Cloud Storage 的 Cloud IAM 角色

标准角色

下表介绍了与 Cloud Storage 相关联的 Cloud Identity and Access Management (Cloud IAM) 角色，并列出了每个角色中包含的权限。除非另有说明，否则这些角色既可以应用于整个项目，也可以应用于特定的存储分区。

角色	说明	权限
`roles/storage.objectCreator`	允许用户创建对象。不提供查看、删除或覆盖对象的权限。	`resourcemanager.projects.get` `resourcemanager.projects.list` `storage.objects.create`
`roles/storage.objectViewer`	授予查看对象及其元数据（不包括 ACL）的权限。还可以列出存储分区中的对象。	`resourcemanager.projects.get` `resourcemanager.projects.list` `storage.objects.get` `storage.objects.list`
`roles/storage.objectAdmin`	授予对象的完全控制权，包括列出、创建、查看和删除对象。	`resourcemanager.projects.get` `resourcemanager.projects.list` `storage.objects.*`
`roles/storage.hmacKeyAdmin`	对项目中 HMAC 密钥的完全控制权。	`storage.hmacKeys.*`
`roles/storage.admin`	授予对存储分区和对象的完全控制权。将该角色应用于单个存储分区时，仅可以控制指定的存储分区以及该存储分区中的对象。	`firebase.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `storage.buckets.` `storage.objects.`

原初角色

下表介绍了这些角色包含的原初角色和 Cloud Storage 权限。无法在存储分区级层添加原初角色。

角色	说明	权限
`role/viewer`	授予列出存储分区以及在列出时查看存储分区元数据（不包括 ACL）的权限。还授予列出和获取项目中 HMAC 密钥的权限。	`storage.buckets.list` `storage.hmacKeys.get` `storage.hmacKeys.list`
`role/editor`	授予创建、列出和删除存储分区的权限。授予在列出时查看存储分区元数据（不包括 ACL）的权限。授予对项目中 HMAC 密钥的完全控制权。	`storage.buckets.create` `storage.buckets.delete` `storage.buckets.list` `storage.hmacKeys.*`
`role/owner`	授予创建、列出和删除存储分区的权限。还授予在列出时查看存储分区元数据（不包括 ACL）的权限。授予对项目中 HMAC 密钥的完全控制权。	`storage.buckets.create` `storage.buckets.delete` `storage.buckets.list` `storage.hmacKeys.*`

旧版角色

下表列出了与访问控制列表 (ACL) 权限具有同等效果的 Cloud IAM 角色。这些 Cloud IAM 角色只能应用于存储分区，不能应用于项目。

角色	说明	权限
`roles/storage.legacyObjectReader`	授予查看对象及其元数据（不包括 ACL）的权限。	`storage.objects.get`
`roles/storage.legacyObjectOwner`	授予查看和修改对象及其元数据（包括 ACL）的权限。	`storage.objects.get` `storage.objects.update` `storage.objects.setIamPolicy` `storage.objects.getIamPolicy`
`roles/storage.legacyBucketReader`	授予列出存储分区的内容并读取存储分区元数据（不包括 Cloud IAM 政策）的权限。还授予在列出对象时读取对象元数据（不包括 Cloud IAM 政策）的权限。对于此角色的使用也反映在存储分区的 ACL 中。如需了解详情，请参阅 Cloud IAM 与 ACL 的关系。	`storage.buckets.get` `storage.objects.list`
`roles/storage.legacyBucketWriter`	授予创建、覆盖和删除对象的权限；授予列出存储分区中的对象并在列出时读取对象元数据（不包括 Cloud IAM 政策）的权限；还授予读取存储分区元数据（不包括 Cloud IAM 政策）的权限。对于此角色的使用也反映在存储分区的 ACL 中。如需了解详情，请参阅 Cloud IAM 与 ACL 的关系。	`storage.buckets.get` `storage.objects.list` `storage.objects.create` `storage.objects.delete`
`roles/storage.legacyBucketOwner`	授予创建、覆盖和删除对象的权限；授予列出存储分区中的对象并在列出时读取对象元数据（不包括 Cloud IAM 政策）的权限；授予读取和修改存储分区元数据（包括 Cloud IAM 政策）的权限。对于此角色的使用也反映在存储分区的 ACL 中。如需了解详情，请参阅 Cloud IAM 与 ACL 的关系。	`storage.buckets.get` `storage.buckets.update` `storage.buckets.setIamPolicy` `storage.buckets.getIamPolicy` `storage.objects.list` `storage.objects.create` `storage.objects.delete`

自定义角色

您可能想要定义自己的角色（包含您指定的一组权限）。为此，Cloud IAM 提供了自定义角色。

后续步骤

了解如何使用 Cloud IAM 权限控制对存储分区和对象的访问权限。
如需了解 Cloud Storage 的每个 Cloud IAM 权限，请参阅 Cloud Storage Cloud IAM 权限。
如需了解哪些 IAM 权限允许用户使用不同的 Cloud Storage 工具执行操作以及相关参考，请参阅结合使用 Cloud IAM 和 Cloud Console、结合使用 Cloud IAM 和 gsutil、结合使用 Cloud IAM 和 JSON以及结合使用 Cloud IAM 和 XML。
如需了解其他 Google Cloud Platform 角色，请参阅了解角色。

此页内容是否有用？请给出您的反馈和评价：

Except as otherwise noted, the content of this page is licensed under the Creative Commons Attribution 4.0 License, and code samples are licensed under the Apache 2.0 License. For details, see our Site Policies. Java is a registered trademark of Oracle and/or its affiliates.

上次更新日期：十一月 6, 2019