IAM のロールと権限

ユーザーに Identity and Access Management(IAM)のロールを付与することで、Filestore オペレーションへのアクセス権を付与します。

IAM の権限は、Filestore インスタンスの作成など、Filestore オペレーションへのアクセス権のみを制御します。読み取りや実行など、ファイル共有でのオペレーションを制御するには、POSIX ファイル権限を使用します。

Filestore ロールの使用

ユーザーに Filestore 権限を付与するには、Filestore 編集者(roles/file.editor)ロールと Filestore 閲覧者(roles/file.viewer)ロールを使用します。これには、必要に応じて基本の役割を使用することもできます。

次の表を参照して、基本のロールに関連付けられる Filestore のアクセス権限を確認してください。

権限 操作 Filestore 編集者 Filestore 閲覧者
file.locations.get このサービスでサポートされる場所に関する情報を取得します。
file.locations.list このサービスでサポートされる場所に関する情報をリストします。
file.instances.create Filestore インスタンスを作成します。
file.instances.update Filestore インスタンスを更新します。
file.instances.delete Filestore インスタンスを削除します。
file.instances.get 特定の Filestore インスタンスの詳細を取得します。
file.instances.list プロジェクト内の Filestore インスタンスをリストします。
file.operations.get Filestore インスタンスのオペレーションのステータスを取得します。
file.operations.list Filestore インスタンスのオペレーションをリストします。
file.operations.cancel Filestore インスタンスのオペレーションをキャンセルします。
file.operations.delete Filestore インスタンスのオペレーションを削除します。
file.backups.create Filestore のバックアップを作成する。
file.backups.update Filestore のバックアップを更新します。
file.backups.delete Filestore のバックアップを削除します。
file.backups.get 特定の Filestore バックアップの詳細を取得します。
file.backups.list プロジェクト内の Filestore インスタンスを一覧表示します。
file.snapshots.create Filestore のスナップショットを作成します。
file.snapshots.update Filestore のスナップショットを更新します。
file.snapshots.delete Filestore のスナップショットを削除します。
file.snapshots.get 特定の Filestore スナップショットの詳細を取得します。
file.snapshots.list プロジェクト内の Filestore スナップショットのリストを取得します。

基本のロールの使用

Filestore の権限は、オーナー、編集者、閲覧者という IAM の基本のロールにも関連付けられます。Filestore のロールをユーザーに付与するには、これらのロールを Filestore のロールに加えて使用できます。

次の表を参照して、基本のロールに関連付けられる Filestore の権限を確認してください。

権限 操作 プロジェクト オーナー プロジェクト編集者 プロジェクト閲覧者
file.locations.get このサービスでサポートされる場所に関する情報を取得します。
file.locations.list このサービスでサポートされる場所に関する情報をリストします。
file.instances.create Filestore インスタンスを作成します。
file.instances.update Filestore インスタンスを更新します。
file.instances.delete Filestore インスタンスを削除します。
file.instances.get 特定の Filestore インスタンスの詳細を取得します。
file.instances.list プロジェクト内の Filestore インスタンスをリストします。
file.operations.get Filestore インスタンスのオペレーションのステータスを取得します。
file.operations.list Filestore インスタンスのオペレーションをリストします。
file.operations.cancel Filestore インスタンスのオペレーションをキャンセルします。
file.operations.delete Filestore インスタンスのオペレーションを削除します。
file.backups.create Filestore のバックアップを作成する。
file.backups.update Filestore のバックアップを更新します。
file.backups.delete Filestore のバックアップを削除します。
file.backups.get 特定の Filestore バックアップの詳細を取得します。
file.backups.list プロジェクト内の Filestore インスタンスを一覧表示します。
file.snapshots.create Filestore のスナップショットを作成します。
file.snapshots.update Filestore のスナップショットを更新します。
file.snapshots.delete Filestore のスナップショットを削除します。
file.snapshots.get 特定の Filestore スナップショットの詳細を取得します。
file.snapshots.list プロジェクト内の Filestore スナップショットのリストを取得します。

カスタムの役割

事前定義された IAM ロールがニーズに合わない場合は、IAM のカスタムロールを使用して、指定した権限を含むカスタムロールを定義できます。Filestore のカスタムロールを作成する際は、ロールにプロジェクトのリソースをクエリする権限を含めるため、必ず resourcemanager.projects.getresourcemanager.projects.list の両方を含めてください。

他の Google Cloud サービスへのアクセスには、他のロールが必要になる場合があります。たとえば、Filestore インスタンスのパフォーマンスに関連する指標を表示またはモニタリングする場合は、次のロールに対するアクセス権が必要です。

  • モニタリング閲覧者
  • モニタリング編集者

これらのロールやその他のロールへのアクセス権を付与する方法については、Cloud Monitoring へのアクセス権を付与するをご覧ください。

次のステップ