権限とロール

Storage Transfer Service は、Identity and Access Management(IAM)の権限とロールを使用して、Storage Transfer Service リソースへアクセスできるユーザーを制御します。Storage Transfer Service で利用可能な主なリソースは、ジョブ、オペレーション、エージェント プールです。IAM ポリシーの階層では、ジョブはプロジェクトの子リソースであり、オペレーションはジョブの子リソースです。

リソースへのアクセス権を付与するには、1 つ以上の権限またはロールを、ユーザー、グループ、サービス アカウントに割り当てます。

権限

次の Storage Transfer Service の権限を付与できます。

転送プロジェクト権限

権限 説明
storagetransfer.projects.getServiceAccount Cloud Storage バケットにアクセスするために、Storage Transfer Service を使用する GoogleServiceAccount を読み取れます。

転送ジョブ権限

次の表は、Storage Transfer Service のジョブ権限を示しています。

権限 説明
storagetransfer.jobs.create 新しい転送ジョブを作成できます。
storagetransfer.jobs.delete 既存の転送ジョブを削除できます。

パッチ機能を呼び出せば、転送ジョブは削除されます。ただし、権限エラーを回避するためには、転送ジョブを削除するときに、ユーザーがこの権限を持っていることが必要です。
storagetransfer.jobs.get 特定のジョブを取得できます。
storagetransfer.jobs.list すべての転送ジョブを一覧表示できます。
storagetransfer.jobs.run すべての転送ジョブを実行できます。
storagetransfer.jobs.update 転送ジョブの構成を削除せずに、更新できます。

転送オペレーション権限

次の表は、Storage Transfer Service のオペレーション権限を示しています。

権限 説明
storagetransfer.operations.assign 転送エージェントによるオペレーションの割り当てに使用されます。
storagetransfer.operations.cancel 転送オペレーションをキャンセルできます。
storagetransfer.operations.get 転送オペレーションの詳細を取得できます。
storagetransfer.operations.list すべての転送ジョブ オペレーションを一覧表示できます。
storagetransfer.operations.pause 転送オペレーションを一時停止できます。
storagetransfer.operations.report 転送エージェントがオペレーションのステータスを報告するために使用します。
storagetransfer.operations.resume 一時停止した転送オペレーションを再開できます。

転送エージェント プールの権限

次の表に、ファイル システム転送エージェント プールの権限を示します。

権限 説明
storagetransfer.agentpools.create エージェント プールを作成できます。
storagetransfer.agentpools.update エージェント プールを更新できます。
storagetransfer.agentpools.delete エージェント プールを削除できます。
storagetransfer.agentpools.get 特定のエージェント プールに関する情報を取得できます。
storagetransfer.agentpools.list プロジェクト内のすべてのエージェント プールの情報を一覧表示できます。
storagetransfer.agentpools.report ステータスを報告するために転送エージェントによって使用されます。

事前定義ロール

このセクションでは、Storage Transfer Service の事前定義ロールについて説明します。IAM 権限を設定する際は、ロールを使用することをおすすめします。

ロールの比較

次のプロジェクトのロールまたは Storage Transfer Service の事前定義ロールを割り当てることができます。

能力 編集者(roles/editor ストレージ転送(roles/storagetransfer.
管理者(admin ユーザー(user 閲覧者(viewer
ジョブのリスト一覧表示と取得
ジョブの作成
ジョブの実行
ジョブの更新
ジョブの削除
転送オペレーションの一覧表示と取得
転送オペレーションの一時停止と再開
Cloud Storage バケットにアクセスするためには、Storage Transfer Service を使用する Google サービス アカウントの詳細をご覧ください。
エージェントのリスト表示
エージェント プールの一覧表示
エージェント プールの作成
エージェント プールの更新
エージェント プールの削除
エージェント プールの取得
プロジェクト帯域幅の読み取りまたは設定

ロールの詳細

次の表は、Storage Transfer Service の事前定義ロールの詳細を示したものです。

役割 説明 含まれる権限
Storage Transfer 管理者
roles/storagetransfer.
admin

ジョブの削除を含む、Storage Transfer Service のすべての権限を提供します。

理論的根拠: これは、最も広範な責任を伴う最高レベルのロールで、転送の実行を行う組織内のメンバーをサポートするスーパーユーザーです。IT 管理者など、転送を管理するユーザーに最適です。
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.*
Storage Transfer ユーザー
roles/storagetransfer.
user

プロジェクト内でジョブを作成、取得、更新、一覧表示、転送する権限をユーザーに提供します。ただし、自分のジョブの削除はできません。

理論的根拠: このロールを使えば、ジョブの作成および保守を、ジョブの削除から分離できます。このロールは、職務の一部として転送を実行する必要がある、従業員などのユーザーに最適です。このロールでは転送を削除できないため、監査者やセキュリティ担当者は、過去の転送の記録を完全な形で閲覧できます。
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.agentpools.create
  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list
  • storagetransfer.agentpools.report
  • storagetransfer.agentpools.update
  • storagetransfer.jobs.create
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.jobs.run
  • storagetransfer.jobs.update
  • storagetransfer.operations.*
  • storagetransfer.projects.getServiceAccount
Storage Transfer 閲覧者
roles/storagetransfer.
viewer

プロジェクト内でジョブを一覧表示および取得し、オペレーションを転送する権限を付与します。ユーザーは、ジョブをスケジュール、更新、削除できません。

理論的根拠: 閲覧者のロールは、読み取り専用アクセスを意図したもので、転送ジョブとオペレーションの閲覧が可能です。このロールによって、レポートタスクと監査タスクを、ジョブの作成と保守から分離できます。セキュリティ、コンプライアンス、ビジネス ユニットのリーダーなど、転送の使用状況を監査するユーザーまたは内部チームに最適なロールです。
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storagetransfer.agentpools.get
  • storagetransfer.agentpools.list
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.operations.get
  • storagetransfer.operations.list
  • storagetransfer.projects.getServiceAccount
Storage Transfer エージェント(roles/storagetransfer.transferAgent

転送を完了するために必要な Storage Transfer Service の権限を転送エージェントに付与します。

2024 年 5 月 1 日以降、「pubsub」権限は不要になりました。

エージェントによって使用されるユーザーまたはサービス アカウントにこのロールを付与します。
  • monitoring.timeSeries.create
  • storagetransfer.operations.get
  • storagetransfer.operations.report
  • storagetransfer.operations.assign
  • storagetransfer.agentpools.report
  • pubsub.topics.create
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.subscriptions.create
  • pubsub.subscriptions.get
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.consume
  • pubsub.topics.attachSubscription
  • pubsub.topics.publish
Storage Transfer Service エージェント (roles/storagetransfer.serviceAgent

Google Cloud から転送エージェントに通信する Pub/Sub トピックの作成と変更のために必要な権限を Storage Transfer Service サービス エージェントに付与します。

このロールを Storage Transfer Service サービス エージェントに付与します。
  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.get
  • pubsub.topics.publish
  • pubsub.topics.update

カスタムロール

カスタム IAM ロールを作成して、組織のアクセス要件を満たすことができます。

カスタムロールを作成する場合は、適切な権限が含まれるように事前定義ロールを組み合わせて使用することをおすすめします。

必要な権限がカスタムロールにないと、Google Cloud コンソールは正しく機能しません。たとえば、Google Cloud コンソールの一部では、編集前にアイテムを表示する読み取りアクセス権がロールにあることが想定されています。書き込み権限しかないロールでは、Google Cloud コンソールの画面は機能しません。