Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Buckets und Objekte mithilfe der Berechtigungen für Identitäts- und Zugriffsverwaltung (Identity and Access Management – IAM) steuern können. Mit IAM können Sie bestimmen, wer Zugriff auf Ihre Buckets und Objekte erhält.
Unter Übersicht über die Zugriffssteuerung werden weitere Möglichkeiten beschrieben, um den Zugriff auf Buckets und Objekte zu kontrollieren. Informationen über das Steuern des Zugriffs auf einzelne Objekte in Ihren Buckets finden Sie unter Access Control Lists.
IAM mit Buckets verwenden
In den folgenden Abschnitten wird beschrieben, wie Sie grundlegende IAM-Aufgaben an Buckets ausführen.
Hauptkonto zu einer Richtlinie auf Bucket-Ebene hinzufügen
Eine Liste der mit Cloud Storage verknüpften Rollen finden Sie unter IAM-Rollen. Weitere Informationen zu Entitäten, denen Sie IAM-Rollen zuweisen, erhalten Sie unter Hauptkontotypen.
Console
- Wechseln Sie in der Cloud Console zum Cloud Storage-Browser.
Klicken Sie auf das Dreipunkt-Menü
des Buckets, für den Sie einem Hauptkonto eine Rolle zuweisen möchten.
Wählen Sie Zugriff bearbeiten aus.
Klicken Sie auf die Schaltfläche + Hauptkonto hinzufügen.
Geben Sie in das Feld Neue Hauptkonten eine oder mehrere Identitäten ein, die Zugriff auf den Bucket erhalten sollen.
Wählen Sie aus dem Drop-down-Menü Rolle auswählen eine oder mehrere Rollen aus. Die ausgewählten Rollen werden in der Ansicht mit einer kurzen Beschreibung ihrer jeweiligen Berechtigungen angezeigt.
Klicken Sie auf Speichern.
Informationen zum Abrufen detaillierter Fehlerinformationen zu fehlgeschlagenen Vorgängen im Cloud Storage-Browser finden Sie unter Fehlerbehebung.
gsutil
Führen Sie folgenden gsutil iam ch
-Befehl aus:
gsutil iam ch PRINCIPAL_TYPE:PRINCIPAL_NAME:IAM_ROLE gs://BUCKET_NAME
Wobei:
PRINCIPAL_TYPE
ist der Typ des Hauptkontos, dem Sie Zugriff auf den Bucket gewähren. Beispiel:user
.PRINCIPAL_NAME
ist der Name des Hauptkontos, dem Sie Zugriff auf den Bucket gewähren. Beispiel:jane@gmail.com
.IAM_ROLE
ist die IAM-Rolle, die Sie dem Hauptkonto zuweisen. Beispiel:objectViewer
BUCKET_NAME
ist der Name des Buckets, auf den Sie dem Hauptkonto Zugriff erteilen. Beispiel:my-bucket
.
Weitere Beispiele zum Formatieren von PRINCIPAL_TYPE:PRINCIPAL_NAME:IAM_ROLE
finden Sie auf der Referenzseite zu gsutil iam ch
.
Codebeispiele
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:
{ "bindings":[ { "role": "IAM_ROLE", "members":[ "PRINCIPAL_NAME" ] } ] }
Wobei:
IAM_ROLE
ist die IAM-Rolle, die Sie zuweisen. Beispiel:roles/storage.objectViewer
.PRINCIPAL_NAME
ist der Name des Hauptkontos, dem Sie Zugriff auf den Bucket gewähren. Beispiel:user:jane@gmail.com
Weitere Beispiele zum Formatieren von
PRINCIPAL_NAME
finden Sie hier im Abschnitt zum Hauptkonto.
Verwenden Sie
cURL
, um die JSON API mit einerPUT setIamPolicy
-Anfrage aufzurufen:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Wobei:
JSON_FILE_NAME
ist der Pfad für die Datei, die Sie in Schritt 2 erstellt haben.OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, für den Sie dem Hauptkonto Zugriff gewähren möchten. Beispiel:my-bucket
.
