以下页面讨论了使用 GCP Console 时对 Cloud Storage 存储分区和对象执行各种操作所需的 Cloud Identity and Access Management (Cloud IAM) 权限。
使用 GCP Console 时所需的常用权限
您通常需要拥有某些权限才能使用 GCP Console:
涉及存储分区的所有操作都需要项目级层的
resourcemanager.projects.get和storage.buckets.list权限。这些权限让您可以访问 Console 浏览器的存储分区页面,您可以在该页面中创建、查看和更新存储分区。
涉及对象的所有操作都需要项目级层或存储分区级层的
storage.objects.list权限。此权限允许您访问 Console 浏览器的对象页面,您可以在该页面中上传、查看和修改对象。
请求中包含结算项目的所有操作都需要指定项目的
serviceusage.services.use权限。此权限可确保您有权对指定的项目进行结算。例如,在访问启用了请求者付款功能的存储分区时,将包含结算项目。
特定操作所需的权限
| 操作 | 必需的 Cloud IAM 权限(除了上面列出的权限以外) |
|---|---|
| 创建存储分区 | storage.buckets.create |
| 列出或过滤存储分区 | 无需额外权限 |
| 访问存储分区的“概览”标签 | storage.buckets.get |
| 查看或修改存储分区的网站配置(如果已启用) | storage.buckets.get |
storage.buckets.update |
|
| 更改存储分区标签、默认存储类别或默认基于事件的保全 | storage.buckets.get |
storage.buckets.update |
|
| 启用请求者付款功能 | storage.buckets.get |
storage.buckets.update |
|
| 停用请求者付款功能 | storage.buckets.get |
storage.buckets.update |
|
resourcemanager.projects.createBillingAssignment3 |
|
| 设置或更新对象生命周期政策 | storage.buckets.get |
storage.buckets.update |
|
| 查看对象生命周期政策 | storage.buckets.get |
| 设置或移除存储分区的默认 Cloud Key Management Service 密钥 | storage.buckets.get |
storage.buckets.update |
|
| 查看存储分区的默认 Cloud Key Management Service 密钥 | storage.buckets.get |
| 设置、移除或锁定存储分区的保全政策 | storage.buckets.get |
storage.buckets.update |
|
| 查看存储分区的保全政策 | storage.buckets.get |
| 设置或删除存储分区的“仅限存储分区政策” | storage.buckets.get |
storage.buckets.update |
|
| 查看存储分区的“仅限存储分区政策”状态 | storage.buckets.get |
| 更改存储分区权限 | storage.buckets.get |
storage.buckets.getIamPolicy |
|
storage.buckets.setIamPolicy |
|
storage.buckets.update |
|
| 删除空存储分区 | storage.buckets.delete |
storage.objects.list |
|
| 删除非空存储分区 | storage.buckets.delete |
storage.objects.delete |
|
storage.objects.list |
|
| 上传对象 | storage.objects.create |
| 查看或下载对象 | storage.objects.get |
| 列出存储分区中的对象 | 无需额外权限 |
| 使用公共访问列确定对象的公共访问方式。 | storage.objects.getIamPolicy4 |
| 重命名对象 | storage.objects.create |
storage.objects.delete |
|
storage.objects.get |
|
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
| 复制对象 | storage.objects.create(适用于目标存储分区) |
storage.objects.delete1(适用于目标存储分区) |
|
storage.objects.get(适用于源对象) |
|
storage.objects.getIamPolicy2,4(适用于源对象) |
|
storage.objects.setIamPolicy2,4(适用于目标存储分区) |
|
| 移动对象 | storage.objects.create(适用于目标存储分区) |
storage.objects.delete1(适用于目标存储分区) |
|
storage.objects.delete(适用于源存储分区) |
|
storage.objects.get(适用于源对象) |
|
storage.objects.getIamPolicy2,4(适用于源对象) |
|
storage.objects.setIamPolicy2,4(适用于目标存储分区) |
|
| 共享对象 | storage.objects.get |
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
storage.objects.update |
|
| 修改对象的权限 | storage.objects.get |
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
storage.objects.update |
|
| 修改对象的元数据 | storage.objects.get |
storage.objects.update |
|
| 添加或移除对象的保全 | storage.objects.get |
storage.objects.update |
|
| 删除对象 | storage.objects.delete |
1仅当复制/移动的对象与存储分区中已存在的对象具有相同的名称时,才需要此权限。
2仅在保留当前应用于源对象的权限时,才需要此权限。
3仅当您的请求中未包含结算项目时,才需要此权限。如需了解详情,请参阅请求者付款功能的使用和访问要求。
4此权限不适用于启用了仅限存储分区政策的存储分区。
后续步骤
- 如需查看角色及其所含权限的列表,请参阅 Cloud Storage 的 Cloud IAM 角色。
需要帮助?请访问我们的