次の表に、特定のリソースで Cloud Storage の各 gsutil コマンドを実行する場合に必要な Identity and Access Management(IAM)権限を示します。IAM 権限は、ロールを作成するためにバンドルされています。ユーザーとグループにロールを付与します。
このページでは、次の情報も確認できます。
均一なバケットレベルのアクセスが無効になっているバケットにのみ適用される追加のコマンドの使用
-uフラグを使用した請求先プロジェクトの指定-mフラグを使用したオペレーションの並列実行
| コマンド | サブコマンド | 対象リソース | 必要な IAM 権限 |
|---|---|---|---|
autoclass |
get |
バケット | storage.buckets.get |
autoclass |
set |
バケット | storage.buckets.update |
cat |
オブジェクト | storage.objects.get |
|
compose |
オブジェクト | storage.objects.getstorage.objects.createstorage.objects.delete1 |
|
config |
なし | ||
cors |
get |
バケット | storage.buckets.get |
cors |
set |
バケット | storage.buckets.update |
cp |
オブジェクト | storage.objects.list2storage.objects.getstorage.objects.createstorage.objects.delete3 |
|
defstorageclass |
get |
バケット | storage.buckets.get |
defstorageclass |
set |
バケット | storage.buckets.update |
du |
オブジェクト | storage.objects.get |
|
hash |
オブジェクト | storage.objects.get |
|
help |
なし | ||
hmacKeys |
create |
HMAC キー | storage.hmacKeys.create |
hmacKeys |
delete |
HMAC キー | storage.hmacKeys.delete |
hmacKeys |
get |
HMAC キー | storage.hmacKeys.get |
hmacKeys |
list |
HMAC キー | storage.hmacKeys.list |
hmacKeys |
update |
HMAC キー | storage.hmacKeys.update |
iam |
get |
バケット | storage.buckets.getstorage.buckets.getIamPolicy |
iam |
set または ch |
バケット | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
kms |
authorize |
プロジェクト | resourceManager.projects.getiam.serviceAccounts.create4cloudkms.cryptoKeys.setIamPolicy |
kms |
encryption |
バケット | storage.buckets.get |
kms |
encryption -d |
バケット | storage.buckets.getstorage.buckets.update |
kms |
encryption -k |
バケット、プロジェクト 5 | storage.buckets.getstorage.buckets.updateresourceManager.projects.get5cloudkms.cryptoKeys.setIamPolicy5 |
kms |
serviceaccount |
プロジェクト | resourceManager.projects.get |
label |
get |
バケット | storage.buckets.get |
label |
set/ch |
バケット | storage.buckets.update |
lifecycle |
get |
バケット | storage.buckets.get |
lifecycle |
set/ch |
バケット | storage.buckets.update |
logging |
get |
バケット | storage.buckets.get |
logging |
set |
バケット | storage.buckets.update |
ls |
プロジェクト | storage.buckets.liststorage.buckets.getIamPolicy6 |
|
ls |
バケット、オブジェクト | storage.objects.liststorage.objects.getIamPolicy7 |
|
ls -b |
バケット | storage.buckets.getstorage.buckets.getIamPolicy6 |
|
mb |
バケット | storage.buckets.create |
|
mv |
オブジェクト | storage.objects.list2(宛先バケットの場合)storage.objects.get(ソース オブジェクトの場合)storage.objects.create(宛先バケットの場合)storage.objects.delete(ソースバケットの場合)storage.objects.delete3(宛先バケットの場合) |
|
notification |
create |
バケット | storage.buckets.updatepubsub.topics.get(Pub/Sub トピックを含むプロジェクト)pubsub.topics.create8(Pub/Sub トピックを含むプロジェクト)pubsub.topics.getIamPolicy(Pub/Sub トピックの受信通知)pubsub.topics.setIamPolicy8(Pub/Sub トピックの受信通知) |
notification |
create -s |
バケット | storage.buckets.update |
