標準の役割
次の表に、Cloud Storage に関連付けられている Cloud Identity and Access Management(Cloud IAM)の役割と各役割に含まれる権限を記載します。特に明記されない限り、これらの役割はプロジェクト全体または特定のバケットのいずれかに適用できます。
役割 | 説明 | 権限 |
---|---|---|
roles/storage.objectCreator |
ユーザーにオブジェクトの作成を許可します。オブジェクトを表示、削除または上書きする権限は付与されません。 | resourcemanager.projects.get resourcemanager.projects.list
storage.objects.create |
roles/storage.objectViewer |
オブジェクトとそのメタデータ(ACL を除く)を閲覧するためのアクセス権を付与します。 バケット内のオブジェクトを一覧表示することもできます。 |
resourcemanager.projects.get resourcemanager.projects.list
storage.objects.get
storage.objects.list |
roles/storage.objectAdmin |
オブジェクトの一覧表示、作成、表示、削除など、オブジェクトのすべてを管理できる権限を付与します。 | resourcemanager.projects.get resourcemanager.projects.list
storage.objects.* |
roles/storage.hmacKeyAdmin |
プロジェクト内の HMAC キーのすべてを管理する権限を付与します。 | storage.hmacKeys.* |
roles/storage.admin |
バケットとオブジェクトのすべてを管理する権限を付与します。 個々のバケットに適用した場合、指定したバケットとその中のオブジェクトに対してのみ権限が適用されます。 |
firebase.projects.get resourcemanager.projects.get
resourcemanager.projects.list
storage.buckets.*
storage.objects.* |
基本の役割
次の表に、基本の役割と各役割に含まれる Cloud Storage 権限を記載します。基本の役割はバケットレベルでは追加できません。
役割 | 説明 | 権限 |
---|---|---|
role/viewer |
バケットを一覧表示する権限を付与します。また、リスト表示時に ACL を除くバケット メタデータを閲覧する権限も付与します。さらに、プロジェクト内の HMAC キーを一覧表示して取得する権限を付与します。 | storage.buckets.list storage.hmacKeys.get
storage.hmacKeys.list |
role/editor |
バケットを作成、一覧表示、削除する権限を付与します。 リスト表示時に ACL を除くバケット メタデータを閲覧する権限を付与します。プロジェクト内の HMAC キーのすべてを管理する権限を付与します。 | storage.buckets.create storage.buckets.delete
storage.buckets.list
storage.hmacKeys.* |
role/owner |
バケットを作成、一覧表示、削除する権限を付与します。 リスト表示時に ACL を除くバケット メタデータを閲覧する権限も付与します。プロジェクト内の HMAC キーのすべてを管理する権限を付与します。 | storage.buckets.create storage.buckets.delete
storage.buckets.list
storage.hmacKeys.* |
以前の役割
次の表に、アクセス制御リスト(ACL)権限と同等の Cloud IAM 役割を示します。これらの Cloud IAM 役割はプロジェクトではなくバケットにのみ適用できます。
役割 | 説明 | 権限 |
---|---|---|
roles/storage.legacyObjectReader |
オブジェクトとそのメタデータ(ACL を除く)を閲覧する権限を付与します。 | storage.objects.get |
roles/storage.legacyObjectOwner |
オブジェクトとそのメタデータ(ACL を含む)を閲覧し、編集する権限を付与します。 | storage.objects.get storage.objects.update
storage.objects.setIamPolicy
storage.objects.getIamPolicy |
roles/storage.legacyBucketReader |
バケットのコンテンツを一覧表示し、バケット メタデータ(Cloud IAM ポリシーを除く)を読み取る権限を付与します。また、オブジェクトのリスト表示時に、オブジェクト メタデータ(Cloud IAM ポリシーを除く)を読み取る権限も付与します。 この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係をご覧ください。 |
storage.buckets.get storage.objects.list |
roles/storage.legacyBucketWriter |
オブジェクトを作成、上書き、削除する権限、バケット内のオブジェクトを一覧表示する権限、リスト表示時にオブジェクト メタデータ(Cloud IAM ポリシーを除く)を読み取る権限、バケット メタデータ(Cloud IAM ポリシーを除く)を読み取る権限を付与します。 この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係をご覧ください。 |
storage.buckets.get storage.objects.list
storage.objects.create
storage.objects.delete |
roles/storage.legacyBucketOwner |
オブジェクトを作成、上書き、削除する権限、バケット内のオブジェクトを一覧表示する権限、リスト表示時にオブジェクト メタデータ(Cloud IAM ポリシーを除く)を読み取る権限、Cloud IAM ポリシーを含むバケット メタデータを読み取る権限と編集する権限を付与します。 この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係をご覧ください。 |
storage.buckets.get storage.buckets.update
storage.buckets.setIamPolicy
storage.buckets.getIamPolicy
storage.objects.list
storage.objects.create
storage.objects.delete |
カスタムの役割
場合によっては、一連の権限を自分で指定して含めた、独自の役割を定義することが必要になります。これをサポートするために、Cloud IAM にはカスタムの役割が用意されています。
次のステップ
Cloud IAM 権限を使用してバケットとオブジェクトへのアクセスを制御する方法を学習します。
Cloud Storage に適用される各 Cloud IAM 権限について詳しくは、Cloud Storage に適用される Cloud IAM 権限をご覧ください。
さまざまな Cloud Storage ツールを使用した操作をユーザーに許可する Cloud IAM 権限については、Cloud Console での Cloud IAM、gsutil での Cloud IAM、JSON での Cloud IAM、XML での Cloud IAM をご覧ください。
Google Cloud Platform の他の役割については、役割についてをご覧ください。