Vordefinierte Rollen
In der folgenden Tabelle werden IAM-Rollen (Identity and Access Management) beschrieben, die mit Cloud Storage verknüpft sind, und die Berechtigungen aufgeführt, die in jeder Rolle enthalten sind. Sofern nicht anders angegeben, können diese Rollen entweder auf Projekte, Buckets oder verwaltete Ordner angewendet werden.
Informationen zum Steuern des Zugriffs auf Buckets finden Sie unter IAM-Berechtigungen verwenden. Informationen zum Steuern des Zugriffs auf verwaltete Ordner finden Sie unter IAM für verwaltete Ordner verwenden.
Rolle | Beschreibung | Berechtigungen |
---|---|---|
Storage-Objekt-Ersteller
(roles/storage.objectCreator ) |
Ermöglicht Nutzern das Erstellen von Objekten, Ordnern und verwalteten Ordnern. Gewährt keine Berechtigung zum Ansehen, Löschen oder Ersetzen von Objekten. Gewährt keine Berechtigung zum Abrufen von Access Control Lists (ACLs) für Objekte oder ACLs bestimmter Objekte als Teil von Anfragen zur Objektaktualisierung. | orgpolicy.policy.get 1resourcemanager.projects.get 2resourcemanager.projects.list 2storage.objects.create storage.folders.create storage.managedFolders.create storage.multipartUploads.create storage.multipartUploads.abort storage.multipartUploads.listParts |
Storage-Objekt-Betrachter
(roles/storage.objectViewer ) |
Berechtigung zum Aufrufen von Objekten und ihren Metadaten mit Ausnahme von ACLs. Kann auch die Objekte, Ordner und verwaltete Ordner in einem Bucket auflisten. |
resourcemanager.projects.get 2resourcemanager.projects.list 2storage.folders.get storage.folders.list storage.managedFolders.get storage.managedFolders.list storage.objects.get storage.objects.list |
Storage Object User
(roles/storage.objectUser ) |
Gewährt Zugriff zum Erstellen, Aufrufen, Auflisten, Aktualisieren und Löschen von Objekten, Ordnern und verwalteten Ordnern sowie deren Metadaten. Gewährt keine Berechtigung zum Abrufen oder Festlegen von ACLs oder IAM-Richtlinien. | orgpolicy.policy.get 1resourcemanager.projects.get 2resourcemanager.projects.list 2storage.folders.* storage.managedFolders.create storage.managedFolders.delete storage.managedFolders.list storage.managedFolders.get storage.multipartUploads.* storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.restore storage.objects.update |
Storage-Objekt-Administrator
(roles/storage.objectAdmin ) |
Gewährt vollständige Kontrolle über Objekte und Ordner, einschließlich zum Auflisten, Erstellen, Anzeigen, Umbenennen und Löschen von Objekten und Ordnern sowie zum Festlegen von Objekt-ACLs. Gewährt auch Zugriff zum Erstellen, Löschen, Abrufen und Auflisten von verwalteten Ordnern. | orgpolicy.policy.get 1resourcemanager.projects.get 2resourcemanager.projects.list 2storage.folders.* storage.managedFolders.create storage.managedFolders.delete storage.managedFolders.get storage.managedFolders.list storage.objects.* storage.multipartUploads.* |
Storage Folder Admin
(roles/storage.folderAdmin ) |
Vollständige Kontrolle über Objekte Ordner und verwaltete Ordner, einschließlich Auflisten, Erstellen, Aufrufen, Löschen und Verwalten von IAM-Berechtigungen. | orgpolicy.policy.get 1resourcemanager.projects.get 2resourcemanager.projects.list 2storage.folders.* storage.managedFolders.* storage.multipartUploads.* storage.objects.* |
Storage-HMAC-Schlüssel-Administrator
(roles/storage.hmacKeyAdmin ) |
Vollständige Kontrolle über HMAC-Schlüssel in einem Projekt. Diese Rolle kann nur auf ein Projekt angewendet werden. | orgpolicy.policy.get 1storage.hmacKeys.* |
Storage-Administrator (roles/storage.admin ) |
