Compute Engine IAM のロールと権限

プロジェクトに新しいメンバーを追加する際は、Identity and Access Management（IAM）ポリシーを使用して、そのメンバーに 1 つ以上の IAM ロールを付与できます。各 IAM ロールには、メンバーに特定のリソースへのアクセスを許可する権限が含まれています。

Compute Engine には、このページで説明する一連の事前定義された IAM ロールが用意されています。また、ニーズに直接対応する権限のサブセットを含むカスタムロールを作成することもできます。

各メソッドに対して必要な権限については、Compute Engine API のリファレンスドキュメントをご覧ください。

アクセス権の付与の詳細については、次のページをご覧ください。

プロジェクトレベルで IAM ポリシーを設定するには、IAM ドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。
特定の Compute Engine リソースにポリシーを設定するには、Compute Engine リソースへのアクセス権の付与をご覧ください。
Compute Engine サービスアカウントにロールを割り当てる方法については、インスタンスのサービスアカウントの作成と有効化をご覧ください。

始める前に

IAM のドキュメントをお読みください。

IAM とは

Google Cloud には IAM 機能があります。これにより、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不正なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみ付与できます。

IAM では、IAM ポリシーを設定して、誰（どのユーザー）に、どのリソースに対するどのアクセス権（ロール）を付与するかを制御できます。IAM ポリシーは、特定のロールをプロジェクトメンバーに付与することで、その ID に特定の権限を付与します。たとえば、プロジェクトなどの特定のリソースに対し、Google アカウントに roles/compute.networkAdmin のロールを割り当てた場合、そのアカウントはプロジェクト内のネットワーク関連のリソースは制御できるようになりますが、インスタンスやディスクなどの他のリソースは管理できません。また、IAM を使用して、プロジェクトチームメンバーに付与されている Cloud Console の以前のロールを管理することもできます。

serviceAccountUser の役割

roles/compute.instanceAdmin.v1 と roles/iam.serviceAccountUser の両方が付与されたメンバーは、サービスアカウントを使用するインスタンスを作成、管理できます。具体的には、roles/iam.serviceAccountUser と roles/compute.instanceAdmin.v1 の両方が付与されたメンバーには次の権限が設定されます。

サービスアカウントとして実行するインスタンスの作成。
サービスアカウントとして実行するインスタンスへの永続ディスクの接続。
サービスアカウントとして実行するインスタンスへのインスタンスメタデータの設定。
サービスアカウントとして実行するインスタンスへの SSH を使用した接続。
サービスアカウントとして実行するインスタンスの再構成。

roles/iam.serviceAccountUser は、次の 2 つの方法のいずれかで付与できます。

（推奨）特定のサービスアカウントに基づいてメンバーに役割を付与する。これにより、この役割が付与されたメンバーは自身が iam.serviceAccountUser となっているサービスアカウントにはアクセスできますが、iam.serviceAccountUser となっていない他のサービスアカウントにはアクセスできません。
プロジェクトレベルでメンバーに役割を付与する。このメンバーは、プロジェクト内のすべてのサービスアカウントにアクセスできます。今後作成されるサービスアカウントにもアクセスできます。

サービスアカウントに精通していない場合は、サービスアカウントの詳細を確認してください。

Google Cloud Console 権限

Google Cloud Console を使用して Compute Engine リソースにアクセスするには、プロジェクトに対して次の権限を持つ役割が必要です。

compute.projects.get

instanceAdmin としてのインスタンスへの接続

プロジェクトメンバーに roles/compute.instanceAdmin.v1 のロールを付与すると、そのメンバーは gcloud ツールやブラウザからの SSH をはじめとする標準の Google Cloud ツールを使用して、仮想マシン（VM）インスタンスに接続できます。

gcloud ツールまたはブラウザからの SSH を使用すると、公開鍵 / 秘密鍵のペアが自動的に生成され、公開鍵がプロジェクトメタデータに追加されます。メンバーがプロジェクトメタデータを編集する権限を保有していない場合、ツールによって代わりにメンバーの公開鍵がインスタンスメタデータに追加されます。

使用する既存の鍵のペアを持っているメンバーは、自分の公開鍵をインスタンスのメタデータに手動で追加できます。インスタンスに SSH 認証鍵を追加する方法と削除する方法については、こちらをご覧ください。

IAM とサービスアカウント

新しいカスタムサービスアカウントを作成し、IAM のロールをサービスアカウントに付与して、インスタンスのアクセスを制限します。IAM のロールとカスタムサービスアカウントは、以下の目的のために使用します。

きめ細かい IAM のロールを使用して、Google Cloud APIs に対するインスタンスのアクセスを制限する。
各インスタンス、または一連のインスタンスに一意の ID を付与する。
デフォルトのサービスアカウントのアクセスを制限する。

サービスアカウントの詳細を確認する。

マネージドインスタンスグループと IAM

マネージドインスタンスグループでは、特に自動スケーリングの対象として構成されていると、ユーザーが直接操作しなくてもリソースによって操作が行われます。マネージドインスタンスグループは、サービスアカウント ID を使用して、インスタンスグループ内のインスタンスを作成、削除、管理します。詳細については、マネージドインスタンスグループと IAM のドキュメントを参照してください。

サポートされていない操作

IAM の役割を使用して、インスタンスグループに対するローリング更新を実行するためのアクセス権を付与することはできません。

このような操作の実行権限を付与するには、より広範囲なオーナー、編集者、または閲覧者のロールを使用します。

事前定義された Compute Engine IAM のロール

IAM では、Compute Engine API のすべての API メソッドで、API リクエストを行う ID がリソースの使用に必要な権限を保持していることが要求されます。権限を付与するには、プロジェクトのメンバー（ユーザー、グループ、またはサービスアカウント）に役割を付与するポリシーを設定します。

基本ロール（閲覧者、編集者、オーナー）やカスタムロールに加え、Compute Engine で以下の事前定義ロールもプロジェクトのメンバーに割り当てることができます。

1 人のプロジェクトメンバーに、同一リソースにおける複数の役割を付与できます。たとえば、ネットワーキングチームがファイアウォールルールも管理している場合、roles/compute.networkAdmin と roles/compute.securityAdmin の両方のロールをネットワーキングチームの Google グループに付与できます。

次の表に、事前定義された Compute Engine IAM ロールと、それぞれのロールに含まれる権限を記載します。各ロールには、特定のタスクに適した一連の権限が含まれています。たとえば、インスタンス管理者のロールはインスタンスを管理する権限を付与することができ、ネットワーク関連のロールにはネットワーク関連のリソースを管理する権限が含まれています。また、セキュリティ関連のロールには、セキュリティ関連のリソース（ファイアウォール証明書、SSL 証明書など）を管理する権限が含まれています。

Compute 管理者のロール

名前説明権限

名前	説明	権限
`roles/compute.admin`	Compute Engine リソースのすべてを管理する権限。ユーザーがサービスアカウントとして実行するように構成されている仮想マシンインスタンスを管理する場合は、`roles/iam.serviceAccountUser` のロールも付与する必要があります。	`compute.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.admin

Compute Engine リソースのすべてを管理する権限。

ユーザーがサービスアカウントとして実行するように構成されている仮想マシンインスタンスを管理する場合は、roles/iam.serviceAccountUser のロールも付与する必要があります。

compute.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute イメージユーザーのロール

名前	説明	権限
`roles/compute.imageUser`	イメージを一覧表示し、読み取る権限（イメージに対する他の権限はありません）。このロールをプロジェクトレベルで付与すると、ユーザーはプロジェクト内のすべてのイメージを一覧表示し、プロジェクト内のイメージに基づいて、インスタンスや永続ディスクなどのリソースを作成できます。	`compute.images.get` `compute.images.getFromFamily` `compute.images.list` `compute.images.useReadOnly` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute インスタンス管理者（ベータ版）のロール

