IAM-Rollen für Cloud Storage

Vordefinierte Rollen

In der folgenden Tabelle werden IAM-Rollen (Identity and Access Management) beschrieben, die mit Cloud Storage verknüpft sind, und die Berechtigungen aufgeführt, die in jeder Rolle enthalten sind. Sofern nicht anders angegeben, können diese Rollen entweder auf ganze Projekte oder auf bestimmte Buckets angewendet werden.

Informationen zum Steuern des Zugriffs auf Buckets und Objekte finden Sie unter IAM-Berechtigungen verwenden.

Rolle	Beschreibung	Berechtigungen
Storage-Objekt-Ersteller (`roles/storage.objectCreator`)	Ermöglicht Nutzern die Erstellung von Objekten. Gewährt keine Berechtigung zum Ansehen, Löschen oder Ersetzen von Objekten.	`orgpolicy.policy.get`¹ `resourcemanager.projects.get`² `resourcemanager.projects.list`² `storage.objects.create` `storage.multipartUploads.create` `storage.multipartUploads.abort` `storage.multipartUploads.listParts`
Storage-Objekt-Betrachter (`roles/storage.objectViewer`)	Berechtigung zum Aufrufen von Objekten und ihren Metadaten mit Ausnahme von ACLs. Kann auch die Objekte in einem Bucket auflisten.	`resourcemanager.projects.get`² `resourcemanager.projects.list`² `storage.objects.get` `storage.objects.list`
Storage-Objekt-Administrator (`roles/storage.objectAdmin`)	Vollständige Kontrolle über Objekte, einschließlich Auflisten, Erstellen, Ansehen und Löschen von Objekten.	`orgpolicy.policy.get`¹ `resourcemanager.projects.get`² `resourcemanager.projects.list`² `storage.objects.` `storage.multipartUploads.`
Storage-HMAC-Schlüssel-Administrator (`roles/storage.hmacKeyAdmin`)	Vollständige Kontrolle über HMAC-Schlüssel in einem Projekt. Diese Rolle kann nur auf ein Projekt angewendet werden.	`orgpolicy.policy.get`¹ `storage.hmacKeys.*`
Storage-Administrator (`roles/storage.admin`)	Vollständige Kontrolle über Buckets und Objekte. Bei Anwendung auf einen einzelnen Bucket gilt die Kontrolle nur für den angegebenen Bucket und alle darin enthaltenen Objekte.	`firebase.projects.get` `orgpolicy.policy.get`¹ `resourcemanager.projects.get`² `resourcemanager.projects.list`² `storage.buckets.` `storage.objects.` `storage.multipartUploads.*`
Administrator von Storage Insights (`roles/storageinsights.admin`)	Vollständige Kontrolle über Inventarberichte und Konfigurationen von Storage Insights.	`storageinsights.reportConfigs.create` `storageinsights.reportConfigs.` `storageinsights.reportDetails.`
Betrachter von Storage Insights (`roles/storageinsights.viewer`)	Lesezugriff auf Storage Insights-Inventarberichte und -Konfigurationen.	`cloudresourcemanager.projects.get` `cloudresourcemanager.projects.list` `storageinsights.reportConfigs.list` `storageinsights.reportConfigs.get` `storageinsights.reportDetails.list` `storageinsights.reportDetails.get`

¹ Die Berechtigung orgpolicy.policy.get ermöglicht es Hauptkonten, die Einschränkungen für Organisationsrichtlinien zu kennen, die für ein Projekt gelten. Diese Berechtigung ist derzeit nur gültig, wenn die Rolle auf Projektebene oder höher gewährt wurde.

² Weitere Informationen zu den resourcemanager.projects.*-Berechtigungen finden Sie unter Zugriffssteuerung für Projekte mit IAM.

Einfache Rollen

Einfache Rollen sind Rollen, die schon vor IAM vorhanden waren. Diese Rollen haben spezifische Eigenschaften:

Einfache Rollen können nur für ein ganzes Projekt, nicht für einzelne Buckets innerhalb eines Projekts, zugewiesen werden. Wie andere Rollen, die Sie für ein Projekt gewähren, gelten einfache Rollen für alle Buckets und Objekte im Projekt.
Einfache Rollen enthalten zusätzliche Berechtigungen für andere Google Cloud-Dienste, die in diesem Abschnitt nicht behandelt werden. Eine allgemeine Beschreibung der Berechtigungen, die von einfachen Rollen gewährt werden, finden Sie unter Einfache Rollen.
Jede einfache Rolle hat einen Konvergenzwert, der es Ihnen ermöglicht, die einfache Rolle so zu verwenden, als wäre sie eine Gruppe. Auf diese Weise wird jedes Hauptkonto mit der einfachen Rolle als Teil der Gruppe betrachtet. Jedes Mitglied der Gruppe erhält zusätzlichen Zugriff auf Ressourcen basierend auf dem Zugriff, den der Konvergenzwert hat.
- Konvergenzwerte können beim Zuweisen von Rollen für Buckets verwendet werden.
- Konvergenzwerte können beim Festlegen von ACLs für Objekte verwendet werden.
Einfache Rollen gewähren nicht automatisch den gesamten Zugriff auf die Cloud Storage-Ressourcen, die an ihrem Namen abgelesen werden können. Stattdessen gewähren sie einen Teil des erwarteten Zugriffs automatisch und den Rest über Konvergenzwerte. Da Konvergenzwerte wie jedes andere IAM-Hauptkonto manuell hinzugefügt oder entfernt werden können, kann der Zugriff widerrufen werden, den Hauptkonten sonst vielleicht erwartet hätten.