Vollständige Kontrolle über Buckets, Ordner, verwaltete Ordner, Empfehlungen des Recommenders und Objekte, einschließlich Abrufen und Festlegen von Objekt-ACLs oder IAM-Richtlinien. Außerdem erhalten Sie die vollständige Kontrolle über lang andauernde Vorgänge. Bei Anwendung auf einen einzelnen Bucket gilt die Kontrolle nur für den angegebenen Bucket und die verwalteten Ordner, Objekte und langwierigen Vorgänge im Bucket. |
firebase.projects.get orgpolicy.policy.get 1resourcemanager.projects.get 2resourcemanager.projects.list 2storage.buckets.* storage.bucketOperations.* storage.folders.* storage.managedFolders.* storage.objects.* storage.multipartUploads.* recommender.storageBucketSoftDeleteInsights.* recommender.storageBucketSoftDeleteRecommendations.* |
Administrator von Storage Insights (roles/storageinsights.admin ) |
Vollständige Kontrolle über Inventarberichte und Konfigurationen von Storage Insights. | cloudresourcemanager.projects.get cloudresourcemanager.projects.list storageinsights.reportConfigs.* storageinsights.reportDetails.* |
Betrachter von Storage Insights (roles/storageinsights.viewer ) |
Lesezugriff auf Storage Insights-Inventarberichte und -Konfigurationen. | cloudresourcemanager.projects.get cloudresourcemanager.projects.list storageinsights.reportConfigs.list storageinsights.reportConfigs.get storageinsights.reportDetails.list storageinsights.reportDetails.get |
Storage Insights Collector Service (roles/storage.insightsCollectorService ) |
Gewährt Lesezugriff auf Objektmetadaten in Inventarberichten. | resourcemanager.projects.get resourcemanager.projects.list storage.buckets.getObjectInsights storage.buckets.get |
1 Die Berechtigung orgpolicy.policy.get
ermöglicht es Hauptkonten, die Einschränkungen für Organisationsrichtlinien zu kennen, die für ein Projekt gelten.
Diese Berechtigung ist derzeit nur gültig, wenn die Rolle auf Projektebene oder höher gewährt wurde.
2 Weitere Informationen zu den resourcemanager.projects.*
-Berechtigungen finden Sie unter Zugriffssteuerung für Projekte mit IAM.
Einfache Rollen
Einfache Rollen sind Rollen, die schon vor IAM vorhanden waren. Diese Rollen haben spezifische Eigenschaften:
Einfache Rollen können nur für ein ganzes Projekt, nicht für einzelne Buckets innerhalb eines Projekts, zugewiesen werden. Wie andere Rollen, die Sie für ein Projekt gewähren, gelten einfache Rollen für alle Buckets und Objekte im Projekt.
Einfache Rollen enthalten zusätzliche Berechtigungen für andere Google Cloud-Dienste, die in diesem Abschnitt nicht behandelt werden. Eine allgemeine Beschreibung der Berechtigungen, die von einfachen Rollen gewährt werden, finden Sie unter Einfache Rollen.
Jede einfache Rolle hat einen Konvergenzwert, der es Ihnen ermöglicht, die einfache Rolle so zu verwenden, als wäre sie eine Gruppe. Auf diese Weise wird jedes Hauptkonto mit der einfachen Rolle als Teil der Gruppe betrachtet. Jedes Mitglied der Gruppe erhält zusätzlichen Zugriff auf Ressourcen basierend auf dem Zugriff, den der Konvergenzwert hat.
Konvergenzwerte können beim Zuweisen von Rollen für Buckets verwendet werden.
Konvergenzwerte können beim Festlegen von ACLs für Objekte verwendet werden.
Einfache Rollen gewähren nicht automatisch den gesamten Zugriff auf die Cloud Storage-Ressourcen, die an ihrem Namen abgelesen werden können. Stattdessen gewähren sie einen Teil des erwarteten Zugriffs automatisch und den Rest über Konvergenzwerte. Da Konvergenzwerte wie jedes andere IAM-Hauptkonto manuell hinzugefügt oder entfernt werden können, kann der Zugriff widerrufen werden, den Hauptkonten sonst vielleicht erwartet hätten.
Informationen zu weiteren Zugriffsberechtigungen, die Hauptkonten mit einfachen Rollen aufgrund von Konvergenzwerten in der Regel erhalten, finden Sie unter Modifizierbares Verhalten.
