Auf dieser Seite wird beschrieben, wie Sie IAM-Richtlinien (Identity and Access Management) für Buckets festlegen, um den Zugriff auf Objekte und verwaltete Ordner in diesen Buckets zu steuern.
Wenn Sie nach anderen Methoden der Zugriffssteuerung suchen, finden Sie weitere Informationen in den folgenden Ressourcen:
Weitere Informationen zu einer detailgenaueren Steuerung von Objektgruppen finden Sie unter IAM-Richtlinien für verwaltete Ordner festlegen und verwalten.
Eine alternative Möglichkeit, den Zugriff auf einzelne Objekte in Ihren Buckets zu steuern, finden Sie unter Zugriffssteuerungslisten.
Weitere Informationen zur Steuerung des Zugriffs auf Cloud Storage-Ressourcen finden Sie unter Übersicht über die Zugriffssteuerung.
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle „Storage-Administrator“ (roles/storage.admin
) für den Bucket zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Festlegen und Verwalten von IAM-Richtlinien für einen Bucket benötigen.
Diese Rolle enthält die folgenden Berechtigungen, die zum Festlegen und Verwalten von IAM-Richtlinien für Buckets erforderlich sind:
storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
storage.buckets.list
- Diese Berechtigung ist nur erforderlich, wenn Sie die Google Cloud Console zum Ausführen der Aufgaben auf dieser Seite verwenden möchten.
Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen erhalten.
Hauptkonto zu einer Richtlinie auf Bucket-Ebene hinzufügen
Eine Liste der mit Cloud Storage verknüpften Rollen finden Sie unter IAM-Rollen. Weitere Informationen zu Entitäten, denen Sie IAM-Rollen zuweisen, erhalten Sie unter Hauptkonto-Kennungen.
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, für den Sie einem Hauptkonto eine Rolle zuweisen möchten.
Wählen Sie oben auf der Seite den Tab Berechtigungen aus.
Klicken Sie auf die Schaltfläche add_boxZugriff gewähren.
Das Dialogfeld Hauptkonten hinzufügen wird angezeigt.
Geben Sie in das Feld Neue Hauptkonten eine oder mehrere Identitäten ein, die Zugriff auf den Bucket erhalten sollen.
Wählen Sie aus dem Drop-down-Menü Rolle auswählen eine oder mehrere Rollen aus. Die ausgewählten Rollen werden in der Ansicht mit einer kurzen Beschreibung ihrer jeweiligen Berechtigungen angezeigt.
Klicken Sie auf Speichern.
Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.
Befehlszeile
Führen Sie folgenden buckets add-iam-policy-binding
-Befehl aus:
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Dabei gilt:
BUCKET_NAME
ist der Name des Buckets, auf den Sie dem Hauptkonto Zugriff erteilen. Beispiel:my-bucket
PRINCIPAL_IDENTIFIER
gibt an, wem Sie den Zugriff auf den Bucket gewähren. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.IAM_ROLE
ist die IAM-Rolle, die Sie dem Hauptkonto zuweisen. Beispiel:roles/storage.objectViewer
Clientbibliotheken
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
REST APIs
JSON
Die gcloud CLI installieren und initialisieren, um ein Zugriffstoken für den Header
Authorization
zu generieren.Erstellen Sie eine JSON-Datei, die folgende Informationen enthält:
{ "bindings":[ { "role": "IAM_ROLE", "members":[ "PRINCIPAL_IDENTIFIER" ] } ] }
Dabei gilt:
IAM_ROLE
ist die IAM-Rolle, die Sie zuweisen. Beispiel:roles/storage.objectViewer
PRINCIPAL_IDENTIFIER
gibt an, wem Sie den Zugriff auf den Bucket gewähren. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.
Verwenden Sie
cURL
, um die JSON API mit einerPUT setIamPolicy
-Anfrage aufzurufen:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dabei gilt:
JSON_FILE_NAME
ist der Pfad für die Datei, die Sie in Schritt 2 erstellt haben.BUCKET_NAME
ist der Name des Buckets, für den Sie dem Hauptkonto Zugriff gewähren möchten. Beispiel:my-bucket
IAM-Richtlinie für einen Bucket ansehen
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, dessen Richtlinie Sie aufrufen möchten.
Klicken Sie auf der Seite Bucket-Details auf den Tab Berechtigungen.
Die für den Bucket geltende IAM-Richtlinie wird im Bereich Berechtigungen angezeigt.
Optional: Verwenden Sie die Filterleiste, um die Ergebnisse zu filtern.
