Auf dieser Seite werden die IAM-Berechtigungen (Identity and Access Management) erläutert, die erforderlich sind, um Aktionen im Cloud Storage-Teil der Google Cloud Konsole auszuführen. IAM-Berechtigungen werden zusammengefasst, um Rollen zu erstellen. Außerdem weisen Sie Nutzern und Gruppen Rollen zu.
Allgemeine Berechtigungen, die zum Verwenden der Google Cloud Console erforderlich sind
Zum Verwenden derGoogle Cloud Console sind bestimmte Berechtigungen erforderlich:
Alle Aktionen mit Buckets sollten die Berechtigungen
resourcemanager.projects.getundstorage.buckets.listauf Projektebene enthalten.Mit diesen Berechtigungen können Sie auf die Buckets-Seite zugreifen, auf der Sie Buckets erstellen, ansehen und aktualisieren.
Für alle Aktionen, bei denen in der Anfrage ein Abrechnungsprojekt enthalten ist, brauchen Sie die Berechtigung
serviceusage.services.usefür das angegebene Projekt.Mit dieser Berechtigung wird sichergestellt, dass Sie befugt sind, das angegebene Projekt abzurechnen. Ein Abrechnungsprojekt wird beispielsweise hinzugefügt, wenn auf einen Bucket bei aktivierter Funktion Anforderer bezahlt zugegriffen wird.
Berechtigungen für bestimmte Aktionen
| Aktion | Erforderliche IAM-Berechtigungen (zusätzlich zu den oben aufgeführten) |
|---|---|
| Bucket erstellen | storage.buckets.createstorage.buckets.enableObjectRetention1 |
| Tag an einen Bucket anhängen | storage.buckets.createTagBinding |
| Buckets auflisten oder filtern | Keine weiteren Berechtigungen |
| Tags auflisten, die direkt an einen Bucket angehängt sind | storage.buckets.listTagBindings |
| Sowohl übernommene Tags als auch Tags auflisten, die direkt an einen Bucket angehängt sind | storage.buckets.listEffectiveTags |
Sehen Sie sich die folgenden Bucket-Informationen an:
|
storage.buckets.get |
Ändern Sie die folgenden Bucket-Einstellungen:
|
storage.buckets.getstorage.buckets.updatestorage.buckets.enableObjectRetention1 |
| Funktion "Sender bezahlt" aktivieren | storage.buckets.getstorage.buckets.update |
| Funktion "Sender bezahlt" deaktivieren | storage.buckets.getstorage.buckets.updateresourcemanager.projects.createBillingAssignment3 |
| Einstellung für die Verhinderung des öffentlichen Zugriffs ändern | storage.buckets.getstorage.buckets.setIamPolicystorage.buckets.update |
| Bucket-Berechtigungen ändern | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
| Leeren Bucket löschen | storage.buckets.deletestorage.objects.list |
| Nichtleeren Bucket löschen | storage.buckets.deletestorage.objects.deletestorage.objects.list |
| Tags von einem Bucket trennen | storage.buckets.deleteTagBinding |
| Ordner erstellen | storage.folders.create |
| Metadaten eines Ordners abrufen | storage.folders.get |
| Ordner auflisten | storage.folders.list |
| Ordner umbenennen | storage.folders.rename (für den Quell-Bucket)storage.folders.create (für den Ziel-Bucket) |
| Ordner löschen | storage.folders.delete |
| Objekt oder Objektordner hochladen | storage.objects.createstorage.objects.delete2storage.objects.setRetention4 |
| Details zu einem Objekt ansehen5 | storage.objects.getstorage.objects.list |
| Versionsverlauf eines Objekts ansehen | storage.objects.getstorage.objects.list |
| Objekt5 oder Objektordner herunterladen | storage.objects.getstorage.objects.list |
| Objekte in einem Bucket auflisten, einschließlich nicht aktueller und vorläufig gelöschter Objekte | storage.objects.list |
| Bestimmen, ob ein Objekt öffentlich zugänglich ist5 | storage.buckets.getIamPolicystorage.objects.liststorage.objects.getIamPolicy7 |
| Objekt umbenennen oder eine nicht aktuelle Version eines Objekts wiederherstellen | storage.objects.createstorage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy7storage.objects.setIamPolicy7 |
| Objekt kopieren | storage.objects.createstorage.objects.delete2storage.objects.getstorage.objects.liststorage.objects.getIamPolicy7.8storage.objects.setIamPolicy7.8 |
| Objekt verschieben | storage.objects.createstorage.objects.delete2storage.objects.deletestorage.objects.getstorage.objects.liststorage.objects.getIamPolicy7.8storage.objects.setIamPolicy7.8 |
| Zugriffsberechtigungen eines Objekts ansehen5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicy |
| Zugriffsberechtigungen eines Objekts bearbeiten5,6 | storage.objects.getstorage.objects.liststorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
| Metadaten eines Objekts bearbeiten5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Aufbewahrungskonfiguration für ein Objekt hinzufügen, ändern oder entfernen5 | storage.objects.getstorage.objects.liststorage.objects.updatestorage.objects.setRetentionstorage.objects.overrideUnlockedRetention9 |
| Hold für ein Objekt einfügen oder entfernen5 | storage.objects.getstorage.objects.liststorage.objects.update |
| Ein Objekt5, eine nicht aktuelle Version eines Objekts oder einen Ordner mit Objekten löschen | storage.objects.deletestorage.objects.list |
| Gelöschtes Objekt wiederherstellen | storage.objects.createstorage.objects.delete2storage.objects.liststorage.objects.restore |
| Gelöschte Objekte im Bulk wiederherstellen | storage.objects.createstorage.objects.delete10storage.objects.restorestorage.buckets.restorestorage.objects.setIamPolicy7,11 |
| Name des Cloud Storage-Dienst-Agents eines Projekts ansehen | resourcemanager.projects.get |
| HMAC-Schlüssel des Dienstkontos für ein Projekt aufrufen | resourcemanager.projects.getstorage.hmacKeys.list |
| HMAC-Schlüssel für ein Dienstkonto erstellen | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.create |
| HMAC-Schlüssel für ein Dienstkonto deaktivieren oder reaktivieren | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.update |
| HMAC-Schlüssel für ein Dienstkonto löschen | resourcemanager.projects.getstorage.hmacKeys.liststorage.hmacKeys.delete |
| HMAC-Schlüssel für das Nutzerkonto, als das Sie angemeldet sind, erstellen, aufrufen oder löschen | resourcemanager.projects.get |
| Storage Intelligence-Konfiguration für ein Projekt, einen Ordner oder eine Organisation konfigurieren, aktualisieren oder deaktivieren | storage.intelligenceConfigs.update |
| Storage Intelligence-Konfiguration für ein Projekt, einen Ordner oder eine Organisation ansehen | storage.intelligenceConfigs.get |
| Cache mit Anywhere Cache erstellen | storage.anywhereCaches.create |
| Cache mit Anywhere Cache auflisten | storage.anywhereCaches.list |
| Cache mit Anywhere Cache aktualisieren | storage.anywhereCaches.update |
| Cache mit Anywhere Cache pausieren | storage.anywhereCaches.pause |
| Cache mit Anywhere Cache fortsetzen | storage.anywhereCaches.resume |
| Metadaten eines Cache mit Anywhere Cache abrufen | storage.anywhereCaches.get |
| Cache mit Anywhere Cache deaktivieren | storage.anywhereCaches.disable |
1 Diese Berechtigung ist nur erforderlich, wenn ein Bucket für die Unterstützung von Aufbewahrungskonfigurationen für Objekte aktiviert wird.
2Diese Berechtigung ist nur erforderlich, wenn im Ziel-Bucket bereits ein Objekt mit demselben Namen vorhanden ist.
3Diese Berechtigung ist nur erforderlich, wenn in Ihrer Anfrage kein Abrechnungsprojekt enthalten ist. Weitere Informationen finden Sie auf der Seite "Sender bezahlt" unter Anforderungen für Zugriff und Verwendung.
4 Diese Berechtigung ist nur erforderlich, wenn Sie beim Hochladen des Objekts eine Aufbewahrungskonfiguration hinzufügen.
5Für diese Aktion ist storage.objects.list nicht erforderlich, wenn sie auf der Detailseite für das betreffende Objekt ausgeführt wird und Sie die Detailseite nicht über die Gesamtliste der Objekte für den Bereich aufrufen.
6 Diese Aktion gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.
7 Diese Berechtigung gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.
8 Diese Berechtigung ist nur erforderlich, wenn die Berechtigungen, die derzeit auf das Quellobjekt angewendet werden, beibehalten werden.
9 Diese Berechtigung ist erforderlich, wenn eine vorhandene Aufbewahrungskonfiguration so geändert wird, dass sie gesperrt, reduziert oder entfernt wird.
10 Diese Berechtigung ist nur erforderlich, wenn im Ziel-Bucket bereits ein Objekt mit demselben Namen vorhanden ist und Sie die Option Live-Objekte überschreiben auswählen.
11 Diese Berechtigung ist nur erforderlich, wenn Sie die Option Zugriffssteuerungen (ACLs) der Quelle kopieren auswählen.
Nächste Schritte
Eine Liste der Rollen und der darin enthaltenen Berechtigungen finden Sie unter IAM-Rollen für Cloud Storage.