IAM-Richtlinie für einen Bucket ansehen
Console
- Wechseln Sie in der Cloud Console zum Cloud Storage-Browser.
Klicken Sie auf das Dreipunkt-Menü
des Buckets, dessen Richtlinie Sie aufrufen möchten.
Wählen Sie Zugriff bearbeiten aus.
Erweitern Sie die gewünschte Rolle, um die Hauptkonten mit dieser Rolle anzuzeigen.
Optional können Sie die Suchleiste verwenden, um die Ergebnisse nach Rollen oder Hauptkonten zu filtern.
Wenn Sie nach Hauptkonto suchen, werden in den Ergebnissen alle Rollen angezeigt, die dem Hauptkonto zugewiesen wurden.
gsutil
Führen Sie den Befehl gsutil iam get
aus:
gsutil iam get gs://BUCKET_NAME
Dabei ist BUCKET_NAME
der Name des Buckets, dessen IAM-Richtlinie Sie aufrufen möchten. Beispiel: my-bucket
Codebeispiele
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Verwenden Sie
cURL
, um die JSON API mit einerGET getIamPolicy
-Anfrage aufzurufen:curl -X GET \ -H "Authorization: Bearer OAUTH2_TOKEN" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dabei gilt:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, dessen IAM-Richtlinie Sie aufrufen möchten. Beispiel:my-bucket
Hauptkonten aus einer Richtlinie auf Bucket-Ebene entfernen
Console
- Wechseln Sie in der Cloud Console zum Cloud Storage-Browser.
Klicken Sie auf das Dreipunkt-Menü
des Buckets, für den Sie die Rolle eines Hauptkontos entfernen möchten.
Wählen Sie Zugriff bearbeiten aus.
Erweitern Sie die Rolle, aus der Sie ein Hauptkonto entfernen möchten.
Klicken Sie auf das Papierkorbsymbol.
Klicken Sie im eingeblendeten Fenster auf Entfernen.
Informationen zum Abrufen detaillierter Fehlerinformationen zu fehlgeschlagenen Vorgängen im Cloud Storage-Browser finden Sie unter Fehlerbehebung.
gsutil
Verwenden Sie den Befehl gsutil iam ch
mit dem Flag -d
:
gsutil iam ch -d PRINCIPAL_TYPE:PRINCIPAL_NAME gs://BUCKET_NAME
Wobei:
PRINCIPAL_TYPE
ist der Typ des Hauptkontos, das Sie aus der Richtlinie entfernen. Beispiel:user
.PRINCIPAL_NAME
ist der Name des Hauptkontos, das Sie aus der Richtlinie entfernen. Beispiel:jane@gmail.com
.BUCKET_NAME
ist der Name des Buckets, auf den der Zugriff entfernt werden soll. Beispiel:my-bucket
.
Weitere Beispiele zum Formatieren von PRINCIPAL_TYPE:PRINCIPAL_NAME
finden Sie auf der Referenzseite zu gsutil iam ch
.
Codebeispiele
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Rufen Sie die Richtlinie ab, die für Ihr Projekt gilt. Verwenden Sie dazu
cURL
, um die JSON API mit einerGET getIamPolicy
-Anfrage aufzurufen:curl -X GET \ -H "Authorization: Bearer OAUTH2_TOKEN" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dabei gilt:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, dessen IAM-Richtlinie Sie aufrufen möchten. Beispiel:my-bucket
.
Erstellen Sie eine JSON-Datei mit der Richtlinie, die Sie im vorherigen Schritt abgerufen haben.
Entfernen Sie in der JSON-Datei das gewünschte Mitglied aus der Richtlinie.
Verwenden Sie
cURL
, um die JSON API mit einerPUT setIamPolicy
-Anfrage aufzurufen:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Wobei:
JSON_FILE_NAME
ist der Pfad für die Datei, die Sie in Schritt 3 erstellt haben.OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, für den der Zugriff entfernt werden soll. Beispiel:my-bucket
.
