IAM-Berechtigungen für Cloud Storage

Die folgenden Tabellen enthalten die Berechtigungen zur Identitäts- und Zugriffsverwaltung (IAM), die mit Cloud Storage verknüpft sind. IAM-Berechtigungen sind in Rollen gruppiert und Sie weisen Nutzern und Gruppen Rollen zu.

Bucket-Berechtigungen

Name der Bucket-Berechtigung Beschreibung
storage.buckets.create Neue Buckets in einem Projekt erstellen
storage.buckets.createTagBinding Eine neue Tag-Bindung für einen Bucket erstellen
storage.buckets.delete Buckets löschen
storage.buckets.deleteTagBinding Tag-Bindung für einen Bucket löschen
storage.buckets.enableObjectRetention Aktivieren Sie die Objektaufbewahrungskonfigurationen für einen Bucket.
storage.buckets.exemptFromIpFilter Hiermit wird das Nutzer- oder Dienstkonto von den Regeln für die IP-Filterung für Vorgänge auf Bucket-Ebene ausgenommen.
storage.buckets.get Bucket-Metadaten lesen, einschließlich Auflisten oder Lesen der Pub/Sub-Benachrichtigungskonfigurationen für einen Bucket Diese Berechtigung allein berechtigt Sie nicht zum Lesen von IAM-Richtlinien oder IP-Filterregeln.
storage.buckets.getIamPolicy Bucket-IAM-Richtlinien lesen
storage.buckets.getIpFilter Listet oder liest die IP-Filterregeln für einen Bucket auf.
storage.buckets.getObjectInsights Lesen Sie Objektmetadaten in Inventarberichten.
storage.buckets.list Buckets in einem Projekt auflisten, einschließlich gelesener Bucket-Metadaten. Diese Berechtigung allein reicht nicht aus, um IAM-Richtlinien oder IP-Filterregeln aufzulisten.
storage.buckets.listEffectiveTags Alle mit einem Bucket verknüpften Tags auflisten, einschließlich Tags, die von höheren Ebenen in der Ressourcenhierarchie übernommen wurden, z. B. aus dem Bucket-Projekt.
storage.buckets.listTagBindings Listen Sie Tags auf, die direkt an einen Bucket angehängt sind.
storage.buckets.restore Stellen Sie Objekte, die vorläufig gelöscht wurden, im Bulk wieder her.
storage.buckets.setIamPolicy Bucket-IAM-Richtlinien aktualisieren
storage.buckets.setIpFilter Legen Sie IP-Filterregeln für einen Bucket fest.
storage.buckets.update Bucket-Metadaten aktualisieren, einschließlich Hinzufügen oder Entfernen einer Pub/Sub-Benachrichtigungskonfiguration für einen Bucket und Lesen von Bucket-Metadaten bei der Aktualisierung Diese Berechtigung allein reicht nicht aus, um während der Aktualisierung IAM-Richtlinien, IP-Filterregeln oder die IAM-Richtlinien für einen Bucket zu aktualisieren.

Ordnerberechtigungen

Name der Ordnerberechtigung Beschreibung
storage.folders.create Ordner erstellen
storage.folders.delete Ordner löschen
storage.folders.get Metadaten eines Ordners lesen
storage.folders.list Ordner auflisten
storage.folders.rename Ordner umbenennen

Berechtigungen für verwaltete Ordner

Berechtigungsname für den verwalteten Ordner Beschreibung
storage.managedFolders.create Verwalteten Ordner erstellen.
storage.managedFolders.delete Verwalteten Ordner löschen.
storage.managedFolders.get Verwalteten Ordner lesen.
storage.managedFolders.getIamPolicy IAM-Richtlinien für verwaltete Ordner lesen.
storage.managedFolders.list Verwaltete Ordner in einem Bucket oder Ordner auflisten.
storage.managedFolders.setIamPolicy IAM-Richtlinien für verwaltete Ordner aktualisieren.

Objektberechtigungen

Name der Objektberechtigung Beschreibung
storage.objects.create Neue Objekte zu einem Bucket hinzufügen
storage.objects.delete Objekte löschen
storage.objects.get Objekt- und Metadaten lesen, ohne ACLs
storage.objects.getIamPolicy Objekt-ACLs, die als IAM-Richtlinien zurückgegeben werden, lesen
storage.objects.list Objekte in einem Bucket auflisten. Beim Auflisten auch Objektmetadaten lesen, ohne ACLs
storage.objects.overrideUnlockedRetention Verwenden Sie den Header x-goog-bypass-governance-retention oder den Abfrageparameter overrideUnlockedRetention bei der Arbeit mit Objektaufbewahrungskonfigurationen.
storage.objects.restore Stellen Sie Objekte, die vorläufig gelöscht wurden, wieder her.
storage.objects.setIamPolicy Objekt-ACLs aktualisieren
storage.objects.setRetention Fügen Sie Aufbewahrungen für Objekte hinzu oder aktualisieren Sie sie.
storage.objects.update Objektmetadaten aktualisieren, ohne ACLs Beim Aktualisieren auch Objektmetadaten lesen, ohne ACLs

Berechtigungen für lang andauernde Vorgänge

Name der Berechtigung für Vorgänge mit langer Ausführungszeit Beschreibung
storage.bucketOperations.cancel Lange laufenden Vorgang abbrechen.
storage.bucketOperations.get Rufen Sie einen lang andauernden Vorgang ab.
storage.bucketOperations.list Lange laufende Vorgänge auflisten.

HMAC-Schlüsselberechtigungen

Name der HMAC-Schlüsselberechtigung Beschreibung
storage.hmacKeys.create Neue HMAC-Schlüssel für Dienstkonten in einem Projekt erstellen
storage.hmacKeys.delete Vorhandene HMAC-Schlüssel löschen
storage.hmacKeys.get Metadaten von HMAC-Schlüsseln lesen
storage.hmacKeys.list Metadaten von HMAC-Schlüsseln in einem Projekt auflisten
storage.hmacKeys.update Status von HMAC-Schlüsseln aktualisieren

Mehrteilige Upload-Berechtigungen

Name der mehrteiligen Upload-Berechtigung Beschreibung
storage.multipartUploads.create Objekte in mehreren Teilen hochladen.
storage.multipartUploads.abort Mehrteilige Upload-Sitzungen abbrechen.
storage.multipartUploads.listParts Die hochgeladenen Objektteile in einer mehrteiligen Upload-Sitzung auflisten
storage.multipartUploads.list Mehrteilige Upload-Sitzungen in einem Bucket auflisten.

Berechtigungen für Storage Insights-Inventar

Name der Berechtigung für Inventarberichte Beschreibung
storageinsights.reportConfigs.create Inventarberichtskonfigurationen erstellen
storageinsights.reportConfigs.delete Inventarberichtskonfigurationen löschen
storageinsights.reportConfigs.get Inventarberichtskonfigurationen abrufen
storageinsights.reportConfigs.list Inventarberichtskonfigurationen auflisten
storageinsights.reportConfigs.update Inventarberichtskonfigurationen ändern
storageinsights.reportDetails.get Inventarberichte abrufen
storageinsights.reportDetails.list Inventarberichte auflisten

Nächste Schritte