Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Buckets, verwaltete Ordner und Objekte mithilfe der Berechtigungen für Identitäts- und Zugriffsverwaltung (Identity and Access Management – IAM) steuern können. Mit IAM können Sie steuern, wer Zugriff auf Ihre Buckets, verwaltete Ordner und Objekte hat.
Unter Übersicht über die Zugriffssteuerung werden weitere Möglichkeiten beschrieben, um den Zugriff auf Buckets, verwaltete Ordner und Objekte zu kontrollieren. Informationen über das Steuern des Zugriffs auf einzelne Objekte in Ihren Buckets finden Sie unter Access Control Lists (ACLs).
IAM mit Buckets verwenden
In den folgenden Abschnitten wird beschrieben, wie Sie grundlegende IAM-Aufgaben an Buckets ausführen.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „Storage-Administrator“ (roles/storage.admin
) für den Bucket zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Festlegen und Verwalten von IAM-Richtlinien für einen Bucket benötigen.
Diese Rolle enthält die folgenden Berechtigungen, die zum Festlegen und Verwalten von IAM-Richtlinien für Buckets erforderlich sind:
storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
storage.buckets.list
- Diese Berechtigung ist nur erforderlich, wenn Sie die Google Cloud Console zum Ausführen der Aufgaben auf dieser Seite verwenden möchten.
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen erhalten.
Hauptkonto zu einer Richtlinie auf Bucket-Ebene hinzufügen
Eine Liste der mit Cloud Storage verknüpften Rollen finden Sie unter IAM-Rollen. Weitere Informationen zu Entitäten, denen Sie IAM-Rollen zuweisen, erhalten Sie unter Hauptkonto-Kennungen.
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, für den Sie einem Hauptkonto eine Rolle zuweisen möchten.
Wählen Sie oben auf der Seite den Tab Berechtigungen aus.
Klicken Sie auf die Schaltfläche add_boxZugriff gewähren.
Das Dialogfeld Hauptkonten hinzufügen wird angezeigt.
Geben Sie in das Feld Neue Hauptkonten eine oder mehrere Identitäten ein, die Zugriff auf den Bucket erhalten sollen.
Wählen Sie aus dem Drop-down-Menü Rolle auswählen eine oder mehrere Rollen aus. Die ausgewählten Rollen werden in der Ansicht mit einer kurzen Beschreibung ihrer jeweiligen Berechtigungen angezeigt.
Klicken Sie auf Speichern.
Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.
Befehlszeile
Führen Sie folgenden buckets add-iam-policy-binding
-Befehl aus:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Wobei:
BUCKET_NAME
ist der Name des Buckets, auf den Sie dem Hauptkonto Zugriff erteilen. Beispiel:my-bucket
PRINCIPAL_IDENTIFIER
gibt an, wem Sie Zugriff auf den Bucket gewähren. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.IAM_ROLE
ist die IAM-Rolle, die Sie dem Hauptkonto zuweisen. Beispiel:roles/storage.objectViewer
Clientbibliotheken
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
REST APIs
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:
{ "bindings":[ { "role": "IAM_ROLE", "members":[ "PRINCIPAL_IDENTIFIER" ] } ] }
Wobei:
IAM_ROLE
ist die IAM-Rolle, die Sie zuweisen. Beispiel:roles/storage.objectViewer
PRINCIPAL_IDENTIFIER
gibt an, wem Sie Zugriff auf den Bucket gewähren. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.
Verwenden Sie
cURL
, um die JSON API mit einerPUT setIamPolicy
-Anfrage aufzurufen:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Wobei:
JSON_FILE_NAME
ist der Pfad für die Datei, die Sie in Schritt 2 erstellt haben.OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, für den Sie dem Hauptkonto Zugriff gewähren möchten. Beispiel:my-bucket
IAM-Richtlinie für einen Bucket ansehen
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, dessen Richtlinie Sie aufrufen möchten.
Klicken Sie auf der Seite Bucket-Details auf den Tab Berechtigungen.
Die IAM-Richtlinie, die für den Bucket gilt, wird im Abschnitt Berechtigungen angezeigt.