名前説明権限

名前	説明	権限
`roles/compute.instanceAdmin`	仮想マシンインスタンスを作成、変更、削除する権限。ディスクの作成、変更、削除を行う権限が含まれます。Shielded VM^ベータ版の設定を構成する権限も含まれます。ユーザーがサービスアカウントとして実行するように構成されている仮想マシンインスタンスを管理する場合は、`roles/iam.serviceAccountUser` ロールも付与する必要があります。たとえば、仮想マシンインスタンスのグループは管理しているが、ネットワークやセキュリティの設定の管理や、サービスアカウントとして実行するインスタンスの管理は行っていないというユーザーが社内にいる場合は、このロールをインスタンスが含まれている組織、フォルダ、プロジェクトあるいは個々のインスタンスに付与できます。	`compute.acceleratorTypes.` `compute.addresses.get` `compute.addresses.list` `compute.addresses.use` `compute.autoscalers.` `compute.diskTypes.` `compute.disks.create` `compute.disks.createSnapshot` `compute.disks.delete` `compute.disks.get` `compute.disks.list` `compute.disks.resize` `compute.disks.setLabels` `compute.disks.update` `compute.disks.use` `compute.disks.useReadOnly` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalNetworkEndpointGroups.` `compute.globalOperations.get` `compute.globalOperations.list` `compute.images.get` `compute.images.getFromFamily` `compute.images.list` `compute.images.useReadOnly` `compute.instanceGroupManagers.` `compute.instanceGroups.` `compute.instanceTemplates.` `compute.instances.` `compute.licenses.get` `compute.licenses.list` `compute.machineImages.` `compute.machineTypes.` `compute.networkEndpointGroups.` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.networks.useExternalIp` `compute.projects.get` `compute.regionNetworkEndpointGroups.` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regions.` `compute.reservations.get` `compute.reservations.list` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.use` `compute.subnetworks.useExternalIp` `compute.targetPools.get` `compute.targetPools.list` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.instanceAdmin

仮想マシンインスタンスを作成、変更、削除する権限。ディスクの作成、変更、削除を行う権限が含まれます。Shielded VM^ベータ版の設定を構成する権限も含まれます。

ユーザーがサービスアカウントとして実行するように構成されている仮想マシンインスタンスを管理する場合は、roles/iam.serviceAccountUser ロールも付与する必要があります。

たとえば、仮想マシンインスタンスのグループは管理しているが、ネットワークやセキュリティの設定の管理や、サービスアカウントとして実行するインスタンスの管理は行っていないというユーザーが社内にいる場合は、このロールをインスタンスが含まれている組織、フォルダ、プロジェクトあるいは個々のインスタンスに付与できます。

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.addresses.use
compute.autoscalers.*
compute.diskTypes.*
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.list
compute.disks.resize
compute.disks.setLabels
compute.disks.update
compute.disks.use
compute.disks.useReadOnly
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalNetworkEndpointGroups.*
compute.globalOperations.get
compute.globalOperations.list
compute.images.get
compute.images.getFromFamily
compute.images.list
compute.images.useReadOnly
compute.instanceGroupManagers.*
compute.instanceGroups.*
compute.instanceTemplates.*
compute.instances.*
compute.licenses.get
compute.licenses.list
compute.machineImages.*
compute.machineTypes.*
compute.networkEndpointGroups.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.regionNetworkEndpointGroups.*
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.reservations.get
compute.reservations.list
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetPools.get
compute.targetPools.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute インスタンス管理者（v1）のロール

名前説明権限

名前	説明	権限
`roles/compute.instanceAdmin.v1`	Compute Engine インスタンス、インスタンスグループ、ディスク、スナップショット、イメージのすべてを管理する権限。すべての Compute Engine ネットワーキングリソースへの読み取り専用権権限。このロールをユーザーにインスタンスレベルでのみ付与した場合、そのユーザーは新しいインスタンスを作成できません。	`compute.acceleratorTypes.` `compute.addresses.get` `compute.addresses.list` `compute.addresses.use` `compute.autoscalers.` `compute.backendBuckets.get` `compute.backendBuckets.list` `compute.backendServices.get` `compute.backendServices.list` `compute.diskTypes.` `compute.disks.` `compute.externalVpnGateways.get` `compute.externalVpnGateways.list` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.get` `compute.forwardingRules.list` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalForwardingRules.get` `compute.globalForwardingRules.list` `compute.globalForwardingRules.pscGet` `compute.globalNetworkEndpointGroups.` `compute.globalOperations.get` `compute.globalOperations.list` `compute.healthChecks.get` `compute.healthChecks.list` `compute.httpHealthChecks.get` `compute.httpHealthChecks.list` `compute.httpsHealthChecks.get` `compute.httpsHealthChecks.list` `compute.images.` `compute.instanceGroupManagers.` `compute.instanceGroups.` `compute.instanceTemplates.` `compute.instances.` `compute.interconnectAttachments.get` `compute.interconnectAttachments.list` `compute.interconnectLocations.` `compute.interconnects.get` `compute.interconnects.list` `compute.licenseCodes.` `compute.licenses.` `compute.machineImages.` `compute.machineTypes.` `compute.networkEndpointGroups.` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.networks.useExternalIp` `compute.projects.get` `compute.projects.setCommonInstanceMetadata` `compute.regionBackendServices.get` `compute.regionBackendServices.list` `compute.regionHealthCheckServices.get` `compute.regionHealthCheckServices.list` `compute.regionHealthChecks.get` `compute.regionHealthChecks.list` `compute.regionNetworkEndpointGroups.` `compute.regionNotificationEndpoints.get` `compute.regionNotificationEndpoints.list` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regionSslCertificates.get` `compute.regionSslCertificates.list` `compute.regionTargetHttpProxies.get` `compute.regionTargetHttpProxies.list` `compute.regionTargetHttpsProxies.get` `compute.regionTargetHttpsProxies.list` `compute.regionUrlMaps.get` `compute.regionUrlMaps.list` `compute.regions.` `compute.reservations.get` `compute.reservations.list` `compute.resourcePolicies.` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.serviceAttachments.get` `compute.serviceAttachments.list` `compute.snapshots.` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.sslPolicies.get` `compute.sslPolicies.list` `compute.sslPolicies.listAvailableFeatures` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.use` `compute.subnetworks.useExternalIp` `compute.targetGrpcProxies.get` `compute.targetGrpcProxies.list` `compute.targetHttpProxies.get` `compute.targetHttpProxies.list` `compute.targetHttpsProxies.get` `compute.targetHttpsProxies.list` `compute.targetInstances.get` `compute.targetInstances.list` `compute.targetPools.get` `compute.targetPools.list` `compute.targetSslProxies.get` `compute.targetSslProxies.list` `compute.targetTcpProxies.get` `compute.targetTcpProxies.list` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.urlMaps.get` `compute.urlMaps.list` `compute.vpnGateways.get` `compute.vpnGateways.list` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.instanceAdmin.v1

Compute Engine インスタンス、インスタンスグループ、ディスク、スナップショット、イメージのすべてを管理する権限。すべての Compute Engine ネットワーキングリソースへの読み取り専用権権限。

このロールをユーザーにインスタンスレベルでのみ付与した場合、そのユーザーは新しいインスタンスを作成できません。

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.addresses.use
compute.autoscalers.*
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.diskTypes.*
compute.disks.*
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalForwardingRules.pscGet
compute.globalNetworkEndpointGroups.*
compute.globalOperations.get
compute.globalOperations.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.*
compute.instanceGroupManagers.*
compute.instanceGroups.*
compute.instanceTemplates.*
compute.instances.*
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.licenseCodes.*
compute.licenses.*
compute.machineImages.*
compute.machineTypes.*
compute.networkEndpointGroups.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.projects.setCommonInstanceMetadata
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regionHealthCheckServices.get
compute.regionHealthCheckServices.list
compute.regionHealthChecks.get
compute.regionHealthChecks.list
compute.regionNetworkEndpointGroups.*
compute.regionNotificationEndpoints.get
compute.regionNotificationEndpoints.list
compute.regionOperations.get
compute.regionOperations.list
compute.regionSslCertificates.get
compute.regionSslCertificates.list
compute.regionTargetHttpProxies.get
compute.regionTargetHttpProxies.list
compute.regionTargetHttpsProxies.get
compute.regionTargetHttpsProxies.list
compute.regionUrlMaps.get
compute.regionUrlMaps.list
compute.regions.*
compute.reservations.get
compute.reservations.list
compute.resourcePolicies.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.serviceAttachments.get
compute.serviceAttachments.list
compute.snapshots.*
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetGrpcProxies.get
compute.targetGrpcProxies.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute ロードバランサ管理者のロール

