Standardrollen
In der folgenden Tabelle werden Cloud IAM-Rollen (Cloud Identity and Access Management) beschrieben, die mit Cloud Storage verknüpft sind, und die Berechtigungen aufgeführt, die in jeder Rolle enthalten sind. Sofern nicht anders angegeben, können diese Rollen entweder auf ganze Projekte oder auf bestimmte Buckets angewendet werden.
Rolle | Beschreibung | Berechtigungen |
---|---|---|
roles/storage.objectCreator |
Ermöglicht das Erstellen von Objekten. Gewährt keine Berechtigung zum Ansehen, Löschen oder Überschreiben von Objekten. | resourcemanager.projects.get resourcemanager.projects.list
storage.objects.create |
roles/storage.objectViewer |
Berechtigung zum Aufrufen von Objekten und ihren Metadaten mit Ausnahme von ACLs. Kann auch die Objekte in einem Bucket auflisten. |
resourcemanager.projects.get resourcemanager.projects.list
storage.objects.get
storage.objects.list |
roles/storage.objectAdmin |
Vollständige Kontrolle über Objekte, einschließlich Auflisten, Erstellen, Ansehen und Löschen von Objekten. | resourcemanager.projects.get resourcemanager.projects.list
storage.objects.* |
roles/storage.hmacKeyAdmin |
Vollständige Kontrolle über HMAC-Schlüssel in einem Projekt. | storage.hmacKeys.* |
roles/storage.admin |
Vollständige Kontrolle über Buckets und Objekte. Bei Anwendung auf einen einzelnen Bucket gilt die Kontrolle nur für den angegebenen Bucket und alle darin enthaltenen Objekte. |
firebase.projects.get resourcemanager.projects.get
resourcemanager.projects.list
storage.buckets.*
storage.objects.* |
Einfache Rollen
In der folgenden Tabelle werden einfache Rollen und die in diesen Rollen enthaltenen Cloud Storage-Berechtigungen beschrieben. Einfache Rollen können nicht auf Bucket-Ebene hinzugefügt werden.
Rolle | Beschreibung | Berechtigungen |
---|---|---|
role/viewer |
Berechtigung zum Auflisten von Buckets und zum Aufrufen von Bucket-Metadaten beim Auflisten, mit Ausnahme von ACLs. Erteilt auch die Berechtigung zum Auflisten und Abrufen von HMAC-Schlüsseln im Projekt. | storage.buckets.list storage.hmacKeys.get
storage.hmacKeys.list |
role/editor |
Berechtigung zum Erstellen, Auflisten und Löschen von Buckets. Erteilt auch die Berechtigung zum Aufrufen von Bucket-Metadaten beim Auflisten, mit Ausnahme von ACLs. Gewährt vollständige Kontrolle über HMAC-Schlüssel in einem Projekt. | storage.buckets.create storage.buckets.delete
storage.buckets.list
storage.hmacKeys.* |
role/owner |
Berechtigung zum Erstellen, Auflisten und Löschen von Buckets. Erteilt auch die Berechtigung zum Aufrufen von Bucket-Metadaten beim Auflisten, mit Ausnahme von ACLs. Gewährt vollständige Kontrolle über HMAC-Schlüssel in einem Projekt. | storage.buckets.create storage.buckets.delete
storage.buckets.list
storage.hmacKeys.* |
Legacy-Rollen
In der nachstehenden Tabelle sind die IAM-Rollen aufgeführt, die Berechtigungen für Zugriffssteuerungslisten (Access Control List – ACL) entsprechen. Diese Cloud IAM-Rollen können nur auf Buckets und nicht auf Projekte angewendet werden.
Rolle | Beschreibung | Berechtigungen |
---|---|---|
roles/storage.legacyObjectReader |
Berechtigung zum Aufrufen von Objekten und ihren Metadaten, mit Ausnahme von ACLs. | storage.objects.get |
roles/storage.legacyObjectOwner |
Berechtigung zum Aufrufen und Bearbeiten von Objekten und ihren Metadaten, einschließlich ACLs. | storage.objects.get storage.objects.update
storage.objects.setIamPolicy
storage.objects.getIamPolicy |
roles/storage.legacyBucketReader |
Berechtigung zum Auflisten der Inhalte eines Buckets und zum Lesen von Bucket-Metadaten, ausgenommen Cloud IAM-Richtlinien. Erteilt außerdem die Berechtigung zum Lesen von Objektmetadaten beim Auflisten von Objekten, mit Ausnahme von Cloud IAM-Richtlinien.
Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter Cloud-IAM-Beziehung zu ACLs. |
storage.buckets.get storage.objects.list |
roles/storage.legacyBucketWriter |
Berechtigung zum Erstellen, Überschreiben und Löschen von Objekten; Auflisten von Objekten in einem Bucket und Lesen von Objektmetadaten beim Auflisten, ausgenommen Cloud IAM-Richtlinien; sowie Lesen von Bucket-Metadaten, mit Ausnahme von Cloud IAM-Richtlinien.
Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter Cloud-IAM-Beziehung zu ACLs. |
storage.buckets.get storage.objects.list
storage.objects.create
storage.objects.delete |
roles/storage.legacyBucketOwner |
Berechtigung zum Erstellen, Überschreiben und Löschen von Objekten; Auflisten von Objekten in einem Bucket und Lesen von Objektmetadaten beim Auflisten, ausgenommen Cloud IAM-Richtlinien; sowie Lesen und Bearbeiten von Bucket-Metadaten, mit Ausnahme von Cloud IAM-Richtlinien.
Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter Cloud-IAM-Beziehung zu ACLs. |
storage.buckets.get storage.buckets.update
storage.buckets.setIamPolicy
storage.buckets.getIamPolicy
storage.objects.list
storage.objects.create
storage.objects.delete |
Benutzerdefinierte Rollen
Sie haben die Möglichkeit, eigene Rollen zu definieren, die von Ihnen festgelegte Berechtigungen enthalten. Dafür bietet IAM benutzerdefinierte Rollen.
Weitere Informationen
Informationen zum Steuern des Zugriffs auf Buckets und Objekte mithilfe von Cloud IAM-Berechtigungen.
Eine Referenz, in der jede Cloud Storage IAM-Berechtigung beschrieben wird, finden Sie unter IAM-Berechtigungen für Cloud Storage.
Informationen dazu, welche Cloud IAM-Berechtigungen Nutzern ermöglichen, Aktionen mit unterschiedlichen Cloud Storage-Tools auszuführen, finden Sie unter Cloud IAM mit der Cloud Console, Cloud IAM mit gsutil, Cloud IAM mit JSON und Cloud IAM mit XML.
Eine Referenz zu anderen Google Cloud Platform-Rollen finden Sie unter Informationen zu Rollen.