Optional: Verwenden Sie die Filterleiste, um die Ergebnisse zu filtern.
Wenn Sie nach Hauptkonto suchen, werden in den Ergebnissen alle Rollen angezeigt, die dem Hauptkonto zugewiesen wurden.
Befehlszeile
Führen Sie folgenden buckets get-iam-policy
-Befehl aus:
gcloud storage buckets get-iam-policy gs://BUCKET_NAME
Dabei ist BUCKET_NAME
der Name des Buckets, dessen IAM-Richtlinie Sie aufrufen möchten. Beispiel: my-bucket
Clientbibliotheken
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
REST APIs
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Verwenden Sie
cURL
, um die JSON API mit einerGET getIamPolicy
-Anfrage aufzurufen:curl -X GET \ -H "Authorization: Bearer OAUTH2_TOKEN" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Wobei:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, dessen IAM-Richtlinie Sie aufrufen möchten. Beispiel:my-bucket
Hauptkonten aus einer Richtlinie auf Bucket-Ebene entfernen
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, für den Sie die Rolle eines Hauptkontos entfernen möchten.
Klicken Sie auf der Seite Bucket-Details auf den Tab Berechtigungen.
Die IAM-Richtlinie, die für den Bucket gilt, wird im Abschnitt Berechtigungen angezeigt.
Setzen Sie auf dem Tab Nach Hauptkonten ansehen das Häkchen für das Hauptkonto, das Sie entfernen möchten.
Klicken Sie auf - Zugriff entfernen.
Klicken Sie im eingeblendeten Fenster auf Bestätigen.
Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.
Befehlszeile
Führen Sie folgenden buckets remove-iam-policy-binding
-Befehl aus:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Wobei:
BUCKET_NAME
ist der Name des Buckets, für den Sie den Zugriff widerrufen. Beispiel:my-bucket
PRINCIPAL_IDENTIFIER
gibt an, wem Sie den Zugriff entziehen möchten. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.IAM_ROLE
ist die IAM-Rolle, die Sie widerrufen. Beispiel:roles/storage.objectViewer
Clientbibliotheken
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
REST APIs
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Rufen Sie die vorhandene Richtlinie ab, die für Ihren Bucket gilt. Verwenden Sie dazu
cURL
, um die JSON API mit einerGET getIamPolicy
-Anfrage aufzurufen:curl -X GET \ -H "Authorization: Bearer OAUTH2_TOKEN" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Wobei:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, dessen IAM-Richtlinie Sie aufrufen möchten. Beispiel:my-bucket
Erstellen Sie eine JSON-Datei mit der Richtlinie, die Sie im vorherigen Schritt abgerufen haben.
Entfernen Sie in der JSON-Datei das gewünschte Mitglied aus der Richtlinie.
Verwenden Sie
cURL
, um die JSON API mit einerPUT setIamPolicy
-Anfrage aufzurufen:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Wobei:
JSON_FILE_NAME
ist der Pfad für die Datei, die Sie in Schritt 3 erstellt haben.OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, für den der Zugriff entfernt werden soll. Beispiel:my-bucket
IAM-Bedingungen für Buckets verwenden
In den folgenden Abschnitten wird gezeigt, wie Sie IAM-Bedingungen zu Ihren Buckets hinzufügen und daraus entfernen. Informationen zur Anzeige von IAM-Bedingungen für Ihren Bucket finden Sie unter IAM-Richtlinie für einen Bucket ansehen. Weitere Informationen zur Verwendung von IAM-Bedingungen mit Cloud Storage finden Sie unter Bedingungen.
Bevor Sie Bedingungen hinzufügen, müssen Sie den einheitlichen Bucket-Zugriff für den Bucket aktivieren.
Neue Bedingung für einen Bucket festlegen
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, für den Sie eine neue Bedingung hinzufügen möchten.
Klicken Sie auf der Seite Bucket-Details auf den Tab Berechtigungen.
Die IAM-Richtlinie, die für den Bucket gilt, wird im Abschnitt Berechtigungen angezeigt.
Klicken Sie auf + Zugriff gewähren.
