Cloud Storage に適用される IAM 権限

次の表に、Cloud Storage に関係する Identity and Access Management(IAM)権限の一覧を示します。IAM 権限はロールごとにグループ化され、ユーザーとグループにロールを割り当てます

バケットの権限

バケットの権限名 説明
storage.buckets.create プロジェクト内に新しいバケットを作成する。
storage.buckets.createTagBinding バケットに新しいタグ バインディングを作成する。
storage.buckets.delete バケットを削除する。
storage.buckets.deleteTagBinding バケットでタグ バインディングを削除する。
storage.buckets.enableObjectRetention バケットでオブジェクト保持構成を有効にする。
storage.buckets.exemptFromIpFilter バケットレベルのオペレーションのIP フィルタリング ルールからユーザーまたはサービス アカウントを除外します。
storage.buckets.get バケットのメタデータを読み取る。バケットの Pub/Sub 通知構成の一覧表示または読み取る。この権限だけでは、IAM ポリシーや IP フィルタリング ルールを読み取ることはできません。
storage.buckets.getIamPolicy バケットの IAM ポリシーを読み取る。
storage.buckets.getIpFilter バケットの IP フィルタリング ルールを一覧表示または読み取ります。
storage.buckets.getObjectInsights インベントリ レポートのオブジェクトのメタデータを読み取る。
storage.buckets.list 読み取りバケットのメタデータを含む、プロジェクト内のバケットを一覧表示します。この権限だけでは、IAM ポリシーや IP フィルタリング ルールを一覧表示することはできません。
storage.buckets.listEffectiveTags バケットに関連付けられているタグをすべて一覧表示します。これには、バケットのプロジェクトなど、リソース階層の上位から継承されるタグも含まれます。
storage.buckets.listTagBindings バケットに直接適用されたタグを一覧表示する。
storage.buckets.restore 削除済み(復元可能)のオブジェクトを一括で復元する。
storage.buckets.setIamPolicy バケットの IAM ポリシーを更新する。
storage.buckets.setIpFilter バケットにIP フィルタリング ルールを設定します。
storage.buckets.update バケットのメタデータを更新する。バケットに対する Pub/Sub 通知構成の追加または削除、更新時のバケットのメタデータの読み取りなど。この権限だけでは、IAM ポリシー、IP フィルタリング ルールを更新したり、更新中にバケットの IAM ポリシーを読み取ったりすることはできません。

フォルダの権限

フォルダの権限名 説明
storage.folders.create フォルダを作成します。
storage.folders.delete フォルダを削除します。
storage.folders.get フォルダのメタデータを読み取ります。
storage.folders.list フォルダを一覧表示します。
storage.folders.rename フォルダの名前を変更します。

マネージド フォルダの権限

マネージド フォルダの権限名 説明
storage.managedFolders.create マネージド フォルダを作成します。
storage.managedFolders.delete マネージド フォルダを削除します。
storage.managedFolders.get マネージド フォルダを読み取ります。
storage.managedFolders.getIamPolicy マネージド フォルダの IAM ポリシーを読み取ります。
storage.managedFolders.list バケットまたはフォルダ内のマネージド フォルダを一覧表示します。
storage.managedFolders.setIamPolicy マネージド フォルダの IAM ポリシーを更新します。

オブジェクトの権限

オブジェクトの権限名 説明
storage.objects.create 新しいオブジェクトをバケットに追加する。
storage.objects.delete オブジェクトを削除する。
storage.objects.get オブジェクトのデータとメタデータを読み取る(ACL を除く)。
storage.objects.getIamPolicy IAM ポリシーとして返されるオブジェクトの ACL を読み取る。
storage.objects.list バケット内のオブジェクトを一覧表示する。一覧表示するときに、オブジェクトのメタデータも読み取る(ACL を除く)。
storage.objects.overrideUnlockedRetention オブジェクト保持構成を操作するときに、x-goog-bypass-governance-retention ヘッダーまたは overrideUnlockedRetention クエリ パラメータを使用する。
storage.objects.restore 削除済み(復元可能)オブジェクトを復元する。
storage.objects.setIamPolicy オブジェクトの ACL を更新する。
storage.objects.setRetention オブジェクトの保持を追加または更新する。
storage.objects.update オブジェクトのメタデータを更新する(ACL を除く)。更新時にオブジェクトのメタデータも読み取る(ACL を除く)。

長時間実行オペレーションの権限

長時間実行オペレーションの権限名 説明
storage.bucketOperations.cancel 長時間実行オペレーションをキャンセルします。
storage.bucketOperations.get 長時間実行オペレーションを取得します。
storage.bucketOperations.list 長時間実行オペレーションを一覧表示します。

HMAC キーの権限

HMAC キーの権限名 説明
storage.hmacKeys.create プロジェクト内のサービス アカウントの新しい HMAC キーを作成します。
storage.hmacKeys.delete 既存の HMAC キーを削除します。
storage.hmacKeys.get HMAC キーのメタデータを読み取ります。
storage.hmacKeys.list プロジェクト内の HMAC キーのメタデータを一覧表示します。
storage.hmacKeys.update HMAC キーのステータスを更新します。

マルチパート アップロードの権限

マルチパート アップロードの権限名 説明
storage.multipartUploads.create 複数のパートでオブジェクトをアップロードします。
storage.multipartUploads.abort マルチパート アップロード セッションを中止します。
storage.multipartUploads.listParts マルチパート アップロード セッションで、アップロードされたオブジェクト パーツを一覧表示します。
storage.multipartUploads.list バケット内のマルチパート アップロード セッションを一覧表示します。

Storage Insights インベントリ レポートの権限

インベントリ レポートの権限名 説明
storageinsights.reportConfigs.create インベントリ レポートの構成を作成します。
storageinsights.reportConfigs.delete インベントリ レポートの構成を削除します。
storageinsights.reportConfigs.get インベントリ レポートの構成を取得します。
storageinsights.reportConfigs.list インベントリ レポートの構成を一覧表示します。
storageinsights.reportConfigs.update インベントリ レポートの構成を変更します。
storageinsights.reportDetails.get インベントリ レポートを取得します。
storageinsights.reportDetails.list インベントリ レポートを一覧表示します。

次のステップ