IAM-Bedingungen für Buckets verwenden
In den folgenden Abschnitten wird gezeigt, wie Sie IAM-Bedingungen zu Ihren Buckets hinzufügen und daraus entfernen. Informationen zur Anzeige von IAM-Bedingungen für Ihren Bucket finden Sie unter IAM-Richtlinie für einen Bucket ansehen. Weitere Informationen zur Verwendung von IAM-Bedingungen mit Cloud Storage finden Sie unter Bedingungen.
Bevor Sie Bedingungen hinzufügen, müssen Sie den einheitlichen Bucket-Zugriff für den Bucket aktivieren.
Neue Bedingung für einen Bucket festlegen
Console
- Wechseln Sie in der Cloud Console zum Cloud Storage-Browser.
Klicken Sie auf das Menü Bucket-Überlauf (
) ganz rechts in der Zeile des Buckets.
Wählen Sie Zugriff bearbeiten aus.
Klicken Sie auf Hauptkonto hinzufügen.
Füllen Sie unter Neue Hauptkonten die Hauptkonten aus, denen die Sie Zugriff auf Ihren Bucket gewähren möchten.
Führen Sie für jede Rolle, auf die Sie eine Bedingung anwenden möchten, Folgendes aus:
Wählen Sie unter Rolle eine Rolle aus, die Sie den Hauptkonten zuweisen möchten.
Klicken Sie auf Bedingung hinzufügen, um das Formular Bedingung bearbeiten aufzurufen.
Geben Sie unter Titel einen Titel für die Bedingung ein. Das Feld Beschreibung ist optional.
Verwenden Sie Builder für IAM-Bedingungen, um die Bedingung visuell zu erstellen, oder den Tab Bedingungseditor zum Eingeben eines CEL-Ausdrucks.
Klicken Sie auf Speichern, um zum Formular Hauptkonto hinzufügen zurückzukehren. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.
Klicken Sie auf Speichern.
Informationen zum Abrufen detaillierter Fehlerinformationen zu fehlgeschlagenen Vorgängen im Cloud Storage-Browser finden Sie unter Fehlerbehebung.
gsutil
Geben Sie zum Speichern der IAM-Richtlinie des Buckets in einer temporären JSON-Datei den Befehl
gsutil iam
ein:gsutil iam get gs://BUCKET_NAME > /tmp/policy.json
Dabei ist
BUCKET_NAME
der Name des Buckets, dessen IAM-Richtlinie Sie abrufen möchten. Beispiel:my-bucket
Bearbeiten Sie die Datei
/tmp/policy.json
in einem Texteditor und fügen Sie den Bindungen in der IAM-Richtlinie neue Bedingungen hinzu:{ "version": VERSION, "bindings": [ { "role": "IAM_ROLE", "members": [ "PRINCIPAL_NAME" ], "condition": { "title": "TITLE", "description": "DESCRIPTION", "expression": "EXPRESSION" } } ], "etag": "ETAG" }
Dabei gilt:
VERSION
ist die Version der IAM-Richtlinie. Für Buckets mit IAM-Bedingungen muss es die Version 3 sein.IAM ROLE
ist die Rolle, für die die Bedingung gilt. Beispiel:roles/storage.objectViewer
.PRINCIPAL_NAME
ist das Hauptkonto, auf das die Bedingung angewendet wird. Beispiel:jane@gmail.com
.TITLE
ist der Titel der Bedingung. Beispiel:expires in 2019
DESCRIPTION
ist eine optionale Beschreibung der Bedingung. Beispiel:Permission revoked on New Year's
EXPRESSION
ist ein attributbasierter logischer Ausdruck. Beispiel:request.time < timestamp(\"2019-01-01T00:00:00Z\")
. Weitere Beispiele für Ausdrücke finden Sie in der Referenz zu Bedingungsattributen. Beachten Sie, dass Cloud Storage nur die Attribute Datum/Uhrzeit, Ressourcentyp und Ressourcenname unterstützt.