名前説明権限

名前	説明	権限
`roles/compute.loadBalancerAdmin` ^ベータ版	ロードバランサを作成、変更、削除し、リソースを関連付ける権限。たとえば、会社にロードバランサ、ロードバランサの SSL 証明書、SSL ポリシー、その他の負荷分散リソースを管理する負荷分散チームと、残りのネットワークリソースを管理する別のネットワークチームが存在する場合は、このロールを負荷分散チームのグループに付与します。	`compute.addresses.` `compute.backendBuckets.` `compute.backendServices.` `compute.forwardingRules.` `compute.globalAddresses.` `compute.globalForwardingRules.` `compute.globalNetworkEndpointGroups.` `compute.healthChecks.` `compute.httpHealthChecks.` `compute.httpsHealthChecks.` `compute.instanceGroups.` `compute.instances.get` `compute.instances.list` `compute.instances.use` `compute.instances.useReadOnly` `compute.networkEndpointGroups.` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.projects.get` `compute.regionBackendServices.` `compute.regionHealthCheckServices.` `compute.regionHealthChecks.` `compute.regionNetworkEndpointGroups.` `compute.regionNotificationEndpoints.` `compute.regionSslCertificates.` `compute.regionTargetHttpProxies.` `compute.regionTargetHttpsProxies.` `compute.regionUrlMaps.` `compute.securityPolicies.get` `compute.securityPolicies.list` `compute.securityPolicies.use` `compute.sslCertificates.` `compute.sslPolicies.` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.use` `compute.targetGrpcProxies.` `compute.targetHttpProxies.` `compute.targetHttpsProxies.` `compute.targetInstances.` `compute.targetPools.` `compute.targetSslProxies.` `compute.targetTcpProxies.` `compute.urlMaps.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.loadBalancerAdmin ^ベータ版

ロードバランサを作成、変更、削除し、リソースを関連付ける権限。

たとえば、会社にロードバランサ、ロードバランサの SSL 証明書、SSL ポリシー、その他の負荷分散リソースを管理する負荷分散チームと、残りのネットワークリソースを管理する別のネットワークチームが存在する場合は、このロールを負荷分散チームのグループに付与します。

compute.addresses.*
compute.backendBuckets.*
compute.backendServices.*
compute.forwardingRules.*
compute.globalAddresses.*
compute.globalForwardingRules.*
compute.globalNetworkEndpointGroups.*
compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute.instanceGroups.*
compute.instances.get
compute.instances.list
compute.instances.use
compute.instances.useReadOnly
compute.networkEndpointGroups.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
compute.regionBackendServices.*
compute.regionHealthCheckServices.*
compute.regionHealthChecks.*
compute.regionNetworkEndpointGroups.*
compute.regionNotificationEndpoints.*
compute.regionSslCertificates.*
compute.regionTargetHttpProxies.*
compute.regionTargetHttpsProxies.*
compute.regionUrlMaps.*
compute.securityPolicies.get
compute.securityPolicies.list
compute.securityPolicies.use
compute.sslCertificates.*
compute.sslPolicies.*
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.targetGrpcProxies.*
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.urlMaps.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute ネットワーク管理者のロール

名前説明権限

名前	説明	権限
`roles/compute.networkAdmin`	ネットワーキングリソース（ファイアウォールルールと SSL 証明書を除く）を作成、変更、削除する権限。ネットワーク管理者の役割により、ファイアウォールルール、SSL 証明書、インスタンス（それぞれのエフェメラル IP アドレスの表示用）への読み取り専用アクセスを付与できます。ネットワーク管理者ロールでは、インスタンスの作成、起動、停止、削除はできません。たとえば、会社にファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワークリソースを管理するネットワークチームが存在する場合は、このロールをネットワークチームのグループに付与します。	`compute.acceleratorTypes.` `compute.addresses.` `compute.autoscalers.get` `compute.autoscalers.list` `compute.backendBuckets.` `compute.backendServices.` `compute.externalVpnGateways.` `compute.firewallPolicies.get` `compute.firewallPolicies.list` `compute.firewallPolicies.use` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.` `compute.globalAddresses.` `compute.globalForwardingRules.` `compute.globalNetworkEndpointGroups.get` `compute.globalNetworkEndpointGroups.list` `compute.globalNetworkEndpointGroups.use` `compute.globalOperations.get` `compute.globalOperations.list` `compute.globalPublicDelegatedPrefixes.delete` `compute.globalPublicDelegatedPrefixes.get` `compute.globalPublicDelegatedPrefixes.list` `compute.globalPublicDelegatedPrefixes.update` `compute.globalPublicDelegatedPrefixes.updatePolicy` `compute.healthChecks.` `compute.httpHealthChecks.` `compute.httpsHealthChecks.` `compute.instanceGroupManagers.get` `compute.instanceGroupManagers.list` `compute.instanceGroupManagers.update` `compute.instanceGroupManagers.use` `compute.instanceGroups.get` `compute.instanceGroups.list` `compute.instanceGroups.update` `compute.instanceGroups.use` `compute.instances.get` `compute.instances.getGuestAttributes` `compute.instances.getScreenshot` `compute.instances.getSerialPortOutput` `compute.instances.list` `compute.instances.listReferrers` `compute.instances.updateSecurity` `compute.instances.use` `compute.instances.useReadOnly` `compute.interconnectAttachments.` `compute.interconnectLocations.` `compute.interconnects.` `compute.machineTypes.` `compute.networkEndpointGroups.get` `compute.networkEndpointGroups.list` `compute.networkEndpointGroups.use` `compute.networks.` `compute.projects.get` `compute.publicDelegatedPrefixes.delete` `compute.publicDelegatedPrefixes.get` `compute.publicDelegatedPrefixes.list` `compute.publicDelegatedPrefixes.update` `compute.publicDelegatedPrefixes.updatePolicy` `compute.regionBackendServices.` `compute.regionHealthCheckServices.` `compute.regionHealthChecks.` `compute.regionNetworkEndpointGroups.get` `compute.regionNetworkEndpointGroups.list` `compute.regionNetworkEndpointGroups.use` `compute.regionNotificationEndpoints.` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regionSslCertificates.get` `compute.regionSslCertificates.list` `compute.regionTargetHttpProxies.` `compute.regionTargetHttpsProxies.` `compute.regionUrlMaps.` `compute.regions.` `compute.routers.` `compute.routes.` `compute.securityPolicies.get` `compute.securityPolicies.list` `compute.securityPolicies.use` `compute.serviceAttachments.` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.sslPolicies.` `compute.subnetworks.` `compute.targetGrpcProxies.` `compute.targetHttpProxies.` `compute.targetHttpsProxies.` `compute.targetInstances.` `compute.targetPools.` `compute.targetSslProxies.` `compute.targetTcpProxies.` `compute.targetVpnGateways.` `compute.urlMaps.` `compute.vpnGateways.` `compute.vpnTunnels.` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.` `networkconnectivity.locations.` `networkconnectivity.operations.` `networksecurity.` `networkservices.` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicenetworking.operations.get` `servicenetworking.services.addPeering` `servicenetworking.services.get` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list` `trafficdirector.`

roles/compute.networkAdmin

ネットワーキングリソース（ファイアウォールルールと SSL 証明書を除く）を作成、変更、削除する権限。ネットワーク管理者の役割により、ファイアウォールルール、SSL 証明書、インスタンス（それぞれのエフェメラル IP アドレスの表示用）への読み取り専用アクセスを付与できます。ネットワーク管理者ロールでは、インスタンスの作成、起動、停止、削除はできません。

たとえば、会社にファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワークリソースを管理するネットワークチームが存在する場合は、このロールをネットワークチームのグループに付与します。

compute.acceleratorTypes.*
compute.addresses.*
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.*
compute.backendServices.*
compute.externalVpnGateways.*
compute.firewallPolicies.get
compute.firewallPolicies.list
compute.firewallPolicies.use
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.*
compute.globalAddresses.*
compute.globalForwardingRules.*
compute.globalNetworkEndpointGroups.get
compute.globalNetworkEndpointGroups.list
compute.globalNetworkEndpointGroups.use
compute.globalOperations.get
compute.globalOperations.list
compute.globalPublicDelegatedPrefixes.delete
compute.globalPublicDelegatedPrefixes.get
compute.globalPublicDelegatedPrefixes.list
compute.globalPublicDelegatedPrefixes.update
compute.globalPublicDelegatedPrefixes.updatePolicy
compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroupManagers.update
compute.instanceGroupManagers.use
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceGroups.update
compute.instanceGroups.use
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getScreenshot
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.instances.updateSecurity
compute.instances.use
compute.instances.useReadOnly
compute.interconnectAttachments.*
compute.interconnectLocations.*
compute.interconnects.*
compute.machineTypes.*
compute.networkEndpointGroups.get
compute.networkEndpointGroups.list
compute.networkEndpointGroups.use
compute.networks.*
compute.projects.get
compute.publicDelegatedPrefixes.delete
compute.publicDelegatedPrefixes.get
compute.publicDelegatedPrefixes.list
compute.publicDelegatedPrefixes.update
compute.publicDelegatedPrefixes.updatePolicy
compute.regionBackendServices.*
compute.regionHealthCheckServices.*
compute.regionHealthChecks.*
compute.regionNetworkEndpointGroups.get
compute.regionNetworkEndpointGroups.list
compute.regionNetworkEndpointGroups.use
compute.regionNotificationEndpoints.*
compute.regionOperations.get
compute.regionOperations.list
compute.regionSslCertificates.get
compute.regionSslCertificates.list
compute.regionTargetHttpProxies.*
compute.regionTargetHttpsProxies.*
compute.regionUrlMaps.*
compute.regions.*
compute.routers.*
compute.routes.*
compute.securityPolicies.get
compute.securityPolicies.list
compute.securityPolicies.use
compute.serviceAttachments.*
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.*
compute.subnetworks.*
compute.targetGrpcProxies.*
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.targetVpnGateways.*
compute.urlMaps.*
compute.vpnGateways.*
compute.vpnTunnels.*
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
networkconnectivity.locations.*
networkconnectivity.operations.*
networksecurity.*
networkservices.*
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
trafficdirector.*

