Cloud Storage の単純なストレージ管理作業を行うには、Google Cloud Platform Console を使用します。たとえば、GCP Console では次のような作業を行います。
- プロジェクトの Cloud Storage API の有効化
- バケットの作成と削除
- オブジェクトのアップロード、ダウンロード、削除
- Identity and Access Management(IAM)ポリシーの管理
このページでは、GCP Console を使用してデータを管理する方法など、GCP Console の概要について説明します。gsutil コマンドライン ツールや Cloud Storage をサポートするクライアント ライブラリを使用すると、より複雑な作業を行うことができます。
GCP Console へのアクセス
GCP Console は、セットアップやインストールが不要であり、ブラウザから直接アクセスできます。GCP Console へのアクセス方法は、ユースケースに応じて若干異なります。ユーザーの種類に応じて、以下のようになります。
- プロジェクトへのアクセス権が付与されているユーザー
使用:
https://console.cloud.google.com/。Google Cloud Platform Console をプロジェクト メンバーとして使用するには、プロジェクトのメンバーリストに追加されている必要があります。現在のプロジェクト オーナーは、プロジェクトで定義されているすべてのバケットとオブジェクトに適用される権限を付与できます。詳細については、プロジェクトへのメンバーの追加をご覧ください。
- バケットへのアクセス権が付与されているユーザー
使用:
https://console.cloud.google.com/storage/browser/[BUCKET_NAME]。この例では、プロジェクト オーナーがプロジェクト内の個々のバケットに対するアクセス権をユーザーに付与します。ユーザーは、このパケット名をオーナーから取得し、上記の URL で使用します。ユーザーが操作できるのは、指定されたバケット内のオブジェクトだけです。これは、プロジェクト メンバーでないユーザーがバケットにアクセスする場合に便利な方法です。Google アカウントにログインせずに URL にアクセスすると、認証を求めるメッセージが表示されます。
プロジェクト オーナーがバケット内のオブジェクトの読み取り権限をすべてのユーザーに付与する場合にも、この方法を使用します。これにより、公開されたコンテンツを含むバケットを作成できます。詳細については、以下の権限とメタデータの設定をご覧ください。
- オブジェクトに対するアクセス権が付与されているユーザー
使用:
https://console.cloud.google.com/storage/browser/_details/[BUCKET_NAME]/[OBJECT_NAME]この例では、プロジェクト オーナーがバケット内の 1 つのオブジェクトに対するアクセス権をユーザーに付与し、オブジェクトにアクセスするための URL をユーザーに送信します。Google アカウントにログインせずに URL にアクセスすると、認証を求めるメッセージが表示されます。
上記の URL の形式は、一般公開されているオブジェクトの URL とは異なります。リンクを一般公開している場合、URL は
https://storage.googleapis.com/[BUCKET_NAME]/[OBJECT_NAME]という形式になります。この公開 URL を使用する場合、Google の認証は必要ありません。このため、オブジェクトに対する非認証アクセスで使用されます。
Google Cloud Platform Console で実行できる作業
GCP Console を使用すると、ブラウザを使ってデータの基本的なストレージ管理作業を行うことができます。GCP Console を使用するには、Google による認証を受け、以下の作業を行うための適切な権限を持っている必要があります。プロジェクトを作成したアカウント オーナーであれば、以下の作業を行うのに必要なすべての権限がすでにあるはずです。権限がない場合は、プロジェクト メンバーとして追加してもらうか(プロジェクトへのメンバーの追加)、バケットに対する操作を行うための権限を付与してもらいます(バケットの権限の設定)。
バケットの作成
Cloud Storage はフラットな名前空間にデータを保存しますが、GCP Console を使用すると、複数のフォルダを作成して疑似的な階層を作成できます。データが物理的に階層構造で保存されるわけではありませんが、GCP Console では階層構造のように表示されます。
Cloud Storage システムにはフォルダの概念がないため、ユーザーが gsutil や、Cloud Storage に対応している他のコマンドライン ツールを使用してフォルダを表示すると、フォルダ サフィックスとオブジェクト名の区切り文字が表示されます。
GCP Console でバケットを作成する具体的な手順については、ストレージ バケットの作成をご覧ください。
バケットへのデータのアップロード