notification |
delete |
バケット | storage.buckets.getstorage.buckets.update |
notification |
list |
バケット | storage.buckets.get |
notification |
watchbucket |
バケット | storage.buckets.update |
notification |
stopchannel |
バケット | storage.buckets.update |
pap |
get |
バケット | storage.buckets.get |
pap |
set |
バケット | storage.buckets.getstorage.buckets.updatestorage.buckets.setIamPolicy |
perfdiag |
バケット | storage.buckets.getstorage.objects.createstorage.objects.deletestorage.objects.liststorage.objects.get |
|
rb |
バケット | storage.buckets.delete |
|
requesterpays |
get |
バケット | storage.buckets.get |
requesterpays |
set on |
バケット | storage.buckets.update |
requesterpays |
set off |
バケット | storage.buckets.updateresourcemanager.projects.createBillingAssignment9 |
retention |
clear、event-default、lock、または set |
バケット | storage.buckets.update |
retention |
event または temp |
オブジェクト | storage.objects.getstorage.objects.liststorage.objects.update |
retention |
get |
バケット | storage.buckets.get |
rewrite -k |
オブジェクト | storage.objects.liststorage.objects.getstorage.objects.createstorage.objects.delete |
|
rewrite -s |
オブジェクト | storage.objects.liststorage.objects.getstorage.objects.createstorage.objects.deletestorage.objects.update |
|
rm |
バケット | storage.buckets.deletestorage.objects.deletestorage.objects.list |
|
rm |
オブジェクト | storage.objects.deletestorage.objects.list |
|
rpo |
get |
バケット | storage.buckets.get |
rpo |
set |
バケット | storage.buckets.getstorage.buckets.update |
rsync |
オブジェクト | storage.objects.getstorage.objects.createstorage.objects.delete11storage.objects.list |
|
rsync -n |
オブジェクト | storage.objects.list(ソースバケットと宛先バケット) |
|
setmeta |
オブジェクト | storage.objects.getstorage.objects.liststorage.objects.update |
|
signurl |
なし。ただし、このコマンドの一部として鍵が使用されているサービス アカウントには、署名付き URL にエンコードされたリクエストを実行する権限が必要です。 | ||
stat |
オブジェクト | storage.objects.get |
|
test |
なし | ||
ubla |
set |
バケット | storage.buckets.getstorage.buckets.update |
ubla |
get |
バケット | storage.buckets.get |
update |
なし | ||
version |
なし | ||
versioning |
get |
バケット | storage.buckets.get |
versioning |
set |
バケット | storage.buckets.update |
web |
get |
バケット | storage.buckets.get |
web |
set |
バケット | storage.buckets.update |
1 この権限は、作成されたオブジェクトと同じ名前のオブジェクトがバケット内に存在している場合にのみ必要です。
2 この権限は、コマンドの宛先にオブジェクトのパスが含まれている場合にのみ必要です。
3 この権限は、並列複合アップロードを使用する場合や、-n フラグを使用せずにバケット内にすでに存在しているオブジェクトと同じ名前のオブジェクトを挿入する場合にのみ必要です。
4 この権限は、プロジェクトに既存の Cloud Storage サービス アカウントが関連付けられていない場合にのみ必要です。
5 gsutil kms encryption -k を使用する場合、プロジェクトのサービス アカウントにリクエスト対象の Cloud KMS 鍵にアクセスする権限がなければ、gsutil が gsutil kms authorize を実行して、必要な権限をそのサービス アカウントに付与します。
6 この権限は、詳細の中に IAM ポリシーを含める場合にのみ必要です。
7 この権限は、詳細の中に IAM ポリシーを含める場合にのみ必要です。この権限は、均一なバケットレベルのアクセスが有効になっているバケットには適用されません。
8 この権限は、トピックがすでに存在し、当該サービス アカウントにそのトピックへのアクセス権がある場合は必要ありません。