Compute ネットワークユーザーのロール

名前説明権限

名前	説明	権限
`roles/compute.networkUser`	共有 VPC ネットワークへのアクセス権を付与します。アクセス権を付与されたサービスオーナーは、ホストプロジェクトに属する VPC ネットワークとサブネットを使用できます。たとえば、ネットワークユーザーは、ホストプロジェクトネットワークに属する VM インスタンスを作成できますが、ホストプロジェクトでネットワークを削除できません。また、新しいネットワークを作成することもできません。	`compute.addresses.createInternal` `compute.addresses.deleteInternal` `compute.addresses.get` `compute.addresses.list` `compute.addresses.useInternal` `compute.externalVpnGateways.get` `compute.externalVpnGateways.list` `compute.externalVpnGateways.use` `compute.firewalls.get` `compute.firewalls.list` `compute.interconnectAttachments.get` `compute.interconnectAttachments.list` `compute.interconnectLocations.` `compute.interconnects.get` `compute.interconnects.list` `compute.interconnects.use` `compute.networks.access` `compute.networks.get` `compute.networks.getEffectiveFirewalls` `compute.networks.list` `compute.networks.listPeeringRoutes` `compute.networks.use` `compute.networks.useExternalIp` `compute.projects.get` `compute.regions.` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.serviceAttachments.get` `compute.serviceAttachments.list` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.use` `compute.subnetworks.useExternalIp` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.vpnGateways.get` `compute.vpnGateways.list` `compute.vpnGateways.use` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.zones.` `networkconnectivity.locations.` `networkconnectivity.operations.get` `networkconnectivity.operations.list` `networksecurity.authorizationPolicies.get` `networksecurity.authorizationPolicies.list` `networksecurity.authorizationPolicies.use` `networksecurity.clientTlsPolicies.get` `networksecurity.clientTlsPolicies.list` `networksecurity.clientTlsPolicies.use` `networksecurity.locations.` `networksecurity.operations.get` `networksecurity.operations.list` `networksecurity.serverTlsPolicies.get` `networksecurity.serverTlsPolicies.list` `networksecurity.serverTlsPolicies.use` `networkservices.endpointConfigSelectors.get` `networkservices.endpointConfigSelectors.list` `networkservices.endpointConfigSelectors.use` `networkservices.endpointPolicies.get` `networkservices.endpointPolicies.list` `networkservices.endpointPolicies.use` `networkservices.httpFilters.get` `networkservices.httpFilters.list` `networkservices.httpFilters.use` `networkservices.httpfilters.get` `networkservices.httpfilters.list` `networkservices.httpfilters.use` `networkservices.locations.` `networkservices.operations.get` `networkservices.operations.list` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicenetworking.services.get` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.networkUser

共有 VPC ネットワークへのアクセス権を付与します。

アクセス権を付与されたサービスオーナーは、ホストプロジェクトに属する VPC ネットワークとサブネットを使用できます。たとえば、ネットワークユーザーは、ホストプロジェクトネットワークに属する VM インスタンスを作成できますが、ホストプロジェクトでネットワークを削除できません。また、新しいネットワークを作成することもできません。

compute.addresses.createInternal
compute.addresses.deleteInternal
compute.addresses.get
compute.addresses.list
compute.addresses.useInternal
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.externalVpnGateways.use
compute.firewalls.get
compute.firewalls.list
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.interconnects.use
compute.networks.access
compute.networks.get
compute.networks.getEffectiveFirewalls
compute.networks.list
compute.networks.listPeeringRoutes
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.serviceAttachments.get
compute.serviceAttachments.list
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnGateways.use
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zones.*
networkconnectivity.locations.*
networkconnectivity.operations.get
networkconnectivity.operations.list
networksecurity.authorizationPolicies.get
networksecurity.authorizationPolicies.list
networksecurity.authorizationPolicies.use
networksecurity.clientTlsPolicies.get
networksecurity.clientTlsPolicies.list
networksecurity.clientTlsPolicies.use
networksecurity.locations.*
networksecurity.operations.get
networksecurity.operations.list
networksecurity.serverTlsPolicies.get
networksecurity.serverTlsPolicies.list
networksecurity.serverTlsPolicies.use
networkservices.endpointConfigSelectors.get
networkservices.endpointConfigSelectors.list
networkservices.endpointConfigSelectors.use
networkservices.endpointPolicies.get
networkservices.endpointPolicies.list
networkservices.endpointPolicies.use
networkservices.httpFilters.get
networkservices.httpFilters.list
networkservices.httpFilters.use
networkservices.httpfilters.get
networkservices.httpfilters.list
networkservices.httpfilters.use
networkservices.locations.*
networkservices.operations.get
networkservices.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute ネットワーク閲覧者のロール

名前説明権限

名前	説明	権限
`roles/compute.networkViewer`	すべてのネットワークリソースへの読み取り専用権限。たとえば、ネットワーク構成を検査するソフトウェアがある場合は、そのソフトウェアのサービスアカウントにこのロールを付与できます。	`compute.acceleratorTypes.` `compute.addresses.get` `compute.addresses.list` `compute.autoscalers.get` `compute.autoscalers.list` `compute.backendBuckets.get` `compute.backendBuckets.list` `compute.backendServices.get` `compute.backendServices.list` `compute.externalVpnGateways.get` `compute.externalVpnGateways.list` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.get` `compute.forwardingRules.list` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalForwardingRules.get` `compute.globalForwardingRules.list` `compute.globalForwardingRules.pscGet` `compute.healthChecks.get` `compute.healthChecks.list` `compute.httpHealthChecks.get` `compute.httpHealthChecks.list` `compute.httpsHealthChecks.get` `compute.httpsHealthChecks.list` `compute.instanceGroupManagers.get` `compute.instanceGroupManagers.list` `compute.instanceGroups.get` `compute.instanceGroups.list` `compute.instances.get` `compute.instances.getGuestAttributes` `compute.instances.getScreenshot` `compute.instances.getSerialPortOutput` `compute.instances.list` `compute.instances.listReferrers` `compute.interconnectAttachments.get` `compute.interconnectAttachments.list` `compute.interconnectLocations.` `compute.interconnects.get` `compute.interconnects.list` `compute.machineTypes.` `compute.networks.get` `compute.networks.getEffectiveFirewalls` `compute.networks.list` `compute.networks.listPeeringRoutes` `compute.projects.get` `compute.regionBackendServices.get` `compute.regionBackendServices.list` `compute.regionHealthCheckServices.get` `compute.regionHealthCheckServices.list` `compute.regionHealthChecks.get` `compute.regionHealthChecks.list` `compute.regionNotificationEndpoints.get` `compute.regionNotificationEndpoints.list` `compute.regionSslCertificates.get` `compute.regionSslCertificates.list` `compute.regionTargetHttpProxies.get` `compute.regionTargetHttpProxies.list` `compute.regionTargetHttpsProxies.get` `compute.regionTargetHttpsProxies.list` `compute.regionUrlMaps.get` `compute.regionUrlMaps.list` `compute.regions.` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.serviceAttachments.get` `compute.serviceAttachments.list` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.sslPolicies.get` `compute.sslPolicies.list` `compute.sslPolicies.listAvailableFeatures` `compute.subnetworks.get` `compute.subnetworks.list` `compute.targetGrpcProxies.get` `compute.targetGrpcProxies.list` `compute.targetHttpProxies.get` `compute.targetHttpProxies.list` `compute.targetHttpsProxies.get` `compute.targetHttpsProxies.list` `compute.targetInstances.get` `compute.targetInstances.list` `compute.targetPools.get` `compute.targetPools.list` `compute.targetSslProxies.get` `compute.targetSslProxies.list` `compute.targetTcpProxies.get` `compute.targetTcpProxies.list` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.urlMaps.get` `compute.urlMaps.list` `compute.vpnGateways.get` `compute.vpnGateways.list` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.zones.` `networkconnectivity.locations.` `networkconnectivity.operations.get` `networkconnectivity.operations.list` `networksecurity.authorizationPolicies.get` `networksecurity.authorizationPolicies.list` `networksecurity.clientTlsPolicies.get` `networksecurity.clientTlsPolicies.list` `networksecurity.locations.` `networksecurity.operations.get` `networksecurity.operations.list` `networksecurity.serverTlsPolicies.get` `networksecurity.serverTlsPolicies.list` `networkservices.endpointConfigSelectors.get` `networkservices.endpointConfigSelectors.list` `networkservices.endpointPolicies.get` `networkservices.endpointPolicies.list` `networkservices.httpFilters.get` `networkservices.httpFilters.list` `networkservices.httpfilters.get` `networkservices.httpfilters.list` `networkservices.locations.` `networkservices.operations.get` `networkservices.operations.list` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicenetworking.services.get` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list` `trafficdirector.*`

