IAM-Berechtigungen für die Google Cloud Console

Auf dieser Seite werden die IAM-Berechtigungen (Identity and Access Management) erläutert, die erforderlich sind, um Aktionen im Cloud Storage-Teil der Google Cloud Console auszuführen. IAM-Berechtigungen werden zusammengefasst, um Rollen zu erstellen. Außerdem weisen Sie Nutzern und Gruppen Rollen zu.

Allgemeine Berechtigungen, die zum Verwenden der Google Cloud Console erforderlich sind

Zum Verwenden der Google Cloud Console sind bestimmte Berechtigungen erforderlich:

  • Alle Aktionen mit Buckets sollten die Berechtigungen resourcemanager.projects.get und storage.buckets.list auf Projektebene enthalten.

    Mit diesen Berechtigungen können Sie auf die Buckets-Seite zugreifen, auf der Sie Buckets erstellen, ansehen und aktualisieren.

  • Für alle Aktionen, bei denen in der Anfrage ein Abrechnungsprojekt enthalten ist, brauchen Sie die Berechtigung serviceusage.services.use für das angegebene Projekt.

    Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen. Ein Abrechnungsprojekt wird beispielsweise hinzugefügt, wenn auf einen Bucket bei aktivierter Funktion Anforderer bezahlt zugegriffen wird.

Berechtigungen für bestimmte Aktionen

Aktion Erforderliche IAM-Berechtigungen (zusätzlich zu den oben aufgeführten)
Bucket erstellen storage.buckets.create storage.buckets.enableObjectRetention1
Tag an einen Bucket anhängen storage.buckets.createTagBinding
Buckets auflisten oder filtern Keine weiteren Berechtigungen
Tags auflisten, die direkt an einen Bucket angehängt sind storage.buckets.listTagBindings
Sowohl übernommene Tags als auch Tags auflisten, die direkt an einen Bucket angehängt sind storage.buckets.listEffectiveTags
Sehen Sie sich die folgenden Bucket-Informationen an:
  • Speicherort, Replikationsstatus und Standardspeicherklasse
  • Einstellungen für Schutzmaßnahmen
  • Bucket-Labels
  • Richtlinien für den Objektlebenszyklus
  • Status zum Schutz vor öffentlichem Zugriff
  • Einheitlicher Zugriff auf Bucket-Ebene
  • Autoclass-Status
  • Websitekonfiguration
storage.buckets.get
Ändern Sie die folgenden Bucket-Einstellungen:
  • Einstellungen für Schutzmaßnahmen
  • Standardspeicherklasse
  • Bucket-Labels
  • Richtlinien für den Objektlebenszyklus
  • Einheitlicher Zugriff auf Bucket-Ebene
  • Autoclass-Status
  • Websitekonfiguration
  • Konfigurationen für die Objektaufbewahrung
storage.buckets.get
storage.buckets.update
storage.buckets.enableObjectRetention1
Funktion "Sender bezahlt" aktivieren storage.buckets.get
storage.buckets.update
Funktion "Sender bezahlt" deaktivieren storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
Einstellung für die Verhinderung des öffentlichen Zugriffs ändern storage.buckets.get
storage.buckets.setIamPolicy
storage.buckets.update
Bucket-Berechtigungen ändern storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
Leeren Bucket löschen storage.buckets.delete
storage.objects.list
Nichtleeren Bucket löschen storage.buckets.delete
storage.objects.delete
storage.objects.list
Tags von einem Bucket trennen storage.buckets.deleteTagBinding
Ordner erstellen storage.folders.create
Metadaten eines Ordners abrufen storage.folders.get
Ordner auflisten storage.folders.list
Ordner umbenennen storage.folders.rename (für den Quell-Bucket)
storage.folders.create (für den Ziel-Bucket)
Ordner löschen storage.folders.delete
Objekt oder Objektordner hochladen storage.objects.create
storage.objects.delete2
storage.objects.setRetention4
Details zu einem Objekt ansehen5 storage.objects.get
storage.objects.list
Versionsverlauf eines Objekts ansehen storage.objects.get
storage.objects.list
Objekt5 oder Objektordner herunterladen storage.objects.get
storage.objects.list
Objekte in einem Bucket auflisten, einschließlich nicht aktueller Objekte und vorläufig gelöschter Objekte storage.objects.list
Bestimmen, ob ein Objekt öffentlich zugänglich ist5 storage.buckets.getIamPolicy
storage.objects.list
storage.objects.getIamPolicy7
Objekt umbenennen oder eine nicht aktuelle Version eines Objekts wiederherstellen storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.getIamPolicy7
storage.objects.setIamPolicy7
Objekt kopieren storage.objects.create (für den Ziel-Bucket)
storage.objects.delete2 (für den Ziel-Bucket)
storage.objects.get (für das Quellobjekt)
storage.objects.list (für den Quell-Bucket und den Ziel-Bucket)
storage.objects.getIamPolicy7.8 (für das Quellobjekt)
storage.objects.setIamPolicy7.8 (für den Ziel-Bucket)
Objekt verschieben storage.objects.create (für den Ziel-Bucket)
storage.objects.delete2 (für den Ziel-Bucket)
storage.objects.delete (für den Quell-Bucket)
storage.objects.get (für das Quellobjekt)
storage.objects.list (für den Quell-Bucket und den Ziel-Bucket)
storage.objects.getIamPolicy7.8 (für das Quellobjekt)
storage.objects.setIamPolicy7.8 (für den Ziel-Bucket)
Zugriffsberechtigungen eines Objekts ansehen5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
Zugriffsberechtigungen eines Objekts bearbeiten5,6 storage.objects.get
storage.objects.list
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
Metadaten eines Objekts bearbeiten5 storage.objects.get
storage.objects.list
storage.objects.update
Aufbewahrungskonfiguration für ein Objekt hinzufügen, ändern oder entfernen5 storage.objects.get
storage.objects.list
storage.objects.update
storage.objects.setRetention
storage.objects.overrideUnlockedRetention9
Hold für ein Objekt einfügen oder entfernen5 storage.objects.get
storage.objects.list
storage.objects.update
Ein Objekt5, eine nicht aktuelle Version eines Objekts oder einen Ordner mit Objekten löschen storage.objects.delete
storage.objects.list
Gelöschtes Objekt wiederherstellen storage.objects.create
storage.objects.delete2
storage.objects.list
storage.objects.restore
Gelöschte Objekte im Bulk wiederherstellen storage.objects.create
storage.objects.delete10
storage.objects.restore
storage.buckets.restore
storage.objects.setIamPolicy7,11
Name des Cloud Storage-Dienst-Agents eines Projekts ansehen resourcemanager.projects.get
HMAC-Schlüssel des Dienstkontos für ein Projekt aufrufen resourcemanager.projects.get
storage.hmacKeys.list
HMAC-Schlüssel für ein Dienstkonto erstellen resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.create
HMAC-Schlüssel für ein Dienstkonto deaktivieren oder reaktivieren resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.update
HMAC-Schlüssel für ein Dienstkonto löschen resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.delete
HMAC-Schlüssel für das Nutzerkonto, als das Sie angemeldet sind, erstellen, aufrufen oder löschen resourcemanager.projects.get