Wenn Sie nach Hauptkonto suchen, werden in den Ergebnissen alle Rollen angezeigt, die dem Hauptkonto zugewiesen wurden.
Befehlszeile
Führen Sie folgenden buckets get-iam-policy
-Befehl aus:
gcloud storage buckets get-iam-policy gs://BUCKET_NAME
Dabei ist BUCKET_NAME
der Name des Buckets, dessen IAM-Richtlinie Sie aufrufen möchten. Beispiel: my-bucket
Clientbibliotheken
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
REST APIs
JSON
Die gcloud CLI installieren und initialisieren, um ein Zugriffstoken für den Header
Authorization
zu generieren.Verwenden Sie
cURL
, um die JSON API mit einerGET getIamPolicy
-Anfrage aufzurufen:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dabei ist
BUCKET_NAME
der Name des Buckets, dessen IAM-Richtlinie Sie aufrufen möchten. Beispiel:my-bucket
Hauptkonten aus einer Richtlinie auf Bucket-Ebene entfernen
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, für den Sie die Rolle eines Hauptkontos entfernen möchten.
Klicken Sie auf der Seite Bucket-Details auf den Tab Berechtigungen.
Die für den Bucket geltende IAM-Richtlinie wird im Bereich Berechtigungen angezeigt.
Setzen Sie auf dem Tab Nach Hauptkonten ansehen das Häkchen für das Hauptkonto, das Sie entfernen möchten.
Klicken Sie auf - Zugriff entfernen.
Klicken Sie im eingeblendeten Fenster auf Bestätigen.
Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.
Befehlszeile
Führen Sie folgenden buckets remove-iam-policy-binding
-Befehl aus:
gcloud storage buckets remove-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE
Dabei gilt:
BUCKET_NAME
ist der Name des Buckets, für den Sie den Zugriff widerrufen. Beispiel:my-bucket
PRINCIPAL_IDENTIFIER
gibt an, für wen Sie den Zugriff widerrufen. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.IAM_ROLE
ist die IAM-Rolle, die Sie widerrufen. Beispiel:roles/storage.objectViewer
Clientbibliotheken
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
REST APIs
JSON
Die gcloud CLI installieren und initialisieren, um ein Zugriffstoken für den Header
Authorization
zu generieren.Rufen Sie die vorhandene Richtlinie ab, die für Ihren Bucket gilt. Verwenden Sie dazu
cURL
, um die JSON API mit einerGET getIamPolicy
-Anfrage aufzurufen:curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dabei ist
BUCKET_NAME
der Name des Buckets, dessen IAM-Richtlinie Sie aufrufen möchten. Beispiel:my-bucket
Erstellen Sie eine JSON-Datei mit der Richtlinie, die Sie im vorherigen Schritt abgerufen haben.
Entfernen Sie in der JSON-Datei das gewünschte Mitglied aus der Richtlinie.
Verwenden Sie
cURL
, um die JSON API mit einerPUT setIamPolicy
-Anfrage aufzurufen:curl -X PUT --data-binary @JSON_FILE_NAME \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dabei gilt:
JSON_FILE_NAME
ist der Pfad für die Datei, die Sie in Schritt 3 erstellt haben.BUCKET_NAME
ist der Name des Buckets, für den der Zugriff entfernt werden soll. Beispiel:my-bucket
IAM-Bedingungen für Buckets verwenden
In den folgenden Abschnitten wird gezeigt, wie Sie IAM-Bedingungen zu Ihren Buckets hinzufügen und daraus entfernen. Informationen zur Anzeige von IAM-Bedingungen für Ihren Bucket finden Sie unter IAM-Richtlinie für einen Bucket ansehen. Weitere Informationen zur Verwendung von IAM-Bedingungen mit Cloud Storage finden Sie unter Bedingungen.
Bevor Sie Bedingungen hinzufügen, müssen Sie den einheitlichen Bucket-Zugriff für den Bucket aktivieren.
Neue Bedingung für einen Bucket festlegen
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, für den Sie eine neue Bedingung hinzufügen möchten.
Klicken Sie auf der Seite Bucket-Details auf den Tab Berechtigungen.
Die für den Bucket geltende IAM-Richtlinie wird im Bereich Berechtigungen angezeigt.
Klicken Sie auf + Zugriff gewähren.
Füllen Sie unter Neue Hauptkonten die Hauptkonten aus, denen die Sie Zugriff auf Ihren Bucket gewähren möchten.