roles/compute.networkViewer

すべてのネットワークリソースへの読み取り専用権限。

たとえば、ネットワーク構成を検査するソフトウェアがある場合は、そのソフトウェアのサービスアカウントにこのロールを付与できます。

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalForwardingRules.pscGet
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getScreenshot
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.machineTypes.*
compute.networks.get
compute.networks.getEffectiveFirewalls
compute.networks.list
compute.networks.listPeeringRoutes
compute.projects.get
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regionHealthCheckServices.get
compute.regionHealthCheckServices.list
compute.regionHealthChecks.get
compute.regionHealthChecks.list
compute.regionNotificationEndpoints.get
compute.regionNotificationEndpoints.list
compute.regionSslCertificates.get
compute.regionSslCertificates.list
compute.regionTargetHttpProxies.get
compute.regionTargetHttpProxies.list
compute.regionTargetHttpsProxies.get
compute.regionTargetHttpsProxies.list
compute.regionUrlMaps.get
compute.regionUrlMaps.list
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.serviceAttachments.get
compute.serviceAttachments.list
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.list
compute.targetGrpcProxies.get
compute.targetGrpcProxies.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zones.*
networkconnectivity.locations.*
networkconnectivity.operations.get
networkconnectivity.operations.list
networksecurity.authorizationPolicies.get
networksecurity.authorizationPolicies.list
networksecurity.clientTlsPolicies.get
networksecurity.clientTlsPolicies.list
networksecurity.locations.*
networksecurity.operations.get
networksecurity.operations.list
networksecurity.serverTlsPolicies.get
networksecurity.serverTlsPolicies.list
networkservices.endpointConfigSelectors.get
networkservices.endpointConfigSelectors.list
networkservices.endpointPolicies.get
networkservices.endpointPolicies.list
networkservices.httpFilters.get
networkservices.httpFilters.list
networkservices.httpfilters.get
networkservices.httpfilters.list
networkservices.locations.*
networkservices.operations.get
networkservices.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
trafficdirector.*

Compute 組織ファイアウォールポリシー管理者のロール

名前	説明	権限
`roles/compute.orgFirewallPolicyAdmin`	Compute Engine 組織のファイアウォールポリシーのすべてを管理できる権限。	`compute.firewallPolicies.cloneRules` `compute.firewallPolicies.create` `compute.firewallPolicies.delete` `compute.firewallPolicies.get` `compute.firewallPolicies.getIamPolicy` `compute.firewallPolicies.list` `compute.firewallPolicies.move` `compute.firewallPolicies.setIamPolicy` `compute.firewallPolicies.update` `compute.firewallPolicies.use` `compute.globalOperations.get` `compute.globalOperations.getIamPolicy` `compute.globalOperations.list` `compute.globalOperations.setIamPolicy` `compute.projects.get` `compute.regionOperations.get` `compute.regionOperations.getIamPolicy` `compute.regionOperations.list` `compute.regionOperations.setIamPolicy` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute 組織ファイアウォールポリシーユーザーのロール

名前	説明	権限
`roles/compute.orgFirewallPolicyUser`	Compute Engine ファイアウォールポリシーを表示または使用して、組織またはフォルダに関連付けます。	`compute.firewallPolicies.get` `compute.firewallPolicies.list` `compute.firewallPolicies.use` `compute.globalOperations.get` `compute.globalOperations.getIamPolicy` `compute.globalOperations.list` `compute.projects.get` `compute.regionOperations.get` `compute.regionOperations.getIamPolicy` `compute.regionOperations.list` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute 組織セキュリティポリシー管理者のロール

名前	説明	権限
`roles/compute.orgSecurityPolicyAdmin`	Compute Engine 組織のセキュリティポリシーのすべてを管理できる権限。	`compute.firewallPolicies.` `compute.globalOperations.get` `compute.globalOperations.getIamPolicy` `compute.globalOperations.list` `compute.globalOperations.setIamPolicy` `compute.projects.get` `compute.securityPolicies.` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute 組織セキュリティポリシーユーザーのロール

名前	説明	権限
`roles/compute.orgSecurityPolicyUser`	Compute Engine セキュリティポリシーを表示または使用して、組織またはフォルダに関連付けます。	`compute.firewallPolicies.addAssociation` `compute.firewallPolicies.get` `compute.firewallPolicies.list` `compute.firewallPolicies.removeAssociation` `compute.firewallPolicies.use` `compute.globalOperations.get` `compute.globalOperations.getIamPolicy` `compute.globalOperations.list` `compute.globalOperations.setIamPolicy` `compute.projects.get` `compute.securityPolicies.addAssociation` `compute.securityPolicies.get` `compute.securityPolicies.list` `compute.securityPolicies.removeAssociation` `compute.securityPolicies.use` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute 組織リソース管理者のロール

名前	説明	権限
`roles/compute.orgSecurityResourceAdmin`	組織またはフォルダへの Compute Engine ファイアウォールポリシーの関連付けのすべてを管理できる権限。	`compute.globalOperations.get` `compute.globalOperations.getIamPolicy` `compute.globalOperations.list` `compute.globalOperations.setIamPolicy` `compute.organizations.listAssociations` `compute.organizations.setFirewallPolicy` `compute.organizations.setSecurityPolicy` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute OS 管理者ログインのロール

名前	説明	権限
`roles/compute.osAdminLogin`	管理者ユーザーとして Compute Engine インスタンスにログインするアクセス権。	`compute.instances.get` `compute.instances.list` `compute.instances.osAdminLogin` `compute.instances.osLogin` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute OS Login のロール

名前	説明	権限
`roles/compute.osLogin`	標準ユーザーとして Compute Engine インスタンスにログインするアクセス権。	`compute.instances.get` `compute.instances.list` `compute.instances.osLogin` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute OS Login の外部ユーザーのロール

名前説明権限

名前	説明	権限
`roles/compute.osLoginExternalUser`	組織レベルでのみ利用できます。この組織に関連付けられた OS Login 情報を外部ユーザーが設定するアクセス権。この役割で、インスタンスへのアクセスは許可されません。外部ユーザーが SSH を使用してインスタンスにアクセスできるようにするには、OS Login のロールのいずれかが付与されている必要があります。	`compute.oslogin.*`

roles/compute.osLoginExternalUser

組織レベルでのみ利用できます。

この組織に関連付けられた OS Login 情報を外部ユーザーが設定するアクセス権。この役割で、インスタンスへのアクセスは許可されません。外部ユーザーが SSH を使用してインスタンスにアクセスできるようにするには、OS Login のロールのいずれかが付与されている必要があります。

compute.oslogin.*

コンピューティングパケットミラーリング管理者のロール

名前	説明	権限
`roles/compute.packetMirroringAdmin`	ミラーリングするリソースを指定します。	`compute.instances.updateSecurity` `compute.networks.mirror` `compute.projects.get` `compute.subnetworks.mirror` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

コンピューティングパケットミラーリングユーザーのロール

名前	説明	権限
`roles/compute.packetMirroringUser`	Compute Engine パケットミラーリングを使用します。	`compute.packetMirrorings.*` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute パブリック IP 管理者のロール

