標準の役割
次の表に、Cloud Storage に関連する Cloud Identity and Access Management(Cloud IAM)の役割と、各役割に含まれるバケットとオブジェクトの権限の一覧を示します。役割はプロジェクト全体または特定のバケットのいずれかに適用できます。
| 役割 | 説明 | 権限 |
|---|---|---|
roles/storage.objectCreator |
ユーザーによるオブジェクトの作成を許可します。オブジェクトを表示、削除または上書きする権限は付与されません。 | resourcemanager.projects.getresourcemanager.projects.liststorage.objects.create |
roles/storage.objectViewer |
オブジェクトとそのメタデータ(ACL を除く)を閲覧するためのアクセス権を付与します。 バケット内のオブジェクトを一覧表示することもできます。 |
resourcemanager.projects.getresourcemanager.projects.liststorage.objects.getstorage.objects.list |
roles/storage.objectAdmin |
オブジェクトの一覧表示、作成、表示、削除など、オブジェクトのすべてを管理できる権限を付与します。 | resourcemanager.projects.getresourcemanager.projects.liststorage.objects.* |
roles/storage.admin |
バケットとオブジェクトのすべてを管理する権限を付与します。 個々のバケットに適用した場合、指定したバケットとその中のオブジェクトに対してのみ操作が適用されます。 |
firebase.projects.getresourcemanager.projects.getresourcemanager.projects.liststorage.buckets.*storage.objects.* |
基本の役割
次の表に、基本の役割とその役割に含まれる Cloud Storage 権限を示します。基本の役割はバケットレベルで追加できません。
| 役割 | 説明 | 権限 |
|---|---|---|
role/viewer |
バケットを一覧表示する権限を付与します。また、リスト表示時に、ACL を除くバケット メタデータの表示権限も付与します。 | storage.buckets.list |
role/editor |
バケットを作成、一覧表示、削除する権限を付与します。リスト表示時に、ACL を除くバケット メタデータの表示権限も付与します。 | storage.buckets.createstorage.buckets.deletestorage.buckets.list |
role/owner |
バケットを作成、一覧表示、削除する権限を付与します。リスト表示時に、ACL を除くバケット メタデータの表示権限も付与します。 | storage.buckets.createstorage.buckets.deletestorage.buckets.list |
以前の役割
次の表に、アクセス制御リスト(ACL)権限と同等の Cloud IAM 役割を示します。これらの Cloud IAM 役割はプロジェクトではなくバケットにのみ適用できます。
| 役割 | 説明 | 権限 |
|---|---|---|
roles/storage.legacyObjectReader |
オブジェクトとそのメタデータ(ACL を除く)を閲覧するための権限を付与します。 | storage.objects.get |
roles/storage.legacyObjectOwner |
オブジェクトとそのメタデータ(ACL を含む)を閲覧し、編集するための権限を付与します。 | storage.objects.getstorage.objects.updatestorage.objects.setIamPolicystorage.objects.getIamPolicy |
roles/storage.legacyBucketReader |
バケットのコンテンツを一覧表示し、バケットのメタデータ(Cloud IAM ポリシーを除く)を読み取るための権限を付与します。また、オブジェクトを一覧表示するときに、オブジェクトのメタデータ(Cloud IAM ポリシーを除く)を読み取るための権限も付与します。
この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係をご覧ください。 |
storage.buckets.getstorage.objects.list |
roles/storage.legacyBucketWriter |
オブジェクトを作成、上書き、削除するための権限、バケット内のオブジェクトを一覧表示する権限、リスト表示時にオブジェクト メタデータ(Cloud IAM ポリシーを除く)を読み取るための権限、バケット メタデータ(Cloud IAM ポリシーを除く)を読み取るための権限を付与します。
この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係をご覧ください。 |
storage.buckets.getstorage.objects.liststorage.objects.createstorage.objects.delete |
roles/storage.legacyBucketOwner |
オブジェクトを作成、上書き、削除するための権限、バケット内のオブジェクトを一覧表示する権限、リスト表示時にオブジェクトのメタデータ(Cloud IAM ポリシーを除く)を読み取るための権限、Cloud IAM ポリシーを含むバケット メタデータの読み取り権限と編集権限を付与します。
この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係をご覧ください。 |
storage.buckets.getstorage.buckets.updatestorage.buckets.setIamPolicystorage.buckets.getIamPolicystorage.objects.liststorage.objects.createstorage.objects.delete |
カスタムの役割
場合によっては、自分で指定した一連の権限が含まれた、独自の役割を定義することが必要になります。これをサポートするために、Cloud IAM にはカスタムの役割が用意されています。
次のステップ
Cloud IAM 権限を使用してバケットとオブジェクトへのアクセスを制御する方法を学習します。
Cloud Storage に適用される各 Cloud IAM 権限について詳しくは、Cloud Storage に適用される Cloud IAM 権限をご覧ください。
さまざまな Cloud Storage ツールを使用した操作をユーザーに許可する Cloud IAM 権限については、Cloud Console での Cloud IAM、gsutil での Cloud IAM、JSON での Cloud IAM、XML での Cloud IAM をご覧ください。
Google Cloud Platform の他の役割については、役割についてをご覧ください。
ご不明な点がありましたら、Google の