データをバケットにアップロードするには、ファイルかファイルが含まれるフォルダをアップロードします。フォルダをアップロードすると、GCP Console は、それに含まれるファイルとフォルダを含め、フォルダと同じ階層構造を維持します。アップロード進行状況ウィンドウを使って、GCP Console へのアップロードの進行状況を追跡できます。進行状況ウィンドウを最小化し、バケットの操作を続けることができます。
GCP Console でオブジェクトをバケットにアップロードする手順については、オブジェクトのアップロードをご覧ください。
GCP Console にオブジェクトをアップロードすることもできます。この場合、GCP Console でデスクトップやファイル管理ツールを使用し、ファイルまたはフォルダをドラッグしてバケットやサブフォルダにドロップします。
バケットからのデータのダウンロード
GCP Console を使用してバケットからオブジェクトをダウンロードする手順については、オブジェクトのダウンロードをご覧ください。
また、オブジェクトをクリックして詳細を表示することもできます。オブジェクトを表示できる場合、詳細ページにはオブジェクト自体のプレビューが含まれます。
フォルダの作成と使用
Cloud Storage にはフォルダという概念はありません。したがって、GCP Console でフォルダを作成すると、バケット内のオブジェクトを整理することができます。GCP Console では、フォルダとオブジェクトを区別できるように、フォルダはフォルダ アイコン画像で表示されます。
[フォルダを作成] ボタンをクリックすると、バケット(またはバケット内のフォルダ)に新しいフォルダを作成できます。バケットと異なり、フォルダ名は全体で固有のものはありません。バケットは、同じ名前のパケットが存在しない場合のみ作成できますが、バケットまたはサブフォルダから移動しない限り、フォルダ名を繰り返し使用することができます。
GCP Console では、フォルダに追加されたオブジェクトがそのフォルダ内に配置されたように表示されます。実際には、バケットレベルにすべてのオブジェクトが存在するため、名前の中にディレクトリ構造が含まれます。たとえば、pets という名前のフォルダを作成し、このフォルダにファイル cat.jpeg を追加すると、GCP Console ではフォルダ内にファイルが表示されます。実際には、特別なフォルダ エンティティは存在しません。ファイルはバケット内に存在し、pets/cat.jpeg という名前が設定されます。
GCP Console で、ファイルリストの上にあるパンくずリストで必要なフォルダ名またはバケット名をクリックすると、上位のディレクトリにアクセスできます。
gsutil でのフォルダの使用
他のツールを使ってバケットとデータを操作する場合、フォルダの表示方法は、GCP Console での表示方法と違う可能性があります。gsutil でのフォルダの扱いについては、サブディレクトリの仕組みをご覧ください。
表示するオブジェクトのフィルタリング
GCP Console では、オブジェクト リストの上にある [前方一致でフィルタ...] テキスト ボックスで接頭辞を指定すると、表示するオブジェクトをフィルタリングできます。このフィルタを使用すると、指定した接頭辞で始まるオブジェクトが表示されます。接頭辞でフィルタリングされるのは、現在のバケット表示に表示されているオブジェクトだけです。フォルダに含まれるオブジェクトは選択されません。
オブジェクト メタデータの設定
GCP Console でオブジェクトのメタデータを構成できます。オブジェクトのメタデータは、データがどのコンテンツ タイプを表すかや、データのエンコード方法など、リクエストがどのように処理されるかを制御します。GCP Console ではオブジェクトごとにメタデータを設定します。複数のオブジェクトのメタデータを同時に設定するには、gsutil setmeta を使用します。
オブジェクトのメタデータを表示して編集する手順については、オブジェクトのメタデータの表示と編集をご覧ください。
オブジェクト、フォルダ、バケットの削除
Google Cloud Platform Console でバケット、フォルダまたはオブジェクトを削除するには、削除対象の横にあるチェックボックスをオンにして [削除] ボタンをクリックします。操作の確認を行って処理を続行します。フォルダまたはバケットを削除すると、その中のすべてのオブジェクトも削除されます。[公開] と表示されているオブジェクトも削除されます。
GCP Console でバケットからオブジェクトを削除する手順については、オブジェクトの削除をご覧ください。
GCP Console でプロジェクトからバケットを削除する手順については、バケットの削除をご覧ください。
データの一般公開
オブジェクトを一般公開すると、オブジェクトの [公開アクセス] 列にリンクアイコンが表示されます。このリンクをクリックすると、オブジェクトにアクセスするための公開 URL が表示されます。
オブジェクトを公開して他のユーザーと共有する手順については、データの一般公開をご覧ください。
一般公開のオブジェクトにアクセスする方法については、一般公開データへのアクセスをご覧ください。
オブジェクトの公開を停止するには:
オブジェクトの一般公開を停止するには、メンバーとして allUsers か allAuthenticatedUsers を含む権限エントリを削除します。
