Cloud Storage に適用される IAM のロール

事前定義ロール

次の表に、Cloud Storage に関係する Identity and Access Management（IAM）ロールと、各ロールに含まれている権限を示します。特に明記されない限り、これらのロールはプロジェクト全体または特定のバケットのいずれかに適用できます。

バケットとオブジェクトへのアクセスを制御する方法については、IAM 権限の使用をご覧ください。

ロール	説明	権限
Storage オブジェクト作成者（`roles/storage.objectCreator`）	ユーザーによるオブジェクトの作成を許可します。オブジェクトの表示、削除または置き換えを行う権限は付与されません。	`orgpolicy.policy.get`¹ `resourcemanager.projects.get`² `resourcemanager.projects.list`² `storage.objects.create` `storage.multipartUploads.create` `storage.multipartUploads.abort` `storage.multipartUploads.listParts`
Storage オブジェクト閲覧者（`roles/storage.objectViewer`）	オブジェクトとそのメタデータ（ACL を除く）を閲覧するためのアクセス権を付与します。バケット内のオブジェクトを一覧表示することもできます。	`resourcemanager.projects.get`² `resourcemanager.projects.list`² `storage.objects.get` `storage.objects.list`
ストレージオブジェクト管理者（`roles/storage.objectAdmin`）	オブジェクトの一覧表示、作成、表示、削除など、オブジェクトのすべてを管理できる権限を付与します。	`orgpolicy.policy.get`¹ `resourcemanager.projects.get`² `resourcemanager.projects.list`² `storage.objects.` `storage.multipartUploads.`
Storage HMAC キー管理者（`roles/storage.hmacKeyAdmin`）	プロジェクト内の HMAC キーのすべてを管理する権限を付与します。このロールはプロジェクトにのみ適用できます。	`orgpolicy.policy.get`¹ `storage.hmacKeys.*`
Storage 管理者（`roles/storage.admin`）	バケットとオブジェクトのすべてを管理する権限を付与します。個々のバケットに適用した場合、指定したバケットとその中のオブジェクトに対してのみ操作が適用されます。	`firebase.projects.get` `orgpolicy.policy.get`¹ `resourcemanager.projects.get`² `resourcemanager.projects.list`² `storage.buckets.` `storage.objects.` `storage.multipartUploads.*`
Storage Insights 管理者（`roles/storageinsights.admin`）	Storage Insights のインベントリレポートと構成に対する完全な制御権限を付与します。	`cloudresourcemanager.projects.get` `cloudresourcemanager.projects.list` `storageinsights.reportConfigs.` `storageinsights.reportDetails.`
Storage Insights 閲覧者（`roles/storageinsights.viewer`）	Storage Insights のインベントリレポートと構成に対する読み取り専用アクセス権を付与します。	`cloudresourcemanager.projects.get` `cloudresourcemanager.projects.list` `storageinsights.reportConfigs.list` `storageinsights.reportConfigs.get` `storageinsights.reportDetails.list` `storageinsights.reportDetails.get`
Storage Insights コレクタサービス（`roles/insightsCollectorService`）	インベントリレポートのオブジェクトメタデータに対する読み取りアクセス権を付与します。	`resourcemanager.projects.get` `resourcemanager.projects.list` `storage.buckets.getObjectInsights` `storage.buckets.get`

¹ orgpolicy.policy.get 権限により、プリンシパルはプロジェクトに適用される組織のポリシー制約を確認できます。現在、この権限は、ロールがプロジェクトレベルで付与されている場合にのみ有効です。

² resourcemanager.projects.* 権限の詳細については、IAM を使用したプロジェクトのアクセス制御をご覧ください。

基本ロール

基本ロールは、IAM の導入前に存在していたロールです。これらのロールには固有の特性があります。

基本ロールはプロジェクト全体にのみ付与でき、プロジェクト内の個々のバケットには付与できません。プロジェクトに付与するその他のロールと同様に、基本ロールはプロジェクト内のすべてのバケットとオブジェクトに適用されます。
基本ロールには、このセクションでは説明していない他の Google Cloud サービスのための追加の権限が含まれています。基本ロールで付与される権限については、基本ロールをご覧ください。
それぞれの基本ロールにはコンビニエンス値があり、これを使うと、基本ロールをグループのように使用できます。この方法で使用すると、基本ロールを持つどのプリンシパルもそのグループの一部とみなされます。コンビニエンス値のアクセス権に基づいて、グループ内の全員にリソースへの追加のアクセス権が付与されます。
- コンビニエンス値は、バケットに対するロールを付与する際に使用できます。
- コンビニエンス値は、オブジェクトに ACL を設定する際に使用できます。
基本ロールは、Cloud Storage リソースに対するすべてのアクセス権を付与するものではありません。想定されるアクセス権の一部を付与し、想定される残りのアクセス権はコンビニエンス値を介して付与します。コンビニエンス値は、他の IAM プリンシパルと同様に手動で追加または削除できるため、プリンシパルが本来持つ可能性のあるアクセス権を取り消すこともできます。

