JSON メソッドの IAM 権限

次の表に、特定のリソースに Cloud Storage の各 JSON メソッドを実行する場合に必要な Identity and Access Management(IAM)権限を示します。IAM 権限は、ロールを作成するためにバンドルされています。ユーザーとグループにロールを付与します。

均一なバケットレベルのアクセスが無効になっているバケットにのみ適用される追加のメソッドについては、ACL メソッドのテーブルをご覧ください。

リソース メソッド 必要な IAM 権限 1
Buckets delete storage.buckets.delete
Buckets get storage.buckets.get
storage.buckets.getIamPolicy2
Buckets getIamPolicy storage.buckets.getIamPolicy
Buckets insert storage.buckets.create
Buckets list storage.buckets.list
storage.buckets.getIamPolicy2
Buckets lockRetentionPolicy storage.buckets.update
Buckets patch storage.buckets.update
storage.buckets.getIamPolicy3
storage.buckets.setIamPolicy5
Buckets setIamPolicy storage.buckets.setIamPolicy
Buckets testIamPermissions なし
Buckets update storage.buckets.setIamPolicy
storage.buckets.update
Channels stop なし
Notifications delete storage.buckets.update
Notifications get storage.buckets.get
Notifications insert storage.buckets.update
Notifications list storage.buckets.get
Objects compose storage.objects.create
storage.objects.delete4
storage.objects.get
Objects copy storage.objects.create(転送先バケットの場合)
storage.objects.delete(転送先バケットの場合)4
storage.objects.get(転送元バケットの場合)
Objects delete storage.objects.delete
Objects get storage.objects.get
storage.objects.getIamPolicy2,6
Objects insert storage.objects.create
storage.objects.delete4
Objects list storage.objects.list
storage.objects.getIamPolicy2,6
Objects patch storage.objects.get
storage.objects.getIamPolicy6
storage.objects.update
storage.objects.setIamPolicy3,6
Objects rewrite storage.objects.create (転送先バケットの場合)
storage.objects.delete(転送先バケットの場合)4
storage.objects.get(転送元バケットの場合)
Objects update storage.objects.setIamPolicy6
storage.objects.update
Objects watchAll storage.buckets.update
Projects.hmacKeys create storage.hmacKeys.create
Projects.hmacKeys delete storage.hmacKeys.delete
Projects.hmacKeys get storage.hmacKeys.get
Projects.hmacKeys list storage.hmacKeys.list
Projects.hmacKeys update storage.hmacKeys.update
Projects.serviceAccount get resourceManager.projects.get

1 リクエストで userProject パラメータまたは x-goog-user-project ヘッダーを使用する場合、リクエストに必要な通常の IAM 権限に加えて、指定したプロジェクト ID の serviceusage.services.use 権限が必要です。

2 この権限は、full プロジェクションの一部として ACL または IAM ポリシーを含める場合にのみ必要です。この権限がないときに full プロジェクションをリクエストすると、部分プロジェクションのみが表示されます。

3 この権限は、レスポンスの一部として ACL または IAM ポリシーを含める場合にのみ必要です。

4 この権限は、挿入するオブジェクトと同じ名前のオブジェクトがバケット内に存在している場合にのみ必要です。

5 この権限は、リクエストの一部として ACL または IAM ポリシーを含める場合に必要です。

6 この権限は、均一なバケットレベルのアクセスが有効になっているバケットには適用されません。

ACL 関連メソッド

次の表に、ACL の管理にのみ適用される JSON メソッドの実行に必要な IAM 権限を示します。これらのメソッドは、均一なバケットレベルのアクセスが無効になっているバケットにのみ適用されます。

リソース メソッド 必要な IAM 権限 1
BucketAccessControls delete storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
BucketAccessControls get storage.buckets.get
storage.buckets.getIamPolicy
BucketAccessControls insert storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
BucketAccessControls list storage.buckets.get
storage.buckets.getIamPolicy
BucketAccessControls patch storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
BucketAccessControls update storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
DefaultObjectAccessControls delete storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
DefaultObjectAccessControls get storage.buckets.get
storage.buckets.getIamPolicy
DefaultObjectAccessControls insert storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
DefaultObjectAccessControls list storage.buckets.get
storage.buckets.getIamPolicy
DefaultObjectAccessControls patch storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
DefaultObjectAccessControls update storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
ObjectAccessControls delete storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
ObjectAccessControls get storage.objects.get
storage.objects.getIamPolicy
ObjectAccessControls insert storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
ObjectAccessControls list storage.objects.get
storage.objects.getIamPolicy
ObjectAccessControls patch storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
ObjectAccessControls update storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update

1 リクエストで userProject パラメータまたは x-goog-user-project ヘッダーを使用する場合、リクエストに必要な通常の IAM 権限に加えて、指定したプロジェクト ID の serviceusage.services.use 権限が必要です。

次のステップ