特定のオブジェクトだけを一般公開しているバケットの場合は、個々のオブジェクトの ACL を編集します。
すべてのオブジェクトを一般公開しているバケットの場合は、allUsers に対する IAM アクセス権を削除します。
[公開アクセス] 列の使用
GCP Console ではバケットとオブジェクトのどちらにも、リソースが一般公開されているかどうかを示す [公開アクセス] 列があります。
バケットレベルの [公開アクセス] 列
次の条件を満たす IAM の役割がある場合、バケットは公開されています。
- 役割に、メンバーとして allUsers または allAuthenticatedUsers が含まれている。
- 役割に
storage.buckets.createとstorage.buckets.list以外のストレージ権限が 1 つ以上含まれている。
上記の条件が満たされると、バケットの [公開アクセス] 列には [公開] と表示されます。
上記の条件が満たされない場合、バケットの [公開アクセス] 列には [オブジェクト単位] と表示されます。バケット内の個々のオブジェクトが、それぞれのアクセス制御リスト(ACL)に応じて公開される可能性があるためです。
オブジェクト レベルの [公開アクセス] 列
次の条件のいずれかに該当する場合には、オブジェクトは公開されています。
オブジェクトのアクセス制御リスト(ACL)に allUsers または allAuthenticatedUsers のエントリが含まれている。
オブジェクトを含むバケットに、次の条件を満たす IAM の役割がある。
- 役割に、メンバーとして allUsers または allAuthenticatedUsers が含まれている。
- エントリに、ストレージ権限として、
storage.objects.get、storage.objects.getIamPolicy、storage.objects.setIamPolicy、storage.objects.updateのうち 1 つ以上が設定されている。
上記の条件が満たされると、そのオブジェクトの [公開アクセス] 列には [公開] と表示されます。
上記の条件が満たされない場合、そのオブジェクトの [公開アクセス] 列には [非公開] と表示されます。
バケットの権限の設定
Identity and Access Management(IAM)権限を使用すると、Cloud Storage バケットに対するアクセスを制御できます。たとえば、バケットの権限を設定し、ユーザーまたはグループなどのエンティティにバケット内のオブジェクトの表示や作成を許可できます。これは、ユーザーをプロジェクト レベルで追加するのが適切でない場合に行います。IAM 権限に指定されたエンティティは、バケットにアクセスするときに Google にログインし、認証を行う必要があります。https://console.cloud.google.com/storage/browser/[BUCKET_NAME]/ としてバケットの URL をユーザーと共有します。
オブジェクトの権限の設定
GCP Console で Identity and Access Management(IAM)権限を使用すると、バケット内のオブジェクトに対するアクセスを簡単に制御できます。バケット内のオブジェクトに対するアクセスを個別にカスタマイズするには、署名付き URL またはアクセス制御リスト(ACL)を使用します。
IAM 権限を表示して編集する手順については、IAM 権限の使用をご覧ください。
個々のオブジェクトの権限を表示または変更する方法については、ACL の変更をご覧ください。
プロジェクト レベルの役割をユーザーを設定する
プロジェクトを作成すると、ユーザーにオーナー IAM 役割が設定されます。共同編集者などの他のエンティティが、このプロジェクトのバケットやオブジェクトを操作できるようにするには、エンティティに固有の役割を設定する必要があります。
このプロジェクトの役割が付与されると、プロジェクトのリストにプロジェクト名が表示されます。すでにプロジェクト オーナーになっている場合には、プロジェクトにメンバーを追加できます。プロジェクト レベルでアクセス権の追加または削除を行う手順については、プロジェクトでの IAM の使用をご覧ください。
Cloud Data Loss Prevention でのバケットのスキャン
Cloud Data Loss Prevention(Cloud DLP)はバケット内の機密データを特定して保護するサービスです。Cloud DLP は、次のような情報を検索、削除して、コンプライアンス要件を満たすのに役立ちます。
- クレジット カード番号
- IP アドレス
- 個人情報(PII)のその他の形式
Cloud DLP で検出されるデータの種類の一覧については、infoType 検出器リファレンスをご覧ください。
バケットのその他メニューをクリックし、[Cloud Data Loss Prevention でスキャン] を選択すると、バケットの Cloud DLP スキャンを開始できます。バケットで Cloud DLP スキャンを行う方法については、Cloud Storage のロケーションの検査をご覧ください。
ご不明な点がありましたら、Google の