Cloud IAM-Berechtigungen für die Google Cloud Console

Auf dieser Seite werden die Cloud Identity and Access Management (Cloud IAM)-Berechtigungen erklärt, die erforderlich sind, um verschiedene Aktionen für Cloud Storage-Buckets und -Objekte in der GCP Console auszuführen.

Allgemeine Berechtigungen, die zum Verwenden der Cloud Console erforderlich sind

Zum Verwenden der Cloud Console sind bestimmte Berechtigungen erforderlich:

  • Für alle Aktionen mit Buckets werden die Berechtigungen resourcemanager.projects.get und storage.buckets.list auf Projektebene benötigt.

    Mit diesen Berechtigungen können Sie auf die Buckets-Seite des Console-Browsers zugreifen, auf der Sie Buckets erstellen, ansehen und aktualisieren.

  • Im Allgemeinen brauchen Sie für Aktionen mit Objekten die Berechtigung storage.objects.list auf Projekt- oder Bucket-Ebene.

    Diese Berechtigung ist nicht erforderlich, wenn Sie nur auf die Detailseiten für bestimmte Objekte zugreifen und nie auf die Gesamtliste der Objekte in einem Bucket zugreifen müssen.

  • Für alle Aktionen, bei denen in der Anfrage ein Abrechnungsprojekt enthalten ist, brauchen Sie die Berechtigung serviceusage.services.use für das angegebene Projekt.

    Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen. Ein Abrechnungsprojekt wird beispielsweise hinzugefügt, wenn auf einen Bucket bei aktivierter Funktion Sender bezahlt zugegriffen wird.

Berechtigungen für bestimmte Aktionen

Aktion Erforderliche IAM-Berechtigungen (zusätzlich zu den oben aufgeführten)
Bucket erstellen storage.buckets.create
Buckets auflisten oder filtern Keine weiteren Berechtigungen
Tab "Übersicht" eines Buckets aufrufen storage.buckets.get
Websitekonfiguration eines Buckets anzeigen oder bearbeiten (falls aktiviert) storage.buckets.get
storage.buckets.update
Bucket-Labels, Standard-Speicherklasse oder standardmäßigen ereignisbasierten Hold ändern storage.buckets.get
storage.buckets.update
Funktion "Sender bezahlt" aktivieren storage.buckets.get
storage.buckets.update
Funktion "Sender bezahlt" deaktivieren storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
Richtlinien für Objektlebenszyklus festlegen oder aktualisieren storage.buckets.get
storage.buckets.update
Richtlinien für Objektlebenszyklus ansehen storage.buckets.get
Standardmäßigen Cloud Key Management Service-Schlüssel eines Buckets einrichten oder entfernen storage.buckets.get
storage.buckets.update
Standardmäßigen Cloud Key Management Service-Schlüssel eines Buckets anzeigen lassen storage.buckets.get
Aufbewahrungsrichtlinie eines Buckets festlegen, entfernen oder sperren storage.buckets.get
storage.buckets.update
Aufbewahrungsrichtlinie eines Buckets anzeigen lassen storage.buckets.get
Einheitlichen Zugriff auf Bucket-Ebene für einen Bucket festlegen oder entfernen storage.buckets.get
storage.buckets.update
Status für einheitlichen Zugriff auf Bucket-Ebene für einen Bucket ansehen storage.buckets.get
Bucket-Berechtigungen ändern storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
Leeren Bucket löschen storage.buckets.delete
storage.objects.list
Nichtleeren Bucket löschen storage.buckets.delete
storage.objects.delete
storage.objects.list
Objekt hochladen storage.objects.create
Detailseite eines Objekts ansehen5 storage.objects.get
Objekt herunterladen5 storage.objects.get
Objekte in einem Bucket auflisten Keine weiteren Berechtigungen
Bestimmen, ob ein Objekt öffentlich zugänglich ist5 storage.buckets.getIamPolicy
storage.objects.getIamPolicy4
Objekt umbenennen storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
Objekt kopieren storage.objects.create (für den Ziel-Bucket)
storage.objects.delete1 (für den Ziel-Bucket)
storage.objects.get (für das Quellobjekt)
storage.objects.getIamPolicy2,4 (für das Quellobjekt)
storage.objects.setIamPolicy2,4 (für den Ziel-Bucket)
Objekt verschieben storage.objects.create (für den Ziel-Bucket)
storage.objects.delete1 (für den Ziel-Bucket)
storage.objects.delete (für den Quell-Bucket)
storage.objects.get (für das Quellobjekt)
storage.objects.getIamPolicy2,4 (für das Quellobjekt)
storage.objects.setIamPolicy2,4 (für den Ziel-Bucket)
Zugriffsberechtigungen eines Objekts ansehen5,6 storage.objects.get
storage.objects.getIamPolicy
Zugriffsberechtigungen eines Objekts bearbeiten5,6 storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
Metadaten eines Objekts bearbeiten storage.objects.get
storage.objects.update
Hold für ein Objekt einfügen oder entfernen storage.objects.get
storage.objects.update
Objekt löschen5 storage.objects.delete
HMAC-Schlüssel für ein Projekt ansehen resourcemanager.projects.get
storage.hmacKeys.list
HMAC-Schlüssel für ein Dienstkonto erstellen resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.create
HMAC-Schlüssel für ein Dienstkonto deaktivieren oder reaktivieren resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.update
HMAC-Schlüssel für ein Dienstkonto löschen resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.delete

1 Diese Berechtigung ist nur erforderlich, wenn das kopierte/verschobene Objekt denselben Namen wie ein Objekt hat, das bereits im Bucket vorhanden ist.

2Diese Berechtigung ist nur erforderlich, wenn die Berechtigungen, die derzeit auf das Quellobjekt angewendet werden, beibehalten werden.

3 Diese Berechtigung ist nur erforderlich, wenn in Ihrer Anfrage kein Abrechnungsprojekt enthalten ist. Weitere Informationen finden Sie auf der Seite "Sender bezahlt" unter Anforderungen für Zugriff und Verwendung.

4 Diese Berechtigung gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.

5 Für diese Aktion ist storage.objects.list nicht erforderlich, wenn sie auf der Detailseite des betreffenden Objekts ausgeführt wird.

6 Diese Aktion gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.

Weitere Informationen