Google Cloud Platform Console 所需的 Cloud IAM 權限

以下文章說明在 GCP Console 中針對 Cloud Storage 值區及物件執行各種操作時所需的 Cloud Identity and Access Management (Cloud IAM) 權限。

使用 GCP Console 所需的常用權限

使用 GCP Console 時,有一些常用的必要權限:

  • 所有與值區相關的操作都需要專案層級的 resourcemanager.projects.getstorage.buckets.list 權限。

    具備這些權限,您就能存取「主控台瀏覽器」中的值區頁面,以建立、查看及更新值區。

  • 一般來說,與物件相關的操作都需要專案或值區層級的 storage.objects.list 權限。

    如果您只會存取特定物件的詳細資料頁面,而完全無需存取值區中物件的全體清單,則不需要此權限。

  • 凡是在要求中納入計費專案的操作,都必須具備指定專案的 serviceusage.services.use 權限。

    這項權限可確保您有權向您指定的專案收費。舉例來說,存取啟用了要求者付費功能的值區時,就會使用包含計費專案的操作。

特定操作所需的權限

操作 必要的 Cloud IAM 權限 (除了上方列出的權限外)
建立值區 storage.buckets.create
列出或篩選值區 不需其他權限
存取值區的「總覽」分頁 storage.buckets.get
查看或編輯值區的網站設定 (如已啟用) storage.buckets.get
storage.buckets.update
變更值區標籤、預設儲存空間級別或預設事件專屬訴訟保留 storage.buckets.get
storage.buckets.update
啟用「要求者付費功能」功能 storage.buckets.get
storage.buckets.update
停用「要求者付費功能」功能 storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
設定或更新物件生命週期政策 storage.buckets.get
storage.buckets.update
查看物件生命週期政策 storage.buckets.get
設定或移除值區的預設 Cloud Key Management Service 金鑰 storage.buckets.get
storage.buckets.update
查看值區的預設 Cloud Key Management Service 金鑰 storage.buckets.get
設定、移除或鎖定值區的保留政策 storage.buckets.get
storage.buckets.update
查看值區的保留政策 storage.buckets.get
為值區設定或移除僅值區政策 storage.buckets.get
storage.buckets.update
檢視值區的僅值區政策狀態 storage.buckets.get
變更值區權限 storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
刪除空白值區 storage.buckets.delete
storage.objects.list
刪除非空白值區 storage.buckets.delete
storage.objects.delete
storage.objects.list
上傳物件 storage.objects.create
查看物件的詳細資料頁面5 storage.objects.get
下載物件5 storage.objects.get
列出值區中的物件 不需其他權限
判斷物件是否可公開存取5 storage.objects.getIamPolicy4
重新命名物件 storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
複製物件 storage.objects.create (用於目的地值區)
storage.objects.delete1 (用於目的地值區)
storage.objects.get (用於來源物件)
storage.objects.getIamPolicy2,4 (用於來源物件)
storage.objects.setIamPolicy2,4 (用於目的地值區)
移動物件 storage.objects.create (用於目的地值區)
storage.objects.delete1 (用於目的地值區)
storage.objects.delete (用於來源值區)
storage.objects.get (用於來源物件)
storage.objects.getIamPolicy2,4 (用於來源物件)
storage.objects.setIamPolicy2,4 (用於目的地值區)
查看物件的存取權限5 storage.objects.get
storage.objects.getIamPolicy4
編輯物件的存取權限5 storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
storage.objects.update
編輯物件的中繼資料 storage.objects.get
storage.objects.update
新增或移除物件的訴訟保留 storage.objects.get
storage.objects.update
刪除物件5 storage.objects.delete
查看專案的 HMAC 金鑰 resourcemanager.projects.get
storage.hmacKeys.list
建立服務帳戶的 HMAC 金鑰 resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.create
停用或重新啟用服務帳戶的 HMAC 金鑰 resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.update
刪除服務帳戶的 HMAC 金鑰 resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.delete

1只有在複製/移動的物件和值區中已存在的物件名稱相同時,才需要這項權限。

2只有在保留目前套用至來源物件的權限時,才需要這項權限。

3只有在您的要求中未包含計費專案時,才需要這項權限。詳情請參閱「要求者付費」功能的使用及存取需求條件

4此權限不適用於已啟用僅值區政策的值區。

5如果該操作是在相關物件的詳細資料頁面上執行,則不需要 storage.objects.list

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Cloud Storage
需要協助嗎?請前往我們的支援網頁