事前定義ロール
次の表に、Cloud Storage に関係する Identity and Access Management(IAM)ロールと、各ロールに含まれている権限を示します。特に明記されない限り、これらのロールはプロジェクト全体または特定のバケットのいずれかに適用できます。
| ロール | 説明 | 権限 |
|---|---|---|
Storage オブジェクト作成者(roles/storage.objectCreator) |
ユーザーによるオブジェクトの作成を許可します。オブジェクトの表示、削除または置き換えを行う権限は付与されません。 | orgpolicy.policy.get1resourcemanager.projects.getresourcemanager.projects.liststorage.objects.createstorage.multipartUploads.createstorage.multipartUploads.abortstorage.multipartUploads.listParts |
Storage オブジェクト閲覧者(roles/storage.objectViewer) |
オブジェクトとそのメタデータ(ACL を除く)を閲覧するためのアクセス権を付与します。 バケット内のオブジェクトを一覧表示することもできます。 |
resourcemanager.projects.getresourcemanager.projects.liststorage.objects.getstorage.objects.list |
ストレージ オブジェクト管理者(roles/storage.objectAdmin) |
オブジェクトの一覧表示、作成、表示、削除など、オブジェクトのすべてを管理できる権限を付与します。 | orgpolicy.policy.get1resourcemanager.projects.getresourcemanager.projects.liststorage.objects.*storage.multipartUploads.* |
Storage HMAC キー管理者(roles/storage.hmacKeyAdmin) |
プロジェクト内の HMAC キーのすべてを管理する権限を付与します。このロールはプロジェクトにのみ適用できます。 | orgpolicy.policy.get1storage.hmacKeys.* |
Storage 管理者(roles/storage.admin) |
バケットとオブジェクトのすべてを管理する権限を付与します。 個々のバケットに適用した場合、指定したバケットとその中のオブジェクトに対してのみ操作が適用されます。 |
firebase.projects.getorgpolicy.policy.get1resourcemanager.projects.getresourcemanager.projects.liststorage.buckets.*storage.objects.*storage.multipartUploads.* |
1 orgpolicy.policy.get 権限により、プリンシパルはプロジェクトに適用される組織のポリシー制約を確認できます。現在、ロールがプロジェクト レベルで設定されている場合にのみ、この権限がロールに含まれます。
基本ロール
基本ロールは、IAM の導入前に存在していたロールです。これらのロールには固有の特性があります。
基本ロールはプロジェクト全体にのみ付与でき、プロジェクト内の個々のバケットには付与できません。プロジェクトに付与するその他のロールと同様に、基本ロールはプロジェクト内のすべてのバケットとオブジェクトに適用されます。
基本ロールには、このセクションでは説明していない他の Google Cloud サービスのための追加の権限が含まれています。基本ロールで付与される権限については、基本ロールをご覧ください。
それぞれの基本ロールにはコンビニエンス値があり、これを使うと、基本ロールをグループのように使用できます。この方法で使用すると、基本ロールを持つどのプリンシパルもそのグループの一部とみなされます。コンビニエンス値のアクセス権に基づいて、グループ内の全員にリソースへの追加のアクセス権が付与されます。
コンビニエンス値は、バケットに対するロールを付与する際に使用できます。
コンビニエンス値は、オブジェクトに ACL を設定する際に使用できます。
基本ロールは、Cloud Storage リソースに対するすべてのアクセス権を付与するものではありません。想定されるアクセス権の一部を付与し、想定される残りのアクセス権はコンビニエンス値を介して付与します。コンビニエンス値は、他の IAM プリンシパルと同様に手動で追加または削除できるため、プリンシパルが本来持つ可能性のあるアクセス権を取り消すこともできます。
コンビニエンス値によって基本ロールのプリンシパルに通常付与される追加のアクセス権については、変更可能な動作をご覧ください。
基本的な権限
次の表に、基本ロールに常に関連付けられている Cloud Storage の権限を示します。
| ロール | 説明 | Cloud Storage の権限 |
|---|---|---|
閲覧者(roles/viewer) |
プロジェクト内のバケットを一覧表示する権限、一覧表示するときにバケットのメタデータ(ACL を除く)を閲覧する権限、プロジェクト内の HMAC キーを一覧表示して取得する権限を付与します。 | storage.buckets.liststorage.hmacKeys.getstorage.hmacKeys.list |
編集者(roles/editor) |