Füllen Sie unter Neue Hauptkonten die Hauptkonten aus, denen die Sie Zugriff auf Ihren Bucket gewähren möchten.
Führen Sie für jede Rolle, auf die Sie eine Bedingung anwenden möchten, Folgendes aus:
Wählen Sie unter Rolle eine Rolle aus, die Sie den Hauptkonten zuweisen möchten.
Klicken Sie auf Bedingung hinzufügen, um das Formular Bedingung bearbeiten aufzurufen.
Geben Sie unter Titel einen Titel für die Bedingung ein. Das Feld Beschreibung ist optional.
Verwenden Sie Builder für IAM-Bedingungen, um die Bedingung visuell zu erstellen, oder den Tab Bedingungseditor zum Eingeben eines CEL-Ausdrucks.
Klicken Sie auf Speichern, um zum Formular Hauptkonto hinzufügen zurückzukehren. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.
Klicken Sie auf Speichern.
Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.
Befehlszeile
Erstellen Sie eine JSON- oder YAML-Datei, die die Bedingung definiert, einschließlich des
title
der Bedingung, der attributbasierten Logikexpression
für die Bedingung und optional einesdescription
für die Bedingung.Beachten Sie, dass Cloud Storage in der
expression
nur die Attribute Datum/Uhrzeit, Ressourcentyp und Ressourcenname unterstützt.Führen Sie den Befehl
buckets add-iam-policy-binding
mit dem Flag--condition-from-file
aus.
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE --condition-from-file=CONDITION_FILE
Wobei:
BUCKET_NAME
ist der Name des Buckets, auf den Sie dem Hauptkonto Zugriff erteilen. Beispiel:my-bucket
PRINCIPAL_IDENTIFIER
gibt an, für wen die Bedingung gilt. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.IAM_ROLE
ist die IAM-Rolle, die Sie dem Hauptkonto zuweisen. Beispiel:roles/storage.objectViewer
CONDITION_FILE
ist die Datei, die Sie im vorherigen Schritt erstellt haben.
Alternativ können Sie die Bedingung direkt in den Befehl einfügen. Dazu nutzen Sie das Flag --condition
anstelle des Flags --condition-from-file
.
Clientbibliotheken
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
REST APIs
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Verwenden Sie eine
GET getIamPolicy
-Anfrage, um die IAM-Richtlinie des Buckets in einer temporären JSON-Datei zu speichern:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer OAUTH2_TOKEN' > tmp-policy.json
Wobei:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.
Bearbeiten Sie die Datei
tmp-policy.json
in einem Texteditor und fügen Sie den Bindungen in der IAM-Richtlinie neue Bedingungen hinzu:{ "version": VERSION, "bindings": [ { "role": "IAM_ROLE", "members": [ "PRINCIPAL_IDENTIFIER" ], "condition": { "title": "TITLE", "description": "DESCRIPTION", "expression": "EXPRESSION" } } ], "etag": "ETAG" }
Wobei:
VERSION
ist die Version der IAM-Richtlinie. Für Buckets mit IAM-Bedingungen muss es die Version 3 sein.IAM_ROLE
ist die Rolle, für die die Bedingung gilt. Beispiel:roles/storage.objectViewer
PRINCIPAL_IDENTIFIER
gibt an, für wen die Bedingung gilt. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.TITLE
ist der Titel der Bedingung. Beispiel:expires in 2019
DESCRIPTION
ist eine optionale Beschreibung der Bedingung. Beispiel:Permission revoked on New Year's
EXPRESSION
ist ein attributbasierter logischer Ausdruck. Beispiel:request.time < timestamp(\"2019-01-01T00:00:00Z\")
. Weitere Beispiele für Ausdrücke finden Sie in der Referenz zu Bedingungsattributen. Beachten Sie, dass Cloud Storage nur die Attribute Datum/Uhrzeit, Ressourcentyp und Ressourcenname unterstützt.
Ändern Sie
ETAG
nicht.Legen Sie mit einer
PUT setIamPolicy
-Anfrage die geänderte IAM-Richtlinie für den Bucket fest:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Wobei:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.
