Google Cloud Platform Console に適用される Cloud IAM 権限

ここでは、GCP Console を使用して Cloud Storage のバケットとオブジェクトに対する各種の操作を実行する際に必要となる Cloud Identity and Access Management(Cloud IAM)権限について説明します。

GCP Console を使用するために必要な一般的な権限

GCP Console を使用するには、次のような特定の権限が広く必要です。

  • バケットを使用するすべての操作には、プロジェクト レベルで resourcemanager.projects.get 権限と storage.buckets.list 権限が必要です。

    これらの権限により、バケットの作成、表示、更新を行う Console ブラウザのバケットページにアクセスできます。

  • 通常、オブジェクトに関連するすべての操作には、プロジェクト レベルまたはバケットレベルで storage.objects.list 権限が必要です。

    特定のオブジェクトの詳細ページにのみアクセスし、バケット内のオブジェクトのリスト全体にアクセスする必要がない場合、この権限は不要です。

  • リクエストに請求先プロジェクトが含まれるすべての操作には、指定されたプロジェクトに対する serviceusage.services.use 権限が必要です。

    この権限により、指定したプロジェクトに課金する権限が与えられます。たとえば、リクエスト元による支払いを有効にしてバケットにアクセスするときに、請求プロジェクトを含めることができます。

特定の操作に必要な権限

アクション 必要な Cloud IAM 権限(上記の権限以外)
バケットの作成 storage.buckets.create
バケットを一覧表示またはフィルタリングする 追加の権限なし
バケットの [概要] タブにアクセスする storage.buckets.get
バケットのウェブサイト構成を表示または編集する(有効な場合) storage.buckets.get
storage.buckets.update
バケットラベル、デフォルトのストレージ クラス、またはデフォルトのイベントベースの保留を変更する storage.buckets.get
storage.buckets.update
リクエスト元による支払い機能を有効にする storage.buckets.get
storage.buckets.update
リクエスト元による支払い機能を無効にする storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
オブジェクトのライフサイクル ポリシーを設定または更新する storage.buckets.get
storage.buckets.update
オブジェクトのライフサイクル ポリシーを表示する storage.buckets.get
バケットのデフォルトの Cloud Key Management Service 鍵を設定または削除する storage.buckets.get
storage.buckets.update
バケットのデフォルトの Cloud Key Management Service 鍵を表示する storage.buckets.get
バケットの保持ポリシーを設定、削除、またはロックする storage.buckets.get
storage.buckets.update
バケットの保持ポリシーを表示する storage.buckets.get
バケットにバケット ポリシーのみを設定または削除する storage.buckets.get
storage.buckets.update
バケットのバケット ポリシーのみのステータスを表示する storage.buckets.get
バケットの権限を変更する storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
空のバケットを削除する storage.buckets.delete
storage.objects.list
空でないバケットを削除する storage.buckets.delete
storage.objects.delete
storage.objects.list
オブジェクトのアップロード storage.objects.create
オブジェクトの詳細ページを表示する 5 storage.objects.get
オブジェクトをダウンロードする 5 storage.objects.get
バケット内のオブジェクトを一覧表示する 追加の権限なし
オブジェクトが一般公開されているかどうかを調べる 5 storage.objects.getIamPolicy4
オブジェクトの名前を変更する storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
オブジェクトのコピー storage.objects.create(転送先バケットの場合)
storage.objects.delete1(転送先バケットの場合)
storage.objects.get(ソース オブジェクトの場合)
storage.objects.getIamPolicy2、4(ソース オブジェクトの場合)
storage.objects.setIamPolicy2、4(転送先バケットの場合)
オブジェクトを移動する storage.objects.create(転送先バケットの場合)
storage.objects.delete1(転送先バケットの場合)
storage.objects.delete(転送元バケットの場合)
storage.objects.get(ソース オブジェクトの場合)
storage.objects.getIamPolicy2、4(ソース オブジェクトの場合)
storage.objects.setIamPolicy2、4(転送先バケットの場合)
オブジェクトのアクセス権限を表示する 5 storage.objects.get
storage.objects.getIamPolicy4
オブジェクトのアクセス権限を編集する 5 storage.objects.get
storage.objects.getIamPolicy4
storage.objects.setIamPolicy4
storage.objects.update
オブジェクトのメタデータを編集する storage.objects.get
storage.objects.update
オブジェクトの保留を追加または削除する storage.objects.get
storage.objects.update
オブジェクトを削除する 5 storage.objects.delete
プロジェクトの HMAC キーを表示する resourcemanager.projects.get
storage.hmacKeys.list
サービス アカウントの HMAC キーを作成する resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.create
サービス アカウントの HMAC キーを無効または再度有効にする resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.update
サービス アカウントの HMAC キーを削除する resourcemanager.projects.get
storage.hmacKeys.list
storage.hmacKeys.delete

1 この権限は、コピーまたは移動するオブジェクトと同じ名前のオブジェクトがバケット内に存在する場合にのみ必要になります。

2 この権限は、元のオブジェクトに現在適用されている権限を保持する場合にのみ必要になります。

3 この権限は、リクエストに請求先プロジェクトを含めない場合にのみ必要になります。詳細については、リクエスト元による支払いの使用条件とアクセス要件をご覧ください。

4 この権限は、バケット ポリシーのみが有効になっているバケットには適用されません。

5 このアクションでは、関連するオブジェクトの詳細ページで実行する場合は storage.objects.list は不要です。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

ご不明な点がありましたら、Google のサポートページをご覧ください。