GCPでは何百種類ものロールがあります.すべて覚えるのが不可能でしょう.
またロールとは別に権限という言葉もよく使われます.ロールと権限の違いを抑えるとIAMについて理解が深まるでしょう.
今回はロールの概念と各ロールが持つ権限について紹介します.
ロールとは
ロール(Role)はCloudリソースで特定のアクションを実行するための権限がまとまったものを指します.
例えばCloud Storageの事前定義ロールを見てみましょう!
事前定義ロールとはGoogleが作成・管理しているロールのことです.
Storageオブジェクト作成者の欄を見るといくつかの権限が書かれていますね.
作成者ロールはオブジェクトの作成ができます.
この権限たちはオブジェクトを作成する作業に必要な権限の一覧だと分かります.
権限は1つの小さなアクションを実行するもので,ロールは権限がまとまったものという認識で良いでしょう!
代表的なロールについて
よく使われるロールに付与された権限について紹介します.
Cloud Storageを例に紹介しますが,リソースが変わっても付与されている権限に大きな違いはありません.
Storageオブジェクト作成者(Storage Object Creater)
ユーザーはオブジェクトを作成できます.
ただし,オブジェクトの表示や削除,交換の権限は与えられていません.
Storageオブジェクト閲覧者(Storage Object Viewer)
ACL(アクセス制御リスト)を除いてオブジェクトとそのそのメタデータの閲覧ができます.
バケット内のオブジェクトを一覧表示することも可能.
Storageオブジェクト管理者(Storage Object Admin)
オブジェクトの一覧表示や作成,表示,削除などオブジェクトのすべてを管理できます.
Storage管理者(Storage Admin)
バケットとオブジェクトのすべてを管理できます.
個々のバケットに適用した場合は指定したバケットとその中のオブジェクトに対してのみ操作が可能.
まとめ
今回はロールと各ロールに含まれている権限について紹介しました.
「ロール」と「権限」は似たような意味で混乱しそうですが,明確な違いがありました.
- ロール:特定のアクションができるように権限をまとめたもの
- 権限:1つの小さなアクションができるもの
よく使うロールも紹介しました.リソースが変わってもできる内容は変わりません.
そのロールが意味する基本的な権限を抑えておきましょう!