Bedingung aus einem Bucket entfernen
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, für den Sie eine Bedingung entfernen möchten.
Klicken Sie auf der Seite Bucket-Details auf den Tab Berechtigungen.
Die IAM-Richtlinie, die für den Bucket gilt, wird im Abschnitt Berechtigungen angezeigt.
Klicken Sie auf das Symbol Bearbeiten edit für das Hauptkonto, das der Bedingung zugeordnet ist.
Klicken Sie im eingeblendeten Fenster Bearbeitungszugriff auf den Namen der Bedingung, die Sie löschen möchten.
Klicken Sie im eingeblendeten Fenster Bedingung bearbeiten auf Löschen und anschließend auf Bestätigen.
Klicken Sie auf Speichern.
Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.
Befehlszeile
Geben Sie zum Speichern der IAM-Richtlinie des Buckets in einer temporären JSON-Datei den Befehl
buckets get-iam-policy
ein:gcloud storage buckets get-iam-policy gs://BUCKET_NAME > tmp-policy.json
Bearbeiten Sie die Datei
tmp-policy.json
in einem Texteditor, um Bedingungen aus der IAM-Richtlinie zu entfernen.Legen Sie mit
buckets set-iam-policy
die geänderte IAM-Richtlinie für den Bucket fest.gcloud storage buckets set-iam-policy gs://BUCKET_NAME tmp-policy.json
Codebeispiele
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten.
REST APIs
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Verwenden Sie eine
GET getIamPolicy
-Anfrage, um die IAM-Richtlinie des Buckets in einer temporären JSON-Datei zu speichern:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer OAUTH2_TOKEN' > tmp-policy.json
Wobei:
BUCKET_NAME
ist der Name des Buckets, auf den Sie Zugriff gewähren. Beispiel:my-bucket
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.
Bearbeiten Sie die Datei
tmp-policy.json
in einem Texteditor, um Bedingungen aus der IAM-Richtlinie zu entfernen.Legen Sie mit einer
PUT setIamPolicy
-Anfrage die geänderte IAM-Richtlinie für den Bucket fest:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Wobei:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, dessen IAM-Richtlinie Sie ändern möchten. Beispiel:my-bucket
IAM mit verwalteten Ordnern verwenden
In den folgenden Abschnitten wird beschrieben, wie Sie grundlegende IAM-Aufgaben an verwalteten Ordnern ausführen.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „Storage Legacy Bucket Owner“ (roles/storage.legacyBucketOwner
) für den Bucket zuzuweisen, der die Berechtigungen zum Festlegen und Verwalten von Richtlinien für verwaltete Ordner enthält. Die verwalteten Ordner.
Diese Rolle enthält die folgenden Berechtigungen, die zum Festlegen und Verwalten von IAM-Richtlinien für verwaltete Ordner erforderlich sind:
storage.managedfolders.getIamPolicy
storage.managedfolders.setIamPolicy
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen erhalten.
Informationen zum Zuweisen von Rollen für Buckets finden Sie unter IAM mit Buckets verwenden.
IAM-Richtlinie für einen verwalteten Ordner festlegen
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, der den verwalteten Ordner enthält, für den Sie eine IAM-Richtlinie festlegen möchten.
Klicken Sie auf der Seite Bucket-Details auf das Symbol Weitere Optionen
im Bereich Ordnerbrowser neben dem Ordner, für den Sie eine IAM-Richtlinie festlegen möchten.Wenn der Ordner, für den Sie den Zugriff steuern möchten, ein simulierter Ordner ist, führen Sie die Schritte unter Verwalteten Ordner erstellen aus, um zuerst den simulierten Ordner in einen verwalteten Ordner zu konvertieren.
Klicken Sie auf Zugriff bearbeiten.
Klicken Sie im Bereich Berechtigungen für
MANAGED_FOLDER_NAME
auf Hauptkonto hinzufügen .Geben Sie im Feld Neue Hauptkonten das Hauptkonto ein, dem Sie Zugriff gewähren möchten. Weitere Informationen zu Hauptkonten, die Sie aufnehmen können, finden Sie in der IAM-Übersicht.
