine nicht aktuelle Version eines Objekts wiederherstellen | storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy7storage.objects.setIamPolicy7 |
| Objekt kopieren | storage.objects.createstorage.objects.delete2storage.objects.getstorage.objects.liststorage.objects.getIamPolicy7.8storage.objects.setIamPolicy7.8 |
| Objekt verschieben | storage.objects.createstorage.objects.delete2storage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy7.8storage.objects.setIamPolicy7.8 |
| Zugriffsberechtigungen eines Objekts ansehen5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicy |
| Zugriffsberechtigungen eines Objekts bearbeiten5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
| Metadaten eines Objekts bearbeiten5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Aufbewahrungskonfiguration für ein Objekt hinzufügen, ändern oder entfernen5 | storage.objects.getstorage.objects.liststorage.objects.updatestorage.objects.setRetentionstorage.objects.overrideUnlockedRetention9 |
| Hold für ein Objekt einfügen oder entfernen5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Ein Objekt5, eine nicht aktuelle Version eines Objekts oder einen Ordner mit Objekten löschen | storage.objects.deletestorage.objects.list |
| Gelöschtes Objekt wiederherstellen | storage.objects.createstorage.objects.delete2storage.objects.liststorage.objects.restore |
| Gelöschte Objekte im Bulk wiederherstellen | storage.objects.createstorage.objects.delete10storage.objects.restorestorage.buckets.restorestorage.objects.setIamPolicy7,11 |
| Name des Cloud Storage-Dienst-Agents eines Projekts ansehen | resourcemanager.projects.get |
| HMAC-Schlüssel des Dienstkontos für ein Projekt aufrufen | resourcemanager.projects.getstorage.hmacKeys.list |
| HMAC-Schlüssel für ein Dienstkonto erstellen | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.create |
| HMAC-Schlüssel für ein Dienstkonto deaktivieren oder reaktivieren | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.update |
| HMAC-Schlüssel für ein Dienstkonto löschen | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.delete |
| HMAC-Schlüssel für das Nutzerkonto, als das Sie angemeldet sind, erstellen, aufrufen oder löschen | resourcemanager.projects.get |
1 Diese Berechtigung ist nur erforderlich, wenn ein Bucket zur Unterstützung von Objektaufbewahrungskonfigurationen aktiviert wird.
2Diese Berechtigung ist nur erforderlich, wenn im Ziel-Bucket bereits ein Objekt mit demselben Namen vorhanden ist.
3Diese Berechtigung ist nur erforderlich, wenn in Ihrer Anfrage kein Abrechnungsprojekt enthalten ist. Weitere Informationen finden Sie auf der Seite "Sender bezahlt" unter Anforderungen für Zugriff und Verwendung.
4 Diese Berechtigung ist nur erforderlich, wenn beim Hochladen des Objekts eine Aufbewahrungskonfiguration hinzugefügt wird.
5Für diese Aktion ist storage.objects.list nicht erforderlich, wenn sie auf der Detailseite für das betreffende Objekt ausgeführt wird und Sie die Detailseite nicht über die Gesamtliste der Objekte für den Bereich aufrufen.
6 Diese Aktion gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.
7 Diese Berechtigung gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.
8 Diese Berechtigung ist nur erforderlich, wenn die Berechtigungen, die derzeit auf das Quellobjekt angewendet werden, beibehalten werden.
9 Diese Berechtigung ist erforderlich, wenn eine vorhandene Aufbewahrungskonfiguration geändert wird, sodass die Konfiguration gesperrt, reduziert oder entfernt wird.
10 Diese Berechtigung ist nur erforderlich, wenn im Ziel-Bucket bereits ein Objekt mit demselben Namen vorhanden ist und Sie die Option Live-Objekte überschreiben auswählen.
11 Diese Berechtigung ist nur erforderlich, wenn Sie die Option Zugriffssteuerungen (ACLs) der Quelle kopieren auswählen.
Nächste Schritte
Eine Liste der Rollen und der darin enthaltenen Berechtigungen finden Sie unter IAM-Rollen für Cloud Storage.