IAM-Berechtigungen für die Google Cloud Console

Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Auf dieser Seite werden die IAM-Berechtigungen (Identity and Access Management) erläutert, die erforderlich sind, um Aktionen im Cloud Storage-Teil der Google Cloud Console auszuführen. IAM-Berechtigungen werden zusammengefasst, um Rollen zu erstellen. Außerdem weisen Sie Nutzern und Gruppen Rollen zu.

Allgemeine Berechtigungen, die zum Verwenden der Google Cloud Console erforderlich sind

Zum Verwenden der Google Cloud Console sind bestimmte Berechtigungen erforderlich:

  • Alle Aktionen mit Buckets sollten die Berechtigungen resourcemanager.projects.get und storage.buckets.list auf Projektebene enthalten.

    Mit diesen Berechtigungen können Sie auf die Buckets-Seite zugreifen, auf der Sie Buckets erstellen, ansehen und aktualisieren.

  • Für alle Aktionen, bei denen in der Anfrage ein Abrechnungsprojekt enthalten ist, brauchen Sie die Berechtigung serviceusage.services.use für das angegebene Projekt.

    Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen. Ein Abrechnungsprojekt wird beispielsweise hinzugefügt, wenn auf einen Bucket bei aktivierter Funktion Anforderer bezahlt zugegriffen wird.

Berechtigungen für bestimmte Aktionen

Aktion Erforderliche IAM-Berechtigungen (zusätzlich zu den oben aufgeführten)
Bucket erstellen storage.buckets.create
Bucket-Tags erstellen storage.buckets.createTagBinding
Buckets auflisten oder filtern Keine weiteren Berechtigungen
Bucket-Tags auflisten storage.buckets.listTagBindings
Sehen Sie sich die folgenden Bucket-Informationen an:
  • Speicherort, Replikationsstatus und Standardspeicherklasse
  • Tags und Labels
  • Richtlinien für den Objektlebenszyklus
  • Status der Objektversionsverwaltung
  • Aufbewahrungsrichtlinie und Sperrstatus
  • Status zum Schutz vor öffentlichem Zugriff
  • Einheitlicher Zugriff auf Bucket-Ebene
  • Autoclass-Status
  • Standardeinstellung für ereignisbasierte Holds
  • Standardmäßiger Cloud Key Management Service-Schlüssel
  • Websitekonfiguration
storage.buckets.get
Ändern Sie die folgenden Bucket-Einstellungen:
  • Standard-Storage-Klasse
  • Tags und Labels
  • Richtlinien für den Objektlebenszyklus
  • Status der Objektversionsverwaltung
  • Aufbewahrungsrichtlinie, einschließlich Sperrung des Buckets
  • Einheitlicher Zugriff auf Bucket-Ebene
  • Autoclass-Status
  • Standardstatus ereignisbasierter Hold
  • Standardmäßiger Cloud Key Management Service-Schlüssel
  • Websitekonfiguration
storage.buckets.get
storage.buckets.update
Funktion "Sender bezahlt" aktivieren storage.buckets.get
storage.buckets.update
Funktion "Sender bezahlt" deaktivieren storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
Einstellung für die Verhinderung des öffentlichen Zugriffs ändern storage.buckets.get
storage.buckets.setIamPolicy
storage.buckets.update
Bucket-Berechtigungen ändern storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
Leeren Bucket löschen storage.buckets.delete
storage.objects.list
Nichtleeren Bucket löschen storage.buckets.delete
storage.objects.delete
storage.objects.list
Bucket-Tags löschen storage.buckets.deleteTagBinding
Objekt oder Objektordner hochladen storage.objects.create
storage.objects.delete1
Details zu einem Objekt ansehen5 storage.objects.get
storage.objects.list
Versionsverlauf eines Objekts ansehen storage.objects.get
storage.objects.list
Objekt5 oder Objektordner herunterladen storage.objects.get
storage.objects.list
Objekte in einem Bucket auflisten storage.objects.list
Bestimmen, ob ein Objekt öffentlich zugänglich ist5 storage.buckets.getIamPolicy
storage.objects.list
storage.objects.getIamPolicy4
Objekt umbenennen oder eine nicht aktuelle Version eines Objekts wiederherstellen storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
Objekt kopieren storage.objects.create (für den Ziel-Bucket)
storage.objects.delete1 (für den Ziel-Bucket)
storage.objects.get (für das Quellobjekt)
storage.objects.list (für den Quell-Bucket und den Ziel-Bucket)
storage.objects.getIamPolicy2.4 (für das Quellobjekt)
storage.objects.setIamPolicy2.4 (für den Ziel-Bucket)
Objekt verschieben storage.objects.create (für den Ziel-Bucket)
storage.objects.delete1 (für den Ziel-Bucket)
storage.objects.delete (für den Quell-Bucket)
storage.objects.get (für das Quellobjekt)
storage.objects.list (für den Quell-Bucket und den Ziel-Bucket)
storage.objects.getIamPolicy2.4 (für das Quellobjekt)
storage.objects.setIamPolicy2.4 (für den Ziel-Bucket)
Zugriffsberechtigungen eines Objekts ansehen5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
Zugriffsberechtigungen eines Objekts bearbeiten5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
Metadaten eines Objekts bearbeiten5 storage.objects.get
storage.objects.list
storage.objects.update
Hold für ein Objekt einfügen oder entfernen5 storage.objects.get
storage.objects.list
storage.objects.update
Ein Objekt5, eine nicht aktuelle Version eines Objekts oder einen Ordner mit Objekten löschen storage.objects.delete
storage.objects.list
Namen des Cloud Storage-Dienst-Agents eines Projekts ansehen resourcemanager.projects.get
HMAC-Schlüssel für ein Projekt ansehen resourcemanager.projects.get
storage.hmacKeys.list
HMAC-Schlüssel für ein Dienstkonto erstellen resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.create
HMAC-Schlüssel für ein Dienstkonto deaktivieren oder reaktivieren resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.update
HMAC-Schlüssel für ein Dienstkonto löschen resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.delete
HMAC-Schlüssel für das Nutzerkonto erstellen, anzeigen oder löschen, mit dem Sie angemeldet sind resourcemanager.projects.get

1Diese Berechtigung ist nur erforderlich, wenn im Ziel-Bucket bereits ein Objekt mit demselben Namen vorhanden ist.

2Diese Berechtigung ist nur erforderlich, wenn die Berechtigungen, die derzeit auf das Quellobjekt angewendet werden, beibehalten werden.

3Diese Berechtigung ist nur erforderlich, wenn in Ihrer Anfrage kein Abrechnungsprojekt enthalten ist. Weitere Informationen finden Sie auf der Seite "Sender bezahlt" unter Anforderungen für Zugriff und Verwendung.

4 Diese Berechtigung gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.

5Für diese Aktion ist storage.objects.list nicht erforderlich, wenn sie auf der Detailseite für das betreffende Objekt ausgeführt wird und Sie die Detailseite nicht über die Gesamtliste der Objekte für den Bereich aufrufen.

6 Diese Aktion gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.

Nächste Schritte