В чем разница между ролью Project Browser и Project Viewer в Google Cloud Platform

Означает ли это, что с ролью браузера я могу перечислять только имена файлов, хранящиеся в корзинах проекта, но мне нужна роль зрителя для загрузки этих файлов?

Роль браузера roles/browser не имеет каких-либо разрешений для доступа к Google Cloud Storage. Вы не можете перечислить объекты в ведре. Роль зрителя roles/viewer не имеет разрешения для просмотра (загрузки) объектов Google Cloud Storage.

Чтобы лучше понять роли, вам нужно знать, какие разрешения содержит роль.

Если вы берете на себя роль roles/browser и просмотреть разрешения:

gcloud iam roles describe roles/browser

Вы обнаружите, что эта роль имеет следующие шесть разрешений:

description: Access to browse GCP resources.
etag: AA==
includedPermissions:
- resourcemanager.folders.get
- resourcemanager.folders.list
- resourcemanager.organizations.get
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
- resourcemanager.projects.list
name: roles/browser
stage: GA
title: Browser

Обратите внимание, что эта роль не имеет разрешений для Google Cloud Storage.

Для сравнения, если вы просматриваете разрешения для roles/viewer вы обнаружите, что эта роль имеет 721 разрешения. Я ограничил этот список только разрешениями на хранение:

storage.buckets.list

Вы увидите, что у этой роли есть только разрешение перечислять содержимое корзины. Нет разрешения на просмотр содержимого объекта в корзине.

Для просмотра (загрузки) объекта облачного хранилища Google вам необходимо storage.objects.get разрешение. Это содержится в ролях roles/storage.object.viewer, roles/storage.objectAdmin, roles/storage.admin а также roles/storage.legacyObjectReader,