ゴール

Cloud StorageでGoogle CloudのマネジメントコンソールからGoogle Cloudのフォルダ毎の権限制御を行う。

前提

  • Cloud Storageのバケット、フォルダが作成されてる 。

手順

  1. カスタムロールを作成
    1-1.まずはCloud Storageにアクセスできるロールを作成します。

1-2.Cloud Storageにアクセスするための下記権限を追加します。

orgpolicy.policy.get
resourcemanager.projects.get
storage.folders.create
storage.folders.delete
storage.folders.get
storage.folders.list
storage.folders.rename
storage.managedFolders.create
storage.managedFolders.delete
storage.managedFolders.get
storage.managedFolders.list
storage.multipartUploads.abort
storage.multipartUploads.create
storage.multipartUploads.list
storage.multipartUploads.listParts
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.restore
storage.objects.update

2.必要なフォルダーに権限をつける
2-1.バケットを選択し権限をつけたいフォルダの「アクセス権を編集」を押下します。


2-2.マネージフォルダを有効にします。


2-3.プリンシパルを追加
ここでユーザーに権限をつけることがポイントとなります。
もし、IAMの画面からロールを紐付けてアクセスを許可してしまうと全てのフォルダのCloud Storageが見えてしまいます。

3.権限を与えたユーザーに切り替えてアクセス出来るか確認
権限を与えたユーザーからはフォルダ配下のファイルしか見えませんでした。

まとめ

今回はCloud Storageのフォルダに権限をつけられるか検証をしてみましたが全てGUIから出来たので覚えたら簡易的に出来るなと感じました。部署毎にロールを作成したい場合などは同じ内容のロールでも「例:{部署名}のロール」とかにしてどのユーザーに何のロールが割り当ててるとかロールの管理には工夫して運用していく必要があると感じました。