プロジェクトのストレージ バケットへのアクセス権を付与して取得する

このページでは、Google Distributed Cloud(GDC)エアギャップ プロジェクト内のストレージ バケットへのアクセスを管理して、適切なユーザーに適切な権限を付与する方法について説明します。ロール バインディングと事前定義ロールを使用して、ユーザーとサービス アカウントのアクセス権を取得して付与するための前提条件と手順について説明します。この情報を使用すると、ストレージ リソースへのアクセスを効果的に制御し、セキュリティと運用効率の両方を維持できます。

このページは、GDC エアギャップ環境のストレージ バケットのアクセス設定を管理する、インフラストラクチャ オペレーター グループの IT 管理者やアプリケーション オペレーター グループのデベロッパーなどを対象としています。詳細については、GDC エアギャップ ドキュメントの対象読者をご覧ください。

始める前に

プロジェクト Namespace は、Management API サーバーのバケットリソースを管理します。バケットとオブジェクトを操作するには、プロジェクトが必要です。

バケットへのアクセス権を付与する

Management API サーバーで事前定義ロールを参照する RoleBinding を作成して適用することで、バケットやバケット内のオブジェクトなどの S3 API リソースへのアクセス権を User サブジェクトと ServiceAccount サブジェクトに付与できます。

事前定義ロール

  • project-bucket-object-viewer: これにより、ユーザーはプロジェクト内のすべてのバケットを一覧表示し、それらのバケット内のオブジェクトを一覧表示して、オブジェクトとオブジェクトのメタデータを読み取ることができます。オブジェクトに対する書き込みオペレーションはできません。たとえば、アップロード、上書き、削除などです。組織とそのプロジェクト内のデュアルゾーン バケットに対する読み取り専用アクセス権と、それらのバケット内のオブジェクトに対する読み取り専用アクセス権を持ちます。

  • project-bucket-object-admin: これにより、ユーザーはプロジェクト内のすべてのバケットを一覧表示し、オブジェクトに対する書き込みオペレーションと読み取りオペレーションを行うことができます。たとえば、アップロード、上書き、削除などです。組織とそのプロジェクト内のデュアルゾーン バケットに対する読み取り専用アクセス権と、それらのバケット内のオブジェクトに対する読み取り / 書き込みアクセス権を持ちます。

  • project-bucket-admin: これにより、ユーザーは指定された Namespace 内のすべてのバケットと、それらのバケット内のすべてのオブジェクトを管理できます。組織とそのプロジェクト内のデュアルゾーン バケットに対する読み取り専用アクセス権と、それらのバケット内のオブジェクトに対する読み取り / 書き込みアクセス権を持ちます。

上記のロールに付与される権限の完全なリストについては、 事前定義ロールの権限をご覧ください。

プロジェクトでロール バインディングを作成するには、そのプロジェクトのプロジェクト IAM 管理者ロールが必要です。ユーザーとサービス アカウントにアクセス権を付与する RoleBinding リソースを作成する例を次に示します。

  1. システムに YAML ファイル(rolebinding-object-admin-all-buckets.yaml など)を作成します。

    # Example file name:
# rolebinding-object-admin-all-buckets.yaml
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  namespace: PROJECT_NAMESPACE
  name: readwrite-all-buckets
roleRef:
  kind: Role
  name: project-bucket-object-admin
  apiGroup: rbac.authorization.k8s.io
subjects:
- kind: ServiceAccount
  namespace: PROJECT_NAMESPACE
  name: SA_NAME
- kind: User
  namespace: PROJECT_NAMESPACE
  name: bob@example.com
  apiGroup: rbac.authorization.k8s.io
  # Could be bob or bob@example.com based on your organization settings.

    次のように置き換えます。

    • PROJECT_NAMESPACE: プロジェクト Namespace の名前
    • SA_NAME: サービス アカウントの名前

  2. YAML ファイルを適用します。

    kubectl apply \
-f rolebinding-object-admin-all-buckets.yaml

バケットのアクセス認証情報を取得する

バケットへのアクセス権を付与すると、Secret にアクセス認証情報が作成されます。

Secret 名の形式は object-storage-key-STORAGE_CLASS-SUBJECT_TYPE-SUBJECT_HASH です。

  • STORAGE_CLASS の値は次のとおりです。
    • Standard ストレージ クラスの場合は std
  • SUBJECT_TYPE の値は次のとおりです。
    • ユーザーの場合は user
    • ServiceAccount の場合は sa
  • SUBJECT_HASH は、サブジェクト名の base32 エンコードされた SHA256 ハッシュです。

たとえば、ユーザー bob@foo.com には次の 2 つの Secret があります。

  1. object-storage-key-std-user-oy6jdqd6bxfoqcecn2ozv6utepr5bgh355vfku7th5pmejqubdja

ユーザー アクセス権を取得する

ユーザー サブジェクトの場合、Secret は Management API サーバーの object-storage-access-keys Namespace にあります。

