Die folgende Tabelle enthält die IAM-Berechtigungen (Identity and Access Management), die zum Ausführen der einzelnen Cloud Storage-gsutil-Befehle für eine bestimmte Ressource erforderlich sind. IAM-Berechtigungen werden zusammengefasst, um Rollen zu erstellen. Sie weisen Nutzern und Gruppen Rollen zu.
Auf dieser Seite finden Sie auch Informationen zu folgenden Themen:
Zusätzliche Befehle verwenden, die nur für Buckets mit deaktiviertem einheitlichen Zugriff auf Bucket-Ebene gelten
Platzhalter und rekursive Flags verwenden
Flag
-uverwenden, um Projekte für die Abrechnung anzugebenFlag
-mverwenden, um Vorgänge parallel auszuführen
| Befehl | Unterbefehl | Ressource, der Sie die Rolle zuweisen können | Erforderliche IAM-Berechtigungen |
|---|---|---|---|
autoclass |
get |
Buckets | storage.buckets.get |
autoclass |
set |
Buckets | storage.buckets.update |
cat |
Objekte | storage.objects.get |
|
compose |
Objekte | storage.objects.getstorage.objects.createstorage.objects.delete1 |
|
config |
Keine | ||
cors |
get |
Buckets | storage.buckets.get |
cors |
set |
Buckets | storage.buckets.update |
cp |
Objekte | storage.objects.list2storage.objects.getstorage.objects.createstorage.objects.delete3 |
|
defstorageclass |
get |
Buckets | storage.buckets.get |
defstorageclass |
set |
Buckets | storage.buckets.update |
du |
Objekte | storage.objects.get |
|
hash |
Objekte | storage.objects.get |
|
help |
Keine | ||
hmacKeys |
create |
HMAC-Schlüssel | storage.hmacKeys.create |
hmacKeys |
delete |
HMAC-Schlüssel | storage.hmacKeys.delete |
hmacKeys |
get |
HMAC-Schlüssel | storage.hmacKeys.get |
hmacKeys |
list |
HMAC-Schlüssel | storage.hmacKeys.list |
hmacKeys |
update |
HMAC-Schlüssel | storage.hmacKeys.update |
iam |
get |
Buckets | storage.buckets.getstorage.buckets.getIamPolicy |
iam |
set oder ch |
Buckets | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
kms |
authorize |
Projekte | resourceManager.projects.getiam.serviceAccounts.create4cloudkms.cryptoKeys.setIamPolicy |
kms |
encryption |
Buckets | storage.buckets.get |
kms |
encryption -d |
Buckets | storage.buckets.getstorage.buckets.update |
kms |
encryption -k |
Buckets, Projekte5 | storage.buckets.getstorage.buckets.updateresourceManager.projects.get5cloudkms.cryptoKeys.setIamPolicy5 |
kms |
serviceaccount |
Projekte | resourceManager.projects.get |
label |
get |
Buckets | storage.buckets.get |
label |
set/ch |
Buckets | storage.buckets.update |
lifecycle |
get |
Buckets | storage.buckets.get |
lifecycle |
set/ch |
Buckets | storage.buckets.update |
logging |
get |
Buckets | storage.buckets.get |
logging |
set |
Buckets | storage.buckets.update |
ls |
Projekte | storage.buckets.liststorage.buckets.getIamPolicy6 |
|
ls |
Buckets, Objekte | storage.objects.liststorage.objects.getIamPolicy7 |
|
ls -b |
Buckets | storage.buckets.getstorage.buckets.getIamPolicy6 |
|
mb |
Buckets | storage.buckets.create |
|
mv |
Objekte | storage.objects.list2 (für den Ziel-Bucket)storage.objects.get (für die Quellobjekte)storage.objects.create (für den Ziel-Bucket)storage.objects.delete (für den Quell-Bucket)storage.objects.delete3 (für den Ziel-Bucket) |
|
notification |
create |
Buckets | storage.buckets.updatepubsub.topics.get (für das Projekt, das das Pub/Sub-Thema enthält)pubsub.topics.create8 (für das Projekt, das das Pub/Sub-Thema enthält)pubsub.topics.getIamPolicy (für das Pub/Sub-Thema, das Benachrichtigungen erhält)pubsub.topics.setIamPolicy8 (für das Pub/Sub-Thema, das Benachrichtigungen erhält) |
notification |
create -s |
Buckets | storage.buckets.update |
notification |
delete |
Buckets | storage.buckets.getstorage.buckets.update |
notification |
list |
Buckets | storage.buckets.get |
notification |
watchbucket |
Buckets | storage.buckets.update |
notification |
stopchannel |
Buckets | storage.buckets.update |
pap |
get |
Buckets | storage.buckets.get |
pap |
set |