名前	説明	権限
`roles/compute.publicIpAdmin`	Compute Engine のパブリック IP アドレス管理を完全に制御できる権限。	`compute.addresses.` `compute.globalAddresses.` `compute.globalPublicDelegatedPrefixes.` `compute.publicAdvertisedPrefixes.` `compute.publicDelegatedPrefixes.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

Compute セキュリティ管理者のロール

名前説明権限

名前	説明	権限
`roles/compute.securityAdmin`	ファイアウォールルールと SSL 証明書を作成、変更、削除する権限。Shielded VM^ベータ版の設定を構成する権限も含まれます。たとえば、会社にファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワークリソースを管理するネットワークチームが存在する場合は、このロールをセキュリティチームのグループに付与します。	`compute.firewallPolicies.` `compute.firewalls.` `compute.globalOperations.get` `compute.globalOperations.list` `compute.instances.getEffectiveFirewalls` `compute.instances.setShieldedInstanceIntegrityPolicy` `compute.instances.setShieldedVmIntegrityPolicy` `compute.instances.updateSecurity` `compute.instances.updateShieldedInstanceConfig` `compute.instances.updateShieldedVmConfig` `compute.networks.get` `compute.networks.getEffectiveFirewalls` `compute.networks.list` `compute.networks.updatePolicy` `compute.packetMirrorings.` `compute.projects.get` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regionSslCertificates.` `compute.regions.` `compute.routes.get` `compute.routes.list` `compute.securityPolicies.` `compute.sslCertificates.` `compute.sslPolicies.` `compute.subnetworks.get` `compute.subnetworks.list` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.securityAdmin

ファイアウォールルールと SSL 証明書を作成、変更、削除する権限。Shielded VM^ベータ版の設定を構成する権限も含まれます。

たとえば、会社にファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワークリソースを管理するネットワークチームが存在する場合は、このロールをセキュリティチームのグループに付与します。

compute.firewallPolicies.*
compute.firewalls.*
compute.globalOperations.get
compute.globalOperations.list
compute.instances.getEffectiveFirewalls
compute.instances.setShieldedInstanceIntegrityPolicy
compute.instances.setShieldedVmIntegrityPolicy
compute.instances.updateSecurity
compute.instances.updateShieldedInstanceConfig
compute.instances.updateShieldedVmConfig
compute.networks.get
compute.networks.getEffectiveFirewalls
compute.networks.list
compute.networks.updatePolicy
compute.packetMirrorings.*
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regionSslCertificates.*
compute.regions.*
compute.routes.get
compute.routes.list
compute.securityPolicies.*
compute.sslCertificates.*
compute.sslPolicies.*
compute.subnetworks.get
compute.subnetworks.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute ストレージ管理者のロール

名前説明権限

名前	説明	権限
`roles/compute.storageAdmin`	ディスク、イメージ、スナップショットを作成、変更、削除する権限。たとえば、プロジェクトのイメージを管理するユーザーがいて、そのユーザーにはプロジェクトの編集者のロールを与えたくない場合は、プロジェクトで使用するそのユーザーのアカウントにこのロールを付与します。	`compute.diskTypes.` `compute.disks.` `compute.globalOperations.get` `compute.globalOperations.list` `compute.images.` `compute.licenseCodes.` `compute.licenses.` `compute.projects.get` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regions.` `compute.resourcePolicies.` `compute.snapshots.` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.storageAdmin

ディスク、イメージ、スナップショットを作成、変更、削除する権限。

たとえば、プロジェクトのイメージを管理するユーザーがいて、そのユーザーにはプロジェクトの編集者のロールを与えたくない場合は、プロジェクトで使用するそのユーザーのアカウントにこのロールを付与します。

compute.diskTypes.*
compute.disks.*
compute.globalOperations.get
compute.globalOperations.list
compute.images.*
compute.licenseCodes.*
compute.licenses.*
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.resourcePolicies.*
compute.snapshots.*
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute 閲覧者のロール

名前説明権限

名前	説明	権限
`roles/compute.viewer`	Compute Engine リソースを取得して表示する読み取りアクセス権。そこに格納されたデータを読み取ることはできません。たとえば、このロールを持つアカウントはプロジェクトのすべてのディスクの一覧を作成できますが、それらのディスク内のデータを読み取ることはできません。	`compute.acceleratorTypes.` `compute.addresses.get` `compute.addresses.list` `compute.autoscalers.get` `compute.autoscalers.list` `compute.backendBuckets.get` `compute.backendBuckets.list` `compute.backendServices.get` `compute.backendServices.getIamPolicy` `compute.backendServices.list` `compute.commitments.get` `compute.commitments.list` `compute.diskTypes.` `compute.disks.get` `compute.disks.getIamPolicy` `compute.disks.list` `compute.externalVpnGateways.get` `compute.externalVpnGateways.list` `compute.firewallPolicies.get` `compute.firewallPolicies.getIamPolicy` `compute.firewallPolicies.list` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.get` `compute.forwardingRules.list` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalForwardingRules.get` `compute.globalForwardingRules.list` `compute.globalForwardingRules.pscGet` `compute.globalNetworkEndpointGroups.get` `compute.globalNetworkEndpointGroups.list` `compute.globalOperations.get` `compute.globalOperations.getIamPolicy` `compute.globalOperations.list` `compute.globalPublicDelegatedPrefixes.get` `compute.globalPublicDelegatedPrefixes.list` `compute.healthChecks.get` `compute.healthChecks.list` `compute.httpHealthChecks.get` `compute.httpHealthChecks.list` `compute.httpsHealthChecks.get` `compute.httpsHealthChecks.list` `compute.images.get` `compute.images.getFromFamily` `compute.images.getIamPolicy` `compute.images.list` `compute.instanceGroupManagers.get` `compute.instanceGroupManagers.list` `compute.instanceGroups.get` `compute.instanceGroups.list` `compute.instanceTemplates.get` `compute.instanceTemplates.getIamPolicy` `compute.instanceTemplates.list` `compute.instances.get` `compute.instances.getEffectiveFirewalls` `compute.instances.getGuestAttributes` `compute.instances.getIamPolicy` `compute.instances.getScreenshot` `compute.instances.getSerialPortOutput` `compute.instances.getShieldedInstanceIdentity` `compute.instances.getShieldedVmIdentity` `compute.instances.list` `compute.instances.listReferrers` `compute.interconnectAttachments.get` `compute.interconnectAttachments.list` `compute.interconnectLocations.` `compute.interconnects.get` `compute.interconnects.list` `compute.licenseCodes.get` `compute.licenseCodes.getIamPolicy` `compute.licenseCodes.list` `compute.licenses.get` `compute.licenses.getIamPolicy` `compute.licenses.list` `compute.machineImages.get` `compute.machineImages.getIamPolicy` `compute.machineImages.list` `compute.machineTypes.` `compute.maintenancePolicies.get` `compute.maintenancePolicies.getIamPolicy` `compute.maintenancePolicies.list` `compute.networkEndpointGroups.get` `compute.networkEndpointGroups.getIamPolicy` `compute.networkEndpointGroups.list` `compute.networks.get` `compute.networks.getEffectiveFirewalls` `compute.networks.list` `compute.networks.listPeeringRoutes` `compute.nodeGroups.get` `compute.nodeGroups.getIamPolicy` `compute.nodeGroups.list` `compute.nodeTemplates.get` `compute.nodeTemplates.getIamPolicy` `compute.nodeTemplates.list` `compute.nodeTypes.` `compute.organizations.listAssociations` `compute.projects.get` `compute.publicAdvertisedPrefixes.get` `compute.publicAdvertisedPrefixes.list` `compute.publicDelegatedPrefixes.get` `compute.publicDelegatedPrefixes.list` `compute.regionBackendServices.get` `compute.regionBackendServices.getIamPolicy` `compute.regionBackendServices.list` `compute.regionHealthCheckServices.get` `compute.regionHealthCheckServices.list` `compute.regionHealthChecks.get` `compute.regionHealthChecks.list` `compute.regionNetworkEndpointGroups.get` `compute.regionNetworkEndpointGroups.list` `compute.regionNotificationEndpoints.get` `compute.regionNotificationEndpoints.list` `compute.regionOperations.get` `compute.regionOperations.getIamPolicy` `compute.regionOperations.list` `compute.regionSslCertificates.get` `compute.regionSslCertificates.list` `compute.regionTargetHttpProxies.get` `compute.regionTargetHttpProxies.list` `compute.regionTargetHttpsProxies.get` `compute.regionTargetHttpsProxies.list` `compute.regionUrlMaps.get` `compute.regionUrlMaps.list` `compute.regionUrlMaps.validate` `compute.regions.` `compute.reservations.get` `compute.reservations.list` `compute.resourcePolicies.get` `compute.resourcePolicies.list` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.securityPolicies.get` `compute.securityPolicies.getIamPolicy` `compute.securityPolicies.list` `compute.serviceAttachments.get` `compute.serviceAttachments.list` `compute.snapshots.get` `compute.snapshots.getIamPolicy` `compute.snapshots.list` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.sslPolicies.get` `compute.sslPolicies.list` `compute.sslPolicies.listAvailableFeatures` `compute.subnetworks.get` `compute.subnetworks.getIamPolicy` `compute.subnetworks.list` `compute.targetGrpcProxies.get` `compute.targetGrpcProxies.list` `compute.targetHttpProxies.get` `compute.targetHttpProxies.list` `compute.targetHttpsProxies.get` `compute.targetHttpsProxies.list` `compute.targetInstances.get` `compute.targetInstances.list` `compute.targetPools.get` `compute.targetPools.list` `compute.targetSslProxies.get` `compute.targetSslProxies.list` `compute.targetTcpProxies.get` `compute.targetTcpProxies.list` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.urlMaps.get` `compute.urlMaps.list` `compute.urlMaps.validate` `compute.vpnGateways.get` `compute.vpnGateways.list` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.zoneOperations.get` `compute.zoneOperations.getIamPolicy` `compute.zoneOperations.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.viewer