Wählen Sie im Abschnitt Rollen zuweisen die Drop-down-Liste Rolle auswählen aus, um die Zugriffsebene anzugeben, die Sie dem Hauptkonto zuweisen möchten.
Klicken Sie auf Speichern.
Befehlszeile
Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:
{ "bindings":[ { "role": "IAM_ROLE", "members":[ "PRINCIPAL_IDENTIFIER" ] } ] }
Wobei:
IAM_ROLE
ist die IAM-Rolle, die Sie zuweisen. Beispiel:roles/storage.objectViewer
PRINCIPAL_IDENTIFIER
gibt an, wem Sie den Zugriff auf verwaltete Ordner gewähren. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.
Führen Sie den Befehl
gcloud storage managed-folders set-iam-policy
aus:gcloud storage managed-folders set-iam-policy gs://BUCKET_NAME/MANAGED_FOLDER_NAME POLICY_FILE
Wobei:
BUCKET_NAME
ist der Name des Buckets mit dem verwalteten Ordner, auf den Sie die IAM-Richtlinie anwenden möchten. Beispiel:my-bucket
MANAGED_FOLDER_NAME
ist der Name des verwalteten Ordners, auf den Sie die IAM-Richtlinie anwenden möchten. Beispiel:my-managed-folder/
POLICY_FILE
ist der Pfad zur JSON-Datei, die Sie in Schritt 1 erstellt haben.
REST APIs
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:
{ "bindings":[ { "role": "IAM_ROLE", "members":[ "PRINCIPAL_IDENTIFIER" ] } ] }
Wobei:
IAM_ROLE
ist die IAM-Rolle, die Sie zuweisen. Beispiel:roles/storage.objectViewer
PRINCIPAL_IDENTIFIER
gibt an, wem Sie den Zugriff auf verwaltete Ordner gewähren. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.
Verwenden Sie
cURL
, um die JSON API mit einerPUT setIamPolicy
-Anfrage aufzurufen:curl -X PUT --data-binary @POLICY_FILE \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAME/iam"
Wobei:
POLICY_FILE
ist der Pfad zur JSON-Richtliniendatei, die Sie in Schritt 2 erstellt haben.OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets mit dem verwalteten Ordner, auf den Sie die IAM-Richtlinie anwenden möchten. Beispiel:my-bucket
MANAGED_FOLDER_NAME
ist der Name des verwalteten Ordners, auf den Sie dem Hauptkonto Zugriff gewähren möchten. Beispiel:my-managed-folder/
IAM-Richtlinie für einen verwalteten Ordner aufrufen
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets mit dem verwalteten Ordner, für den Sie IAM-Richtlinien aufrufen möchten.
Klicken Sie auf der Seite Bucket-Details auf das Symbol Weitere Optionen
im Bereich Ordnerbrowser neben dem verwalteten Ordner, für den Sie die IAM-Richtlinie aufrufen möchten.Klicken Sie auf Zugriff bearbeiten.
Im Bereich Berechtigungen für FOLDER_NAME
werden die Berechtigungen für den verwalteten Ordner angezeigt, einschließlich Hauptkonto, Rolle, übernommener Rollen und IAM-Bedingungen.