Buckets | storage.buckets.getstorage.buckets.updatestorage.buckets.setIamPolicy |
perfdiag |
Buckets | storage.buckets.getstorage.objects.createstorage.objects.deletestorage.objects.liststorage.objects.get |
|
rb |
Buckets | storage.buckets.delete |
|
requesterpays |
get |
Buckets | storage.buckets.get |
requesterpays |
set on |
Buckets | storage.buckets.update |
requesterpays |
set off |
Buckets | storage.buckets.updateresourcemanager.projects.createBillingAssignment9 |
retention |
clear, event-default, lock oder set |
Buckets | storage.buckets.update |
retention |
event oder temp |
Objekte | storage.objects.getstorage.objects.liststorage.objects.update |
retention |
get |
Buckets | storage.buckets.get |
rewrite -k |
Objekte | storage.objects.liststorage.objects.getstorage.objects.createstorage.objects.delete |
|
rewrite -s |
Objekte | storage.objects.liststorage.objects.getstorage.objects.createstorage.objects.deletestorage.objects.update |
|
rm |
Buckets | storage.buckets.deletestorage.objects.deletestorage.objects.list |
|
rm |
Objekte | storage.objects.deletestorage.objects.list |
|
rpo |
get |
Buckets | storage.buckets.get |
rpo |
set |
Buckets | storage.buckets.getstorage.buckets.update |
rsync |
Objekte | storage.objects.getstorage.objects.createstorage.objects.delete11storage.objects.list |
|
rsync -n |
Objekte | storage.objects.list (für die Quell- und Ziel-Buckets) |
|
setmeta |
Objekte | storage.objects.getstorage.objects.liststorage.objects.update |
|
signurl |
Keine; Allerdings muss das Dienstkonto, dessen Schlüssel als Teil dieses Befehls verwendet wird, über die Berechtigung verfügen, die in der signierten URL codierte Anfrage auszuführen. | ||
stat |
Objekte | storage.objects.get |
|
test |
Keine | ||
ubla |
set |
Buckets | storage.buckets.getstorage.buckets.update |
ubla |
get |
Buckets | storage.buckets.get |
update |
Keine | ||
version |
Keine | ||
versioning |
get |
Buckets | storage.buckets.get |
versioning |
set |
Buckets | storage.buckets.update |
web |
get |
Buckets | storage.buckets.get |
web |
set |
Buckets | storage.buckets.update |
1 Diese Berechtigung ist nur erforderlich, wenn das zusammengesetzte Objekt denselben Namen wie ein Objekt hat, das schon im Bucket vorhanden ist.
2 Diese Berechtigung ist nur erforderlich, wenn das Ziel im Befehl einen Objektpfad enthält.
3 Diese Berechtigung ist nur erforderlich, wenn Sie parallele zusammengesetzte Uploads verwenden oder wenn Sie das Flag -n nicht verwenden, aber ein Objekt einfügen, das denselben Namen hat wie ein bereits im Bucket vorhandenes Objekt.
4 Diese Berechtigung ist nur erforderlich, wenn dem Projekt kein Cloud Storage-Dienstkonto zugeordnet ist.
5 Wenn Sie gsutil kms encryption -k verwenden und das Dienstkonto des Projekts nicht dazu berechtigt ist, auf den angeforderten Cloud KMS-Schlüssel zuzugreifen, führt gsutil gsutil kms authorize aus, um dem Dienstkonto die erforderliche Berechtigung zu erteilen.
6 Diese Berechtigung ist nur erforderlich, wenn Sie IAM-Richtlinien in die Details aufgenommen haben.
7 Diese Berechtigung ist nur erforderlich, wenn in den Details IAM-Richtlinien enthalten sein sollen. Sie gilt nicht für Buckets mit aktiviertem einheitlichem Zugriff auf Bucket-Ebene.
8 Diese Berechtigungen sind nicht erforderlich, wenn das Thema bereits existiert und das entsprechende Dienstkonto darauf zugreifen kann.
9 Diese Berechtigung ist nur erforderlich, wenn in Ihrer Anfrage kein Abrechnungsprojekt enthalten ist. Weitere Informationen finden Sie auf der Seite "Anforderer bezahlt" unter Anforderungen für Zugriff und Verwendung.
10 Diese Berechtigung ist nicht erforderlich, wenn der Befehl die Bucket-Einstellung nicht ändert.
11 Diese Berechtigung ist nur erforderlich, wenn Sie das Flag -d verwenden oder wenn Sie ein Objekt einfügen, das denselben Namen, aber andere Daten als ein bereits im Bucket vorhandenes Objekt hat.
