Google Cloud Storageの「ストレージオブジェクト管理者」と「ストレージ管理者」の違い

作成
2019-12-14

問題

Google Cloud Storageの「ストレージオブジェクト管理者」と「ストレージ管理者」の違いは?

解答

バケット作成や削除できるのが「ストレージ管理者」。できないのが「ストレージオブジェクト管理者」。

役割 バケット
作成
バケット
削除
ファイル
作成
ファイル
編集
ファイル
閲覧
ストレージ管理者
ストレージオブジェクト管理者 × ×
ストレージオブヘクトの作成者 × × × ×
ストレージオブジェクト閲覧者 × × × ×

補足

GCPコンソールのIAMからはバケット管理だけ決める

GCPコンソールの[IAM]はバケットについて管理者にするかどうかだけ決めて、ストレージオブジェクト(ファイルやフォルダ)の作成については、バケット内で決めたほうがきめ細かい役割がコントロールしやすいです。

バッチジョブにはどんな権限を与えたほうがいいの?

なお、バッチ基盤でのサービスアカウントに与える「役割」は何かと考えた場合、「ストレージオブジェクトの作成者」は編集や上書きができないので、ジョブが失敗して再度ジョブをキックする際にストレージオブジェクトを上書きできなかったりするので、カスタム役割で編集権限を与えるというのも良さそうです。

結局参照もするので、管理者でも良いかも。。。

参考

https://cloud.google.com/storage/docs/access-control/iam-roles?hl=ja