Ближайшая предварительно созданная роль - Просмотрщик объектов.Это позволяет перечислять и читать объекты.Он не включает в себя разрешение storage.buckets.get, но это обычно не требуется - обработка метаданных ведра действительно является административной функцией.Он также не включает storage.buckets.list, который немного более необходим, но все еще не является частью обычных шаблонов использования для GCS - как правило, при разработке приложения у вас есть фиксированное количество сегментов для определенных целей, поэтому листинг неполезно.
Если вы действительно хотите предоставить список сегментов учетной записи службы и получить разрешение, вам нужно будет создать собственную роль в проекте.Это довольно легко, вы можете сделать это с помощью:
gcloud iam roles create StorageViewerLister --project=$YOUR_POJECT --permissions=storage.objects.get,storage.objects.list,storage.buckets.get,storage.buckets.list
gcloud projects add-iam-policy-binding $YOUR_PROJECT --member=$YOUR_SERVICE_ACCOUNT --role=StorageViewerLister