Cloud Storage に適用される Cloud IAM 役割

標準の役割

次の表に、Cloud Storage に関連する Cloud Identity and Access Management(Cloud IAM)の役割と、各役割に含まれるバケットとオブジェクトの権限の一覧を示します。役割はプロジェクト全体または特定のバケットのいずれかに適用できます。

役割 説明 権限
roles/storage.objectCreator ユーザーによるオブジェクトの作成を許可します。オブジェクトを表示、削除または上書きする権限は付与されません。 resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.create
roles/storage.objectViewer オブジェクトとそのメタデータ(ACL を除く)を閲覧するためのアクセス権を付与します。

バケット内のオブジェクトを一覧表示することもできます。

resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.get
storage.objects.list
roles/storage.objectAdmin オブジェクトの一覧表示、作成、表示、削除など、オブジェクトのすべてを管理できる権限を付与します。 resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.*
roles/storage.admin バケットとオブジェクトのすべてを管理する権限を付与します。

個々のバケットに適用した場合、指定したバケットとその中のオブジェクトに対してのみ操作が適用されます。

firebase.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
storage.buckets.*
storage.objects.*

基本の役割

次の表に、基本の役割とその役割に含まれる Cloud Storage 権限を示します。基本の役割はバケットレベルで追加できません。

役割 説明 権限
role/viewer バケットを一覧表示する権限を付与します。また、リスト表示時に、ACL を除くバケット メタデータの表示権限も付与します。 storage.buckets.list
role/editor バケットを作成、一覧表示、削除する権限を付与します。リスト表示時に、ACL を除くバケット メタデータの表示権限も付与します。 storage.buckets.create
storage.buckets.delete
storage.buckets.list
role/owner バケットを作成、一覧表示、削除する権限を付与します。リスト表示時に、ACL を除くバケット メタデータの表示権限も付与します。 storage.buckets.create
storage.buckets.delete
storage.buckets.list

以前の役割

次の表に、アクセス制御リスト(ACL)権限と同等の Cloud IAM 役割を示します。これらの Cloud IAM 役割はプロジェクトではなくバケットにのみ適用できます。

役割 説明 権限
roles/storage.legacyObjectReader オブジェクトとそのメタデータ(ACL を除く)を閲覧するためのアクセス権を付与します。 storage.objects.get
roles/storage.legacyObjectOwner オブジェクトとそのメタデータ(ACL を含む)を閲覧し、編集するためのアクセス権を付与します。 storage.objects.get
storage.objects.update
storage.objects.setIamPolicy
storage.objects.getIamPolicy
roles/storage.legacyBucketReader バケットのコンテンツを一覧表示し、バケットのメタデータ(Cloud IAM ポリシーを除く)を読み取るためのアクセス権を付与します。また、オブジェクトを一覧表示するときに、オブジェクトのメタデータ(Cloud IAM ポリシーを除く)を読み取るためのアクセス権も付与します。

この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係をご覧ください。

storage.buckets.get
storage.objects.list
roles/storage.legacyBucketWriter オブジェクトを作成、上書き、削除するための権限、バケット内のオブジェクトを一覧表示する権限、リスト表示時にオブジェクト メタデータ(Cloud IAM ポリシーを除く)を読み取るための権限、バケット メタデータ(Cloud IAM ポリシーを除く)を読み取るための権限を付与します。

この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係をご覧ください。

storage.buckets.get
storage.objects.list
storage.objects.create
storage.objects.delete
roles/storage.legacyBucketOwner オブジェクトを作成、上書き、削除するための権限、バケット内のオブジェクトを一覧表示する権限、リスト表示時にオブジェクトのメタデータ(Cloud IAM ポリシーを除く)を読み取るための権限、Cloud IAM ポリシーを含むバケット メタデータの読み取り権限と編集権限を付与します。

この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係をご覧ください。

storage.buckets.get
storage.buckets.update
storage.buckets.setIamPolicy
storage.buckets.getIamPolicy
storage.objects.list
storage.objects.create
storage.objects.delete

カスタムの役割

場合によっては、自分で指定した一連の権限が含まれた、独自の役割を定義することが必要になります。これをサポートするために、Cloud IAM にはカスタムの役割が用意されています。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

ご不明な点がありましたら、Google のサポートページをご覧ください。