問題
Google Cloud Storageの「ストレージオブジェクト管理者」と「ストレージ管理者」の違いは?
解答
バケット作成や削除できるのが「ストレージ管理者」。できないのが「ストレージオブジェクト管理者」。
役割 | バケット 作成 | バケット 削除 | ファイル 作成 | ファイル 編集 | ファイル 閲覧 |
---|---|---|---|---|---|
ストレージ管理者 | ◯ | ◯ | ◯ | ◯ | ◯ |
ストレージオブジェクト管理者 | × | × | ◯ | ◯ | ◯ |
ストレージオブヘクトの作成者 | × | × | ◯ | × | × |
ストレージオブジェクト閲覧者 | × | × | × | × | ◯ |
補足
GCPコンソールのIAMからはバケット管理だけ決める
GCPコンソールの[IAM]はバケットについて管理者にするかどうかだけ決めて、ストレージオブジェクト(ファイルやフォルダ)の作成については、バケット内で決めたほうがきめ細かい役割がコントロールしやすいです。
バッチジョブにはどんな権限を与えたほうがいいの?
なお、バッチ基盤でのサービスアカウントに与える「役割」は何かと考えた場合、「ストレージオブジェクトの作成者」は編集や上書きができないので、ジョブが失敗して再度ジョブをキックする際にストレージオブジェクトを上書きできなかったりするので、カスタム役割で編集権限を与えるというのも良さそうです。
結局参照もするので、管理者でも良いかも。。。
参考
https://cloud.google.com/storage/docs/access-control/iam-roles?hl=ja