Führen Sie für jede Rolle, auf die Sie eine Bedingung anwenden möchten, Folgendes aus:
Wählen Sie unter Rolle eine Rolle aus, die Sie den Hauptkonten zuweisen möchten.
Klicken Sie auf Bedingung hinzufügen, um das Formular Bedingung bearbeiten aufzurufen.
Geben Sie unter Titel einen Titel für die Bedingung ein. Das Feld Beschreibung ist optional.
Verwenden Sie Builder für IAM-Bedingungen, um die Bedingung visuell zu erstellen, oder den Tab Bedingungseditor zum Eingeben eines CEL-Ausdrucks.
Klicken Sie auf Speichern, um zum Formular Hauptkonto hinzufügen zurückzukehren. Wenn Sie mehrere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen.
Klicken Sie auf Speichern.
Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.
Befehlszeile
Erstellen Sie eine JSON- oder YAML-Datei, die die Bedingung definiert, einschließlich des
title
der Bedingung, der attributbasierten Logikexpression
für die Bedingung und optional einesdescription
für die Bedingung.Beachten Sie, dass Cloud Storage in der
expression
nur die Attribute Datum/Uhrzeit, Ressourcentyp und Ressourcenname unterstützt.Führen Sie den Befehl
buckets add-iam-policy-binding
mit dem Flag--condition-from-file
aus.
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=PRINCIPAL_IDENTIFIER --role=IAM_ROLE --condition-from-file=CONDITION_FILE
Dabei gilt:
BUCKET_NAME
ist der Name des Buckets, auf den Sie dem Hauptkonto Zugriff erteilen. Beispiel:my-bucket
PRINCIPAL_IDENTIFIER
gibt an, für wen die Bedingung gilt. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.IAM_ROLE
ist die IAM-Rolle, die Sie dem Hauptkonto zuweisen. Beispiel:roles/storage.objectViewer
CONDITION_FILE
ist die Datei, die Sie im vorherigen Schritt erstellt haben.
Alternativ können Sie die Bedingung direkt in den Befehl einfügen. Dazu nutzen Sie das Flag --condition
anstelle des Flags --condition-from-file
.
Clientbibliotheken
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
REST APIs
JSON
Die gcloud CLI installieren und initialisieren, um ein Zugriffstoken für den Header
Authorization
zu generieren.Verwenden Sie eine
GET getIamPolicy
-Anfrage, um die IAM-Richtlinie des Buckets in einer temporären JSON-Datei zu speichern:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer $(gcloud auth print-access-token)' > tmp-policy.json
Dabei ist
BUCKET_NAME
der Name des entsprechenden Buckets. Beispiel:my-bucket
.Bearbeiten Sie die Datei
tmp-policy.json
in einem Texteditor und fügen Sie den Bindungen in der IAM-Richtlinie neue Bedingungen hinzu:{ "version": VERSION, "bindings": [ { "role": "IAM_ROLE", "members": [ "PRINCIPAL_IDENTIFIER" ], "condition": { "title": "TITLE", "description": "DESCRIPTION", "expression": "EXPRESSION" } } ], "etag": "ETAG" }
Wobei:
VERSION
ist die Version der IAM-Richtlinie. Für Buckets mit IAM-Bedingungen muss es die Version 3 sein.IAM_ROLE
ist die Rolle, für die die Bedingung gilt. Beispiel:roles/storage.objectViewer
PRINCIPAL_IDENTIFIER
gibt an, für wen die Bedingung gilt. Beispiel:user:jane@gmail.com
Eine Liste der Formate für Hauptkonto-IDs finden Sie unter Hauptkonto-Kennungen.TITLE
ist der Titel der Bedingung. Beispiel:expires in 2019
DESCRIPTION
ist eine optionale Beschreibung der Bedingung. Beispiel:Permission revoked on New Year's
EXPRESSION
ist ein attributbasierter logischer Ausdruck. Beispiel:request.time < timestamp(\"2019-01-01T00:00:00Z\")
. Weitere Beispiele für Ausdrücke finden Sie in der Referenz zu Bedingungsattributen. Beachten Sie, dass Cloud Storage nur die Attribute Datum/Uhrzeit, Ressourcentyp und Ressourcenname unterstützt.
Ändern Sie
ETAG
nicht.Legen Sie mit einer
PUT setIamPolicy
-Anfrage die geänderte IAM-Richtlinie für den Bucket fest:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dabei ist
BUCKET_NAME
der Name des entsprechenden Buckets. Beispiel:my-bucket
.
Bedingung aus einem Bucket entfernen
Console
- Wechseln Sie in der Cloud Console zur Seite Cloud Storage-Buckets.