Ändern Sie
ETAG
nicht.Legen Sie mit
gsutil iam
die geänderte IAM-Richtlinie für den Bucket fest.gsutil iam set /tmp/policy.json gs://BUCKET_NAME
Codebeispiele
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Verwenden Sie eine
GET getIamPolicy
-Anfrage, um die IAM-Richtlinie des Buckets in einer temporären JSON-Datei zu speichern:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer OAUTH2_TOKEN' > /tmp/policy.json
Wobei:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.
Bearbeiten Sie die Datei
/tmp/policy.json
in einem Texteditor und fügen Sie den Bindungen in der IAM-Richtlinie neue Bedingungen hinzu:{ "version": VERSION, "bindings": [ { "role": "IAM_ROLE", "members": [ "PRINCIPAL_NAME" ], "condition": { "title": "TITLE", "description": "DESCRIPTION", "expression": "EXPRESSION" } } ], "etag": "ETAG" }
Dabei gilt:
VERSION
ist die Version der IAM-Richtlinie. Für Buckets mit IAM-Bedingungen muss es die Version 3 sein.IAM_ROLE
ist die Rolle, für die die Bedingung gilt. Beispiel:roles/storage.objectViewer
.PRINCIPAL_NAME
ist das Hauptkonto, auf das die Bedingung angewendet wird. Beispiel:user:jane@gmail.com
.TITLE
ist der Titel der Bedingung. Beispiel:expires in 2019
DESCRIPTION
ist eine optionale Beschreibung der Bedingung. Beispiel:Permission revoked on New Year's
EXPRESSION
ist ein attributbasierter logischer Ausdruck. Beispiel:request.time < timestamp(\"2019-01-01T00:00:00Z\")
. Weitere Beispiele für Ausdrücke finden Sie in der Referenz zu Bedingungsattributen. Beachten Sie, dass Cloud Storage nur die Attribute Datum/Uhrzeit, Ressourcentyp und Ressourcenname unterstützt.Ändern Sie
ETAG
nicht.
Legen Sie mit einer
PUT setIamPolicy
-Anfrage die geänderte IAM-Richtlinie für den Bucket fest:curl -X PUT --data-binary @/tmp/policy.json \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Wobei:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.
Bedingung aus einem Bucket entfernen
Console
- Wechseln Sie in der Cloud Console zum Cloud Storage-Browser.
Klicken Sie auf das Menü Bucket-Überlauf (
) ganz rechts in der Zeile des Buckets.
Wählen Sie Zugriff bearbeiten aus.
Erweitern Sie die Rolle, die die Bedingung enthält, die Sie entfernen möchten.
Klicken Sie auf das Menü Bearbeiten (
) für das Hauptkonto, das der Bedingung zugeordnet ist.
Klicken Sie im eingeblendeten Fenster Bearbeitungszugriff auf den Namen der Bedingung, die Sie löschen möchten.
Klicken Sie im eingeblendeten Fenster Bedingung bearbeiten auf Löschen und anschließend auf Bestätigen.
Klicken Sie auf Speichern.
Informationen zum Abrufen detaillierter Fehlerinformationen zu fehlgeschlagenen Vorgängen im Cloud Storage-Browser finden Sie unter Fehlerbehebung.
gsutil
Geben Sie zum Speichern der IAM-Richtlinie des Buckets in einer temporären JSON-Datei den Befehl
gsutil iam
ein:gsutil iam get gs://BUCKET_NAME > /tmp/policy.json
Bearbeiten Sie die Datei
/tmp/policy.json
in einem Texteditor, um Bedingungen aus der IAM-Richtlinie zu entfernen.Legen Sie mit
gsutil iam
die geänderte IAM-Richtlinie für den Bucket fest.gsutil iam set /tmp/policy.json gs://BUCKET_NAME
Codebeispiele
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Verwenden Sie eine
GET getIamPolicy
-Anfrage, um die IAM-Richtlinie des Buckets in einer temporären JSON-Datei zu speichern:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer OAUTH2_TOKEN' > /tmp/policy.json
Wobei:
BUCKET_NAME
ist der Name des Buckets, auf den Sie Zugriff gewähren. Beispiel:my-bucket
.OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.