Compute Engine リソースを取得して表示する読み取りアクセス権。そこに格納されたデータを読み取ることはできません。

たとえば、このロールを持つアカウントはプロジェクトのすべてのディスクの一覧を作成できますが、それらのディスク内のデータを読み取ることはできません。

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.getIamPolicy
compute.backendServices.list
compute.commitments.get
compute.commitments.list
compute.diskTypes.*
compute.disks.get
compute.disks.getIamPolicy
compute.disks.list
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.firewallPolicies.get
compute.firewallPolicies.getIamPolicy
compute.firewallPolicies.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalForwardingRules.pscGet
compute.globalNetworkEndpointGroups.get
compute.globalNetworkEndpointGroups.list
compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalPublicDelegatedPrefixes.get
compute.globalPublicDelegatedPrefixes.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.get
compute.images.getFromFamily
compute.images.getIamPolicy
compute.images.list
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceTemplates.get
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instances.get
compute.instances.getEffectiveFirewalls
compute.instances.getGuestAttributes
compute.instances.getIamPolicy
compute.instances.getScreenshot
compute.instances.getSerialPortOutput
compute.instances.getShieldedInstanceIdentity
compute.instances.getShieldedVmIdentity
compute.instances.list
compute.instances.listReferrers
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.licenseCodes.get
compute.licenseCodes.getIamPolicy
compute.licenseCodes.list
compute.licenses.get
compute.licenses.getIamPolicy
compute.licenses.list
compute.machineImages.get
compute.machineImages.getIamPolicy
compute.machineImages.list
compute.machineTypes.*
compute.maintenancePolicies.get
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.networkEndpointGroups.get
compute.networkEndpointGroups.getIamPolicy
compute.networkEndpointGroups.list
compute.networks.get
compute.networks.getEffectiveFirewalls
compute.networks.list
compute.networks.listPeeringRoutes
compute.nodeGroups.get
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTypes.*
compute.organizations.listAssociations
compute.projects.get
compute.publicAdvertisedPrefixes.get
compute.publicAdvertisedPrefixes.list
compute.publicDelegatedPrefixes.get
compute.publicDelegatedPrefixes.list
compute.regionBackendServices.get
compute.regionBackendServices.getIamPolicy
compute.regionBackendServices.list
compute.regionHealthCheckServices.get
compute.regionHealthCheckServices.list
compute.regionHealthChecks.get
compute.regionHealthChecks.list
compute.regionNetworkEndpointGroups.get
compute.regionNetworkEndpointGroups.list
compute.regionNotificationEndpoints.get
compute.regionNotificationEndpoints.list
compute.regionOperations.get
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regionSslCertificates.get
compute.regionSslCertificates.list
compute.regionTargetHttpProxies.get
compute.regionTargetHttpProxies.list
compute.regionTargetHttpsProxies.get
compute.regionTargetHttpsProxies.list
compute.regionUrlMaps.get
compute.regionUrlMaps.list
compute.regionUrlMaps.validate
compute.regions.*
compute.reservations.get
compute.reservations.list
compute.resourcePolicies.get
compute.resourcePolicies.list
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.securityPolicies.get
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.serviceAttachments.get
compute.serviceAttachments.list
compute.snapshots.get
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.targetGrpcProxies.get
compute.targetGrpcProxies.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.urlMaps.validate
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute Shared VPC 管理者のロール

名前説明権限

名前	説明	権限
`roles/compute.xpnAdmin`	共有 VPC ホストプロジェクトを管理する権限。特にホストプロジェクトを有効にし、共有 VPC サービスプロジェクトをホストプロジェクトのネットワークに関連付ける権限。組織レベルでこのロールを付与できるのは組織管理者のみです。 Google Cloud では、共有 VPC ホストプロジェクトのオーナーを共有 VPC 管理者にすることを推奨しています。共有 VPC 管理者は Compute ネットワークユーザーのロール（`roles/compute.networkUser`）をサービスオーナーに付与し、共有 VPC ホストプロジェクトのオーナーはプロジェクト自体を制御します。単一のプリンシパル（個人やグループ）が両方のロールを果たすことができれば、プロジェクトの管理が容易になります。	`compute.globalOperations.get` `compute.globalOperations.list` `compute.organizations.administerXpn` `compute.organizations.disableXpnHost` `compute.organizations.disableXpnResource` `compute.organizations.enableXpnHost` `compute.organizations.enableXpnResource` `compute.projects.get` `compute.subnetworks.getIamPolicy` `compute.subnetworks.setIamPolicy` `resourcemanager.organizations.get` `resourcemanager.projects.get` `resourcemanager.projects.getIamPolicy` `resourcemanager.projects.list`

roles/compute.xpnAdmin

共有 VPC ホストプロジェクトを管理する権限。特にホストプロジェクトを有効にし、共有 VPC サービスプロジェクトをホストプロジェクトのネットワークに関連付ける権限。

組織レベルでこのロールを付与できるのは組織管理者のみです。

Google Cloud では、共有 VPC ホストプロジェクトのオーナーを共有 VPC 管理者にすることを推奨しています。共有 VPC 管理者は Compute ネットワークユーザーのロール（roles/compute.networkUser）をサービスオーナーに付与し、共有 VPC ホストプロジェクトのオーナーはプロジェクト自体を制御します。単一のプリンシパル（個人やグループ）が両方のロールを果たすことができれば、プロジェクトの管理が容易になります。

compute.globalOperations.get
compute.globalOperations.list
compute.organizations.administerXpn
compute.organizations.disableXpnHost
compute.organizations.disableXpnResource
compute.organizations.enableXpnHost
compute.organizations.enableXpnResource
compute.projects.get
compute.subnetworks.getIamPolicy
compute.subnetworks.setIamPolicy
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list

GuestPolicy 管理者のロール

名前	説明	権限
`roles/osconfig.guestPolicyAdmin` ^ベータ版	GuestPolicy に対する完全な管理者アクセス権	`osconfig.guestPolicies.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

GuestPolicy 編集者のロール

名前	説明	権限
`roles/osconfig.guestPolicyEditor` ^ベータ版	GuestPolicy リソースの編集者	`osconfig.guestPolicies.get` `osconfig.guestPolicies.list` `osconfig.guestPolicies.update` `resourcemanager.projects.get` `resourcemanager.projects.list`

GuestPolicy 閲覧者のロール

名前	説明	権限
`roles/osconfig.guestPolicyViewer` ^ベータ版	GuestPolicy リソースの閲覧者	`osconfig.guestPolicies.get` `osconfig.guestPolicies.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

InstanceOSPoliciesCompliance 閲覧者のロール

名前	説明	権限
`roles/osconfig.instanceOSPoliciesComplianceViewer`^ベータ版	VM インスタンスの OS ポリシーコンプライアンスの閲覧者	`osconfig.instanceOSPoliciesCompliances.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

OS Inventory 閲覧者のロール

名前	説明	権限
`roles/osconfig.inventoryViewer`	OS インベントリの閲覧者	`osconfig.inventories.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