Systeminterne Berechtigungen
In der folgenden Tabelle werden die Cloud Storage-Berechtigungen beschrieben, die immer mit der jeweiligen einfachen Rolle verknüpft sind.
Rolle | Beschreibung | Cloud Storage-Berechtigungen |
---|---|---|
Betrachter (roles/viewer ) |
Berechtigung zum Auflisten von Buckets im Projekt, zum Ansehen von Bucket-Metadaten beim Auflisten (mit Ausnahme von ACLs) und zum Auflisten und Abrufen von HMAC-Schlüsseln im Projekt. | storage.buckets.getIpFilter storage.buckets.list storage.hmacKeys.get storage.hmacKeys.list |
Bearbeiter (roles/editor ) |
Berechtigung zum Erstellen, Auflisten und Löschen von Buckets im Projekt, zum Ansehen von Bucket-Metadaten beim Auflisten (mit Ausnahme von ACLs) und zum Steuern von HMAC-Schlüsseln im Projekt. | storage.buckets.create storage.buckets.delete storage.buckets.getIpFilter storage.buckets.list storage.hmacKeys.* |
Inhaber (roles/owner ) |
Berechtigung zum Erstellen, Auflisten und Löschen von Buckets im Projekt. zum Ansehen von Bucket-Metadaten beim Auflisten (mit Ausnahme von ACLs), zum Erstellen, Löschen und Auflisten von Tag-Bindungen und zum Steuern von HMAC-Schlüsseln im Projekt. Im Allgemeinen können Hauptkonten mit dieser Rolle in Google Cloud administrative Aufgaben wie die Änderung der Rolle eines Hauptkontos für das Projekt oder die Änderung der Abrechnungseinstellungen übernehmen. |
storage.buckets.create storage.buckets.delete storage.buckets.list storage.buckets.createTagBinding storage.buckets.deleteTagBinding storage.buckets.getIpFilter storage.buckets.listEffectiveTags storage.buckets.listTagBindings storage.buckets.setIpFilter storage.hmacKeys.* |
Modifizierbares Verhalten
Hauptkonten, denen einfache Rollen zugewiesen wurden, haben aufgrund von Konvergenzwerten oft zusätzlichen Zugriff auf die Buckets und Objekte eines Projekts. Beim Erstellen eines Buckets erhalten Bequemlichkeitswerte bestimmte Zugriffsberechtigungen auf Bucket-Ebene. Sie können Ihre IAM-Richtlinien für Buckets und Objekt-ACLs aber später bearbeiten, um die Zugriffsberechtigungen zu entfernen oder zu ändern.
Wenn Sie einen Bucket erstellen, für den der einheitliche Zugriff auf Bucket-Ebene aktiviert ist, wird der folgende Zugriff über praktische Werte gewährt:
Hauptkonten, denen
roles/viewer
gewährt wurde, erhalten die Rollenroles/storage.legacyBucketReader
undroles/storage.legacyObjectReader
für den Bucket.Hauptkonten, denen
roles/editor
gewährt wurde, erhalten die Rollenroles/storage.legacyBucketOwner
undroles/storage.legacyObjectOwner
für den Bucket.Hauptkonten, denen
roles/owner
gewährt wurde, erhalten die Rollenroles/storage.legacyBucketOwner
undroles/storage.legacyObjectOwner
für den Bucket.
Wenn Sie einen Bucket erstellen, für den kein einheitlicher Zugriff auf Bucket-Ebene aktiviert ist, wird der folgende Zugriff mithilfe von Bequemlichkeitswerten gewährt:
Hauptkonten, denen
roles/viewer
gewährt wurde, erhalten die Rolleroles/storage.legacyBucketReader
für den Bucket.Hauptkonten, denen
roles/editor
gewährt wurde, erhalten die Rolleroles/storage.legacyBucketOwner
für den Bucket.Hauptkonten, denen
roles/owner
gewährt wurde, erhalten die Rolleroles/storage.legacyBucketOwner
für den Bucket.Darüber hinaus hat der Bucket eine Standard-Objekt-ACL (Access Control List). Diese Standard-ACL wird häufig auf neue Objekte im Bucket angewendet und gewährt häufig zusätzlichen Zugriff auf praktische Werte.
Vordefinierte Legacy-Rollen
In der nachstehenden Tabelle sind die IAM-Rollen aufgeführt, die Berechtigungen für Access Control Lists (ACLs) entsprechen. Sie können Legacy-Rollen nur für einzelne Buckets gewähren, nicht für Projekte.