1 Diese Berechtigung ist nur erforderlich, wenn Sie für einen Bucket die Unterstützung von Aufbewahrungskonfigurationen für Objekte aktivieren.

2Diese Berechtigung ist nur erforderlich, wenn im Ziel-Bucket bereits ein Objekt mit demselben Namen vorhanden ist.

3Diese Berechtigung ist nur erforderlich, wenn in Ihrer Anfrage kein Abrechnungsprojekt enthalten ist. Weitere Informationen finden Sie auf der Seite "Sender bezahlt" unter Anforderungen für Zugriff und Verwendung.

4 Diese Berechtigung ist nur erforderlich, wenn beim Hochladen des Objekts eine Aufbewahrungskonfiguration hinzugefügt wird.

5Für diese Aktion ist storage.objects.list nicht erforderlich, wenn sie auf der Detailseite für das betreffende Objekt ausgeführt wird und Sie die Detailseite nicht über die Gesamtliste der Objekte für den Bereich aufrufen.

6 Diese Aktion gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.

7 Diese Berechtigung gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.

8 Diese Berechtigung ist nur erforderlich, wenn die Berechtigungen, die derzeit auf das Quellobjekt angewendet werden, beibehalten werden.

9 Diese Berechtigung ist erforderlich, wenn eine vorhandene Aufbewahrungskonfiguration so geändert wird, dass sie gesperrt, reduziert oder entfernt wird.

10 Diese Berechtigung ist nur erforderlich, wenn im Ziel-Bucket bereits ein Objekt mit demselben Namen vorhanden ist und Sie die Option Liveobjekte überschreiben auswählen.

11 Diese Berechtigung ist nur erforderlich, wenn Sie die Option Zugriffssteuerungen (ACLs) der Quelle kopieren auswählen.

Nächste Schritte