Cloud Storage に適用される Cloud IAM 役割

標準の役割

次の表に、Cloud Storage に関連付けられている Cloud Identity and Access Management(Cloud IAM)の役割と各役割に含まれる権限を記載します。特に明記されない限り、これらの役割はプロジェクト全体または特定のバケットのいずれかに適用できます。

役割 説明 権限
roles/storage.objectCreator ユーザーにオブジェクトの作成を許可します。オブジェクトを表示、削除または上書きする権限は付与されません。 resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.create
roles/storage.objectViewer オブジェクトとそのメタデータ(ACL を除く)を閲覧するためのアクセス権を付与します。

バケット内のオブジェクトを一覧表示することもできます。

resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.get
storage.objects.list
roles/storage.objectAdmin オブジェクトの一覧表示、作成、表示、削除など、オブジェクトのすべてを管理できる権限を付与します。 resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.*
roles/storage.hmacKeyAdmin プロジェクト内の HMAC キーのすべてを管理する権限を付与します。 storage.hmacKeys.*
roles/storage.admin バケットとオブジェクトのすべてを管理する権限を付与します。

個々のバケットに適用した場合、指定したバケットとその中のオブジェクトに対してのみ権限が適用されます。

firebase.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
storage.buckets.*
storage.objects.*

基本の役割

次の表に、基本の役割と各役割に含まれる Cloud Storage 権限を記載します。基本の役割はバケットレベルでは追加できません。

役割 説明 権限
role/viewer バケットを一覧表示する権限を付与します。また、リスト表示時に ACL を除くバケット メタデータを閲覧する権限も付与します。さらに、プロジェクト内の HMAC キーを一覧表示して取得する権限を付与します。 storage.buckets.list
storage.hmacKeys.get
storage.hmacKeys.list
role/editor バケットを作成、一覧表示、削除する権限を付与します。 リスト表示時に ACL を除くバケット メタデータを閲覧する権限を付与します。プロジェクト内の HMAC キーのすべてを管理する権限を付与します。 storage.buckets.create
storage.buckets.delete
storage.buckets.list
storage.hmacKeys.*
role/owner バケットを作成、一覧表示、削除する権限を付与します。 リスト表示時に ACL を除くバケット メタデータを閲覧する権限も付与します。プロジェクト内の HMAC キーのすべてを管理する権限を付与します。 storage.buckets.create
storage.buckets.delete
storage.buckets.list
storage.hmacKeys.*

以前の役割

次の表に、アクセス制御リスト(ACL)権限と同等の Cloud IAM 役割を示します。これらの Cloud IAM 役割はプロジェクトではなくバケットにのみ適用できます。

役割 説明 権限
roles/storage.legacyObjectReader オブジェクトとそのメタデータ(ACL を除く)を閲覧する権限を付与します。 storage.objects.get
roles/storage.legacyObjectOwner オブジェクトとそのメタデータ(ACL を含む)を閲覧し、編集する権限を付与します。 storage.objects.get
storage.objects.update
storage.objects.setIamPolicy
storage.objects.getIamPolicy
roles/storage.legacyBucketReader バケットのコンテンツを一覧表示し、バケット メタデータ(Cloud IAM ポリシーを除く)を読み取る権限を付与します。また、オブジェクトのリスト表示時に、オブジェクト メタデータ(Cloud IAM ポリシーを除く)を読み取る権限も付与します。

この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係をご覧ください。

storage.buckets.get
storage.objects.list
roles/storage.legacyBucketWriter オブジェクトを作成、上書き、削除する権限、バケット内のオブジェクトを一覧表示する権限、リスト表示時にオブジェクト メタデータ(Cloud IAM ポリシーを除く)を読み取る権限、バケット メタデータ(Cloud IAM ポリシーを除く)を読み取る権限を付与します。

この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係をご覧ください。

storage.buckets.get
storage.objects.list
storage.objects.create
storage.objects.delete
roles/storage.legacyBucketOwner オブジェクトを作成、上書き、削除する権限、バケット内のオブジェクトを一覧表示する権限、リスト表示時にオブジェクト メタデータ(Cloud IAM ポリシーを除く)を読み取る権限、Cloud IAM ポリシーを含むバケット メタデータを読み取る権限と編集する権限を付与します。

この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係をご覧ください。

storage.buckets.get
storage.buckets.update
storage.buckets.setIamPolicy
storage.buckets.getIamPolicy
storage.objects.list
storage.objects.create
storage.objects.delete

カスタムの役割

場合によっては、一連の権限を自分で指定して含めた、独自の役割を定義することが必要になります。これをサポートするために、Cloud IAM にはカスタムの役割が用意されています。

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

ご不明な点がありましたら、Google のサポートページをご覧ください。