プロジェクトに新しいエンジニアが加わりました。このエンジニアは Cloud Storage バケットのオブジェクトを読み取り専用でアクセスできる必要があります。最小権限の原則に従って最も適切なロールはどれですか?
- A. 対象バケットに roles/storage.objectViewer を付与する
- B. 対象バケットに roles/storage.admin を付与する
- C. プロジェクトレベルで roles/viewer を付与する
- D. プロジェクトレベルで roles/storage.objectViewer を付与する
解答と解説を見る
正解: A
最小権限の原則では、必要なリソース(バケット)に必要な権限(読み取り)のみを付与します。roles/storage.objectViewer を特定のバケットにのみ付与することで、そのバケットのオブジェクト一覧表示と読み取りだけが可能になります。プロジェクトレベルでの roles/viewer はプロジェクト内のほぼすべてのリソースへの読み取りアクセスを与え、過剰な権限になります。roles/storage.admin は書き込みや削除も含む管理権限で読み取りのみの用途には不適切です。プロジェクトレベルでの roles/storage.objectViewer はプロジェクト内のすべてのバケットへの読み取りアクセスを与えてしまいます。