Bearbeiten Sie die Datei
/tmp/policy.json
in einem Texteditor, um Bedingungen aus der IAM-Richtlinie zu entfernen.Legen Sie mit einer
PUT setIamPolicy
-Anfrage die geänderte IAM-Richtlinie für den Bucket fest:curl -X PUT --data-binary @/tmp/policy.json \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Wobei:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.BUCKET_NAME
ist der Name des Buckets, dessen IAM-Richtlinie Sie ändern möchten. Beispiel:my-bucket
.
IAM mit Projekten verwenden
In den folgenden Abschnitten wird beschrieben, wie Sie grundlegende IAM-Aufgaben an Projekten ausführen. Bei diesen Aufgaben wird im Gegensatz zu den meisten Cloud Storage-Aufgaben ein anderer Befehlszeilenbefehl (gcloud
) und ein anderer Endpunkt (cloudresourcemanager.googleapis.com
) verwendet.
Für die folgenden Aufgaben benötigen Sie die IAM-Berechtigungen resourcemanager.projects.getIamPolicy
und resourcemanager.projects.setIamPolicy
.
Hauptkonten zu einer Richtlinie auf Projektebene hinzufügen
Eine Liste der mit Cloud Storage verknüpften Rollen finden Sie unter IAM-Rollen. Weitere Informationen zu Entitäten, denen Sie IAM-Rollen zuweisen, erhalten Sie unter Hauptkontotypen.
Console
- Öffnen Sie in der Google Cloud Console den Browser für IAM & Verwaltung.
Zum Browser „IAM & Verwaltung“ Wählen Sie im Drop-down-Menü des Projekts in der oberen Leiste das Projekt aus, dem Sie ein Hauptkonto hinzufügen möchten.
Klicken Sie auf Add. Das Dialogfeld Hauptkonten, Rollen zum Projekt hinzufügen wird angezeigt.
Geben Sie im Feld Neue Hauptkonten den Namen der Entität an, auf die Sie Zugriff gewähren möchten.
Wählen Sie unter Rolle auswählen die entsprechende Rolle für das Hauptkonto aus.
Die Rollen für Cloud Storage-Buckets und -Objekte finden Sie in den Untermenüs Projekt und Storage.
Klicken Sie auf Speichern.
gsutil
IAM-Richtlinien auf Projektebene werden über den gcloud
-Befehl verwaltet. Wenn Sie eine Richtlinie auf Projektebene hinzufügen möchten, verwenden Sie gcloud beta projects add-iam-policy-binding
.
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:
{ "policy": { "version": "0", "bindings": { "role": "IAM_ROLE", "members": "PRINCIPAL_NAME" }, } }
Wobei:
IAM_ROLE
ist die IAM-Rolle, die Sie zuweisen. Beispiel:roles/storage.objectViewer
.PRINCIPAL_NAME
ist der Typ und der Name des Hauptkontos, dem Sie Zugriff auf das Projekt gewähren. Beispiel:user:jane@gmail.com
Verwenden Sie
cURL
, um die Resource Manager API mit einerPOST setIamPolicy
-Anfrage aufzurufen:curl -X POST --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy"
Wobei:
JSON_FILE_NAME
ist der Pfad für die Datei, die Sie in Schritt 2 erstellt haben.OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.PROJECT_ID
ist die ID des Projekts, auf das Sie Zugriff gewähren. Beispiel:my-project
.
IAM-Richtlinie für ein Projekt aufrufen
Console
- Öffnen Sie in der Google Cloud Console den Browser für IAM & Verwaltung.
