XML リクエストに必要な IAM 権限

次の表に、特定のリソースに Cloud Storage の各 XML メソッドを実行する場合に必要な Identity and Access Management（IAM）権限を示します。

メソッド	リソース	サブリソース	必要な IAM 権限 ¹
`DELETE`	`bucket`		`storage.buckets.delete`
`DELETE`	`object`		`storage.objects.delete`
`DELETE`	`object`	`uploadId`	`storage.multipartUploads.abort`
`GET`			`storage.buckets.list`
`GET`	`bucket`		`storage.objects.list`
`GET`	`bucket`	`acls`³	`storage.buckets.get` `storage.buckets.getIamPolicy`
`GET`	`bucket`	ACL 以外のメタデータ	`storage.buckets.get`
`GET`	`bucket`	`uploads`	`storage.multipartUploads.list`
`GET`	`object`		`storage.objects.get`
`GET`	`object`	`acls`³	`storage.objects.get` `storage.objects.getIamPolicy`
`GET`	`object`	`encryption`	`storage.objects.get`
`GET`	`object`	`retention`	`storage.objects.get`
`GET`	`object`	`uploadId`	`storage.multipartUploads.listParts`
`HEAD`	`bucket`		`storage.buckets.get`
`HEAD`	`object`		`storage.objects.get`
`POST`	`object`		`storage.objects.create` `storage.objects.delete`⁴ `storage.objects.setRetention`⁵
`POST`	`object`	`uploadId`	`storage.multipartUploads.create` `storage.objects.create` `storage.objects.delete`⁴
`POST`	`object`	`uploads`	`storage.multipartUploads.create` `storage.objects.create` `storage.objects.setRetention`⁵
`PUT`	`bucket`		`storage.buckets.create` `storage.buckets.enableObjectRetention`⁶
`PUT`	`bucket`	`acls`³	`storage.buckets.get` `storage.buckets.getIamPolicy` `storage.buckets.setIamPolicy` `storage.buckets.update`
`PUT`	`bucket`	ACL 以外のメタデータ	`storage.buckets.update`
`PUT`⁷	`object`		`storage.objects.create` `storage.objects.get`² `storage.objects.delete`⁴ `storage.objects.setRetention`⁵
`PUT`	`object`	`acls`³	`storage.objects.get` `storage.objects.getIamPolicy` `storage.objects.setIamPolicy` `storage.objects.update`
`PUT`	`object`	`compose`	`storage.objects.create` `storage.objects.get` `storage.objects.delete`⁴ `storage.objects.setRetention`⁵
`PUT`	`object`	`retention`	`storage.objects.setRetention` `storage.objects.update` `storage.objects.overrideUnlockedRetention`⁸
`PUT`	`object`	`uploadId`	`storage.multipartUploads.create` `storage.objects.create`

¹ リクエストで x-goog-user-project ヘッダーまたは userProject クエリ文字列パラメータを使用する場合、リクエストに必要な通常の IAM 権限に加えて、指定したプロジェクト ID の serviceusage.services.use 権限が必要です。

² リクエストに x-goog-copy-source ヘッダーが含まれている場合、転送元バケットにはこの権限が必要です。

³ このサブリソースは、均一なバケットレベルのアクセスが有効になっているバケットには適用されません。

⁴ この権限は、挿入するオブジェクトと同じ名前のオブジェクトがバケット内に存在している場合にのみ必要です。

⁵ この権限は、x-goog-object-lock-mode ヘッダーと x-goog-object-lock-retain-until-date ヘッダーがリクエストに含まれている場合にのみ必要です。

⁶ この権限は、true に設定された x-goog-bucket-object-lock-enabled ヘッダーがリクエストに含まれている場合にのみ必要です。

⁷ 再開可能なアップロードに関連する PUT リクエストを行う場合、権限は必要ありません。

⁸ この権限は、true に設定された x-goog-bypass-governance-retention ヘッダーがリクエストに含まれている場合にのみ必要です。

次のステップ

Cloud Storage のロールと権限の一覧について、Cloud Storage に適用される IAM ロールを確認する。