プロジェクト内のバケットの作成、一覧表示、削除を行う権限、一覧表示するときにバケット メタデータ(ACL を除く)を閲覧する権限、プロジェクト内の HMAC キーを制御する権限を付与します。 | storage.buckets.createstorage.buckets.deletestorage.buckets.liststorage.hmacKeys.* |
オーナー(roles/owner) |
プロジェクト内のバケットの作成、一覧表示、削除を行う権限、一覧表示するときにバケット メタデータ(ACL を除く)を閲覧する権限、プロジェクト内の HMAC キーを制御する権限を付与します。 このロールのプリンシパルは、Google Cloud 内でプロジェクト プリンシパルのロールの変更や請求先の修正などの管理作業を行うことができます。 |
storage.buckets.createstorage.buckets.deletestorage.buckets.liststorage.hmacKeys.* |
変更可能な動作
次の表では、コンビニエンス値により、各基本ロールに通常関連付けられている追加の Cloud Storage アクセス権について説明します。この追加アクセス権は、バケットの作成時に付与されますが、後でバケットの IAM ポリシーとオブジェクト ACL を編集して削除または変更することも可能です。
| ロール | コンビニエンス値によって付与される追加アクセス権 |
|---|---|
閲覧者(roles/viewer) |
|
編集者(roles/editor) |
|
オーナー(roles/owner) |
|
従来の事前定義ロール
次の表に、アクセス制御リスト(ACL)権限と同等の IAM ロールの一覧を示します。レガシーロールを付与できるのは、プロジェクトに対してではなく、個々のバケットに対してのみです。
| ロール | 説明 | 権限 |
|---|---|---|
Storage レガシー オブジェクト読み取り(roles/storage.legacyObjectReader) |
オブジェクトとそのメタデータ(ACL を除く)を閲覧する権限を付与します。 | storage.objects.get |
Storage レガシー オブジェクト オーナー(roles/storage.legacyObjectOwner) |
オブジェクトとそのメタデータ(ACL を含む)を閲覧し、編集する権限を付与します。 | storage.objects.getstorage.objects.updatestorage.objects.setIamPolicystorage.objects.getIamPolicy |
Storage レガシー バケット読み取り(roles/storage.legacyBucketReader) |
バケットのコンテンツを一覧表示し、バケットのメタデータ(IAM ポリシーを除く)を読み取るための権限を付与します。また、オブジェクトを一覧表示するときにオブジェクト メタデータ(IAM ポリシーを除く)を読み取るための権限を付与します。 このロールの使用はバケットの ACL にも反映されます。詳細については、IAM と ACL の関係をご覧ください。 |
storage.buckets.getstorage.objects.liststorage.multipartUploads.list |
Storage レガシー バケット書き込み(roles/storage.legacyBucketWriter) |
バケット内のオブジェクトを作成、置き換え、削除するためのアクセス権、一覧表示するときに、オブジェクトのメタデータ(IAM ポリシーを除く)を読み取るためのアクセス権、バケットのメタデータ(IAM ポリシーを除く)を読み取るためのアクセス権を付与します。 このロールの使用はバケットの ACL にも反映されます。詳細については、IAM と ACL の関係をご覧ください。 |
storage.buckets.getstorage.objects.liststorage.objects.createstorage.objects.deletestorage.multipartUploads.createstorage.multipartUploads.abortstorage.multipartUploads.listParts |
ストレージのレガシー バケット オーナー(roles/storage.legacyBucketOwner) |
バケット内のオブジェクトを作成、置き換え、削除するためのアクセス権、一覧表示するときに、オブジェクトのメタデータ(IAM ポリシーを除く)を読み取るためのアクセス権、バケットのメタデータ(IAM ポリシーを含む)を読み取って編集するためのアクセス権を付与します。 このロールの使用はバケットの ACL にも反映されます。詳細については、IAM と ACL の関係をご覧ください。 |
storage.buckets.getstorage.buckets.updatestorage.buckets.setIamPolicystorage.buckets.getIamPolicystorage.objects.liststorage.objects.createstorage.objects.deletestorage.multipartUploads.* |
カスタムの役割
場合によっては、自分で指定した一連の権限が含まれた、独自の役割を定義することが必要になります。これをサポートするために、IAM にはカスタムロールが用意されています。
次のステップ
IAM 権限を使用して、バケットとオブジェクトへのアクセスを制御する。
Cloud Storage に適用される各 IAM 権限について学習する。
Cloud Console、gsutil、JSON API、XML API を使用した操作をユーザーに許可する IAM 権限について学習する。
Google Cloud の他のロールについては、ロールについてをご覧ください。