コンビニエンス値によって基本ロールのプリンシパルに通常付与される追加のアクセス権については、変更可能な動作をご覧ください。

基本的な権限

次の表に、基本ロールに常に関連付けられている Cloud Storage の権限を示します。

ロール説明 Cloud Storage の権限

閲覧者（roles/viewer）プロジェクト内のバケットを一覧表示する権限、一覧表示するときにバケットのメタデータ（ACL を除く）を閲覧する権限、プロジェクト内の HMAC キーを一覧表示して取得する権限を付与します。 storage.buckets.list
storage.hmacKeys.get
storage.hmacKeys.list

編集者（roles/editor）プロジェクト内のバケットの作成、一覧表示、削除を行う権限、一覧表示するときにバケットメタデータ（ACL を除く）を閲覧する権限、プロジェクト内の HMAC キーを制御する権限を付与します。 storage.buckets.create
storage.buckets.delete
storage.buckets.list
storage.hmacKeys.*

ロール	説明	Cloud Storage の権限
閲覧者（`roles/viewer`）	プロジェクト内のバケットを一覧表示する権限、一覧表示するときにバケットのメタデータ（ACL を除く）を閲覧する権限、プロジェクト内の HMAC キーを一覧表示して取得する権限を付与します。	`storage.buckets.list` `storage.hmacKeys.get` `storage.hmacKeys.list`
編集者（`roles/editor`）	プロジェクト内のバケットの作成、一覧表示、削除を行う権限、一覧表示するときにバケットメタデータ（ACL を除く）を閲覧する権限、プロジェクト内の HMAC キーを制御する権限を付与します。	`storage.buckets.create` `storage.buckets.delete` `storage.buckets.list` `storage.hmacKeys.*`
オーナー（`roles/owner`）	プロジェクトでのバケットの作成、一覧表示、削除を行う権限、一覧表示の際にバケットメタデータ（ACL を除く）を閲覧する権限、タグバインディングの作成、削除、一覧表示を行う権限、プロジェクトの HMAC キーを制御する権限を付与します。このロールのプリンシパルは、Google Cloud 内でプロジェクトプリンシパルのロールの変更や請求先の修正などの管理作業を行うことができます。	`storage.buckets.create` `storage.buckets.delete` `storage.buckets.list` `storage.buckets.createTagBinding` `storage.buckets.deleteTagBinding` `storage.buckets.listEffectiveTags` `storage.buckets.listTagBindings` `storage.hmacKeys.*`

オーナー（roles/owner）

プロジェクトでのバケットの作成、一覧表示、削除を行う権限、一覧表示の際にバケットメタデータ（ACL を除く）を閲覧する権限、タグバインディングの作成、削除、一覧表示を行う権限、プロジェクトの HMAC キーを制御する権限を付与します。

このロールのプリンシパルは、Google Cloud 内でプロジェクトプリンシパルのロールの変更や請求先の修正などの管理作業を行うことができます。

storage.buckets.create
storage.buckets.delete
storage.buckets.list
storage.buckets.createTagBinding
storage.buckets.deleteTagBinding
storage.buckets.listEffectiveTags
storage.buckets.listTagBindings
storage.hmacKeys.*

変更可能な動作

次の表では、コンビニエンス値により、各基本ロールに通常関連付けられている追加の Cloud Storage アクセス権について説明します。この追加アクセス権は、バケットの作成時に付与されますが、後でバケットの IAM ポリシーとオブジェクト ACL を編集して削除または変更することも可能です。