Informationen zu weiteren Zugriffsberechtigungen, die Hauptkonten mit einfachen Rollen aufgrund von Konvergenzwerten in der Regel erhalten, finden Sie unter Modifizierbares Verhalten.

Systeminterne Berechtigungen

In der folgenden Tabelle werden die Cloud Storage-Berechtigungen beschrieben, die immer mit der jeweiligen einfachen Rolle verknüpft sind.

Rolle Beschreibung Cloud Storage-Berechtigungen

Betrachter (roles/viewer) Berechtigung zum Auflisten von Buckets im Projekt, zum Ansehen von Bucket-Metadaten beim Auflisten (mit Ausnahme von ACLs) und zum Auflisten und Abrufen von HMAC-Schlüsseln im Projekt. storage.buckets.list
storage.hmacKeys.get
storage.hmacKeys.list

Bearbeiter (roles/editor) Berechtigung zum Erstellen, Auflisten und Löschen von Buckets im Projekt, zum Ansehen von Bucket-Metadaten beim Auflisten (mit Ausnahme von ACLs) und zum Steuern von HMAC-Schlüsseln im Projekt. storage.buckets.create
storage.buckets.delete
storage.buckets.list
storage.hmacKeys.*

Rolle	Beschreibung	Cloud Storage-Berechtigungen
Betrachter (`roles/viewer`)	Berechtigung zum Auflisten von Buckets im Projekt, zum Ansehen von Bucket-Metadaten beim Auflisten (mit Ausnahme von ACLs) und zum Auflisten und Abrufen von HMAC-Schlüsseln im Projekt.	`storage.buckets.list` `storage.hmacKeys.get` `storage.hmacKeys.list`
Bearbeiter (`roles/editor`)	Berechtigung zum Erstellen, Auflisten und Löschen von Buckets im Projekt, zum Ansehen von Bucket-Metadaten beim Auflisten (mit Ausnahme von ACLs) und zum Steuern von HMAC-Schlüsseln im Projekt.	`storage.buckets.create` `storage.buckets.delete` `storage.buckets.list` `storage.hmacKeys.*`
Inhaber (`roles/owner`)	Berechtigung zum Erstellen, Auflisten und Löschen von Buckets im Projekt. zum Ansehen von Bucket-Metadaten beim Auflisten (mit Ausnahme von ACLs), zum Erstellen, Löschen und Auflisten von Tag-Bindungen und zum Steuern von HMAC-Schlüsseln im Projekt. Im Allgemeinen können Hauptkonten mit dieser Rolle in Google Cloud administrative Aufgaben wie die Änderung der Rolle eines Hauptkontos für das Projekt oder die Änderung der Abrechnungseinstellungen übernehmen.	`storage.buckets.create` `storage.buckets.delete` `storage.buckets.list` `storage.buckets.createTagBinding` `storage.buckets.deleteTagBinding` `storage.buckets.listEffectiveTags` `storage.buckets.listTagBindings` `storage.hmacKeys.*`

Inhaber (roles/owner)

Berechtigung zum Erstellen, Auflisten und Löschen von Buckets im Projekt. zum Ansehen von Bucket-Metadaten beim Auflisten (mit Ausnahme von ACLs), zum Erstellen, Löschen und Auflisten von Tag-Bindungen und zum Steuern von HMAC-Schlüsseln im Projekt.

Im Allgemeinen können Hauptkonten mit dieser Rolle in Google Cloud administrative Aufgaben wie die Änderung der Rolle eines Hauptkontos für das Projekt oder die Änderung der Abrechnungseinstellungen übernehmen.

storage.buckets.create
storage.buckets.delete
storage.buckets.list
storage.buckets.createTagBinding
storage.buckets.deleteTagBinding
storage.buckets.listEffectiveTags
storage.buckets.listTagBindings
storage.hmacKeys.*

Modifizierbares Verhalten

In der folgenden Tabelle werden die zusätzlichen Cloud Storage-Zugriffsberechtigungen beschrieben, die normalerweise mit jeder einfachen Rolle aufgrund von Konvergenzwerten verknüpft sind. Diese zusätzlichen Zugriffsberechtigungen werden zum Zeitpunkt der Bucket-Erstellung gewährt. Sie können Ihre IAM-Richtlinien für Buckets und Objekt-ACLs aber später bearbeiten, um die Zugriffsberechtigungen zu entfernen oder zu ändern.

