Auf dieser Seite werden die IAM-Berechtigungen (Identity and Access Management) erläutert, die erforderlich sind, um verschiedene Aktionen für Cloud Storage-Buckets und -Objekte in der Cloud Console auszuführen. IAM-Berechtigungen werden zusammengefasst, um Rollen zu erstellen. Außerdem weisen Sie Nutzern und Gruppen Rollen zu.
Allgemeine Berechtigungen, die zum Verwenden der Cloud Console erforderlich sind
Zum Verwenden der Cloud Console sind bestimmte Berechtigungen erforderlich:
Für alle Aktionen mit Buckets werden die Berechtigungen
resourcemanager.projects.getundstorage.buckets.listauf Projektebene benötigt.Mit diesen Berechtigungen können Sie auf die Buckets-Seite des Console-Browsers zugreifen, auf der Sie Buckets erstellen, ansehen und aktualisieren.
Im Allgemeinen brauchen Sie für Aktionen mit Objekten die Berechtigung
storage.objects.listauf Projekt- oder Bucket-Ebene.Diese Berechtigung ist nicht erforderlich, wenn Sie nur auf die Detailseiten für bestimmte Objekte zugreifen und nie auf die Gesamtliste der Objekte in einem Bucket zugreifen müssen.
Für alle Aktionen, bei denen in der Anfrage ein Abrechnungsprojekt enthalten ist, brauchen Sie die Berechtigung
serviceusage.services.usefür das angegebene Projekt.Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen. Ein Abrechnungsprojekt wird beispielsweise hinzugefügt, wenn auf einen Bucket bei aktivierter Funktion Sender bezahlt zugegriffen wird.
Berechtigungen für bestimmte Aktionen
| Aktion | Erforderliche IAM-Berechtigungen (zusätzlich zu den oben aufgeführten) |
|---|---|
| Bucket erstellen | storage.buckets.create |
| Buckets auflisten oder filtern | Keine weiteren Berechtigungen |
| Tab "Übersicht" eines Buckets aufrufen | storage.buckets.get |
| Websitekonfiguration eines Buckets anzeigen oder bearbeiten (falls aktiviert) | storage.buckets.getstorage.buckets.update |
| Bucket-Labels, Standard-Speicherklasse oder standardmäßigen ereignisbasierten Hold ändern | storage.buckets.getstorage.buckets.update |
| Funktion "Sender bezahlt" aktivieren | storage.buckets.getstorage.buckets.update |
| Funktion "Sender bezahlt" deaktivieren | storage.buckets.getstorage.buckets.updateresourcemanager.projects.createBillingAssignment3 |
| Richtlinien für Objektlebenszyklus festlegen oder aktualisieren | storage.buckets.getstorage.buckets.update |
| Richtlinien für Objektlebenszyklus ansehen | storage.buckets.get |
| Standardmäßigen Cloud Key Management Service-Schlüssel eines Buckets einrichten oder entfernen | storage.buckets.getstorage.buckets.update |
| Standardmäßigen Cloud Key Management Service-Schlüssel eines Buckets anzeigen lassen | storage.buckets.get |
| Aufbewahrungsrichtlinie eines Buckets festlegen, entfernen oder sperren | storage.buckets.getstorage.buckets.update |
| Aufbewahrungsrichtlinie eines Buckets anzeigen lassen | storage.buckets.get |
| Einheitlichen Zugriff auf Bucket-Ebene für einen Bucket festlegen oder entfernen | storage.buckets.getstorage.buckets.update |
| Status für einheitlichen Zugriff auf Bucket-Ebene für einen Bucket ansehen | storage.buckets.get |
| Bucket-Berechtigungen ändern | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
| Leeren Bucket löschen | storage.buckets.deletestorage.objects.list |
| Nichtleeren Bucket löschen | storage.buckets.deletestorage.objects.deletestorage.objects.list |
| Objekt hochladen | storage.objects.create |
| Detailseite eines Objekts ansehen5 | storage.objects.get |
| Objekt herunterladen5 | storage.objects.get |
| Objekte in einem Bucket auflisten | Keine weiteren Berechtigungen |
| Bestimmen, ob ein Objekt öffentlich zugänglich ist5 | storage.buckets.getIamPolicystorage.objects.getIamPolicy4 |
| Objekt umbenennen | storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.getIamPolicy4storage.objects.setIamPolicy4 |
| Objekt kopieren | storage.objects.createstorage.objects.delete1storage.objects.getstorage.objects.getIamPolicy2,4storage.objects.setIamPolicy2,4 |
| Objekt verschieben | storage.objects.createstorage.objects.delete1storage.objects.deletestorage.objects.getstorage.objects.getIamPolicy2,4storage.objects.setIamPolicy2,4 |
| Zugriffsberechtigungen eines Objekts ansehen5,6 | storage.objects.getstorage.objects.getIamPolicy |
| Zugriffsberechtigungen eines Objekts bearbeiten5,6 | storage.objects.getstorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
| Metadaten eines Objekts bearbeiten | storage.objects.getstorage.objects.update |
| Hold für ein Objekt einfügen oder entfernen | storage.objects.getstorage.objects.update |
| Objekt löschen5 | storage.objects.delete |
| HMAC-Schlüssel für ein Projekt ansehen | resourcemanager.projects.getstorage.hmacKeys.list |
| HMAC-Schlüssel für ein Dienstkonto erstellen | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.create |
| HMAC-Schlüssel für ein Dienstkonto deaktivieren oder reaktivieren | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.update |
| HMAC-Schlüssel für ein Dienstkonto löschen | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.delete |
1 Diese Berechtigung ist nur erforderlich, wenn das kopierte/verschobene Objekt denselben Namen wie ein Objekt hat, das bereits im Bucket vorhanden ist.
2Diese Berechtigung ist nur erforderlich, wenn die Berechtigungen, die derzeit auf das Quellobjekt angewendet werden, beibehalten werden.
3Diese Berechtigung ist nur erforderlich, wenn in Ihrer Anfrage kein Abrechnungsprojekt enthalten ist. Weitere Informationen finden Sie auf der Seite "Sender bezahlt" unter Anforderungen für Zugriff und Verwendung.
4 Diese Berechtigung gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.
5 Für diese Aktion ist storage.objects.list nicht erforderlich, wenn sie auf der Detailseite des betreffenden Objekts ausgeführt wird.
6 Diese Aktion gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.
Nächste Schritte
Eine Liste der Rollen und der darin enthaltenen Berechtigungen finden Sie unter IAM-Rollen für Cloud Storage.