Projekte

Auf dieser Seite wird die Beziehung zwischen Google Cloud Console-Projekten und Cloud Storage-Ressourcen erläutert. Weitere Informationen zu Google Cloud Console-Projekten im Allgemeinen finden Sie unter Projekte in Google Cloud.

Was ist ein Projekt?

Es dient zur Organisation all Ihrer Google Cloud-Ressourcen. Alle Daten in Cloud Storage gehören zu einem Projekt. Ein Projekt umfasst mehrere Nutzer und APIs sowie Abrechnungs-, Authentifizierungs- und Überwachungseinstellungen für diese APIs. So befinden sich in einem Projekt beispielsweise alle Ihre Cloud Storage-Buckets und -Objekte sowie die Nutzerberechtigungen für den Zugriff darauf. Sie können ein Projekt haben oder mehrere Projekte erstellen und mit diesen Ihre Google Cloud-Ressourcen, einschließlich Ihrer Cloud Storage-Daten, in logischen Gruppen organisieren.

In welchen Fällen sollte ein Projekt angegeben werden?

In den meisten Fällen müssen Sie kein Projekt angeben, wenn Sie in Cloud Storage Aktionen ausführen. In den folgenden Fällen sollten Sie allerdings entweder die Projekt-ID oder die Projektnummer angeben.

Console

  • Wenn Sie Cloud Storage mit der Google Cloud Console verwenden, werden Sie automatisch einem Projekt zugeordnet. Sie können Projekte über das Drop-down-Menü oben im Google Cloud Console-Fenster ändern.

  • Wenn Sie zum ersten Mal auf einen Bucket zugreifen, für den Anforderer bezahlt aktiviert ist, werden Sie aufgefordert, ein Projekt auszuwählen, über das Anfragen abgerechnet werden sollen. Nachträglich können Sie das Abrechnungsprojekt ändern. Dazu klicken Sie im Bucket über der Liste der Objekte auf die Schaltfläche Projekt ändern.

Befehlszeile

Die folgenden Befehle verwenden das in Ihrer Google Cloud CLI-Konfiguration festgelegte Attribut project, es sei denn, Sie verwenden das globale --project-Flag im Befehl, um ein anderes Projekt anzugeben:

Verwenden Sie das globale --billing-project-Flag zusammen mit einer Projekt-ID, um das Projekt anzugeben, das für den Bucket-Zugriff abgerechnet werden soll. Dies ist beim Zugriff auf einen Bucket erforderlich, für den Anforderer bezahlt aktiviert wurde. Andernfalls ist es optional.

Clientbibliotheken

Für die Cloud Storage-Clientbibliotheken muss ein Projekt wie bei der JSON API angegeben werden.

JSON API

Bei folgenden Methoden müssen Sie ein Projekt angeben:

Das Projekt wird wie im folgenden Beispiel als Parameter in der Anfrage-URL gesendet:

GET https://storage.googleapis.com/storage/v1/b?project=PROJECT_IDENTIFIER
  • Verwenden Sie für die Angabe eines Projekts zur Abrechnung des Zugriffs auf einen Bucket wie im folgenden Beispiel den Abfrageparameter "userProject" zusammen mit einer Projekt-ID:

    GET https://storage.googleapis.com/storage/v1/b?userProject=PROJECT_IDENTIFIER

    Dieser Abfrageparameter ist beim Zugriff auf einen Bucket erforderlich, für den Anforderer bezahlt aktiviert wurde. Andernfalls ist er optional.

XML API

Bei folgenden Anfragen müssen Sie ein Projekt angeben, es sei denn, Sie legen ein Standardprojekt für interoperablen Zugriff fest:

Das Projekt, das diesen XML API-Anfragen zugeordnet ist, wird wie im folgenden Beispiel im HTTP-Header x-goog-project-id angegeben:

x-goog-project-id: PROJECT_ID

Bei anderen XML API-Anfragen ist der Header optional.

  • Verwenden Sie zum Angeben eines Projekts zur Abrechnung des Zugriffs auf einen Bucket wie im folgenden Beispiel den Header "x-goog-user-project" zusammen mit einer Projekt-ID:

    x-goog-user-project: PROJECT_ID

    Dieser Header ist beim Zugriff auf einen Bucket erforderlich, für den Anforderer bezahlt aktiviert wurde. Andernfalls ist er optional.

Projekte und Berechtigungen

Mit Identity and Access Management (IAM) können Sie Projekte verwalten und bearbeiten. Wenn Sie einem Hauptkonto, z. B. einem Nutzerkonto, eine IAM-Rolle zuweisen, erhält dieses Hauptkonto bestimmte Berechtigungen, mit denen es Aktionen ausführen kann. Wenn Sie eine Rolle auf Projektebene zuweisen, gilt der von der Rolle bereitgestellte Zugriff für jeden Bucket und jedes Objekt innerhalb des Projekts. Wenn Sie alternativ eine Rolle für einen einzelnen Bucket zuweisen, ist der von der Rolle bereitgestellte Zugriff nur auf diesen Bucket und die Objekte im Bucket beschränkt.

Eine Liste der verfügbaren Rollen, die für Cloud Storage gelten, sowie eine Diskussion darüber, wie eine bestimmte Gruppe von Rollen, die sogenannten einfachen Rollen, für Cloud Storage gelten, finden Sie unter IAM-Rollen in Cloud Storage.

Eine Anleitung, wie Sie Hauptkonten auf Bucket- und Projektebene Rollen zuweisen, entziehen und diese ansehen finden Sie unter IAM mit Projekten verwenden.

Dienstkonten

Mit Dienstkonten können Anwendungen Google Cloud-Ressourcen und -Dienste authentifizieren und darauf zugreifen. Beispielsweise können Sie ein Dienstkonto erstellen, mit dem Ihre Compute Engine-Instanzen auf Objekte zugreifen, die in Cloud Storage-Buckets gespeichert sind. Dienstkonten werden innerhalb eines Projekts erstellt und haben eine eindeutige E-Mail-Adresse, die sie identifiziert.

Im Folgenden finden Sie Beispiele für Aktionen in Bezug auf Cloud Storage, die häufig von Dienstkonten verwendet werden, die Sie erstellen und verwalten:

Dienst-Agent

Ein Dienst-Agent ist eine spezielle Art von Dienstkonto, das im Namen eines Google Cloud-Dienstes agiert. Cloud Storage verwendet einen Dienst-Agent für die folgenden Features:

Wenn Sie ein Projekt erstellen, ist der Cloud Storage-Dienst-Agent erst einmal nicht verfügbar. Er wird jedoch beim ersten Zugriff automatisch aktiviert, entweder durch eines der oben genannten Features oder wenn Sie den Namen des Dienst-Agents anfordern. Bevor Sie ihm Berechtigungen zuweisen können, muss das Dienstkonto aktiviert werden.

Im Folgenden finden Sie eine Beispiel-E-Mail-Adresse für den Cloud Storage-Dienst-Agenten, der mit der Projektnummer 123456789876 verknüpft ist:

service-123456789876@gs-project-accounts.iam.gserviceaccount.com

Nächste Schritte