Rolle	Zusätzliche Zugriffsberechtigungen aufgrund von Konvergenzwerten
Betrachter (`roles/viewer`)	Hat die Rolle `roles/storage.legacyBucketReader` für jeden Bucket im Projekt Hat die Berechtigung `READER` für jeden Bucket im Projekt in der Access Control List des Standardobjekts Wenn Sie beim Erstellen des Buckets einen einheitlichen Zugriff auf Bucket-Ebene aktivieren, wird Ihnen auch `roles/storage.legacyObjectReader` gewährt
Bearbeiter (`roles/editor`)	Hat die Rolle `roles/storage.legacyBucketOwner` für jeden Bucket im Projekt Hat die Berechtigung `OWNER` für jeden Bucket im Projekt in der Access Control List des Standardobjekts Wenn Sie beim Erstellen des Buckets einen einheitlichen Zugriff auf Bucket-Ebene aktivieren, wird Ihnen auch die Rolle `roles/storage.legacyObjectOwner` zugewiesen
Inhaber (`roles/owner`)	Hat die Rolle `roles/storage.legacyBucketOwner` für jeden Bucket im Projekt Hat die Berechtigung `OWNER` für jeden Bucket im Projekt in der Access Control List des Standardobjekts Wenn Sie beim Erstellen des Buckets einen einheitlichen Zugriff auf Bucket-Ebene aktivieren, wird Ihnen auch die Rolle `roles/storage.legacyObjectOwner` zugewiesen

Vordefinierte Legacy-Rollen

In der nachstehenden Tabelle sind die IAM-Rollen aufgeführt, die Berechtigungen für Access Control Lists (ACLs) entsprechen. Sie können Legacy-Rollen nur für einzelne Buckets gewähren, nicht für Projekte.

Rolle	Beschreibung	Berechtigungen
Leser alter Storage-Objekte (`roles/storage.legacyObjectReader`)	Berechtigung zum Aufrufen von Objekten und ihren Metadaten mit Ausnahme von ACLs.	`storage.objects.get`
Inhaber alter Storage-Objekte (`roles/storage.legacyObjectOwner`)	Berechtigung zum Aufrufen und Bearbeiten von Objekten und ihren Metadaten, einschließlich ACLs.	`storage.objects.get` `storage.objects.update` `storage.objects.setIamPolicy` `storage.objects.getIamPolicy`
Leser von Legacy-Storage-Buckets (`roles/storage.legacyBucketReader`)	Berechtigung zum Auflisten der Inhalte eines Buckets und zum Lesen von Bucket-Metadaten, ausgenommen IAM-Richtlinien. Gewährt auch die Berechtigung zum Lesen von Objektmetadaten beim Auflisten von Objekten (mit Ausnahme von IAM-Richtlinien). Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter IAM-Bezug zu ACLs.	`storage.buckets.get` `storage.objects.list` `storage.multipartUploads.list`
Autor alter Storage-Buckets (`roles/storage.legacyBucketWriter`)	Berechtigung zum Erstellen, Ersetzen und Löschen von Objekten, zum Auflisten von Objekten in einem Bucket, zum Lesen von Objektmetadaten beim Auflisten (mit Ausnahme von IAM-Richtlinien) und zum Lesen von Bucket-Metadaten (mit Ausnahme von IAM-Richtlinien). Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter IAM-Bezug zu ACLs.	`storage.buckets.get` `storage.objects.list` `storage.objects.create` `storage.objects.delete` `storage.multipartUploads.*`
Inhaber alter Storage-Buckets (`roles/storage.legacyBucketOwner`)	Berechtigung zum Erstellen, Ersetzen und Löschen von Objekten, zum Auflisten von Objekten in einem Bucket, zum Erstellen, Löschen und Auflisten von Bindungen, zum Lesen von Objektmetadaten beim Auflisten (ohne IAM-Richtlinien) und zum Lesen und Bearbeiten von Bucket-Metadaten, einschließlich IAM-Richtlinien. Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter IAM-Bezug zu ACLs.	`storage.buckets.get` `storage.buckets.createTagBinding` `storage.buckets.deleteTagBinding` `storage.buckets.listEffectiveTags` `storage.buckets.listTagBindings` `storage.buckets.update` `storage.buckets.setIamPolicy` `storage.buckets.getIamPolicy` `storage.objects.list` `storage.objects.create` `storage.objects.delete` `storage.multipartUploads.*`

Benutzerdefinierte Rollen

Sie haben die Möglichkeit, eigene Rollen zu definieren, die von Ihnen festgelegte Berechtigungen enthalten. Dafür bietet IAM benutzerdefinierte Rollen.

Nächste Schritte

Mit IAM-Berechtigungen können Sie den Zugriff auf Buckets und Objekte steuern.
Weitere Informationen über die einzelnen IAM-Berechtigungen für Cloud Storage.
Erfahren Sie mehr darüber, welche IAM-Berechtigungen Nutzern ermöglichen, Aktionen mit der Cloud Console, mit gsutil mit der JSON API und mit der XML API auszuführen.
Eine Referenz zu anderen Google Cloud-Rollen finden Sie unter Informationen zu Rollen.