Auf dieser Seite werden die IAM-Berechtigungen (Identity and Access Management) erläutert, die erforderlich sind, um Aktionen im Cloud Storage-Teil der Google Cloud Console auszuführen. IAM-Berechtigungen werden zusammengefasst, um Rollen zu erstellen. Außerdem weisen Sie Nutzern und Gruppen Rollen zu.
Allgemeine Berechtigungen, die zum Verwenden der Google Cloud Console erforderlich sind
Zum Verwenden der Google Cloud Console sind bestimmte Berechtigungen erforderlich:
Alle Aktionen mit Buckets sollten die Berechtigungen
resourcemanager.projects.get
undstorage.buckets.list
auf Projektebene enthalten.Mit diesen Berechtigungen können Sie auf die Buckets-Seite zugreifen, auf der Sie Buckets erstellen, ansehen und aktualisieren.
Für alle Aktionen, bei denen in der Anfrage ein Abrechnungsprojekt enthalten ist, brauchen Sie die Berechtigung
serviceusage.services.use
für das angegebene Projekt.Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen. Ein Abrechnungsprojekt wird beispielsweise hinzugefügt, wenn auf einen Bucket bei aktivierter Funktion Anforderer bezahlt zugegriffen wird.
Berechtigungen für bestimmte Aktionen
Aktion | Erforderliche IAM-Berechtigungen (zusätzlich zu den oben aufgeführten) |
---|---|
Bucket erstellen | storage.buckets.create storage.buckets.enableObjectRetention 1 |
Tag an einen Bucket anhängen | storage.buckets.createTagBinding |
Buckets auflisten oder filtern | Keine weiteren Berechtigungen |
Tags auflisten, die direkt an einen Bucket angehängt sind | storage.buckets.listTagBindings |
Sowohl übernommene Tags als auch Tags auflisten, die direkt an einen Bucket angehängt sind | storage.buckets.listEffectiveTags |
Sehen Sie sich die folgenden Bucket-Informationen an:
|
storage.buckets.get |
Ändern Sie die folgenden Bucket-Einstellungen:
|
storage.buckets.get storage.buckets.update storage.buckets.enableObjectRetention 1 |
Funktion "Sender bezahlt" aktivieren | storage.buckets.get storage.buckets.update |
Funktion "Sender bezahlt" deaktivieren | storage.buckets.get storage.buckets.update resourcemanager.projects.createBillingAssignment 3 |
Einstellung für die Verhinderung des öffentlichen Zugriffs ändern | storage.buckets.get storage.buckets.setIamPolicy storage.buckets.update |
Bucket-Berechtigungen ändern | storage.buckets.get storage.buckets.getIamPolicy storage.buckets.setIamPolicy storage.buckets.update |
Leeren Bucket löschen | storage.buckets.delete storage.objects.list |
Nichtleeren Bucket löschen | storage.buckets.delete storage.objects.delete storage.objects.list |
Tags von einem Bucket trennen | storage.buckets.deleteTagBinding |
Ordner erstellen | storage.folders.create |
Metadaten eines Ordners abrufen | storage.folders.get |
Ordner auflisten | storage.folders.list |
Ordner umbenennen | storage.folders.rename (für den Quell-Bucket)storage.folders.create (für den Ziel-Bucket) |
Ordner löschen | storage.folders.delete |
Objekt oder Objektordner hochladen | storage.objects.create storage.objects.delete 2storage.objects.setRetention 4 |
Details zu einem Objekt ansehen5 | storage.objects.get storage.objects.list |
Versionsverlauf eines Objekts ansehen | storage.objects.get storage.objects.list |
Objekt5 oder Objektordner herunterladen | storage.objects.get storage.objects.list |
Objekte in einem Bucket auflisten, einschließlich nicht aktueller Objekte und vorläufig gelöschter Objekte | storage.objects.list |
Bestimmen, ob ein Objekt öffentlich zugänglich ist5 | storage.buckets.getIamPolicy storage.objects.list storage.objects.getIamPolicy 7 |
Objekt umbenennen oder eine nicht aktuelle Version eines Objekts wiederherstellen | storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 7storage.objects.setIamPolicy 7 |
Objekt kopieren | storage.objects.create storage.objects.delete 2storage.objects.get storage.objects.list storage.objects.getIamPolicy 7.8storage.objects.setIamPolicy 7.8 |
