IAM-Berechtigungen für JSON-Methoden

Die folgende Tabelle enthält die Berechtigungen von Identity and Access Management (IAM), die benötigt werden, um die einzelnen JSON-Methoden von Cloud Storage auf einer bestimmten Ressource auszuführen. IAM-Berechtigungen sind zusammengefasst, um Rollen zu erstellen. Sie weisen Nutzern und Gruppen Rollen zu.

Weitere Methoden, die nur für Buckets mit deaktiviertem einheitlichen Zugriff auf Bucket-Ebene gelten, finden Sie in der Tabelle der ACL-Methoden.

Resource Methode Erforderliche IAM-Berechtigungen1
Buckets delete storage.buckets.delete
Buckets get storage.buckets.get
storage.buckets.getIamPolicy2
Buckets getIamPolicy storage.buckets.getIamPolicy
Buckets insert storage.buckets.create
storage.buckets.enableObjectRetention3
Buckets list storage.buckets.list
storage.buckets.getIamPolicy2
Buckets listChannels storage.buckets.get
Buckets lockRetentionPolicy storage.buckets.update
Buckets patch storage.buckets.update
storage.buckets.getIamPolicy4
storage.buckets.setIamPolicy5
Buckets setIamPolicy storage.buckets.setIamPolicy
Buckets testIamPermissions Keine
Buckets update storage.buckets.update
storage.buckets.getIamPolicy4
storage.buckets.setIamPolicy5
Channels stop Keine
ManagedFolders delete storage.managedfolders.delete
ManagedFolders get storage.managedfolders.get
ManagedFolders getIamPolicy storage.managedfolders.getIamPolicy
ManagedFolders insert storage.managedfolders.create
ManagedFolders list storage.managedfolders.list
ManagedFolders update storage.managedfolders.update
ManagedFolders setIamPolicy storage.managedfolders.setIamPolicy
Notifications delete storage.buckets.update
Notifications get storage.buckets.get
Notifications insert storage.buckets.update
Notifications list storage.buckets.get
Objects compose storage.objects.get
storage.objects.create
storage.objects.delete7
storage.objects.setRetention8
Objects copy storage.objects.get (für den Quell-Bucket)
storage.objects.create (für den Ziel-Bucket)
storage.objects.delete (für den Ziel-Bucket)7
storage.objects.setRetention (für den Ziel-Bucket)8
Objects delete storage.objects.delete
Objects get storage.objects.get
storage.objects.getIamPolicy2,6
Objects insert storage.objects.create
storage.objects.delete7
storage.objects.setRetention8
Objects list storage.objects.list
storage.objects.getIamPolicy2,6
Objects patch storage.objects.update
storage.objects.setRetention8
storage.objects.overrideUnlockedRetention9
storage.objects.getIamPolicy4,6
storage.objects.setIamPolicy5,6
Objects rewrite storage.objects.get (für den Quell-Bucket)
storage.objects.create (für den Ziel-Bucket)
storage.objects.delete (für den Ziel-Bucket)7
storage.objects.setRetention (für den Ziel-Bucket)8
Objects update storage.objects.update
storage.objects.setRetention8
storage.objects.overrideUnlockedRetention9
storage.objects.getIamPolicy4,6
storage.objects.setIamPolicy5,6
Objects watchAll storage.buckets.update
Projects.hmacKeys create storage.hmacKeys.create
Projects.hmacKeys delete storage.hmacKeys.delete
Projects.hmacKeys get storage.hmacKeys.get
Projects.hmacKeys list storage.hmacKeys.list
Projects.hmacKeys update storage.hmacKeys.update
Projects.serviceAccount get resourceManager.projects.get
ReportConfigs delete storageinsights.reportConfigs.delete
ReportConfigs get storageinsights.reportConfigs.get
ReportConfigs list storageinsights.reportConfigs.list
ReportConfigs insert storageinsights.reportConfigs.create
ReportConfigs update storageinsights.reportConfigs.update
ReportDetails get storageinsights.reportDetails.get
ReportDetails list storageinsights.reportDetails.list

1 Wenn Sie in Ihrer Anfrage den Parameter userProject oder den Header x-goog-user-project verwenden, benötigen Sie für die Projekt-ID, die Sie angeben, die Berechtigung serviceusage.services.use, zusätzlich zu den normalen IAM-Berechtigungen, die zum Senden der Anfrage erforderlich sind.

2 Diese Berechtigung ist nur erforderlich, wenn Sie ACLs oder IAM-Richtlinien als Teil einer Projektion des Typs full einschließen möchten. Wenn Sie diese Berechtigung nicht haben und die Projektion full anfordern, erhalten Sie nur eine Teilprojektion.

3 Diese Berechtigung ist nur erforderlich, wenn die Anfrage den Abfrageparameter enableObjectRetention enthält.

4 Diese Berechtigung ist nur erforderlich, wenn Sie ACLs als Teil der Antwort einschließen möchten.

5 Diese Berechtigung ist erforderlich, wenn Sie ACLs oder Änderungen an der Einstellung Verhinderung des öffentlichen Zugriffs als Teil der Anfrage einschließen möchten.

6 Diese Berechtigung gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.

7 Diese Berechtigung ist nur erforderlich, wenn das eingefügte Objekt denselben Namen wie ein Objekt hat, das schon im Bucket vorhanden ist.

8 Diese Berechtigung ist erforderlich, wenn der Anfragetext das Attribut retention enthält oder wenn eine UPDATE-Anfrage für ein Objekt mit einer vorhandenen Aufbewahrungskonfiguration erfolgt.

9 Diese Berechtigung ist nur erforderlich, wenn die Anfrage den Abfrageparameter overrideUnlockedRetention=true enthält.

ACL-bezogene Methoden

In der folgenden Tabelle sind die IAM-Berechtigungen aufgeführt, die zum Ausführen der speziell für die Verwaltung von ACLs geltenden JSON-Methoden erforderlich sind. Diese Methoden gelten nur für Buckets, für die der einheitliche Zugriff auf Bucket-Ebene deaktiviert ist.

Resource Methode Erforderliche IAM-Berechtigungen1
BucketAccessControls delete storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
BucketAccessControls get storage.buckets.get
storage.buckets.getIamPolicy
BucketAccessControls insert storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
BucketAccessControls list storage.buckets.get
storage.buckets.getIamPolicy
BucketAccessControls patch storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
BucketAccessControls update storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
DefaultObjectAccessControls delete storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
DefaultObjectAccessControls get storage.buckets.get
storage.buckets.getIamPolicy
DefaultObjectAccessControls insert storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
DefaultObjectAccessControls list storage.buckets.get
storage.buckets.getIamPolicy
DefaultObjectAccessControls patch storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
DefaultObjectAccessControls update storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
ObjectAccessControls delete storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
ObjectAccessControls get storage.objects.get
storage.objects.getIamPolicy
ObjectAccessControls insert storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
ObjectAccessControls list storage.objects.get
storage.objects.getIamPolicy
ObjectAccessControls patch storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
ObjectAccessControls update storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update

1 Wenn Sie in Ihrer Anfrage den Parameter userProject oder den Header x-goog-user-project verwenden, benötigen Sie für die Projekt-ID, die Sie angeben, die Berechtigung serviceusage.services.use, zusätzlich zu den normalen IAM-Berechtigungen, die zum Senden der Anfrage erforderlich sind.

Nächste Schritte