OSPolicyAssignment 管理者のロール

名前	説明	権限
`roles/osconfig.osPolicyAssignmentAdmin`^ベータ版	OS ポリシーの割り当てに対する完全な管理者アクセス権	`osconfig.osPolicyAssignments.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

OSPolicyAssignment 編集者のロール

名前	説明	権限
`roles/osconfig.osPolicyAssignmentEditor`^ベータ版	OS ポリシーの割り当ての編集者	`osconfig.osPolicyAssignments.get` `osconfig.osPolicyAssignments.list` `osconfig.osPolicyAssignments.update` `resourcemanager.projects.get` `resourcemanager.projects.list`

OSPolicyAssignment 閲覧者のロール

名前	説明	権限
`roles/osconfig.osPolicyAssignmentViewer`^ベータ版	OS ポリシーの割り当ての閲覧者	`osconfig.osPolicyAssignments.get` `osconfig.osPolicyAssignments.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

PatchDeployment 管理者のロール

名前	説明	権限
`roles/osconfig.patchDeploymentAdmin`	PatchDeployment に対する完全な管理者アクセス権	`osconfig.patchDeployments.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

PatchDeployment 閲覧者のロール

名前	説明	権限
`roles/osconfig.patchDeploymentViewer`	PatchDeployment リソースの閲覧者	`osconfig.patchDeployments.get` `osconfig.patchDeployments.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

パッチジョブエグゼキュータのロール

名前	説明	権限
`roles/osconfig.patchJobExecutor`	パッチジョブを実行するためのアクセス権。	`osconfig.patchJobs.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

パッチジョブ閲覧者のロール

名前	説明	権限
`roles/osconfig.patchJobViewer`	パッチジョブを取得して一覧表示します。	`osconfig.patchJobs.get` `osconfig.patchJobs.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

OS VulnerabilityReport 閲覧者のロール

名前	説明	権限
`roles/osconfig.vulnerabilityReportViewer`	OS VulnerabilityReports の閲覧者	`osconfig.vulnerabilityReports.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

DNS 管理者のロール

名前	説明	権限
`roles/dns.admin`	すべての Cloud DNS リソースへの読み取り / 書き込みアクセス権を付与します。	`compute.networks.get` `compute.networks.list` `dns.changes.` `dns.dnsKeys.` `dns.managedZoneOperations.` `dns.managedZones.` `dns.networks.` `dns.policies.create` `dns.policies.delete` `dns.policies.get` `dns.policies.list` `dns.policies.update` `dns.projects.` `dns.resourceRecordSets.` `dns.responsePolicies.` `dns.responsePolicyRules.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

DNS ピアのロール

名前	説明	権限
`roles/dns.peer`	DNS ピアリングゾーンを持つターゲットネットワークへのアクセス権	`dns.networks.targetWithPeeringZone`

DNS リーダーのロール

名前	説明	権限
`roles/dns.reader`	すべての Cloud DNS リソースへの読み取り専用アクセス権を付与します。	`compute.networks.get` `dns.changes.get` `dns.changes.list` `dns.dnsKeys.` `dns.managedZoneOperations.` `dns.managedZones.get` `dns.managedZones.list` `dns.policies.get` `dns.policies.list` `dns.projects.*` `dns.resourceRecordSets.get` `dns.resourceRecordSets.list` `dns.responsePolicies.get` `dns.responsePolicies.list` `dns.responsePolicyRules.get` `dns.responsePolicyRules.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

サービスアカウント管理者のロール

名前	説明	権限
`roles/iam.serviceAccountAdmin`	サービスアカウントを作成、管理します。	`iam.serviceAccounts.create` `iam.serviceAccounts.delete` `iam.serviceAccounts.disable` `iam.serviceAccounts.enable` `iam.serviceAccounts.get` `iam.serviceAccounts.getIamPolicy` `iam.serviceAccounts.list` `iam.serviceAccounts.setIamPolicy` `iam.serviceAccounts.undelete` `iam.serviceAccounts.update` `resourcemanager.projects.get` `resourcemanager.projects.list`

サービスアカウント作成のロール

名前	説明	権限
`roles/iam.serviceAccountCreator`	サービスアカウントを作成するための権限。	`iam.serviceAccounts.create` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

サービスアカウント削除のロール

名前	説明	権限
`roles/iam.serviceAccountDeleter`	サービスアカウントを削除するための権限。	`iam.serviceAccounts.delete` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

サービスアカウントキー管理者のロール

名前	説明	権限
`roles/iam.serviceAccountKeyAdmin`	サービスアカウントキーの作成と管理（ローテーション）を行います。	`iam.serviceAccountKeys.*` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

サービスアカウントトークン作成者のロール

名前	説明	権限
`roles/iam.serviceAccountTokenCreator`	サービスアカウント権限を使用できます（OAuth2 アクセストークンを作成し、blob または JWT などに署名します）。	`iam.serviceAccounts.get` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.list` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` `resourcemanager.projects.get` `resourcemanager.projects.list`

サービスアカウントユーザーのロール

名前	説明	権限
`roles/iam.serviceAccountUser`	サービスアカウントとして操作を行います。	`iam.serviceAccounts.actAs` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

Workload Identity ユーザーのロール

名前	説明	権限
`roles/iam.workloadIdentityUser`	GKE ワークロードのサービスアカウントを使用できます	`iam.serviceAccounts.get` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.list`

次のステップ

IAM の詳細について学習する。
カスタム IAM ロールの作成および管理方法を学習する。
IAM のロールをプロジェクトユーザーに付与する。
特定の Compute Engine リソースに対して IAM ロールを付与する。
IAM の役割をサービスアカウントに付与する。

Compute Engine IAM のロールと権限

始める前に

IAM とは

serviceAccountUser の役割

Google Cloud Console 権限

instanceAdmin としてのインスタンスへの接続

IAM とサービス アカウント

マネージド インスタンス グループと IAM

サポートされていない操作

事前定義された Compute Engine IAM のロール

Compute 管理者のロール

Compute イメージ ユーザーのロール

Compute インスタンス管理者（ベータ版）のロール

Compute インスタンス管理者（v1）のロール

Compute ロードバランサ管理者のロール

Compute ネットワーク管理者のロール

Compute ネットワーク ユーザーのロール

Compute ネットワーク閲覧者のロール

Compute 組織ファイアウォール ポリシー管理者のロール

Compute 組織ファイアウォール ポリシー ユーザーのロール

Compute 組織セキュリティ ポリシー管理者のロール

Compute 組織セキュリティ ポリシー ユーザーのロール

Compute 組織リソース管理者のロール

Compute OS 管理者ログインのロール

Compute OS Login のロール

Compute OS Login の外部ユーザーのロール

コンピューティング パケット ミラーリング管理者のロール

コンピューティング パケット ミラーリング ユーザーのロール

Compute パブリック IP 管理者のロール

Compute セキュリティ管理者のロール

Compute ストレージ管理者のロール

Compute 閲覧者のロール

Compute Shared VPC 管理者のロール

GuestPolicy 管理者のロール

GuestPolicy 編集者のロール

GuestPolicy 閲覧者のロール

InstanceOSPoliciesCompliance 閲覧者のロール

OS Inventory 閲覧者のロール

OSPolicyAssignment 管理者のロール

OSPolicyAssignment 編集者のロール

OSPolicyAssignment 閲覧者のロール

PatchDeployment 管理者のロール

PatchDeployment 閲覧者のロール

パッチジョブ エグゼキュータのロール

パッチジョブ閲覧者のロール

OS VulnerabilityReport 閲覧者のロール

DNS 管理者のロール

DNS ピアのロール

DNS リーダーのロール

サービス アカウント管理者のロール

サービス アカウント作成のロール

サービス アカウント削除のロール

サービス アカウント キー管理者のロール

サービス アカウント トークン作成者のロール

サービス アカウント ユーザーのロール

Workload Identity ユーザーのロール

次のステップ

IAM とサービスアカウント

マネージドインスタンスグループと IAM

Compute イメージユーザーのロール

Compute ネットワークユーザーのロール

Compute 組織ファイアウォールポリシー管理者のロール

Compute 組織ファイアウォールポリシーユーザーのロール

Compute 組織セキュリティポリシー管理者のロール

Compute 組織セキュリティポリシーユーザーのロール

コンピューティングパケットミラーリング管理者のロール

コンピューティングパケットミラーリングユーザーのロール

パッチジョブエグゼキュータのロール

サービスアカウント管理者のロール

サービスアカウント作成のロール

サービスアカウント削除のロール

サービスアカウントキー管理者のロール

サービスアカウントトークン作成者のロール

サービスアカウントユーザーのロール