IAM ロールと権限を使用したアクセス制御

Storage Transfer Service は、Identity and Access Management(IAM)の権限とロールを使用して、Storage Transfer Service リソースへアクセスできるユーザーを制御します。Storage Transfer Service で利用可能な 2 つの主なリソースは、ジョブとオペレーションです。IAM ポリシーの階層では、ジョブはプロジェクトの子リソースであり、オペレーションはジョブの子リソースです。

リソースへのアクセス権を付与するには、1 つ以上の権限またはロールを、ユーザー、グループ、サービス アカウントに割り当てます。

権限

次の Storage Transfer Service の権限を付与できます。

転送プロジェクト権限

権限 説明
storagetransfer.projects.getServiceAccount Cloud Storage バケットにアクセスするために、Storage Transfer Service を使用する GoogleServiceAccount を読み取れます。

転送ジョブ権限

権限 説明
storagetransfer.jobs.create 新しい転送ジョブを作成できます。
storagetransfer.jobs.delete 既存の転送ジョブを削除できます。

パッチ機能を呼び出せば、転送ジョブは削除されます。ただし、権限エラーを回避するためには、転送ジョブを削除するときに、ユーザーがこの権限を持っていることが必要です。
storagetransfer.jobs.get 特定のジョブを取得できます。
storagetransfer.jobs.list すべての転送ジョブを一覧表示できます。
storagetransfer.jobs.patch 転送ジョブの構成を削除せずに、更新できます。

転送オペレーション権限

権限 説明
storagetransfer.operations.cancel 転送オペレーションをキャンセルできます。
storagetransfer.operations.get 転送オペレーションの詳細を取得できます。
storagetransfer.operations.list すべての転送ジョブ オペレーションを一覧表示できます。
storagetransfer.operations.pause 転送オペレーションを一時停止できます。
storagetransfer.operations.resume 一時停止した転送オペレーションを再開できます。

ロール

このセクションでは、Storage Transfer Service に設定できるロールと、カスタムロールを作成するためのガイダンスについて説明します。

事前定義ロールの比較表

次のプロジェクトのロールまたは Storage Transfer Service の事前定義ロールを割り当てることができます。

可能な操作 roles/editor roles/storagetransfer.
admin user viewer
ジョブのリスト一覧表示と取得
ジョブの作成
ジョブの更新
ジョブの削除
転送オペレーションの一覧表示と取得
転送オペレーションの一時停止と再開
Cloud Storage バケットにアクセスするためには、Storage Transfer Service を使用する Google サービス アカウントの詳細をご覧ください。

ジョブの更新の権限に、ジョブを削除する権限は含まれていません。

オンプレミス用 Transfer の場合、次の操作を行うには管理者ロールが必要です。

  • エージェントのリスト表示
  • プロジェクトの帯域幅の上限の読み取り
  • プロジェクトの帯域幅の上限の設定

事前定義ロールの詳細

次の表は、Storage Transfer Service の事前定義済みの役割の詳細を示したものです。

役割 説明 含まれる権限

roles/storagetransfer.
admin

ジョブの削除を含む、Storage Transfer Service のすべての権限を提供します。

理論的根拠: これは、最も広範な責任を伴う最高レベルのロールで、転送の実行を行う組織内のメンバーをサポートするスーパーユーザーです。IT 管理者など、転送を管理するユーザーに最適です。

付与されるすべての権限
roles/storagetransfer.
user

プロジェクト内でジョブを作成、取得、更新、一覧表示、転送する権限をユーザーに提供します。ただし、自分のジョブの削除はできません。

理論的根拠: このロールを使えば、ジョブの作成および保守を、ジョブの削除から分離できます。職務の一部として転送を実行する必要がある、従業員などのユーザーに最適です。転送を削除できないため、監査者やセキュリティ担当者は、過去の転送の記録を完全な形で閲覧できます。

  • storagetransfer.projects.getServiceAccount
  • storagetransfer.jobs.create
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.jobs.patch
  • storagetransfer.operations.get
  • storagetransfer.operations.list
  • storagetransfer.operations.pause
  • storagetransfer.operations.resume

roles/storagetransfer.
viewer

プロジェクト内でジョブを一覧表示および取得し、オペレーションを転送する権限です。ユーザーは、ジョブをスケジュール、更新、削除できません。

理論的根拠: 閲覧者のロールは、読み取り専用アクセスを意図したもので、転送ジョブとオペレーションの閲覧が可能です。このロールによって、レポートタスクと監査タスクを、ジョブの作成と保守から分離できます。セキュリティ、コンプライアンス、ビジネス ユニットのリーダーなど、転送の使用状況を監査するユーザーまたは内部チームに最適なロールです。

  • storagetransfer.projects.getServiceAccount
  • storagetransfer.jobs.get
  • storagetransfer.jobs.list
  • storagetransfer.operations.get
  • storagetransfer.operations.list

カスタムロール

カスタムロールを作成する場合は、事前定義ロールを使用してロールを作成することをおすすめします。これによりそうすれば、適切な組み合わせの権限も一緒に利用できます。

カスタムロールに必要な権限がないと、Cloud Console は正しく機能しません。たとえば、Cloud Console の一部では、役割に編集前にアイテムを表示する読み取りアクセス権が含まれることが想定されています。書き込み権限しかないロールでは、Cloud Console の画面は機能しません。

次のステップ