  1. 次のコマンドを実行して、Secret 名を見つけます。

    kubectl auth can-i --list --namespace object-storage-access-keys | grep "object-storage-key-"

    次のような出力が表示されます。

    secrets        []        [object-storage-key-std-user-oy6jdqd6bxfoqcecn2ozv6utepr5bgh355vfku7th5pmejqubdja]        [get]

  2. 対応する Secret の内容を取得して、Standard ストレージ クラスのバケットにアクセスします。

    kubectl get -o yaml --namespace object-storage-access-keys secret object-storage-key-std-user-oy6jdqd6bxfoqcecn2ozv6utepr5bgh355vfku7th5pmejqubdja

    次のような出力が表示されます。

    data:
  access-key-id: MEhYM08wWUMySjcyMkVKTFBKRU8=
  create-time: MjAyMi0wNy0yMiAwMTowODo1OS40MTQyMTE3MDMgKzAwMDAgVVRDIG09KzE5OTAuMzQ3OTE2MTc3
  secret-access-key: Ump0MVRleVN4SmhCSVJhbmlnVDAwbTJZc0IvRlJVendqR0JuYVhiVA==

  3. アクセスキー ID と Secret をデコードします。

    echo "MEhYM08wWUMySjcyMkVKTFBKRU8=" | base64 -d \
    && echo \
    && echo "Ump0MVRleVN4SmhCSVJhbmlnVDAwbTJZc0IvRlJVendqR0JuYVhiVA==" | base64 -d

    次のような出力が表示されます。

    0HX3O0YC2J722EJLPJEO
Rjt1TeySxJhBIRanigT00m2YsB/FRUzwjGBnaXbT

  4. 結果の 情報を使用して、gdcloud CLI を構成するの手順に沿って操作します。

サービス アカウントのアクセス権を取得する

S3 Secret 認証情報は、プロジェクト Namespace にバケットが存在する場合にのみ作成され、取得できます。

サービス アカウント(SA)サブジェクトの場合は、ユーザー クラスタから Secret 名を見つけます。

  1. Standard ストレージ クラスの場合は、次のコマンドを実行して Secret 名を取得します。

    kubectl get -n=<PROJECT-NAME> serviceaccount <SA-NAME> -o json | jq -r '.secrets[] | select(.name | test("object-storage-key-std"))'

  2. 次に、一覧表示された Secret 名を手動で確認するか、grep を使用して object-storage-key-(std|nl) を見つけます。後者の場合は、次のコマンドを実行します。

    kubectl get -n=<PROJECT-NAME> serviceaccount <SA-NAME> -o=jsonpath='{.secrets}{"\n"}' | grep object-storage-key-(std|nl)

  3. Secret は、Pod 内で 環境変数または ファイルとして参照できます。

プリセット ロールの権限

事前定義ロールは、デュアルゾーン バケットへの管理アクセスと運用アクセスを行うためのグローバル API サーバーで使用できます。これらのロールは、ゾーン バケットへのアクセス権も付与しますが、IAMRoleBinding リソースではなく RoleBinding または ClusterRoleBinding リソースを使用する場合に限ります。ロール バインディングの詳細については、アクセス権の付与と取り消しをご覧ください。

project-bucket-object-viewer の権限

このロールは、バケット内のオブジェクトとオブジェクトのメタデータを取得して一覧表示する権限を付与します。

project-bucket-object-viewer Role が付与するオブジェクト ストレージ権限のリストは次のとおりです。

  • バケット API の権限:

    1. get
    2. list
    3. watch

  • S3 オブジェクト ストレージの権限:

    1. GetObject
    2. GetObjectAcl
    3. GetObjectLegalHold
    4. GetObjectRetention
    5. GetObjectTagging
    6. GetObjectVersion
    7. GetObjectVersionTagging
    8. ListBucket
    9. ListBucketVersions
    10. ListBucketMultipartUploads
    11. ListMultipartUploadParts

project-bucket-object-admin の権限

このロールは、バケット内のオブジェクト、オブジェクト バージョン、タグの配置と削除を行う権限を付与します。また、project-bucket-object-viewer のすべての権限も付与します。

Role が付与する追加のオブジェクト ストレージ権限のリストは次のとおりです。

  • S3 オブジェクト ストレージの権限:

    1. AbortMultipartUpload
    2. DeleteObject
    3. DeleteObjectTagging
    4. DeleteObjectVersion
    5. DeleteObjectVersionTagging
    6. PutObject
    7. PutObjectTagging
    8. PutObjectVersionTagging
    9. PutOverwriteObject
    10. RestoreObject

project-bucket-admin の権限

このロールは、プロジェクト Namespace で Bucket リソースを作成、更新、削除する権限を付与します。また、project-bucket-object-admin のすべての権限も付与します。

Role が付与する追加の権限のリストは次のとおりです。

  • バケット API の権限:

    1. 作成
    2. 更新
    3. 削除