9 この権限は、リクエストに請求先プロジェクトを含めない場合にのみ必要になります。詳細については、リクエスト元による支払いの使用条件とアクセス要件をご覧ください。
10 コマンドでバケットの設定を変更しない場合、この権限は必要ありません。
11 この権限は、-d フラグを使用する場合や、バケット内にすでに存在しているオブジェクトと同じ名前のオブジェクトと同じ名前で、別のデータを持つオブジェクトを挿入する場合にのみ必要です。
ACL 関連メソッド
次の表に、ACL の管理にのみ適用される gsutil コマンドの実行に必要な IAM 権限を示します。これらのコマンドは、均一なバケットレベルのアクセスが無効になっているバケットにのみ適用されます。
| コマンド | サブコマンド | 対象リソース | 必要な IAM 権限 |
|---|---|---|---|
acl |
get |
バケット | storage.buckets.getstorage.buckets.getIamPolicy |
acl |
set または ch |
バケット | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
acl |
get |
オブジェクト | storage.objects.getstorage.objects.getIamPolicy |
acl |
set または ch |
オブジェクト | storage.objects.getstorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
cp -a または cp -p |
オブジェクト | storage.objects.listastorage.objects.getstorage.objects.createstorage.objects.deletebstorage.objects.getIamPolicystorage.objects.setIamPolicy |
|
defacl |
get |
バケット | storage.buckets.getstorage.buckets.getIamPolicy |
defacl |
set または ch |
バケット | storage.buckets.getstorage.buckets.getIamPolicystorage.buckets.setIamPolicystorage.buckets.update |
iam |
get |
オブジェクト | storage.objects.getstorage.objects.getIamPolicy |
iam |
set または ch |
オブジェクト | storage.objects.getstorage.objects.getIamPolicystorage.objects.setIamPolicystorage.objects.update |
mv -a または mv -p |
オブジェクト | storage.objects.listastorage.objects.getstorage.objects.createstorage.objects.deletestorage.objects.deletebstorage.objects.getIamPolicystorage.objects.setIamPolicy |
|
rsync -arsync -p |
オブジェクト | storage.objects.getstorage.objects.createstorage.objects.deletecstorage.objects.liststorage.objects.getIamPolicystorage.objects.setIamPolicy |
a この権限は、コマンドの宛先にオブジェクトのパスが含まれている場合にのみ必要です。
b この権限は、並列複合アップロードを使用する場合や、-n フラグを使用せずにバケット内にすでに存在しているオブジェクトと同じ名前のオブジェクトを挿入する場合にのみ必要です。
c この権限は、-d フラグを使用する場合や、バケット内にすでに存在しているオブジェクトと同じ名前のオブジェクトと同じ名前で、別のデータを持つオブジェクトを挿入する場合にのみ必要です。
-u トップレベル フラグ
-u グローバル フラグを使用して、リクエストの料金の請求先プロジェクトを指定する場合は、指定するプロジェクトに対する serviceusage.services.use 権限が必要です。たとえば、リクエスト元による支払いが有効にされているバケットにアクセスするには、-u フラグが必要です。
ワイルドカードと再帰フラグ
1 つのコマンドの中で URI ワイルドカードを使用して複数のオブジェクトを選択する場合は、それらのオブジェクトを含むバケットに対する storage.objects.list 権限が必要です。同じように、1 つのコマンドの中で URI ワイルドカードを使用して複数のバケットを選択する場合は、それらのバケットが含まれるプロジェクトに対する storage.buckets.list 権限が必要です。
再帰フラグ(-r と -R)を使用する場合は、使用している特定のコマンドに必要な権限に加えて、関連するバケットに対する storage.objects.list 権限が必要です。
-m トップレベル フラグ
通常、複数のオブジェクトまたはバケットに作用する gsutil コマンドを使用する場合、最初にエラーが発生した時点でコマンドは失敗します。ただし、-m グローバル フラグを使用すると、gsutil は発生したすべてのエラーを記録したうえで、オペレーションを続行します。
たとえば、一連のオブジェクトに対して acl set コマンドを実行しようとした際、必要な権限が与えられていたのは一部のオブジェクトだけだったとします。-m フラグを使用しない場合、gsutil は ACL を適用する権限のないオブジェクトに到達する時点までは、ACL を正常に適用します。権限のないオブジェクトの時点で、gsutil は失敗します。-m フラグを使用すると、gsutil は、権限を与えられていないオブジェクトに ACL を適用しようとした場合は発生するエラーを記録しますが、そうでない場合にはオペレーションを続行します。
次のステップ
- プロジェクト レベルとバケットレベルで IAM ロールを割り当てる。
- Cloud Storage の権限を含む IAM ロールを確認する。