适用于 Google Cloud Platform Console 的 Cloud IAM 权限

以下页面讨论了使用 GCP Console 时对 Cloud Storage 存储分区和对象执行各种操作所需的 Cloud Identity and Access Management (Cloud IAM) 权限。

使用 GCP Console 时所需的常用权限

您通常需要拥有某些权限才能使用 GCP Console:

  • 涉及存储分区的所有操作都需要项目级层的 resourcemanager.projects.getstorage.buckets.list 权限。

    这些权限让您可以访问 Console 浏览器的存储分区页面,您可以在该页面中创建、查看和更新存储分区。

  • 涉及对象的所有操作都需要项目级层或存储分区级层的 storage.objects.list 权限。

    此权限允许您访问 Console 浏览器的对象页面,您可以在该页面中上传、查看和修改对象。

  • 请求中包含结算项目的所有操作都需要指定项目的 serviceusage.services.use 权限。

    此权限可确保您有权对指定的项目进行结算。例如,在访问启用了请求者付款功能的存储分区时,将包含结算项目。

特定操作所需的权限

操作 必需的 Cloud IAM 权限(除了上面列出的权限以外)
创建存储分区 storage.buckets.create
列出或过滤存储分区 无需额外权限
访问存储分区的“概览”标签 storage.buckets.get
查看或修改存储分区的网站配置(如果已启用) storage.buckets.get
storage.buckets.update
更改存储分区标签、默认存储类别或默认基于事件的保全 storage.buckets.get
storage.buckets.update
启用请求者付款功能 storage.buckets.get
storage.buckets.update
停用请求者付款功能 storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
设置或更新对象生命周期政策 storage.buckets.get
storage.buckets.update
查看对象生命周期政策 storage.buckets.get
设置或移除存储分区的默认 Cloud Key Management Service 密钥 storage.buckets.get
storage.buckets.update
查看存储分区的默认 Cloud Key Management Service 密钥 storage.buckets.get
设置、移除或锁定存储分区的保全政策 storage.buckets.get
storage.buckets.update
查看存储分区的保全政策 storage.buckets.get
设置或删除存储分区的“仅限存储分区政策” storage.buckets.get
storage.buckets.update
查看存储分区的“仅限存储分区政策”状态 storage.buckets.get
更改存储分区权限 storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
删除空存储分区 storage.buckets.delete
storage.objects.list
删除非空存储分区 storage.buckets.delete
storage.objects.delete
storage.objects.list
上传对象 storage.objects.create
查看或下载对象 storage.objects.get
列出存储分区中的对象 无需额外权限
使用公共访问列确定对象的公共访问方式。 storage.objects.getIamPolicy4
重命名对象 storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
复制对象 storage.objects.create(适用于目标存储分区)
storage.objects.delete1(适用于目标存储分区)
storage.objects.get(适用于源对象)
storage.objects.getIamPolicy2,4(适用于源对象)
storage.objects.setIamPolicy2,4(适用于目标存储分区)
移动对象 storage.objects.create(适用于目标存储分区)
storage.objects.delete1(适用于目标存储分区)
storage.objects.delete(适用于源存储分区)
storage.objects.get(适用于源对象)
storage.objects.getIamPolicy2,4(适用于源对象)
storage.objects.setIamPolicy2,4(适用于目标存储分区)
共享对象 storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
storage.objects.update
修改对象的权限 storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
storage.objects.update
修改对象的元数据 storage.objects.get
storage.objects.update
添加或移除对象的保全 storage.objects.get
storage.objects.update
删除对象 storage.objects.delete

1仅当复制/移动的对象与存储分区中已存在的对象具有相同的名称时,才需要此权限。

2仅在保留当前应用于源对象的权限时,才需要此权限。

3仅当您的请求中未包含结算项目时,才需要此权限。如需了解详情,请参阅请求者付款功能的使用和访问要求

4此权限不适用于启用了仅限存储分区政策的存储分区。

后续步骤

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Cloud Storage
需要帮助?请访问我们的支持页面