Cloud IAM-Rollen für Cloud Storage

Standardrollen

In der folgenden Tabelle werden Cloud Identity- and Access Management- (Cloud IAM-)Rollen im Zusammenhang mit der Cloud Data Loss Prevention API beschrieben und die Berechtigungen aufgeführt, die in jeder Rolle enthalten sind. Diese Rollen können entweder auf ganze Projekte oder bestimmte Buckets angewendet werden.

Rolle Beschreibung Berechtigungen
roles/storage.objectCreator Ermöglicht Nutzern das Erstellen von Objekten. Gewährt keine Berechtigung zum Ansehen, Löschen oder Überschreiben von Objekten. resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.create
roles/storage.objectViewer Berechtigung zum Aufrufen von Objekten und ihren Metadaten mit Ausnahme von ACLs.

Kann auch die Objekte in einem Bucket auflisten.

resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.get
storage.objects.list
roles/storage.objectAdmin Vollständige Kontrolle über Objekte, einschließlich Auflisten, Erstellen, Ansehen und Löschen von Objekten. resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.*
roles/storage.admin Vollständige Kontrolle über Buckets und Objekte.

Bei Anwendung auf einen einzelnen Bucket gilt die Kontrolle nur für den angegebenen Bucket und alle darin enthaltenen Objekte.

firebase.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
storage.buckets.*
storage.objects.*

Einfache Rollen

In der folgenden Tabelle werden einfache Rollen und die in diesen Rollen enthaltenen Cloud Storage-Berechtigungen beschrieben. Einfache Rollen können nicht auf Bucket-Ebene hinzugefügt werden.

Rolle Beschreibung Berechtigungen
role/viewer Berechtigung zum Auflisten von Buckets und zum Aufrufen von Bucket-Metadaten beim Auflisten, mit Ausnahme von ACLs. storage.buckets.list
role/editor Berechtigung zum Erstellen, Auflisten und Löschen von Buckets. Erteilt auch die Berechtigung zum Aufrufen von Bucket-Metadaten beim Auflisten, mit Ausnahme von ACLs. storage.buckets.create
storage.buckets.delete
storage.buckets.list
role/owner Berechtigung zum Erstellen, Auflisten und Löschen von Buckets. Erteilt auch die Berechtigung zum Aufrufen von Bucket-Metadaten beim Auflisten, mit Ausnahme von ACLs. storage.buckets.create
storage.buckets.delete
storage.buckets.list

Legacy-Rollen

In der nachstehenden Tabelle sind die IAM-Rollen aufgeführt, die Berechtigungen für Zugriffssteuerungslisten (Access Control List – ACL) entsprechen. Diese Cloud IAM-Rollen können nur auf Buckets und nicht auf Projekte angewendet werden.

Rolle Beschreibung Berechtigungen
roles/storage.legacyObjectReader Berechtigung zum Aufrufen von Objekten und ihren Metadaten mit Ausnahme von ACLs. storage.objects.get
roles/storage.legacyObjectOwner Berechtigung zum Aufrufen und Bearbeiten von Objekten und ihren Metadaten, einschließlich ACLs. storage.objects.get
storage.objects.update
storage.objects.setIamPolicy
storage.objects.getIamPolicy
roles/storage.legacyBucketReader Berechtigung zum Auflisten der Inhalte eines Buckets und zum Lesen von Bucket-Metadaten, ausgenommen Cloud IAM-Richtlinien. Erteilt außerdem die Berechtigung zum Lesen von Objektmetadaten beim Auflisten von Objekten, mit Ausnahme von Cloud IAM-Richtlinien.

Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter Cloud-IAM-Beziehung zu ACLs.

storage.buckets.get
storage.objects.list
roles/storage.legacyBucketWriter Berechtigung zum Erstellen, Überschreiben und Löschen von Objekten; Auflisten von Objekten in einem Bucket und Lesen von Objektmetadaten beim Auflisten, ausgenommen Cloud IAM-Richtlinien; sowie Lesen von Bucket-Metadaten, mit Ausnahme von Cloud IAM-Richtlinien.

Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter Cloud-IAM-Beziehung zu ACLs.

storage.buckets.get
storage.objects.list
storage.objects.create
storage.objects.delete
roles/storage.legacyBucketOwner Berechtigung zum Erstellen, Überschreiben und Löschen von Objekten; Auflisten von Objekten in einem Bucket und Lesen von Objektmetadaten beim Auflisten, ausgenommen Cloud IAM-Richtlinien; sowie Lesen und Bearbeiten von Bucket-Metadaten, mit Ausnahme von Cloud IAM-Richtlinien.

Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen finden Sie unter Cloud-IAM-Beziehung zu ACLs.

storage.buckets.get
storage.buckets.update
storage.buckets.setIamPolicy
storage.buckets.getIamPolicy
storage.objects.list
storage.objects.create
storage.objects.delete

Benutzerdefinierte Rollen

Sie haben die Möglichkeit, eigene Rollen zu definieren, die von Ihnen festgelegte Berechtigungen enthalten. Dafür bietet IAM benutzerdefinierte Rollen.

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...