Objekt verschieben | storage.objects.create storage.objects.delete 2storage.objects.delete storage.objects.get storage.objects.list storage.objects.getIamPolicy 7.8storage.objects.setIamPolicy 7.8 |
Zugriffsberechtigungen eines Objekts ansehen5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy |
Zugriffsberechtigungen eines Objekts bearbeiten5,6 | storage.objects.get storage.objects.list storage.objects.getIamPolicy storage.objects.setIamPolicy storage.objects.update |
Metadaten eines Objekts bearbeiten5 | storage.objects.get storage.objects.list storage.objects.update |
Aufbewahrungskonfiguration für ein Objekt hinzufügen, ändern oder entfernen5 | storage.objects.get storage.objects.list storage.objects.update storage.objects.setRetention storage.objects.overrideUnlockedRetention 9 |
Hold für ein Objekt einfügen oder entfernen5 | storage.objects.get storage.objects.list storage.objects.update |
Ein Objekt5, eine nicht aktuelle Version eines Objekts oder einen Ordner mit Objekten löschen | storage.objects.delete storage.objects.list |
Gelöschtes Objekt wiederherstellen | storage.objects.create storage.objects.delete 2storage.objects.list storage.objects.restore |
Gelöschte Objekte im Bulk wiederherstellen | storage.objects.create storage.objects.delete 10storage.objects.restore storage.buckets.restore storage.objects.setIamPolicy 7,11 |
Name des Cloud Storage-Dienst-Agents eines Projekts ansehen | resourcemanager.projects.get |
HMAC-Schlüssel des Dienstkontos für ein Projekt aufrufen | resourcemanager.projects.get storage.hmacKeys.list |
HMAC-Schlüssel für ein Dienstkonto erstellen | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.create |
HMAC-Schlüssel für ein Dienstkonto deaktivieren oder reaktivieren | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.update |
HMAC-Schlüssel für ein Dienstkonto löschen | resourcemanager.projects.get storage.hmacKeys.list storage.hmacKeys.delete |
HMAC-Schlüssel für das Nutzerkonto, als das Sie angemeldet sind, erstellen, aufrufen oder löschen | resourcemanager.projects.get |
1 Diese Berechtigung ist nur erforderlich, wenn Sie für einen Bucket die Unterstützung von Aufbewahrungskonfigurationen für Objekte aktivieren.
2Diese Berechtigung ist nur erforderlich, wenn im Ziel-Bucket bereits ein Objekt mit demselben Namen vorhanden ist.
3Diese Berechtigung ist nur erforderlich, wenn in Ihrer Anfrage kein Abrechnungsprojekt enthalten ist. Weitere Informationen finden Sie auf der Seite "Sender bezahlt" unter Anforderungen für Zugriff und Verwendung.
4 Diese Berechtigung ist nur erforderlich, wenn beim Hochladen des Objekts eine Aufbewahrungskonfiguration hinzugefügt wird.
5Für diese Aktion ist storage.objects.list
nicht erforderlich, wenn sie auf der Detailseite für das betreffende Objekt ausgeführt wird und Sie die Detailseite nicht über die Gesamtliste der Objekte für den Bereich aufrufen.
6 Diese Aktion gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.
7 Diese Berechtigung gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.
8 Diese Berechtigung ist nur erforderlich, wenn die Berechtigungen, die derzeit auf das Quellobjekt angewendet werden, beibehalten werden.
9 Diese Berechtigung ist erforderlich, wenn eine vorhandene Aufbewahrungskonfiguration so geändert wird, dass sie gesperrt, reduziert oder entfernt wird.
10 Diese Berechtigung ist nur erforderlich, wenn im Ziel-Bucket bereits ein Objekt mit demselben Namen vorhanden ist und Sie die Option Liveobjekte überschreiben auswählen.
11 Diese Berechtigung ist nur erforderlich, wenn Sie die Option Zugriffssteuerungen (ACLs) der Quelle kopieren auswählen.
Nächste Schritte
Eine Liste der Rollen und der darin enthaltenen Berechtigungen finden Sie unter IAM-Rollen für Cloud Storage.