Zum Browser „IAM & Verwaltung“ Wählen Sie im Drop-down-Menü des Projekts in der oberen Leiste das Projekt aus, dessen Richtlinie Sie aufrufen möchten.
Zum Anzeigen von Berechtigungen für das Projekt haben Sie zwei Möglichkeiten:
- Anzeige nach Hauptkonten: Rufen Sie die Spalte Rolle auf, die einzelnen Hauptkonten zugeordnet ist, um zu sehen, welche Rollen die einzelnen Hauptkonten haben.
- Anzeige nach Rollen: Wenn Sie feststellen möchten, welche Hauptkonten eine bestimmte Rolle haben, verwenden Sie das Drop-down-Menü für die einzelnen Rollen.
gsutil
IAM-Richtlinien auf Projektebene werden über den gcloud
-Befehl verwaltet. Verwenden Sie den Befehl gcloud beta projects get-iam-policy
, um die IAM-Richtlinie eines Projekts anzusehen.
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Verwenden Sie
cURL
, um die Resource Manager API mit einerPOST getIamPolicy
-Anfrage aufzurufen:curl -X POST \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Length: 0" \ "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy"
Dabei gilt:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.PROJECT_ID
ist die ID des Projekts, auf das Sie Zugriff gewähren. Beispiel:my-project
.
Hauptkonten aus einer Richtlinie auf Projektebene entfernen
Console
- Öffnen Sie in der Google Cloud Console den Browser für IAM & Verwaltung.
Zum Browser „IAM & Verwaltung“ Wählen Sie im Drop-down-Menü des Projekts in der oberen Leiste das Projekt aus, aus dem Sie ein Hauptkonto entfernen möchten.
Prüfen Sie, ob die Berechtigungen nach Hauptkonten angezeigt werden, und wählen Sie die Hauptkonten aus, die Sie entfernen möchten.
Klicken Sie auf Entfernen.
Klicken Sie im eingeblendeten Fenster auf Bestätigen.
gsutil
IAM-Richtlinien auf Projektebene werden über den gcloud
-Befehl verwaltet. Wenn Sie eine Richtlinie auf Projektebene entfernen möchten, verwenden Sie gcloud beta projects remove-iam-policy-binding
.
JSON
- Rufen Sie ein Zugriffstoken für die Autorisierung aus dem OAuth 2.0 Playground ab. Konfigurieren Sie den Playground so, dass Ihre eigenen OAuth-Anmeldedaten verwendet werden. Eine Anleitung finden Sie unter API-Authentifizierung.
Rufen Sie die Richtlinie ab, die für Ihr Projekt gilt. Verwenden Sie dazu
cURL
, um die Resource Manager API mit einerPOST getIamPolicy
-Anfrage aufzurufen:curl -X POST \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Length: 0" \ "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy"
Dabei gilt:
OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.PROJECT_ID
ist die ID des Projekts, für das Sie den Zugriff entfernen möchten. Beispiel:my-project
.
Erstellen Sie eine JSON-Datei mit der Richtlinie, die Sie im vorherigen Schritt abgerufen haben.
Entfernen Sie in der JSON-Datei das gewünschte Mitglied aus der Richtlinie.
Verwenden Sie
cURL
, um die Resource Manager API mit einerPOST setIamPolicy
-Anfrage aufzurufen:curl -X POST --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer OAUTH2_TOKEN" \ -H "Content-Type: application/json" \ "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy"
Wobei:
JSON_FILE_NAME
ist der Pfad für die Datei, die Sie in Schritt 2 erstellt haben.OAUTH2_TOKEN
ist das Zugriffstoken, das Sie in Schritt 1 generiert haben.PROJECT_ID
ist die ID des Projekts, für das Sie den Zugriff entfernen möchten. Beispiel:my-project
.
Weitere Informationen
- Weitere Informationen zum Veröffentlichen von Daten
- Mehr über IAM in Cloud Storage erfahren
- Beispiele für Freigabe und Zusammenarbeit
- Zugriff auf Daten steuern
- Best Practices für die Verwendung von IAM