ACL-bezogene Methoden
In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Ausführen der speziell für die Verwaltung von ACLs geltenden gsutil-Befehle erforderlich sind. Diese Befehle gelten nur für Buckets, für die der einheitliche Zugriff auf Bucket-Ebene deaktiviert ist.
| Befehl | Unterbefehl | Aufgerufene Ressource | Erforderliche IAM-Berechtigungen |
|---|---|---|---|
acl |
get |
Buckets | storage.buckets.getstorage.buckets.getIamPolicy |
acl |
set oder ch |
Buckets | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
acl |
get |
Objekte | storage.objects.getstorage.objects.getIamPolicy |
acl |
set oder ch |
Objekte | storage.objects.getstorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
cp -a oder cp -p |
Objekte | storage.objects.listastorage.objects.getstorage.objects.createstorage.objects.deletebstorage.objects.getIamPolicystorage.objects.setIamPolicy |
|
defacl |
get |
Buckets | storage.buckets.getstorage.buckets.getIamPolicy |
defacl |
set oder ch |
Buckets | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
iam |
get |
Objekte | storage.objects.getstorage.objects.getIamPolicy |
iam |
set oder ch |
Objekte | storage.objects.getstorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
mv -a oder mv -p |
Objekte | storage.objects.listastorage.objects.getstorage.objects.createstorage.objects.deletestorage.objects.deletebstorage.objects.getIamPolicystorage.objects.setIamPolicy |
|
rsync -arsync -p |
Objekte | storage.objects.getstorage.objects.createstorage.objects.deletecstorage.objects.liststorage.objects.getIamPolicystorage.objects.setIamPolicy |
a Diese Berechtigung ist nur erforderlich, wenn das Ziel im Befehl einen Objektpfad enthält.
b Diese Berechtigung ist nur erforderlich, wenn Sie parallele zusammengesetzte Uploads verwenden oder wenn Sie das Flag -n nicht verwenden, aber ein Objekt einfügen, das denselben Namen hat wie ein bereits im Bucket vorhandenes Objekt.
c Diese Berechtigung ist nur erforderlich, wenn Sie das Flag -d verwenden oder wenn Sie ein Objekt einfügen, das denselben Namen, aber andere Daten als ein bereits im Bucket vorhandenes Objekt hat.
Top-Level-Flag -u
Wenn Sie zum Festlegen eines Projekts, das für Ihre Anfrage abgerechnet werden soll, das globale Flag -u verwenden, benötigen Sie für das Projekt die Berechtigung serviceusage.services.use. Das Flag -u wird beispielsweise beim Zugriff auf einen Bucket mit aktivierter Option Anforderer bezahlt verwendet.
Platzhalter und wiederkehrende Flags
Wenn Sie URI-Platzhalter verwenden, um in einem Befehl mehrere Objekte auszuwählen, ist für den Bucket mit den Objekten die Berechtigung storage.objects.list erforderlich. Wenn Sie URI-Platzhalter verwenden, um in einem Befehl mehrere Buckets auszuwählen, ist für das Projekt bzw. die Projekte mit den Buckets die Berechtigung storage.buckets.list erforderlich.
Wenn Sie die rekursiven Flags (-r und -R) verwenden, benötigen Sie zusätzlich zu den Berechtigungen, die für den jeweiligen Befehl erforderlich sind, die Berechtigung storage.objects.list für den entsprechenden Bucket.
Top-Level-Flag -m
Wenn Sie einen gsutil-Befehl verwenden, der für mehrere Objekte oder Buckets gilt, schlägt die Ausführung des Befehls normalerweise fehl, sobald ein Fehler auftritt. Wenn Sie allerdings das globale Flag -m verwenden, zeichnet gsutil alle erkannten Fehler auf und setzt den Vorgang fort.
Nehmen Sie beispielsweise an, Sie möchten einen acl set-Befehl für eine Reihe von Objekte ausführen, haben jedoch nur für einige der Objekte die entsprechende Berechtigung. Wenn Sie das Flag -m nicht verwenden, wendet gsutil die ACLs erfolgreich an, bis ein Objekt erreicht wird, für das Sie keine Berechtigung zum Anwenden einer ACL haben. An dieser Stelle schlägt gsutil fehl. Wenn Sie aber das Flag -m verwenden, zeichnet gsutil die Fehler auf, die beim Anwenden einer ACL auf ein Objekt auftreten, für das Sie keine Berechtigung haben. Ansonsten wird der Vorgang jedoch fortgeführt.
Nächste Schritte
- Weisen Sie IAM-Rollen auf Projekt- und Bucket-Ebene zu.
- IAM-Rollen mit Cloud Storage-Berechtigungen prüfen