ロール	コンビニエンス値によって付与される追加アクセス権
閲覧者（`roles/viewer`）	プロジェクト内の各バケットに対する `roles/storage.legacyBucketReader` ロールが付与されます。プロジェクト内の各バケットに対してデフォルトのオブジェクトアクセス制御リストで `READER` 権限が付与されます。バケットの作成時に均一なバケットレベルのアクセスを有効にすると、`roles/storage.legacyObjectReader` も付与されます。
編集者（`roles/editor`）	プロジェクト内の各バケットに対する `roles/storage.legacyBucketOwner` ロールが付与されます。プロジェクト内の各バケットに対してデフォルトのオブジェクトアクセス制御リストで `OWNER` 権限が付与されます。バケット作成時に均一なバケットレベルのアクセスを有効にすると、`roles/storage.legacyObjectOwner` ロールも付与されます。
オーナー（`roles/owner`）	プロジェクト内の各バケットに対する `roles/storage.legacyBucketOwner` ロールが付与されます。プロジェクト内の各バケットに対してデフォルトのオブジェクトアクセス制御リストで `OWNER` 権限が付与されます。バケット作成時に均一なバケットレベルのアクセスを有効にすると、`roles/storage.legacyObjectOwner` ロールも付与されます。

従来の事前定義ロール

次の表に、アクセス制御リスト（ACL）権限と同等の IAM ロールの一覧を示します。レガシーロールを付与できるのは、プロジェクトに対してではなく、個々のバケットに対してのみです。

ロール	説明	権限
Storage レガシーオブジェクト読み取り（`roles/storage.legacyObjectReader`）	オブジェクトとそのメタデータ（ACL を除く）を閲覧する権限を付与します。	`storage.objects.get`
Storage レガシーオブジェクトオーナー（`roles/storage.legacyObjectOwner`）	オブジェクトとそのメタデータ（ACL を含む）を閲覧し、編集する権限を付与します。	`storage.objects.get` `storage.objects.update` `storage.objects.setIamPolicy` `storage.objects.getIamPolicy`
Storage レガシーバケット読み取り（`roles/storage.legacyBucketReader`）	バケットのコンテンツを一覧表示し、バケットのメタデータ（IAM ポリシーを除く）を読み取るための権限を付与します。また、オブジェクトを一覧表示するときにオブジェクトメタデータ（IAM ポリシーを除く）を読み取るための権限を付与します。このロールの使用はバケットの ACL にも反映されます。詳細については、IAM と ACL の関係をご覧ください。	`storage.buckets.get` `storage.objects.list` `storage.multipartUploads.list`
Storage レガシーバケット書き込み（`roles/storage.legacyBucketWriter`）	バケット内のオブジェクトを作成、置き換え、削除するためのアクセス権、一覧表示するときに、オブジェクトのメタデータ（IAM ポリシーを除く）を読み取るためのアクセス権、バケットのメタデータ（IAM ポリシーを除く）を読み取るためのアクセス権を付与します。このロールの使用はバケットの ACL にも反映されます。詳細については、IAM と ACL の関係をご覧ください。	`storage.buckets.get` `storage.objects.list` `storage.objects.create` `storage.objects.delete` `storage.multipartUploads.*`
ストレージのレガシーバケットオーナー（`roles/storage.legacyBucketOwner`）	オブジェクトを作成、置き換え、削除するための権限、バケット内のオブジェクトを一覧表示する権限、タグバインディングの作成、削除、一覧表示を行う権限、一覧表示の際にオブジェクトメタデータ（IAM ポリシーを除く）を読み取るための権限、IAM ポリシーを含むバケットのメタデータの読み取りと編集を行うための権限を付与します。このロールの使用はバケットの ACL にも反映されます。詳細については、IAM と ACL の関係をご覧ください。	`storage.buckets.get` `storage.buckets.createTagBinding` `storage.buckets.deleteTagBinding` `storage.buckets.listEffectiveTags` `storage.buckets.listTagBindings` `storage.buckets.update` `storage.buckets.setIamPolicy` `storage.buckets.getIamPolicy` `storage.objects.list` `storage.objects.create` `storage.objects.delete` `storage.multipartUploads.*`

カスタムの役割

場合によっては、自分で指定した一連の権限が含まれた、独自の役割を定義することが必要になります。これをサポートするために、IAM にはカスタムロールが用意されています。

次のステップ

IAM 権限を使用して、バケットとオブジェクトへのアクセスを制御する。
Cloud Storage に適用される各 IAM 権限について学習する。
Cloud Console、gsutil、JSON API、XML API を使用した操作をユーザーに許可する IAM 権限について学習する。
Google Cloud の他のロールについては、ロールについてをご覧ください。