项目

本页面介绍了 Google Cloud 控制台项目与 Cloud Storage 资源之间的关系。如需从整体上详细了解 Google Cloud 控制台项目，请参阅 Google Cloud中的项目。

什么是项目？

项目可以整理您的所有 Google Cloud 资源。Cloud Storage 中的所有数据都属于项目内容。项目包含一组用户和一组 API，以及这些 API 的结算、身份验证和监控设置。因此，举例来说，您的所有 Cloud Storage 存储桶和对象以及它们的用户访问权限均包含在项目中。您可以使用一个项目，也可以创建多个项目并使用它们来将您的 Google Cloud 资源（包括 Cloud Storage 数据）整理到逻辑组中。

何时指定项目

大多数情况下，在 Cloud Storage 中执行操作时无需指定项目；但在以下情况下，您应添加项目 ID 或项目编号：

GET https://storage.googleapis.com/storage/v1/b?project=PROJECT_IDENTIFIER

x-goog-project-id: PROJECT_ID

项目和权限

对于每个项目，您都可以使用 Identity and Access Management (IAM) 授予管理和处理项目的权限。如果您向某主账号（例如用户账号）授予 IAM 角色，则该主账号可获得特定权限，从而能够执行操作。如果您在项目级层授予角色，该角色提供的访问权限适用于项目中的每个存储桶和对象。或者，如果您为单个存储桶授予角色，该角色提供的访问权限将仅适用于该存储桶以及该存储桶包含的对象。

如需查看适用于 Cloud Storage 的可用角色列表，以及有关特殊角色集（称为基本角色）如何适用于 Cloud Storage 的讨论，请参阅 Cloud Storage IAM 角色。

如需在存储桶和项目级层查看、授予和撤消主账号角色的说明，请参阅将 IAM 用于项目。

服务账号

服务账号可让应用验证和访问Google Cloud 资源及服务。例如，您可以创建服务账号，供 Compute Engine 实例用来访问存储于 Cloud Storage 存储桶中的对象。服务账号在项目中创建，并具有可供识别的专属电子邮件地址。

以下是与您创建和管理的服务账号通常执行且与 Cloud Storage 相关的操作的示例：

• 执行 Storage Transfer Service 转移作业。
• 将数据移入/移出 Cloud SQL 实例。
• 创建签名网址。

服务代理

服务代理是一种代表 Google Cloud 服务执行操作的特殊服务账号。Cloud Storage 将服务代理用于以下功能：

• 适用于 Cloud Storage 的 Pub/Sub 通知。
• 客户管理的加密密钥。

当您创建项目后，Cloud Storage 服务代理最初并不可用。它会在第一次访问时自动被激活，可以通过上面列出的功能之一激活，也可以在您请求服务代理的名称时激活。您必须先激活该服务账号，然后才能为其分配权限。

以下是与项目编号 123456789876 关联的 Cloud Storage 服务代理的电子邮件地址示例：

service-123456789876@gs-project-accounts.iam.gserviceaccount.com

后续步骤

• 完成某一个 Cloud Storage 快速入门。
• 了解如何创建新项目和管理现有项目。
• 了解如何使用 Google Cloud 控制台管理您的数据。
• 管理项目的服务账号。