IAM-Berechtigungen für die Google Cloud Console

Auf dieser Seite werden die IAM-Berechtigungen (Identity and Access Management) erläutert, die erforderlich sind, um verschiedene Aktionen für Cloud Storage-Buckets und -Objekte in der Cloud Console auszuführen. IAM-Berechtigungen werden zusammengefasst, um Rollen zu erstellen. Außerdem weisen Sie Nutzern und Gruppen Rollen zu.

Allgemeine Berechtigungen, die zum Verwenden der Cloud Console erforderlich sind

Zum Verwenden der Cloud Console sind bestimmte Berechtigungen erforderlich:

  • Für alle Aktionen mit Buckets werden die Berechtigungen resourcemanager.projects.get und storage.buckets.list auf Projektebene benötigt.

    Mit diesen Berechtigungen können Sie auf die Buckets-Seite des Console-Browsers zugreifen, auf der Sie Buckets erstellen, ansehen und aktualisieren.

  • Für alle Aktionen, bei denen in der Anfrage ein Abrechnungsprojekt enthalten ist, brauchen Sie die Berechtigung serviceusage.services.use für das angegebene Projekt.

    Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen. Ein Abrechnungsprojekt wird beispielsweise hinzugefügt, wenn auf einen Bucket bei aktivierter Funktion Anforderer bezahlt zugegriffen wird.

Berechtigungen für bestimmte Aktionen

Aktion Erforderliche IAM-Berechtigungen (zusätzlich zu den oben aufgeführten)
Bucket erstellen storage.buckets.create
Buckets auflisten oder filtern Keine weiteren Berechtigungen
Sehen Sie sich die folgenden Bucket-Informationen an:
  • Speicherort, Labels und Standardspeicherklasse
  • Richtlinien für den Objektlebenszyklus
  • Status der Objektversionsverwaltung
  • Aufbewahrungsrichtlinie und Sperrstatus
  • Status der Verhinderung des öffentlichen Zugriffs
  • Einheitlicher Zugriff auf Bucket-Ebene
  • Standardeinstellung für ereignisbasierte Holds
  • Standardmäßiger Cloud Key Management Service-Schlüssel
  • Websitekonfiguration
storage.buckets.get
Ändern Sie die folgenden Bucket-Einstellungen:
  • Labels und Standardspeicherklasse
  • Richtlinien für den Objektlebenszyklus
  • Status der Objektversionsverwaltung
  • Aufbewahrungsrichtlinie, einschließlich Sperrung des Buckets
  • Einheitlicher Zugriff auf Bucket-Ebene
  • Standardstatus ereignisbasierter Hold
  • Standardmäßiger Cloud Key Management Service-Schlüssel
  • Websitekonfiguration
storage.buckets.get
storage.buckets.update
Funktion "Sender bezahlt" aktivieren storage.buckets.get
storage.buckets.update
Funktion "Sender bezahlt" deaktivieren storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
Einstellung für die Verhinderung des öffentlichen Zugriffs ändern storage.buckets.get
storage.buckets.setIamPolicy
storage.buckets.update
Bucket-Berechtigungen ändern storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
Leeren Bucket löschen storage.buckets.delete
storage.objects.list
Nichtleeren Bucket löschen storage.buckets.delete
storage.objects.delete
storage.objects.list
Objekt oder Objektordner hochladen storage.objects.create
storage.objects.delete1
Details zu einem Objekt ansehen5 storage.objects.get
storage.objects.list
Versionsverlauf eines Objekts ansehen storage.objects.get
storage.objects.list
Objekt5 oder Objektordner herunterladen storage.objects.get
storage.objects.list
Objekte in einem Bucket auflisten storage.objects.list
Bestimmen, ob ein Objekt öffentlich zugänglich ist5 storage.buckets.getIamPolicy
storage.objects.list
storage.objects.getIamPolicy4
Objekt umbenennen oder eine nicht aktuelle Version eines Objekts wiederherstellen storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
Objekt kopieren storage.objects.create (für den Ziel-Bucket)
storage.objects.delete1 (für den Ziel-Bucket)
storage.objects.get (für das Quellobjekt)
storage.objects.list (für den Quell-Bucket und den Ziel-Bucket)
storage.objects.getIamPolicy2.4 (für das Quellobjekt)
storage.objects.setIamPolicy2.4 (für den Ziel-Bucket)
Objekt verschieben storage.objects.create (für den Ziel-Bucket)
storage.objects.delete1 (für den Ziel-Bucket)
storage.objects.delete (für den Quell-Bucket)
storage.objects.get (für das Quellobjekt)
storage.objects.list (für den Quell-Bucket und den Ziel-Bucket)
storage.objects.getIamPolicy2.4 (für das Quellobjekt)
storage.objects.setIamPolicy2.4 (für den Ziel-Bucket)
Zugriffsberechtigungen eines Objekts ansehen5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
Zugriffsberechtigungen eines Objekts bearbeiten5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
Metadaten eines Objekts bearbeiten5 storage.objects.get
storage.objects.list
storage.objects.update
Hold für ein Objekt einfügen oder entfernen5 storage.objects.get
storage.objects.list
storage.objects.update
Ein Objekt 5, eine nicht aktuelle Version eines Objekts oder einen Ordner mit Objekten löschen storage.objects.delete
storage.objects.list
HMAC-Schlüssel für ein Projekt ansehen resourcemanager.projects.get
storage.hmacKeys.list
HMAC-Schlüssel für ein Dienstkonto erstellen resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.create
HMAC-Schlüssel für ein Dienstkonto deaktivieren oder reaktivieren resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.update
HMAC-Schlüssel für ein Dienstkonto löschen resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.delete

1Diese Berechtigung ist nur erforderlich, wenn im Ziel-Bucket bereits ein Objekt mit demselben Namen vorhanden ist.

2Diese Berechtigung ist nur erforderlich, wenn die Berechtigungen, die derzeit auf das Quellobjekt angewendet werden, beibehalten werden.

3Diese Berechtigung ist nur erforderlich, wenn in Ihrer Anfrage kein Abrechnungsprojekt enthalten ist. Weitere Informationen finden Sie auf der Seite "Sender bezahlt" unter Anforderungen für Zugriff und Verwendung.

4 Diese Berechtigung gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.

5Für diese Aktion ist storage.objects.list nicht erforderlich, wenn sie auf der Detailseite für das betreffende Objekt ausgeführt wird und Sie die Detailseite nicht über die Gesamtliste der Objekte für den Bereich aufrufen.

6 Diese Aktion gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.

Nächste Schritte