In der folgenden Tabelle sind die IAM-Berechtigungen (Identity and Access Management) aufgeführt, die zum Ausführen der einzelnen XML-Methoden von Cloud Storage für eine bestimmte Ressource benötigt werden.
| Methode | Ressource | Unterressource | Erforderliche IAM-Berechtigungen1 |
|---|---|---|---|
DELETE |
bucket |
storage.buckets.delete |
|
DELETE |
object |
storage.objects.delete |
|
DELETE |
object |
uploadId |
storage.multipartUploads.abort |
GET |
storage.buckets.list |
||
GET |
bucket |
storage.objects.list |
|
GET |
bucket |
acls3 |
storage.buckets.getstorage.buckets.getIamPolicy |
GET |
bucket |
Nicht-ACL-Metadaten | storage.buckets.get |
GET |
bucket |
uploads |
storage.multipartUploads.list |
GET |
object |
storage.objects.get |
|
GET |
object |
acls3 |
storage.objects.getstorage.objects.getIamPolicy |
GET |
object |
encryption |
storage.objects.get |
GET |
object |
retention |
storage.objects.get |
GET |
object |
uploadId |
storage.multipartUploads.listParts |
HEAD |
bucket |
storage.buckets.get |
|
HEAD |
object |
storage.objects.get |
|
POST |
object |
storage.objects.createstorage.objects.delete4storage.objects.setRetention5 |
|
POST |
object |
uploadId |
storage.multipartUploads.createstorage.objects.createstorage.objects.delete4 |
POST |
object |
uploads |
storage.multipartUploads.createstorage.objects.createstorage.objects.setRetention5 |
PUT |
bucket |
storage.buckets.createstorage.buckets.enableObjectRetention6 |
|
PUT |
bucket |
acls3 |
storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
PUT |
bucket |
Nicht-ACL-Metadaten | storage.buckets.update |
PUT7 |
object |
storage.objects.createstorage.objects.get2storage.objects.delete4storage.objects.setRetention5 |
|
PUT |
object |
acls3 |
storage.objects.getstorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
PUT |
object |
compose |
storage.objects.createstorage.objects.getstorage.objects.delete4storage.objects.setRetention5 |
PUT |
object |
retention |
storage.objects.setRetentionstorage.objects.updatestorage.objects.overrideUnlockedRetention8 |
PUT |
object |
uploadId |
storage.multipartUploads.createstorage.objects.create |
GET |
Projects.hmacKeys |
storage.hmacKeys.get |
|
POST |
Projects.hmacKeys |
storage.hmacKeys.createstorage.hmacKeys.updatestorage.hmacKeys.delete |
1 Wenn Sie in Ihrer Anfrage den Header x-goog-user-project oder den Abfragestringparameter userProject verwenden, benötigen Sie für die Projekt-ID, die Sie angeben, die Berechtigung serviceusage.services.use, zusätzlich zu den normalen IAM-Berechtigungen, die zum Senden der Anfrage erforderlich sind.
2 Diese Berechtigung ist für den Quell-Bucket erforderlich, wenn die Anfrage den Header x-goog-copy-source enthält.
3 Diese Unterressource gilt nicht für Buckets mit aktiviertem einheitlichen Zugriff auf Bucket-Ebene.
4 Diese Berechtigung ist nur erforderlich, wenn das eingefügte Objekt denselben Namen wie ein Objekt hat, das bereits im Bucket vorhanden ist.
5 Diese Berechtigung ist nur erforderlich, wenn die Anfrage die Header x-goog-object-lock-mode und x-goog-object-lock-retain-until-date enthält.
6 Diese Berechtigung ist nur erforderlich, wenn die Anfrage einen Header x-goog-bucket-object-lock-enabled enthält, der auf true gesetzt ist.
7 Es sind keine Berechtigungen erforderlich, um PUT-Anfragen im Zusammenhang mit einem fortsetzbaren Upload zu senden.
8 Diese Berechtigung ist nur erforderlich, wenn die Anfrage einen x-goog-bypass-governance-retention-Header enthält, der auf true gesetzt ist.
Nächste Schritte
- Eine Liste der Rollen und der darin enthaltenen Berechtigungen finden Sie unter IAM-Rollen für Cloud Storage.