Befehlszeile
Führen Sie den Befehl gcloud storage managed-folder get-iam-policy
aus:
gcloud storage managed-folders get-iam-policy gs://BUCKET_NAME/MANAGED_FOLDER_NAME
Wobei:
BUCKET_NAME
ist der Name des Buckets, der den verwalteten Ordner enthält, dessen IAM-Richtlinie Sie aufrufen möchten. Beispiel:my-bucket
MANAGED_FOLDER_NAME
ist der Name des verwalteten Ordners, dessen IAM-Richtlinie Sie aufrufen möchten. Beispiel:my-managed-folder/
REST APIs
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Verwenden Sie
cURL
, um die JSON API mit einerGET getIamPolicy
-Anfrage aufzurufen:curl -X GET \ -H "Authorization: Bearer OAUTH2_TOKEN" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAME/iam"
Wobei:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, der den verwalteten Ordner enthält, dessen IAM-Richtlinie Sie aufrufen möchten. Beispiel:my-bucket
MANAGED_FOLDER_NAME
ist der Name des verwalteten Ordners, dessen IAM-Richtlinie Sie aufrufen möchten. Beispiel:my-managed-folder/
Hauptkonten aus einer Richtlinie für verwaltete Ordner entfernen
Mit den folgenden Schritten können Sie Hauptkonten nicht aus übernommenen IAM-Richtlinien entfernen. Um ein Hauptkonto aus einer übernommenen Richtlinie zu entfernen, identifizieren Sie die Ressource, die die Richtlinie hat, und entfernen Sie das Hauptkonto aus der Ressource. Ein Hauptkonto kann beispielsweise die Rolle Storage-Objekt-Nutzer (roles/storage.objectUser
) für den Bucket haben, der den verwalteten Ordner enthält. Wenn Sie das Hauptkonto entfernen möchten, müssen Sie es aus der Richtlinie auf Bucket-Ebene entfernen.
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets mit dem verwalteten Ordner, für den Sie IAM-Richtlinien aufrufen möchten.
Klicken Sie auf der Seite Bucket-Details auf das Symbol Weitere Optionen
im Bereich Ordnerbrowser neben dem verwalteten Ordner, für den Sie ein Hauptkonto entfernen möchten.Klicken Sie auf Zugriff bearbeiten.
Geben Sie im Bereich Berechtigungen für
FOLDER_NAME
den Namen des Hauptkontos in das Feld Filter ein.Klicken Sie auf das Symbol Löschen,
um den Bericht zu löschen.
Cloud Storage löscht das Hauptkonto aus Ihrem verwalteten Ordner.
Befehlszeile
Führen Sie den Befehl gcloud storage managed-folder remove-iam-policy-binding
aus:
gcloud storage managed-folders remove-iam-policy-binding gs://BUCKET_NAME/MANAGED_FOLDER_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Wobei:
BUCKET_NAME
ist der Name des Buckets, der den verwalteten Ordner enthält, für den Sie den Zugriff widerrufen möchten. Beispiel:my-bucket
MANAGED_FOLDER_NAME
ist der Name des verwalteten Ordners, dessen IAM-Richtlinie Sie entfernen möchten. Beispiel:my-managed-folder/
PRINCIPAL_IDENTIFIER
gibt an, wem Sie den Zugriff entziehen möchten. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.IAM_ROLE
ist die IAM-Rolle, die Sie widerrufen. Beispiel:roles/storage.objectViewer
REST APIs
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Rufen Sie die vorhandene Richtlinie ab, die für Ihren verwalteten Ordner gilt. Verwenden Sie dazu
cURL
, um die JSON API mit einerGET getIamPolicy
-Anfrage aufzurufen:curl -X GET \ -H "Authorization: Bearer OAUTH2_TOKEN" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAME/iam"
Wobei:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, der den verwalteten Ordner enthält, für den Sie den Zugriff widerrufen möchten. Beispiel:my-bucket
MANAGED_FOLDER_NAME
ist der Name des verwalteten Ordners, dessen IAM-Richtlinie Sie entfernen möchten. Beispiel:my-managed-folder/
Erstellen Sie eine JSON-Datei mit der Richtlinie, die Sie im vorherigen Schritt abgerufen haben.
Entfernen Sie in der JSON-Datei das gewünschte Mitglied aus der Richtlinie.
Verwenden Sie
cURL
, um die JSON API mit einerPUT setIamPolicy
-Anfrage aufzurufen:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAME/iam"
Wobei:
JSON_FILE_NAME
ist der Pfad für die Datei, die Sie in Schritt 3 erstellt haben.OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, der den verwalteten Ordner enthält, für den Sie den Zugriff widerrufen möchten. Beispiel:my-bucket
MANAGED_FOLDER_NAME
ist der Name des verwalteten Ordners, dessen IAM-Richtlinie Sie entfernen möchten. Beispiel:my-managed-folder/
IAM Conditions für verwaltete Ordner verwenden
In den folgenden Abschnitten wird gezeigt, wie Sie IAM-Bedingungen zu Ihren verwalteten Ordnern hinzufügen und daraus entfernen. Informationen zur Anzeige von IAM-Bedingungen für Ihre verwalteten Ordner finden Sie unter IAM-Richtlinie für einen verwalteten Ordner ansehen. Weitere Informationen zur Verwendung von IAM-Bedingungen mit Cloud Storage finden Sie unter Bedingungen.
