アクセス制御オプション

Cloud Storage のバケットとオブジェクトへのアクセス権を持つユーザーとアクセスのレベルを制御できます。以下に、使用できるアクセス制御オプションの概要と、それぞれの詳細を知るためのリンクを示します。

  • Identity and Access Management(IAM)権限: バケットへのアクセス、および 1 つのバケットのオブジェクトへの一括アクセスを許可します。IAM 権限では、プロジェクトとバケットに対する幅広い制御が可能ですが、個々のオブジェクトを細かく制御することはできません。Cloud Storage に特有の IAM 権限と役割のリファレンス、および IAM 権限によりバケットとオブジェクトで JSON メソッドと XML メソッドをユーザーが実行できるようにする方法については、IAM のリファレンス ページをご覧ください。IAM 権限の使用方法については、IAM 権限の使用をご覧ください。

  • アクセス制御リスト(ACL): 個々のバケットやオブジェクトへの読み取りまたは書き込みアクセスを許可します。ほとんどの場合、ACL ではなく IAM の権限を使用します。ACL は、個々のオブジェクトを細かく制御する必要がある場合にのみ使用します。ACL の使用方法については、アクセス制御リストの作成と管理をご覧ください。

  • 署名付き URL(クエリ文字列認証): 生成した URL を通じて、オブジェクトへの制限時間付きの読み取りまたは書き込みアクセスを許可します。URL を共有する全員が、Google アカウントを持っているかどうかにかかわらず、指定した時間にオブジェクトにアクセスできます。署名付き URL の作成方法をご覧ください。

  • 署名付きポリシー ドキュメント: バケットにアップロードできる内容を指定します。ポリシー ドキュメントでは、サイズ、コンテンツの種類などのアップロード特性を、署名付き URL よりも細かく制御でき、ウェブサイトの所有者が、訪問者に Cloud Storage へのファイルのアップロードを許可するために使うことができます。

  • Firebase セキュリティ ルール: Firebase SDK for Cloud Storage を使用して、モバイルアプリとウェブアプリに対してきめ細かい属性ベースのアクセス制御を実施します。たとえば、誰がオブジェクトをアップロードまたはダウンロードできるか、オブジェクトの大きさはどれくらいか、またはオブジェクトをいつダウンロードできるかを指定できます。

これらの方法は組み合わせて使用できます。たとえば、ACL を使ってバケットへのプライベート アクセスを全般に許可し、選択したユーザーにバケット内のリソースへのアクセスを許可する署名付き URL またはポリシー ドキュメントを作成して、ACL メカニズムを迂回できます。

バケットとオブジェクトの ACL の設定が関係する共有と共同作業の例については、共有と共同作業をご覧ください。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Cloud Storage ドキュメント