Standardrollen
In der folgenden Tabelle werden Cloud Identity- and Access Management- (Cloud IAM-)Rollen im Zusammenhang mit der Cloud Data Loss Prevention API beschrieben und die Berechtigungen aufgeführt, die in jeder Rolle enthalten sind. Diese Rollen können entweder auf ganze Projekte oder bestimmte Buckets angewendet werden.
| Rolle | Beschreibung | Berechtigungen |
|---|---|---|
roles/storage.objectCreator |
Ermöglicht Nutzern das Erstellen von Objekten. Gewährt keine Berechtigung zum Ansehen, Löschen oder Überschreiben von Objekten. | resourcemanager.projects.getresourcemanager.projects.liststorage.objects.create |
roles/storage.objectViewer |
Berechtigung zum Aufrufen von Objekten und ihren Metadaten mit Ausnahme von ACLs. Kann auch die Objekte in einem Bucket auflisten. |
resourcemanager.projects.getresourcemanager.projects.liststorage.objects.getstorage.objects.list |
roles/storage.objectAdmin |
Vollständige Kontrolle über Objekte, einschließlich Auflisten, Erstellen, Ansehen und Löschen von Objekten. | resourcemanager.projects.getresourcemanager.projects.liststorage.objects.* |
roles/storage.admin |
Vollständige Kontrolle über Buckets und Objekte. Bei Anwendung auf einen einzelnen Bucket gilt die Kontrolle nur für den angegebenen Bucket und alle darin enthaltenen Objekte. |
firebase.projects.getresourcemanager.projects.getresourcemanager.projects.liststorage.buckets.*storage.objects.* |
Einfache Rollen
In der folgenden Tabelle werden einfache Rollen und die in diesen Rollen enthaltenen Cloud Storage-Berechtigungen beschrieben. Einfache Rollen können nicht auf Bucket-Ebene hinzugefügt werden.
| Rolle | Beschreibung | Berechtigungen |
|---|---|---|
role/viewer |
Berechtigung zum Auflisten von Buckets und zum Aufrufen von Bucket-Metadaten beim Auflisten, mit Ausnahme von ACLs. | storage.buckets.list |
role/editor |
Berechtigung zum Erstellen, Auflisten und Löschen von Buckets. Erteilt auch die Berechtigung zum Aufrufen von Bucket-Metadaten beim Auflisten, mit Ausnahme von ACLs. | storage.buckets.createstorage.buckets.deletestorage.buckets.list |
role/owner |
Berechtigung zum Erstellen, Auflisten und Löschen von Buckets. Erteilt auch die Berechtigung zum Aufrufen von Bucket-Metadaten beim Auflisten, mit Ausnahme von ACLs. | storage.buckets.createstorage.buckets.deletestorage.buckets.list |
Legacy-Rollen
In der nachstehenden Tabelle sind die IAM-Rollen aufgeführt, die Berechtigungen für Zugriffssteuerungslisten (Access Control List – ACL) entsprechen. Diese Cloud IAM-Rollen können nur auf Buckets und nicht auf Projekte angewendet werden.
| Rolle | Beschreibung | Berechtigungen |
|---|---|---|
roles/storage.legacyObjectReader |
Berechtigung zum Aufrufen von Objekten und ihren Metadaten mit Ausnahme von ACLs. | storage.objects.get |
roles/storage.legacyObjectOwner |
Berechtigung zum Aufrufen und Bearbeiten von Objekten und ihren Metadaten, einschließlich ACLs. | storage.objects.getstorage.objects.updatestorage.objects.setIamPolicystorage.objects.getIamPolicy |
roles/storage.legacyBucketReader |
Berechtigung zum Auflisten der Inhalte eines Buckets und zum Lesen von Bucket-Metadaten, ausgenommen Cloud IAM-Richtlinien. Erteilt außerdem die Berechtigung zum Lesen von Objektmetadaten beim Auflisten von Objekten, mit Ausnahme von Cloud IAM-Richtlinien.
Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter Cloud-IAM-Beziehung zu ACLs. |
storage.buckets.getstorage.objects.list |
roles/storage.legacyBucketWriter |
Berechtigung zum Erstellen, Überschreiben und Löschen von Objekten; Auflisten von Objekten in einem Bucket und Lesen von Objektmetadaten beim Auflisten, ausgenommen Cloud IAM-Richtlinien; sowie Lesen von Bucket-Metadaten, mit Ausnahme von Cloud IAM-Richtlinien.
Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter Cloud-IAM-Beziehung zu ACLs. |
storage.buckets.getstorage.objects.liststorage.objects.createstorage.objects.delete |
roles/storage.legacyBucketOwner |
Berechtigung zum Erstellen, Überschreiben und Löschen von Objekten; Auflisten von Objekten in einem Bucket und Lesen von Objektmetadaten beim Auflisten, ausgenommen Cloud IAM-Richtlinien; sowie Lesen und Bearbeiten von Bucket-Metadaten, mit Ausnahme von Cloud IAM-Richtlinien.
Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter Cloud-IAM-Beziehung zu ACLs. |
storage.buckets.getstorage.buckets.updatestorage.buckets.setIamPolicystorage.buckets.getIamPolicystorage.objects.liststorage.objects.createstorage.objects.delete |
Benutzerdefinierte Rollen
Sie haben die Möglichkeit, eigene Rollen zu definieren, die von Ihnen festgelegte Berechtigungen enthalten. Dafür bietet IAM benutzerdefinierte Rollen.
Weitere Informationen
Erfahren Sie, wie Sie den Zugriff auf Buckets und Objekte mithilfe von Cloud IAM-Berechtigungen steuern.
Eine Referenz, in der alle IAM-Berechtigungen für Cloud Storage beschrieben werden, finden Sie unter Cloud IAM-Berechtigungen für Cloud Storage.
Informationen dazu, welche Cloud IAM-Berechtigungen Nutzer benötigen, um Aktionen mit unterschiedlichen Cloud Storage-Tools auszuführen, finden Sie in Cloud IAM mit der Cloud Console, Cloud IAM mit gsutil, Cloud IAM mit JSON und Cloud IAM mit XML.
Eine Referenz zu anderen Google Cloud Platform-Rollen finden Sie unter Informationen zu Rollen.
Weitere Fragen?