Bevor Sie verwalteten Ordnern Bedingungen hinzufügen, müssen Sie den einheitlichen Bucket-Zugriff für den Bucket aktivieren.
Neue Bedingung für einen verwalteten Ordner festlegen
Befehlszeile
Erstellen Sie eine JSON- oder YAML-Datei, die die Bedingung definiert, einschließlich des
title
der Bedingung, der attributbasierten Logikexpression
für die Bedingung und optional einesdescription
für die Bedingung.Beachten Sie, dass Cloud Storage in der
expression
nur die Attribute Datum/Uhrzeit, Ressourcentyp und Ressourcenname unterstützt.Führen Sie den Befehl
gcloud storage managed-folders add-iam-policy-binding
mit dem Flag--condition-from-file
aus:
gcloud storage managed-folders add-iam-policy-binding gs://BUCKET_NAME/MANAGED_FOLDER_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE --condition-from-file=CONDITION_FILE
Wobei:
BUCKET_NAME
ist der Name des Buckets, der den verwalteten Ordner enthält, auf den Sie dem Hauptkonto Zugriff gewähren. Beispiel:my-bucket
MANAGED_FOLDER_NAME
ist der Name des verwalteten Ordners, auf den Sie dem Hauptkonto Zugriff gewähren. Beispiel:my-managed-folder/
PRINCIPAL_IDENTIFIER
gibt an, für wen die Bedingung gilt. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.IAM_ROLE
ist die IAM-Rolle, die Sie dem Hauptkonto zuweisen. Beispiel:roles/storage.objectViewer
CONDITION_FILE
ist die Datei, die Sie im vorherigen Schritt erstellt haben.
Alternativ können Sie die Bedingung direkt in den Befehl einfügen. Dazu nutzen Sie das Flag --condition
anstelle des Flags --condition-from-file
.
REST APIs
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Verwenden Sie eine
GET getIamPolicy
-Anfrage, um die IAM-Richtlinie des verwalteten Ordners in einer temporären JSON-Datei zu speichern:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAMEiam' \ --header 'Authorization: Bearer OAUTH2_TOKEN' > tmp-policy.json
Wobei:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, der den verwalteten Ordner enthält, für den Sie eine IAM-Bedingung festlegen möchten.MANAGED_FOLDER_NAME
ist der Name des verwalteten Ordners, für den Sie eine IAM-Bedingung festlegen möchten.
Bearbeiten Sie die Datei
tmp-policy.json
in einem Texteditor und fügen Sie den Bindungen in der IAM-Richtlinie neue Bedingungen hinzu:{ "version": VERSION, "bindings": [ { "role": "IAM_ROLE", "members": [ "PRINCIPAL_IDENTIFIER" ], "condition": { "title": "TITLE", "description": "DESCRIPTION", "expression": "EXPRESSION" } } ], "etag": "ETAG" }
Wobei:
VERSION
ist die Version der IAM-Richtlinie. Für verwaltete Ordner mit IAM-Bedingungen muss es die Version 3 sein.IAM_ROLE
ist die Rolle, für die die Bedingung gilt. Beispiel:roles/storage.objectViewer
PRINCIPAL_IDENTIFIER
gibt an, für wen die Bedingung gilt. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.TITLE
ist der Titel der Bedingung. Beispiel:expires in 2019
DESCRIPTION
ist eine optionale Beschreibung der Bedingung. Beispiel:Permission revoked on New Year's
EXPRESSION
ist ein attributbasierter logischer Ausdruck. Beispiel:request.time < timestamp(\"2019-01-01T00:00:00Z\")
. Weitere Beispiele für Ausdrücke finden Sie in der Referenz zu Bedingungsattributen. Beachten Sie, dass Cloud Storage nur die Attribute Datum/Uhrzeit, Ressourcentyp und Ressourcenname unterstützt.
