Cloud-IAM-Berechtigungen für die Google Cloud Platform Console

Auf der folgenden Seite werden die Berechtigungen für das Cloud Identity and Access Management (Cloud IAM) beschrieben, die zur Ausführung verschiedener Aktionen mit Cloud Storage-Buckets bei Verwendung der GCP Console erforderlich sind.

Allgemeine Berechtigungen zur Verwendung der GCP Console

Es sind bestimmte Berechtigungen erforderlich, um mit der GCP Console arbeiten zu können:

  • Für alle Aktionen mit Buckets werden die Berechtigungen resourcemanager.projects.get und storage.buckets.list auf Projektebene benötigt.

    Mit diesen Berechtigungen können Sie auf die Buckets-Seite des Console-Browsers zugreifen, auf der Sie Buckets erstellen, ansehen und aktualisieren.

  • Für alle Aktionen mit Objekten brauchen Sie die Berechtigung storage.objects.list auf Projekt- oder Bucket-Ebene.

    Mit dieser Berechtigung können Sie auf die Objektseiten des Console-Browsers zugreifen, auf denen Sie Objekte hochladen, anzeigen und ändern.

  • Für alle Aktionen, bei denen in der Anfrage ein Abrechnungsprojekt enthalten ist, brauchen Sie die Berechtigung serviceusage.services.use für das angegebene Projekt.

    Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen. Ein Abrechnungsprojekt wird beispielsweise hinzugefügt, wenn auf einen Bucket bei aktivierter Funktion Sender bezahlt zugegriffen wird.

Berechtigungen für bestimmte Aktionen

Aktion Erforderliche IAM-Berechtigungen (zusätzlich zu den oben aufgeführten)
Bucket erstellen storage.buckets.create
Buckets auflisten oder filtern Keine weiteren Berechtigungen
Tab "Übersicht" eines Buckets aufrufen storage.buckets.get
Websitekonfiguration eines Buckets anzeigen oder bearbeiten (falls aktiviert) storage.buckets.get
storage.buckets.update
Bucket-Labels, Standard-Speicherklasse oder ereignisbasierten Hold ändern storage.buckets.get
storage.buckets.update
Funktion "Sender bezahlt" aktivieren storage.buckets.get
storage.buckets.update
Funktion "Sender bezahlt" deaktivieren storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
Richtlinien für Objektlebenszyklus festlegen oder aktualisieren storage.buckets.get
storage.buckets.update
Richtlinien für Objektlebenszyklus ansehen storage.buckets.get
Standardmäßigen Cloud Key Management Service-Schlüssel eines Buckets einrichten oder entfernen storage.buckets.get
storage.buckets.update
Standardmäßigen Cloud Key Management Service-Schlüssel eines Buckets anzeigen lassen storage.buckets.get
Aufbewahrungsrichtlinie eines Buckets festlegen, entfernen oder sperren storage.buckets.get
storage.buckets.update
Aufbewahrungsrichtlinie eines Buckets anzeigen lassen storage.buckets.get
"Nur Bucket-Richtlinie" für einen Bucket festlegen oder entfernen storage.buckets.get
storage.buckets.update
"Nur Bucket-Richtlinie"-Status eines Buckets aufrufen storage.buckets.get
Bucket-Berechtigungen ändern storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
Leeren Bucket löschen storage.buckets.delete
storage.objects.list
Nichtleeren Bucket löschen storage.buckets.delete
storage.objects.delete
storage.objects.list
Objekt hochladen storage.objects.create
Objekt anzeigen oder herunterladen storage.objects.get
Objekte in einem Bucket auflisten Keine weiteren Berechtigungen
Anhand der Spalte für öffentlichen Zugriff bestimmen, wie ein Objekt öffentlich zugänglich ist storage.objects.getIamPolicy4
Objekt umbenennen storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
Objekt kopieren storage.objects.create (für den Ziel-Bucket)
storage.objects.delete1 (für den Ziel-Bucket)
storage.objects.get (für das Quellobjekt)
storage.objects.getIamPolicy2,4 (für das Zielobjekt)
storage.objects.setIamPolicy2,4 (für den Ziel-Bucket)
Objekt verschieben storage.objects.create (für den Ziel-Bucket)
storage.objects.delete1 (für den Ziel-Bucket)
storage.objects.delete (für den Quell-Bucket)
storage.objects.get (für das Quellobjekt)
storage.objects.getIamPolicy2,4 (für das Zielobjekt)
storage.objects.setIamPolicy2,4 (für den Ziel-Bucket)
Objekt freigeben storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
storage.objects.update
Berechtigungen eines Objekts bearbeiten storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
storage.objects.update
Metadaten eines Objekts bearbeiten storage.objects.get
storage.objects.update
Hold für ein Objekt einfügen oder entfernen storage.objects.get
storage.objects.update
Objekt löschen storage.objects.delete

1 Diese Berechtigung ist nur erforderlich, wenn das kopierte/verschobene Objekt denselben Namen wie ein Objekt hat, das bereits im Bucket vorhanden ist.

2 Diese Berechtigung ist nur erforderlich, wenn die Berechtigungen, die derzeit auf das Quellobjekt angewendet werden, beibehalten werden.

3 Diese Berechtigung ist nur erforderlich, wenn in Ihrer Anfrage kein Abrechnungsprojekt enthalten ist. Weitere Informationen finden Sie auf der Seite "Sender bezahlt" unter Anforderungen für Zugriff und Verwendung.

4 Diese Berechtigung gilt nicht für Buckets mit aktivierter Nur Bucket-Richtlinie.

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...