Google Cloud Platform Console に適用される Cloud IAM 権限

ここでは、GCP Console を使用して Cloud Storage のバケットとオブジェクトに対する各種の操作を実行する際に必要となる Cloud Identity and Access Management(Cloud IAM)権限について説明します。

GCP Console を使用するために必要な一般的な権限

GCP Console を使用するには、次のような特定の権限が広範囲にわたって必要になります。

  • バケットに関連するすべての操作には、プロジェクト レベルで resourcemanager.projects.get 権限と storage.buckets.list 権限が必要です。

    これらの権限により、バケットの作成、表示、更新を行う Console ブラウザのバケットページにアクセスできます。

  • オブジェクトに関連するすべての操作には、プロジェクト レベルまたはバケットレベルで storage.objects.list 権限が必要です。

    この権限により、オブジェクトのアップロード、表示、変更を行う Console ブラウザのオブジェクト ページにアクセスできます。

  • リクエストに請求先プロジェクトが含まれるすべての操作には、指定されたプロジェクトに対する serviceusage.services.use 権限が必要です。

    この権限により、指定したプロジェクトに請求を行う権限が与えられます。たとえば、リクエスト元による支払いを有効にしてバケットにアクセスするときに、請求プロジェクトを含めることができます。

特定の操作に必要な権限

操作 必要な Cloud IAM 権限(上記の権限以外)
バケットを作成する storage.buckets.create
バケットを一覧表示またはフィルタリングする 追加の権限なし
バケットの [概要] タブにアクセスする storage.buckets.get
バケットのウェブサイト構成を表示または編集する(有効な場合) storage.buckets.get
storage.buckets.update
バケットラベル、デフォルトのストレージ クラス、またはデフォルトのイベントベースの保留を変更する storage.buckets.get
storage.buckets.update
リクエスト元による支払い機能を有効にする storage.buckets.get
storage.buckets.update
リクエスト元による支払い機能を無効にする storage.buckets.get
storage.buckets.update
resourcemanager.projects.createBillingAssignment3
オブジェクトのライフサイクル ポリシーを設定または更新する storage.buckets.get
storage.buckets.update
オブジェクトのライフサイクル ポリシーを表示する storage.buckets.get
バケットのデフォルトの Cloud Key Management Service 鍵を設定または削除する storage.buckets.get
storage.buckets.update
バケットのデフォルトの Cloud Key Management Service 鍵を表示する storage.buckets.get
バケットの保持ポリシーを設定、削除、またはロックする storage.buckets.get
storage.buckets.update
バケットの保持ポリシーを表示する storage.buckets.get
バケットにバケット ポリシーのみを設定または削除する storage.buckets.get
storage.buckets.update
バケットのバケット ポリシーのみのステータスを表示する storage.buckets.get
バケットの権限を変更する storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
空のバケットを削除する storage.buckets.delete
storage.objects.list
空でないバケットを削除する storage.buckets.delete
storage.objects.delete
storage.objects.list
オブジェクトをアップロードする storage.objects.create
オブジェクトを表示またはダウンロードする storage.objects.get
バケット内のオブジェクトを一覧表示する 追加の権限なし
[公開アクセス] 列を使用して、オブジェクトを一般公開する方法を決定する storage.objects.getIamPolicy
オブジェクトの名前を変更する storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
オブジェクトをコピーする storage.objects.create(宛先バケット)
storage.objects.delete1(宛先バケット)
storage.objects.get(元のオブジェクト)
storage.objects.getIamPolicy2(元のオブジェクト)
storage.objects.setIamPolicy2(宛先バケット)
オブジェクトを移動する storage.objects.create(宛先バケット)
storage.objects.delete1(宛先バケット)
storage.objects.delete(元のバケット)
storage.objects.get(元のオブジェクト)
storage.objects.getIamPolicy2(元のオブジェクト)
storage.objects.setIamPolicy2(宛先バケット)
オブジェクトを共有する storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
オブジェクトの権限を編集する storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
オブジェクトのメタデータを編集する storage.objects.get
storage.objects.update
オブジェクトの保留を追加または削除する storage.objects.get
storage.objects.update
オブジェクトを削除する storage.objects.delete

1 この権限は、コピーまたは移動するオブジェクトと同じ名前のオブジェクトがバケット内に存在する場合にのみ必要になります。

2 この権限は、元のオブジェクトに現在適用されている権限を保持する場合にのみ必要になります。

3 この権限は、リクエストに請求先プロジェクトを含めない場合にのみ必要になります。詳細については、リクエスト元による支払いの使用条件とアクセス要件をご覧ください。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

ご不明な点がありましたら、Google のサポートページをご覧ください。