Auf dieser Seite werden die IAM-Berechtigungen (Identity and Access Management) erläutert, die erforderlich sind, um verschiedene Aktionen für Cloud Storage-Buckets und -Objekte in der Cloud Console auszuführen. IAM-Berechtigungen werden zusammengefasst, um Rollen zu erstellen. Außerdem weisen Sie Nutzern und Gruppen Rollen zu.
Allgemeine Berechtigungen, die zum Verwenden der Cloud Console erforderlich sind
Zum Verwenden der Cloud Console sind bestimmte Berechtigungen erforderlich:
Alle Aktionen mit Buckets sollten die Berechtigungen
resourcemanager.projects.get
undstorage.buckets.list
auf Projektebene enthalten.Mit diesen Berechtigungen können Sie auf die Bucket-Liste-Seite des Console-Browsers zugreifen, auf der Sie Buckets erstellen, ansehen und aktualisieren.
Für alle Aktionen, bei denen in der Anfrage ein Abrechnungsprojekt enthalten ist, brauchen Sie die Berechtigung
serviceusage.services.use
für das angegebene Projekt.Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen. Ein Abrechnungsprojekt wird beispielsweise hinzugefügt, wenn auf einen Bucket bei aktivierter Funktion Anforderer bezahlt zugegriffen wird.
Berechtigungen für bestimmte Aktionen
Aktion | Erforderliche IAM-Berechtigungen (zusätzlich zu den oben aufgeführten) |
---|---|
Bucket erstellen | storage.buckets.create |
Buckets auflisten oder filtern | Keine weiteren Berechtigungen |
Sehen Sie sich die folgenden Bucket-Informationen an:
|
storage.buckets.get |
Ändern Sie die folgenden Bucket-Einstellungen:
|
storage.buckets.get storage.buckets.update |
Funktion "Sender bezahlt" aktivieren | storage.buckets.get storage.buckets.update |
Funktion "Sender bezahlt" deaktivieren | storage.buckets.get storage.buckets.update resourcemanager.projects.createBillingAssignment 3 |
Einstellung für die Verhinderung des öffentlichen Zugriffs ändern | storage.buckets.get storage.buckets.setIamPolicy storage.buckets.update |
Bucket-Berechtigungen ändern | storage.buckets.get storage.buckets.getIamPolicy storage.buckets.setIamPolicy storage.buckets.update |
Leeren Bucket löschen | storage.buckets.delete storage.objects.list |
Nichtleeren Bucket löschen | storage.buckets.delete storage.objects.delete storage.objects.list |
Objekt oder Objektordner hochladen | storage.objects.create storage.objects.delete 1 |
Details zu einem Objekt ansehen5 | storage.objects.get storage.objects.list |
Versionsverlauf eines Objekts ansehen | storage.objects.get storage.objects.list |
Objekt5 oder Objektordner herunterladen | storage.objects.get storage.objects.list |
Objekte in einem Bucket auflisten | storage.objects.list |
Bestimmen, ob ein Objekt öffentlich zugänglich ist5 | storage.buckets.getIamPolicy storage.objects.list storage.objects.getIamPolicy 4 |
Objekt umbenennen oder eine nicht aktuelle Version eines Objekts wiederherstellen | storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 4storage.objects.setIamPolicy 4 |
Objekt kopieren | storage.objects.create storage.objects.delete 1storage.objects.get storage.objects.list storage.objects.getIamPolicy 2.4storage.objects.setIamPolicy 2.4 |
Objekt verschieben | storage.objects.create storage.objects.delete 1storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 2.4storage.objects.setIamPolicy 2.4 |
Zugriffsberechtigungen eines Objekts ansehen5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy |
Zugriffsberechtigungen eines Objekts bearbeiten5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy storage.objects.setIamPolicy storage.objects.update |
Metadaten eines Objekts bearbeiten5 | storage.objects.get storage.objects.list storage.objects.update |
Hold für ein Objekt einfügen oder entfernen5 | storage.objects.get storage.objects.list storage.objects.update |
Ein Objekt5, eine nicht aktuelle Version eines Objekts oder einen Ordner mit Objekten löschen | storage.objects.delete storage.objects.list |
HMAC-Schlüssel für ein Projekt ansehen | resourcemanager.projects.get storage.hmacKeys.list |
HMAC-Schlüssel für ein Dienstkonto erstellen | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.create |
HMAC-Schlüssel für ein Dienstkonto deaktivieren oder reaktivieren | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.update |
HMAC-Schlüssel für ein Dienstkonto löschen | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.delete |
1Diese Berechtigung ist nur erforderlich, wenn im Ziel-Bucket bereits ein Objekt mit demselben Namen vorhanden ist.
2Diese Berechtigung ist nur erforderlich, wenn die Berechtigungen, die derzeit auf das Quellobjekt angewendet werden, beibehalten werden.
3Diese Berechtigung ist nur erforderlich, wenn in Ihrer Anfrage kein Abrechnungsprojekt enthalten ist. Weitere Informationen finden Sie auf der Seite "Sender bezahlt" unter Anforderungen für Zugriff und Verwendung.
4 Diese Berechtigung gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.
5Für diese Aktion ist storage.objects.list
nicht erforderlich, wenn sie auf der Detailseite für das betreffende Objekt ausgeführt wird und Sie die Detailseite nicht über die Gesamtliste der Objekte für den Bereich aufrufen.
6 Diese Aktion gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.
Nächste Schritte
Eine Liste der Rollen und der darin enthaltenen Berechtigungen finden Sie unter IAM-Rollen für Cloud Storage.