Ändern Sie
ETAG
nicht.Legen Sie mit einer
PUT setIamPolicy
-Anfrage die geänderte IAM-Richtlinie für den Bucket fest:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFoldersMANAGED_FOLDER_NAME/iam"
Wobei:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, der den verwalteten Ordner enthält, für den Sie eine IAM-Bedingung festlegen möchten.MANAGED_FOLDER_NAME
ist der Name des verwalteten Ordners, für den Sie eine IAM-Bedingung festlegen möchten.
Bedingung aus einem verwalteten Ordner entfernen
Befehlszeile
Geben Sie zum Speichern der IAM-Richtlinie des verwalteten Ordners den Befehl
gcloud storage managed-folders get-iam-policy
in einer temporären JSON-Datei ein:gcloud storage managed-folders get-iam-policy gs://BUCKET_NAME/MANAGED_FOLDER_NAME > tmp-policy.json
Bearbeiten Sie die Datei
tmp-policy.json
in einem Texteditor, um Bedingungen aus der IAM-Richtlinie zu entfernen.Legen Sie mit dem Befehl
gcloud storage managed-folders set-iam-policy
die geänderte IAM-Richtlinie für den verwalteten Ordner fest.gcloud storage managed-folders set-iam-policy gs://BUCKET_NAME/MANAGED_FOLDER_NAME tmp-policy.json
REST APIs
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Verwenden Sie eine
GET getIamPolicy
-Anfrage, um die IAM-Richtlinie des verwalteten Ordners in einer temporären JSON-Datei zu speichern:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAMEiam' \ --header 'Authorization: Bearer OAUTH2_TOKEN' > tmp-policy.json
Wobei:
BUCKET_NAME
ist der Name des Buckets, der den verwalteten Ordner enthält, auf den Sie den Zugriff ändern. Beispiel:my-bucket
MANAGED_FOLDER_NAME
ist der Name des verwalteten Ordners, für den Sie den Zugriff ändern. Beispiel:my-managed-folder/
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.
Bearbeiten Sie die Datei
tmp-policy.json
in einem Texteditor, um Bedingungen aus der IAM-Richtlinie zu entfernen.Legen Sie mit einer
PUT setIamPolicy
-Anfrage die geänderte IAM-Richtlinie für den verwalteten Ordner fest:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/managedFolders/MANAGED_FOLDER_NAMEiam"
Wobei:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, der den verwalteten Ordner enthält, auf den Sie den Zugriff ändern. Beispiel:my-bucket
MANAGED_FOLDER_NAME
ist der Name des verwalteten Ordners, für den Sie den Zugriff ändern. Beispiel:my-managed-folder/
IAM mit Projekten verwenden
Informationen zum Zuweisen und Widerrufen von IAM-Rollen auf Projektebene und höher finden Sie unter Zugriff auf Projekte, verwaltete Ordner und Organisationen verwalten.
Best Practices
Gewähren Sie immer nur die geringstmögliche Berechtigung, die das Hauptkonto für den Zugriff benötigt. Beispiel: Wenn das Teammitglied nur Lesezugriff auf Objekte in einem Bucket benötigt, wählen Sie die Rolle Storage-Objekt-Betrachter aus. Benötigt das Teammitglied dagegen uneingeschränkten Zugriff auf Objekte im Bucket (aber nicht auf den Bucket selbst), wählen Sie Storage-Objekt-Administrator aus.
Nächste Schritte
- Weitere Informationen zum Veröffentlichen von Daten
- Beispiele für Freigabe und Zusammenarbeit
- Best Practices für die Verwendung von IAM
- Rollenempfehlungen für Buckets verwenden
- Informationen zur Fehlerbehebung bei fehlgeschlagenen Vorgängen im Zusammenhang mit IAM-Rollen und -Berechtigungen finden Sie unter Fehlerbehebung.