Rolle | Beschreibung | Berechtigungen |
---|---|---|
Leser alter Storage-Objekte
(roles/storage.legacyObjectReader ) |
Berechtigung zum Aufrufen von Objekten und ihren Metadaten mit Ausnahme von ACLs. | storage.objects.get |
Inhaber alter Storage-Objekte
(roles/storage.legacyObjectOwner ) |
Berechtigung zum Aufrufen und Bearbeiten von Objekten und ihren Metadaten, einschließlich ACLs. | storage.objects.get storage.objects.update storage.objects.setRetention storage.objects.overrideUnlockedRetention storage.objects.setIamPolicy storage.objects.getIamPolicy |
Leser von Legacy-Storage-Buckets
(roles/storage.legacyBucketReader ) |
Berechtigung zum Auflisten der Inhalte eines Buckets und zum Lesen von Bucket-Metadaten, ausgenommen IAM-Richtlinien. Gewährt auch die Berechtigung zum Lesen von Objektmetadaten beim Auflisten von Objekten und verwalteten Ordnern (mit Ausnahme von IAM-Richtlinien).
Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter IAM-Bezug zu ACLs. |
storage.buckets.get storage.objects.list storage.managedFolders.get storage.managedFolders.list storage.multipartUploads.list |
Autor alter Storage-Buckets
(roles/storage.legacyBucketWriter ) |
Gewährt die Berechtigung zum Erstellen, Ersetzen, Auflisten und Löschen von Objekten und verwalteten Ordnern, zum Erstellen von Objekten mit einer Aufbewahrungskonfiguration, zum Lesen von Objekt- und verwalteten Ordner-Metadaten beim Auflisten (ausgenommen IAM-Richtlinien) und zum Lesen von Bucket-Metadaten (ausgenommen IAM-Richtlinien).
Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter IAM-Bezug zu ACLs. |
storage.buckets.get storage.objects.list storage.objects.create storage.objects.delete storage.objects.restore storage.objects.setRetention storage.managedFolders.create storage.managedFolders.delete storage.managedFolders.get storage.managedFolders.list storage.multipartUploads.* |
Inhaber alter Storage-Buckets
(roles/storage.legacyBucketOwner ) |
Gewährt die Berechtigung zum Erstellen, Ersetzen, Auflisten und Löschen von Objekten und verwalteten Ordnern, zum Erstellen von Objekten mit einer Aufbewahrungskonfiguration, zum Erstellen, Löschen und Auflisten von Tag-Bindungen, zum Lesen von Objektmetadaten beim Auflisten (ausgenommen IAM-Richtlinien), zum Lesen von verwalteten Ordner-Metadaten beim Auflisten (einschließlich IAM-Richtlinien), zum Lesen und Bearbeiten von Bucket-Metadaten (einschließlich IAM-Richtlinien) und zum Verwalten langwieriger Vorgänge.
Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter IAM-Bezug zu ACLs. |
storage.buckets.get storage.buckets.createTagBinding storage.buckets.deleteTagBinding storage.buckets.listEffectiveTags storage.buckets.listTagBindings storage.buckets.update storage.buckets.enableObjectRetention storage.buckets.restore storage.buckets.setIamPolicy storage.buckets.getIamPolicy storage.bucketOperations.* storage.managedFolders.* storage.objects.list storage.objects.create storage.objects.delete storage.objects.restore storage.objects.setRetention storage.multipartUploads.* |
Benutzerdefinierte Rollen
Sie können eigene Rollen definieren, die von Ihnen festgelegte Berechtigungen enthalten. Dafür bietet IAM benutzerdefinierte Rollen.
Nächste Schritte
Mit IAM-Berechtigungen können Sie den Zugriff auf Buckets und Objekte steuern.
Weitere Informationen über die einzelnen IAM-Berechtigungen für Cloud Storage.
Informationen zu den verfügbaren IAM-Referenzen für Cloud Storage, z. B. dazu, welche IAM-Berechtigungen Nutzern ermöglichen, Aktionen mit verschiedenen Tools und APIs auszuführen.
Eine Referenz zu anderen Google Cloud-Rollen finden Sie unter Informationen zu Rollen.