适用于 Cloud Storage 的 IAM 权限

下表列出了与 Cloud Storage 关联的 Identity and Access Management (IAM) 权限。IAM 权限分组为角色,然后您将角色分配给用户和群组

存储分区权限

存储分区权限名称 说明
storage.buckets.create 在项目中创建新存储桶。
storage.buckets.createTagBinding 为存储桶创建新标记绑定。
storage.buckets.delete 删除存储分区。
storage.buckets.deleteTagBinding 删除存储桶上的标记绑定。
storage.buckets.enableObjectRetention 在存储桶上启用对象保留配置
storage.buckets.exemptFromIpFilter 使用户或服务账号在存储桶级操作中不受 IP 过滤规则的约束。
storage.buckets.get 读取存储桶元数据,包括列出或读取存储桶的 Pub/Sub 通知配置。仅凭此权限,您无法读取 IAM 政策或 IP 过滤规则。
storage.buckets.getIamPolicy 读取存储桶 IAM 政策。
storage.buckets.getIpFilter 列出或读取存储桶的IP 过滤规则。
storage.buckets.getObjectInsights 读取资产清单报告中的对象元数据。
storage.buckets.list 列出项目中的存储桶,包括读取存储桶元数据。仅凭此权限,您无法列出 IAM 政策或 IP 过滤规则。
storage.buckets.listEffectiveTags 列出与存储桶关联的所有标记,包括从资源层次结构中的较高位置继承的标记,例如从存储桶的项目继承的标记。
storage.buckets.listTagBindings 列出直接附加到存储桶的标记。
storage.buckets.relocate 在地理位置之间重定位存储桶
storage.buckets.restore 批量恢复已软删除的对象。
storage.buckets.setIamPolicy 更新存储分区 IAM 政策。
storage.buckets.setIpFilter 为存储桶设置 IP 过滤规则。
storage.buckets.update 更新存储桶元数据,包括在存储桶上添加或移除 Pub/Sub 通知配置,以及在更新时读取存储桶元数据。仅凭此权限,您无法更新 IAM 政策、IP 过滤规则或在更新期间读取存储桶的 IAM 政策。

文件夹权限

文件夹权限名称 说明
storage.folders.create 创建一个文件夹。
storage.folders.delete 删除文件夹。
storage.folders.get 读取文件夹的元数据。
storage.folders.list 列出文件夹。
storage.folders.rename 重命名文件夹。

托管文件夹权限

托管文件夹权限名称 说明
storage.managedFolders.create 创建托管文件夹。
storage.managedFolders.delete 删除托管文件夹。
storage.managedFolders.get 读取托管文件夹。
storage.managedFolders.getIamPolicy 读取托管文件夹 IAM 政策。
storage.managedFolders.list 列出存储桶或文件夹中的托管文件夹。
storage.managedFolders.setIamPolicy 更新托管文件夹 IAM 政策。

对象权限

对象权限名称 说明
storage.objects.create 向存储分区添加新对象。
storage.objects.delete 删除对象。
storage.objects.get 读取对象数据和元数据(不包括 ACL)。
storage.objects.getIamPolicy 读取对象 ACL(以 IAM 政策的形式返回)。
storage.objects.list 列出存储分区中的对象。在列出时,还会读取对象元数据(不包括 ACL)。
storage.objects.move 在启用了分层命名空间的存储桶中移动对象。
storage.objects.overrideUnlockedRetention 使用对象保留配置时,请使用 x-goog-bypass-governance-retention 标头或 overrideUnlockedRetention 查询参数。
storage.objects.restore 恢复已软删除的对象。
storage.objects.setIamPolicy 更新对象 ACL。
storage.objects.setRetention 为对象添加或更新保留
storage.objects.update 更新对象元数据(不包括 ACL)。在更新时,还会读取对象元数据(不包括 ACL)。

长时间运行的操作权限

长时间运行的操作权限名称 说明
storage.bucketOperations.cancel 取消长时间运行的操作。
storage.bucketOperations.get 获取长时间运行的操作。
storage.bucketOperations.list 列出长时间运行的操作。

HMAC 密钥权限

HMAC 密钥权限名称 说明
storage.hmacKeys.create 为项目中的服务账号创建新的 HMAC 密钥。
storage.hmacKeys.delete 删除现有的 HMAC 密钥。
storage.hmacKeys.get 读取 HMAC 密钥元数据。
storage.hmacKeys.list 列出项目中 HMAC 密钥的元数据。
storage.hmacKeys.update 更新 HMAC 密钥状态。

分段上传权限

分段上传权限名称 说明
storage.multipartUploads.create 在多个段中上传对象。
storage.multipartUploads.abort 中止分段上传会话。
storage.multipartUploads.listParts 在分段上传会话中列出已上传的对象部分。
storage.multipartUploads.list 列出存储桶中的分段上传会话。

存储空间分析资产清单报告权限

资产清单报告权限名称 说明
storageinsights.reportConfigs.create 创建资产清单报告配置。
storageinsights.reportConfigs.delete 删除资产清单报告配置。
storageinsights.reportConfigs.get 检索资产清单报告配置。
storageinsights.reportConfigs.list 列出资产清单报告配置。
storageinsights.reportConfigs.update 修改资产清单报告配置。
storageinsights.reportDetails.get 检索资产清单报告。
storageinsights.reportDetails.list 列出资产清单报告。

后续步骤