Cloud Storage 的 Cloud IAM 角色

标准角色

下表介绍了与 Cloud Storage 相关联的 Cloud Identity and Access Management (Cloud IAM) 角色,并列出了每个角色中包含的权限。除非另有说明,否则这些角色既可以应用于整个项目,也可以应用于特定的存储分区。

角色 说明 权限
roles/storage.objectCreator 允许用户创建对象。不提供查看、删除或覆盖对象的权限。 resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.create
roles/storage.objectViewer 授予查看对象及其元数据(不包括 ACL)的权限。

还可以列出存储分区中的对象。

resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.get
storage.objects.list
roles/storage.objectAdmin 授予对象的完全控制权,包括列出、创建、查看和删除对象。 resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.*
roles/storage.hmacKeyAdmin 对项目中 HMAC 密钥的完全控制权。 storage.hmacKeys.*
roles/storage.admin 授予对存储分区和对象的完全控制权。

将该角色应用于单个存储分区时,仅可以控制指定的存储分区以及该存储分区中的对象。

firebase.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
storage.buckets.*
storage.objects.*

原初角色

下表介绍了这些角色包含的原初角色和 Cloud Storage 权限。无法在存储分区级层添加原初角色。

角色 说明 权限
role/viewer 授予列出存储分区以及在列出时查看存储分区元数据(不包括 ACL)的权限。还授予列出和获取项目中 HMAC 密钥的权限。 storage.buckets.list
storage.hmacKeys.get
storage.hmacKeys.list
role/editor 授予创建、列出和删除存储分区的权限。授予在列出时查看存储分区元数据(不包括 ACL)的权限。授予对项目中 HMAC 密钥的完全控制权。 storage.buckets.create
storage.buckets.delete
storage.buckets.list
storage.hmacKeys.*
role/owner 授予创建、列出和删除存储分区的权限。还授予在列出时查看存储分区元数据(不包括 ACL)的权限。授予对项目中 HMAC 密钥的完全控制权。 storage.buckets.create
storage.buckets.delete
storage.buckets.list
storage.hmacKeys.*

旧版角色

下表列出了与访问控制列表 (ACL) 权限具有同等效果的 Cloud IAM 角色。这些 Cloud IAM 角色只能应用于存储分区,不能应用于项目。

角色 说明 权限
roles/storage.legacyObjectReader 授予查看对象及其元数据(不包括 ACL)的权限。 storage.objects.get
roles/storage.legacyObjectOwner 授予查看和修改对象及其元数据(包括 ACL)的权限。 storage.objects.get
storage.objects.update
storage.objects.setIamPolicy
storage.objects.getIamPolicy
roles/storage.legacyBucketReader 授予列出存储分区的内容并读取存储分区元数据(不包括 Cloud IAM 政策)的权限。还授予在列出对象时读取对象元数据(不包括 Cloud IAM 政策)的权限。

对于此角色的使用也反映在存储分区的 ACL 中。如需了解详情,请参阅 Cloud IAM 与 ACL 的关系

storage.buckets.get
storage.objects.list
roles/storage.legacyBucketWriter 授予创建、覆盖和删除对象的权限;授予列出存储分区中的对象并在列出时读取对象元数据(不包括 Cloud IAM 政策)的权限;还授予读取存储分区元数据(不包括 Cloud IAM 政策)的权限。

对于此角色的使用也反映在存储分区的 ACL 中。如需了解详情,请参阅 Cloud IAM 与 ACL 的关系

storage.buckets.get
storage.objects.list
storage.objects.create
storage.objects.delete
roles/storage.legacyBucketOwner 授予创建、覆盖和删除对象的权限;授予列出存储分区中的对象并在列出时读取对象元数据(不包括 Cloud IAM 政策)的权限;授予读取和修改存储分区元数据(包括 Cloud IAM 政策)的权限。

对于此角色的使用也反映在存储分区的 ACL 中。如需了解详情,请参阅 Cloud IAM 与 ACL 的关系

storage.buckets.get
storage.buckets.update
storage.buckets.setIamPolicy
storage.buckets.getIamPolicy
storage.objects.list
storage.objects.create
storage.objects.delete

自定义角色

您可能想要定义自己的角色(包含您指定的一组权限)。为此,Cloud IAM 提供了自定义角色

后续步骤

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Cloud Storage
需要帮助?请访问我们的支持页面