Auf der folgenden Seite werden die Berechtigungen für das Cloud Identity and Access Management (Cloud IAM) beschrieben, die zur Ausführung verschiedener Aktionen mit Cloud Storage-Buckets bei Verwendung der GCP Console erforderlich sind.
Allgemeine Berechtigungen zur Verwendung der GCP Console
Es sind bestimmte Berechtigungen erforderlich, um mit der GCP Console arbeiten zu können:
Für alle Aktionen mit Buckets werden die Berechtigungen
resourcemanager.projects.getundstorage.buckets.listauf Projektebene benötigt.Mit diesen Berechtigungen können Sie auf die Buckets-Seite des Console-Browsers zugreifen, auf der Sie Buckets erstellen, ansehen und aktualisieren.
Für alle Aktionen mit Objekten brauchen Sie die Berechtigung
storage.objects.listauf Projekt- oder Bucket-Ebene.Mit dieser Berechtigung können Sie auf die Objektseiten des Console-Browsers zugreifen, auf denen Sie Objekte hochladen, anzeigen und ändern.
Für alle Aktionen, bei denen in der Anfrage ein Abrechnungsprojekt enthalten ist, brauchen Sie die Berechtigung
serviceusage.services.usefür das angegebene Projekt.Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen. Ein Abrechnungsprojekt wird beispielsweise hinzugefügt, wenn auf einen Bucket bei aktivierter Funktion Sender bezahlt zugegriffen wird.
Berechtigungen für bestimmte Aktionen
| Aktion | Erforderliche IAM-Berechtigungen (zusätzlich zu den oben aufgeführten) |
|---|---|
| Bucket erstellen | storage.buckets.create |
| Buckets auflisten oder filtern | Keine weiteren Berechtigungen |
| Tab "Übersicht" eines Buckets aufrufen | storage.buckets.get |
| Websitekonfiguration eines Buckets anzeigen oder bearbeiten (falls aktiviert) | storage.buckets.get |
storage.buckets.update |
|
| Bucket-Labels, Standard-Speicherklasse oder ereignisbasierten Hold ändern | storage.buckets.get |
storage.buckets.update |
|
| Funktion "Sender bezahlt" aktivieren | storage.buckets.get |
storage.buckets.update |
|
| Funktion "Sender bezahlt" deaktivieren | storage.buckets.get |
storage.buckets.update |
|
resourcemanager.projects.createBillingAssignment3 |
|
| Richtlinien für Objektlebenszyklus festlegen oder aktualisieren | storage.buckets.get |
storage.buckets.update |
|
| Richtlinien für Objektlebenszyklus ansehen | storage.buckets.get |
| Standardmäßigen Cloud Key Management Service-Schlüssel eines Buckets einrichten oder entfernen | storage.buckets.get |
storage.buckets.update |
|
| Standardmäßigen Cloud Key Management Service-Schlüssel eines Buckets anzeigen lassen | storage.buckets.get |
| Aufbewahrungsrichtlinie eines Buckets festlegen, entfernen oder sperren | storage.buckets.get |
storage.buckets.update |
|
| Aufbewahrungsrichtlinie eines Buckets anzeigen lassen | storage.buckets.get |
| "Nur Bucket-Richtlinie" für einen Bucket festlegen oder entfernen | storage.buckets.get |
storage.buckets.update |
|
| "Nur Bucket-Richtlinie"-Status eines Buckets aufrufen | storage.buckets.get |
| Bucket-Berechtigungen ändern | storage.buckets.get |
storage.buckets.getIamPolicy |
|
storage.buckets.setIamPolicy |
|
storage.buckets.update |
|
| Leeren Bucket löschen | storage.buckets.delete |
storage.objects.list |
|
| Nichtleeren Bucket löschen | storage.buckets.delete |
storage.objects.delete |
|
storage.objects.list |
|
| Objekt hochladen | storage.objects.create |
| Objekt anzeigen oder herunterladen | storage.objects.get |
| Objekte in einem Bucket auflisten | Keine weiteren Berechtigungen |
| Anhand der Spalte für öffentlichen Zugriff bestimmen, wie ein Objekt öffentlich zugänglich ist | storage.objects.getIamPolicy4 |
| Objekt umbenennen | storage.objects.create |
storage.objects.delete |
|
storage.objects.get |
|
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
| Objekt kopieren | storage.objects.create (für den Ziel-Bucket) |
storage.objects.delete1 (für den Ziel-Bucket) |
|
storage.objects.get (für das Quellobjekt) |
|
storage.objects.getIamPolicy2,4 (für das Zielobjekt) |
|
storage.objects.setIamPolicy2,4 (für den Ziel-Bucket) |
|
| Objekt verschieben | storage.objects.create (für den Ziel-Bucket) |
storage.objects.delete1 (für den Ziel-Bucket) |
|
storage.objects.delete (für den Quell-Bucket) |
|
storage.objects.get (für das Quellobjekt) |
|
storage.objects.getIamPolicy2,4 (für das Zielobjekt) |
|
storage.objects.setIamPolicy2,4 (für den Ziel-Bucket) |
|
| Objekt freigeben | storage.objects.get |
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
storage.objects.update |
|
| Berechtigungen eines Objekts bearbeiten | storage.objects.get |
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
storage.objects.update |
|
| Metadaten eines Objekts bearbeiten | storage.objects.get |
storage.objects.update |
|
| Hold für ein Objekt einfügen oder entfernen | storage.objects.get |
storage.objects.update |
|
| Objekt löschen | storage.objects.delete |
1 Diese Berechtigung ist nur erforderlich, wenn das kopierte/verschobene Objekt denselben Namen wie ein Objekt hat, das bereits im Bucket vorhanden ist.
2 Diese Berechtigung ist nur erforderlich, wenn die Berechtigungen, die derzeit auf das Quellobjekt angewendet werden, beibehalten werden.
3 Diese Berechtigung ist nur erforderlich, wenn in Ihrer Anfrage kein Abrechnungsprojekt enthalten ist. Weitere Informationen finden Sie auf der Seite "Sender bezahlt" unter Anforderungen für Zugriff und Verwendung.
4 Diese Berechtigung gilt nicht für Buckets mit aktivierter Nur Bucket-Richtlinie.
Weitere Informationen
- Eine Liste der Rollen und der darin enthaltenen Berechtigungen finden Sie unter Cloud IAM-Rollen für Cloud Storage.
Weitere Fragen?