Auf der folgenden Seite werden die Berechtigungen für das Cloud Identity and Access Management (Cloud IAM) beschrieben, die zur Ausführung verschiedener Aktionen mit Cloud Storage-Buckets bei Verwendung der GCP Console erforderlich sind.
Allgemeine Berechtigungen zur Verwendung der GCP Console
Es sind bestimmte Berechtigungen erforderlich, um mit der GCP Console arbeiten zu können:
Für alle Aktionen mit Buckets werden die Berechtigungen
resourcemanager.projects.getundstorage.buckets.listauf Projektebene benötigt.Mit diesen Berechtigungen können Sie auf die Buckets-Seite des Console-Browsers zugreifen, auf der Sie Buckets erstellen, ansehen und aktualisieren.
Im Allgemeinen brauchen Sie für Aktionen mit Objekten die Berechtigung
storage.objects.listauf Projekt- oder Bucket-Ebene.Diese Berechtigung ist nicht erforderlich, wenn Sie nur auf die Detailseiten für bestimmte Objekte zugreifen und nie auf die Gesamtliste der Objekte in einem Bucket zugreifen müssen.
Für alle Aktionen, bei denen in der Anfrage ein Abrechnungsprojekt enthalten ist, brauchen Sie die Berechtigung
serviceusage.services.usefür das angegebene Projekt.Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen. Ein Abrechnungsprojekt wird beispielsweise hinzugefügt, wenn auf einen Bucket bei aktivierter Funktion Sender bezahlt zugegriffen wird.
Berechtigungen für bestimmte Aktionen
| Vorgang | Erforderliche IAM-Berechtigungen (zusätzlich zu den oben aufgeführten) |
|---|---|
| Bucket erstellen | storage.buckets.create |
| Buckets auflisten oder filtern | Keine weiteren Berechtigungen |
| Tab "Übersicht" eines Buckets aufrufen | storage.buckets.get |
| Websitekonfiguration eines Buckets anzeigen oder bearbeiten (falls aktiviert) | storage.buckets.get |
storage.buckets.update |
|
| Bucket-Labels, Standard-Speicherklasse oder ereignisbasierten Hold ändern | storage.buckets.get |
storage.buckets.update |
|
| Funktion "Sender bezahlt" aktivieren | storage.buckets.get |
storage.buckets.update |
|
| Funktion "Sender bezahlt" deaktivieren | storage.buckets.get |
storage.buckets.update |
|
resourcemanager.projects.createBillingAssignment3 |
|
| Richtlinien für Objektlebenszyklus festlegen oder aktualisieren | storage.buckets.get |
storage.buckets.update |
|
| Richtlinien für Objektlebenszyklus ansehen | storage.buckets.get |
| Standardmäßigen Cloud Key Management Service-Schlüssel eines Buckets einrichten oder entfernen | storage.buckets.get |
storage.buckets.update |
|
| Standardmäßigen Cloud Key Management Service-Schlüssel eines Buckets anzeigen lassen | storage.buckets.get |
| Aufbewahrungsrichtlinie eines Buckets festlegen, entfernen oder sperren | storage.buckets.get |
storage.buckets.update |
|
| Aufbewahrungsrichtlinie eines Buckets anzeigen lassen | storage.buckets.get |
| "Nur Bucket-Richtlinie" für einen Bucket festlegen oder entfernen | storage.buckets.get |
storage.buckets.update |
|
| "Nur Bucket-Richtlinie"-Status eines Buckets aufrufen | storage.buckets.get |
| Bucket-Berechtigungen ändern | storage.buckets.get |
storage.buckets.getIamPolicy |
|
storage.buckets.setIamPolicy |
|
storage.buckets.update |
|
| Leeren Bucket löschen | storage.buckets.delete |
storage.objects.list |
|
| Nichtleeren Bucket löschen | storage.buckets.delete |
storage.objects.delete |
|
storage.objects.list |
|
| Objekt hochladen | storage.objects.create |
| Detailseite eines Objekts ansehen5 | storage.objects.get |
| Objekt herunterladen5 | storage.objects.get |
| Objekte in einem Bucket auflisten | Keine weiteren Berechtigungen |
| Bestimmen, ob ein Objekt öffentlich zugänglich ist5 | storage.objects.getIamPolicy4 |
| Objekt umbenennen | storage.objects.create |
storage.objects.delete |
|
storage.objects.get |
|
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
| Objekt kopieren | storage.objects.create (für den Ziel-Bucket) |
storage.objects.delete1 (für den Ziel-Bucket) |
|
storage.objects.get (für das Quellobjekt) |
|
storage.objects.getIamPolicy2,4 (für das Quellobjekt) |
|
storage.objects.setIamPolicy2,4 (für den Ziel-Bucket) |
|
| Objekt verschieben | storage.objects.create (für den Ziel-Bucket) |
storage.objects.delete1 (für den Ziel-Bucket) |
|
storage.objects.delete (für den Quell-Bucket) |
|
storage.objects.get (für das Quellobjekt) |
|
storage.objects.getIamPolicy2,4 (für das Quellobjekt) |
|
storage.objects.setIamPolicy2,4 (für den Ziel-Bucket) |
|
| Zugriffsberechtigungen eines Objekts ansehen5 | storage.objects.get |
storage.objects.getIamPolicy4 |
|
| Zugriffsberechtigungen eines Objekts bearbeiten5 | storage.objects.get |
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
storage.objects.update |
|
| Metadaten eines Objekts bearbeiten | storage.objects.get |
storage.objects.update |
|
| Hold für ein Objekt einfügen oder entfernen | storage.objects.get |
storage.objects.update |
|
| Objekt löschen5 | storage.objects.delete |
| HMAC-Schlüssel für ein Projekt ansehen | resourcemanager.projects.get |
storage.hmacKeys.list |
|
| HMAC-Schlüssel für ein Dienstkonto erstellen | resourcemanager.projects.get |
storage.hmacKeys.list |
|
storage.hmacKeys.create |
|
| HMAC-Schlüssel für ein Dienstkonto deaktivieren oder reaktivieren | resourcemanager.projects.get |
storage.hmacKeys.list |
|
storage.hmacKeys.update |
|
| HMAC-Schlüssel für ein Dienstkonto löschen | resourcemanager.projects.get |
storage.hmacKeys.list |
|
storage.hmacKeys.delete |
1Diese Berechtigung ist nur erforderlich, wenn das kopierte/verschobene Objekt denselben Namen wie ein Objekt hat, das bereits im Bucket vorhanden ist.
2Diese Berechtigung ist nur erforderlich, wenn die Berechtigungen, die derzeit auf das Quellobjekt angewendet werden, beibehalten werden.
3Diese Berechtigung ist nur erforderlich, wenn in Ihrer Anfrage kein Abrechnungsprojekt enthalten ist. Weitere Informationen finden Sie auf der Seite "Sender bezahlt" unter Anforderungen für Zugriff und Verwendung.
4Diese Berechtigung gilt nicht für Buckets mit aktivierter Nur Bucket-Richtlinie.
5 Für diese Aktion ist storage.objects.list nicht erforderlich, wenn sie auf der Detailseite des betreffenden Objekts ausgeführt wird.
Weitere Informationen
- Eine Liste der Rollen und der darin enthaltenen Berechtigungen finden Sie unter Cloud Storage IAM-Rollen.
Weitere Fragen?