Klicken Sie in der Liste der Buckets auf den Namen des Buckets, für den Sie eine Bedingung entfernen möchten.
Klicken Sie auf der Seite Bucket-Details auf den Tab Berechtigungen.
Die für den Bucket geltende IAM-Richtlinie wird im Bereich Berechtigungen angezeigt.
Klicken Sie auf das Symbol Bearbeiten edit für das Hauptkonto, das der Bedingung zugeordnet ist.
Klicken Sie im eingeblendeten Fenster Bearbeitungszugriff auf den Namen der Bedingung, die Sie löschen möchten.
Klicken Sie im eingeblendeten Fenster Bedingung bearbeiten auf Löschen und anschließend auf Bestätigen.
Klicken Sie auf Speichern.
Unter Fehlerbehebung erfahren Sie, wie Sie detaillierte Fehlerinformationen zu fehlgeschlagenen Cloud Storage-Vorgängen in der Google Cloud Console abrufen.
Befehlszeile
Geben Sie zum Speichern der IAM-Richtlinie des Buckets in einer temporären JSON-Datei den Befehl
buckets get-iam-policy
ein:gcloud storage buckets get-iam-policy gs://BUCKET_NAME > tmp-policy.json
Bearbeiten Sie die Datei
tmp-policy.json
in einem Texteditor, um Bedingungen aus der IAM-Richtlinie zu entfernen.Legen Sie mit
buckets set-iam-policy
die geänderte IAM-Richtlinie für den Bucket fest.gcloud storage buckets set-iam-policy gs://BUCKET_NAME tmp-policy.json
Codebeispiele
C++
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C++ API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
C#
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage C# API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Go
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Go API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Java
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Java API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Node.js
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Node.js API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
PHP
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage PHP API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Python
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Python API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
Ruby
Weitere Informationen finden Sie in der Referenzdokumentation zur Cloud Storage Ruby API.
Richten Sie die Standardanmeldedaten für Anwendungen ein, um sich bei Cloud Storage zu authentifizieren. Weitere Informationen finden Sie unter Authentifizierung für Clientbibliotheken einrichten.
REST APIs
JSON
Die gcloud CLI installieren und initialisieren, um ein Zugriffstoken für den Header
Authorization
zu generieren.Verwenden Sie eine
GET getIamPolicy
-Anfrage, um die IAM-Richtlinie des Buckets in einer temporären JSON-Datei zu speichern:curl \ 'https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam' \ --header 'Authorization: Bearer $(gcloud auth print-access-token)' > tmp-policy.json
BUCKET_NAME
ist der Name des Buckets, auf den Sie Zugriff gewähren. Beispiel:my-bucket
.Bearbeiten Sie die Datei
tmp-policy.json
in einem Texteditor, um Bedingungen aus der IAM-Richtlinie zu entfernen.Legen Sie mit einer
PUT setIamPolicy
-Anfrage die geänderte IAM-Richtlinie für den Bucket fest:curl -X PUT --data-binary @tmp-policy.json \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ "https://storage.googleapis.com/storage/v1/b/BUCKET_NAME/iam"
Dabei ist
BUCKET_NAME
der Name des Buckets, dessen IAM-Richtlinie Sie ändern möchten. Beispiel:my-bucket
.
Best Practices
Sie sollten die Mindestrolle festlegen, die erforderlich ist, um dem Hauptkonto den erforderlichen Zugriff zu gewähren. Beispiel: Wenn ein Teammitglied nur Lesezugriff auf Objekte in einem Bucket benötigt, weisen Sie ihm die Rolle "Storage-Objekt-Betrachter" (roles/storage.objectViewer
) anstelle der Rolle "Storage-Objekt-Administrator" (roles/storage.objectAdmin
) zu. Benötigt das Teammitglied dagegen uneingeschränkten Zugriff auf Objekte im Bucket, aber nicht auf den Bucket selbst, weisen Sie ihm die Rolle "Storage-Objekt-Rolle Administrator" (roles/storage.objectAdmin
anstelle der Rolle "Storage-Administrator" (roles/storage.admin
) zu.
Nächste Schritte
- Weitere Informationen zum Veröffentlichen von Daten
- Beispiele für Freigabe und Zusammenarbeit
- Best Practices für die Verwendung von IAM
- Rollenempfehlungen für Buckets verwenden
- Informationen zur Fehlerbehebung bei fehlgeschlagenen Vorgängen im Zusammenhang mit IAM-Rollen und -Berechtigungen finden Sie unter Fehlerbehebung.