開発者が特定の Cloud Storage バケットにオブジェクトをアップロードできるようにしたいと考えています。必要最小限の権限を付与するために最も適切な事前定義 IAM ロールはどれですか?
- A. roles/storage.admin
- B. roles/storage.objectCreator
- C. roles/storage.legacyBucketOwner
- D. roles/storage.objectViewer
解答と解説を見る
正解: B
roles/storage.objectCreator はオブジェクトの作成(アップロード)のみを許可する最小権限のロールです。オブジェクトの読み取りや削除、バケット設定の変更は含まれません。最小権限の原則に従って必要な操作のみを許可します。roles/storage.admin はバケットとオブジェクトのすべての操作が可能な管理者ロールで、アップロードのみの目的には過剰です。roles/storage.objectViewer はオブジェクトの一覧表示と読み取りのみで、書き込みができません。roles/storage.legacyBucketOwner はバケットメタデータの読み書きとオブジェクトの操作が可能なレガシーロールで、必要最小限ではありません。