Auf dieser Seite werden die IAM-Berechtigungen (Identity and Access Management) erläutert, die erforderlich sind, um Aktionen im Cloud Storage-Teil der Google Cloud Console auszuführen. IAM-Berechtigungen werden zusammengefasst, um Rollen zu erstellen. Außerdem weisen Sie Nutzern und Gruppen Rollen zu.
Allgemeine Berechtigungen, die zum Verwenden der Google Cloud Console erforderlich sind
Zum Verwenden der Google Cloud Console sind bestimmte Berechtigungen erforderlich:
Alle Aktionen mit Buckets sollten die Berechtigungen
resourcemanager.projects.getundstorage.buckets.listauf Projektebene enthalten.Mit diesen Berechtigungen können Sie auf die Buckets-Seite zugreifen, auf der Sie Buckets erstellen, ansehen und aktualisieren.
Für alle Aktionen, bei denen in der Anfrage ein Abrechnungsprojekt enthalten ist, brauchen Sie die Berechtigung
serviceusage.services.usefür das angegebene Projekt.Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen. Ein Abrechnungsprojekt wird beispielsweise hinzugefügt, wenn auf einen Bucket bei aktivierter Funktion Anforderer bezahlt zugegriffen wird.
Berechtigungen für bestimmte Aktionen
| Aktion | Erforderliche IAM-Berechtigungen (zusätzlich zu den oben aufgeführten) |
|---|---|
| Bucket erstellen | storage.buckets.create |
| Bucket-Tags erstellen | storage.buckets.createTagBinding |
| Buckets auflisten oder filtern | Keine weiteren Berechtigungen |
| Bucket-Tags auflisten | storage.buckets.listTagBindings |
Sehen Sie sich die folgenden Bucket-Informationen an:
|
storage.buckets.get |
Ändern Sie die folgenden Bucket-Einstellungen:
|
storage.buckets.getstorage.buckets.update |
| Funktion "Sender bezahlt" aktivieren | storage.buckets.getstorage.buckets.update |
| Funktion "Sender bezahlt" deaktivieren | storage.buckets.getstorage.buckets.updateresourcemanager.projects.createBillingAssignment3 |
| Einstellung für die Verhinderung des öffentlichen Zugriffs ändern | storage.buckets.getstorage.buckets.setIamPolicystorage.buckets.update |
| Bucket-Berechtigungen ändern | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
| Leeren Bucket löschen | storage.buckets.deletestorage.objects.list |
| Nichtleeren Bucket löschen | storage.buckets.deletestorage.objects.deletestorage.objects.list |
| Bucket-Tags löschen | storage.buckets.deleteTagBinding |
| Objekt oder Objektordner hochladen | storage.objects.createstorage.objects.delete1 |
| Details zu einem Objekt ansehen5 | storage.objects.getstorage.objects.list |
| Versionsverlauf eines Objekts ansehen | storage.objects.getstorage.objects.list |
| Objekt5 oder Objektordner herunterladen | storage.objects.getstorage.objects.list |
| Objekte in einem Bucket auflisten | storage.objects.list |
| Bestimmen, ob ein Objekt öffentlich zugänglich ist5 | storage.buckets.getIamPolicystorage.objects.liststorage.objects.getIamPolicy4 |
| Objekt umbenennen oder eine nicht aktuelle Version eines Objekts wiederherstellen | storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy4storage.objects.setIamPolicy4 |
| Objekt kopieren | storage.objects.createstorage.objects.delete1storage.objects.getstorage.objects.liststorage.objects.getIamPolicy2.4storage.objects.setIamPolicy2.4 |
| Objekt verschieben | storage.objects.createstorage.objects.delete1storage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy2.4storage.objects.setIamPolicy2.4 |
| Zugriffsberechtigungen eines Objekts ansehen5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicy |
| Zugriffsberechtigungen eines Objekts bearbeiten5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
| Metadaten eines Objekts bearbeiten5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Hold für ein Objekt einfügen oder entfernen5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Ein Objekt5, eine nicht aktuelle Version eines Objekts oder einen Ordner mit Objekten löschen | storage.objects.deletestorage.objects.list |
| Namen des Cloud Storage-Dienst-Agents eines Projekts ansehen | resourcemanager.projects.get |
| HMAC-Schlüssel für ein Projekt ansehen | resourcemanager.projects.getstorage.hmacKeys.list |
| HMAC-Schlüssel für ein Dienstkonto erstellen | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.create |
| HMAC-Schlüssel für ein Dienstkonto deaktivieren oder reaktivieren | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.update |
| HMAC-Schlüssel für ein Dienstkonto löschen | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.delete |
| HMAC-Schlüssel für das Nutzerkonto erstellen, anzeigen oder löschen, mit dem Sie angemeldet sind | resourcemanager.projects.get |
1Diese Berechtigung ist nur erforderlich, wenn im Ziel-Bucket bereits ein Objekt mit demselben Namen vorhanden ist.
2Diese Berechtigung ist nur erforderlich, wenn die Berechtigungen, die derzeit auf das Quellobjekt angewendet werden, beibehalten werden.
3Diese Berechtigung ist nur erforderlich, wenn in Ihrer Anfrage kein Abrechnungsprojekt enthalten ist. Weitere Informationen finden Sie auf der Seite "Sender bezahlt" unter Anforderungen für Zugriff und Verwendung.
4 Diese Berechtigung gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.
5Für diese Aktion ist storage.objects.list nicht erforderlich, wenn sie auf der Detailseite für das betreffende Objekt ausgeführt wird und Sie die Detailseite nicht über die Gesamtliste der Objekte für den Bereich aufrufen.
6 Diese Aktion gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.
Nächste Schritte
Eine Liste der Rollen und der darin enthaltenen Berechtigungen finden Sie unter IAM-Rollen für Cloud Storage.