ここでは、GCP Console を使用して Cloud Storage のバケットとオブジェクトに対する各種の操作を実行する際に必要となる Cloud Identity and Access Management(Cloud IAM)権限について説明します。
GCP Console を使用するために必要な一般的な権限
GCP Console を使用するには、次のような特定の権限が広範囲にわたって必要になります。
バケットに関連するすべての操作には、プロジェクト レベルで
resourcemanager.projects.get権限とstorage.buckets.list権限が必要です。これらの権限により、バケットの作成、表示、更新を行う Console ブラウザのバケットページにアクセスできます。
オブジェクトに関連するすべての操作には、プロジェクト レベルまたはバケットレベルで
storage.objects.list権限が必要です。この権限により、オブジェクトのアップロード、表示、変更を行う Console ブラウザのオブジェクト ページにアクセスできます。
リクエストに請求先プロジェクトが含まれるすべての操作には、指定されたプロジェクトに対する
serviceusage.services.use権限が必要です。この権限により、指定したプロジェクトに課金する権限が与えられます。たとえば、リクエスト元による支払いを有効にしてバケットにアクセスするときに、請求プロジェクトを含めることができます。
特定の操作に必要な権限
| 操作 | 必要な Cloud IAM 権限(上記の権限以外) |
|---|---|
| バケットを作成する | storage.buckets.create |
| バケットを一覧表示またはフィルタリングする | 追加の権限なし |
| バケットの [概要] タブにアクセスする | storage.buckets.get |
| バケットのウェブサイト構成を表示または編集する(有効な場合) | storage.buckets.get |
storage.buckets.update |
|
| バケットラベル、デフォルトのストレージ クラス、またはデフォルトのイベントベースの保留を変更する | storage.buckets.get |
storage.buckets.update |
|
| リクエスト元による支払い機能を有効にする | storage.buckets.get |
storage.buckets.update |
|
| リクエスト元による支払い機能を無効にする | storage.buckets.get |
storage.buckets.update |
|
resourcemanager.projects.createBillingAssignment3 |
|
| オブジェクトのライフサイクル ポリシーを設定または更新する | storage.buckets.get |
storage.buckets.update |
|
| オブジェクトのライフサイクル ポリシーを表示する | storage.buckets.get |
| バケットのデフォルトの Cloud Key Management Service 鍵を設定または削除する | storage.buckets.get |
storage.buckets.update |
|
| バケットのデフォルトの Cloud Key Management Service 鍵を表示する | storage.buckets.get |
| バケットの保持ポリシーを設定、削除、またはロックする | storage.buckets.get |
storage.buckets.update |
|
| バケットの保持ポリシーを表示する | storage.buckets.get |
| バケットにバケット ポリシーのみを設定または削除する | storage.buckets.get |
storage.buckets.update |
|
| バケットのバケット ポリシーのみのステータスを表示する | storage.buckets.get |
| バケットの権限を変更する | storage.buckets.get |
storage.buckets.getIamPolicy |
|
storage.buckets.setIamPolicy |
|
storage.buckets.update |
|
| 空のバケットを削除する | storage.buckets.delete |
storage.objects.list |
|
| 空でないバケットを削除する | storage.buckets.delete |
storage.objects.delete |
|
storage.objects.list |
|
| オブジェクトをアップロードする | storage.objects.create |
| オブジェクトを表示またはダウンロードする | storage.objects.get |
| バケット内のオブジェクトを一覧表示する | 追加の権限なし |
| [公開アクセス] 列を使用して、オブジェクトを一般公開する方法を決定する | storage.objects.getIamPolicy4 |
| オブジェクトの名前を変更する | storage.objects.create |
storage.objects.delete |
|
storage.objects.get |
|
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
| オブジェクトをコピーする | storage.objects.create(宛先バケット) |
storage.objects.delete1(宛先バケット) |
|
storage.objects.get(元のオブジェクト) |
|
storage.objects.getIamPolicy2,4(元のオブジェクト) |
|
storage.objects.setIamPolicy2,4(宛先バケット) |
|
| オブジェクトを移動する | storage.objects.create(宛先バケット) |
storage.objects.delete1(宛先バケット) |
|
storage.objects.delete(元のバケット) |
|
storage.objects.get(元のオブジェクト) |
|
storage.objects.getIamPolicy2,4(元のオブジェクト) |
|
storage.objects.setIamPolicy2,4(宛先バケット) |
|
| オブジェクトを共有する | storage.objects.get |
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
storage.objects.update |
|
| オブジェクトの権限を編集する | storage.objects.get |
storage.objects.getIamPolicy4 |
|
storage.objects.setIamPolicy4 |
|
storage.objects.update |
|
| オブジェクトのメタデータを編集する | storage.objects.get |
storage.objects.update |
|
| オブジェクトの保留を追加または削除する | storage.objects.get |
storage.objects.update |
|
| オブジェクトを削除する | storage.objects.delete |
1 この権限は、コピーまたは移動するオブジェクトと同じ名前のオブジェクトがバケット内に存在する場合にのみ必要になります。
2 この権限は、元のオブジェクトに現在適用されている権限を保持する場合にのみ必要になります。
3 この権限は、リクエストに請求先プロジェクトを含めない場合にのみ必要になります。詳細については、リクエスト元による支払いの使用条件とアクセス要件をご覧ください。
4この権限は、バケット ポリシーのみが有効になっているバケットには適用されません。
次のステップ
- Cloud Storage の役割と権限の一覧については、Cloud Storage に適用される Cloud IAM 役割をご覧ください。
ご不明な点がありましたら、Google の