Compute Engine IAM の役割

このページでは、Identity and Access Management（IAM）の役割についてと、Compute Engine IAM の各役割に含まれる権限について説明します。プロジェクトに新しいプロジェクトメンバーを追加する際は、IAM ポリシーを使用して新しいメンバーに IAM の役割を割り当てることができます。

プロジェクトレベルでポリシーを設定する方法については、IAM のドキュメントでポリシーの管理を参照してください。Compute Engine リソースのポリシーを設定する方法については、特定リソースへのアクセス権の付与を参照してください。Compute Engine のサービスアカウントに役割を割り当てる方法については、インスタンスのサービスアカウントの作成と有効化のドキュメントを参照してください。

個々の API メソッドに対する IAM 権限の完全なリストもご覧ください。

始める前に

Google Cloud IAM のドキュメントをご覧ください。

IAM とは

Google Cloud Platform には Identity and Access Management（IAM）機能があり、特定の Google Cloud Platform リソースへのより細かなアクセス制御が可能になり、他のリソースへの不要なアクセスを防ぐことができます。IAM を使用すると、最小限の権限のセキュリティ原則を導入できるため、リソースに対する必要なアクセス権のみ付与できます。

IAM では、IAM ポリシーを設定して、誰（どのユーザー）に、どのリソースに対するどのアクセス権（役割）を付与するかを制御することができます。IAM ポリシーは、特定の役割をプロジェクトメンバーに付与することで、その ID に特定の権限を付与します。たとえば、プロジェクトなどの特定のリソースに対し、Google アカウントに roles/compute.networkAdmin の役割を割り当てた場合、そのアカウントはプロジェクト内のネットワーク関連のリソースは制御できるようになりますが、インスタンスやディスクなどの他のリソースは管理できません。また、IAM を使用して、プロジェクトチームメンバーに付与されている GCP Console の以前の役割を管理することもできます。

IAM では、Compute Engine 内のすべての API メソッドに対し、API リクエストを行う ID がリソースの使用に必要な権限を保持していることが要求されます。プロジェクトのメンバーとしてユーザー、グループまたはサービスアカウントに役割を付与するポリシーを設定すると、権限が付与されます。従来の役割（オーナー、編集者、閲覧者）以外にも、プロジェクトのメンバーに以下の Compute Engine の役割を割り当てることができます。

1 人のプロジェクトメンバーに、同一リソースにおける役割を複数個付与できます。たとえば、ネットワーキングチームがファイアウォールルールを別のセキュリティチームに任せずに自ら管理している場合は、roles/compute.networkAdmin と roles/compute.securityAdmin の役割をネットワーキングチームの Google グループに付与できます。

次の表には、Compute Engine ユーザーに使用可能な IAM の役割が一覧表示されています。表は役割ごとに分割されています。たとえば、表内の最初の 2 つの役割はインスタンスの管理権限を許可し、その次の役割はネットワーク関連リソースの管理権限を許可します。最後に、セキュリティの役割が、ファイアウォールや SSL 証明書などのセキュリティ関連リソースの管理権限を許可します。

インスタンス管理者の役割

役割名 説明権限

役割名	説明	権限
`roles/compute.instanceAdmin.v1`	仮想マシンインスタンスを作成、変更、削除するための権限。ディスクを作成、変更、削除するための権限が含まれます。ユーザーがサービスアカウントとして実行するように設定されている仮想マシンインスタンスを管理する場合は、`iam.serviceAccountUser` の役割も付与する必要があります。たとえば、仮想マシンインスタンスのグループは管理しているが、ネットワークやセキュリティの設定の管理や、サービスアカウントとして実行するインスタンスの管理は行っていないというユーザーが社内にいる場合は、この役割を付与します。この役割をユーザーにインスタンスレベルでのみ付与した場合、そのユーザーは新しいインスタンスを作成できません。	`compute.acceleratorTypes.get` `compute.acceleratorTypes.list` `compute.addresses.get` `compute.addresses.list` `compute.addresses.use` `compute.autoscalers.` `compute.backendBuckets.get` `compute.backendBuckets.list` `compute.backendServices.get` `compute.backendServices.list` `compute.clientSslPolicies.get` `compute.clientSslPolicies.list` `compute.disks.` `compute.diskTypes.get` `compute.diskTypes.list` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.get` `compute.forwardingRules.list` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalForwardingRules.get` `compute.globalForwardingRules.list` `compute.globalOperations.get` `compute.globalOperations.list` `compute.healthChecks.get` `compute.healthChecks.list` `compute.httpHealthChecks.get` `compute.httpHealthChecks.list` `compute.httpsHealthChecks.get` `compute.httpsHealthChecks.list` `compute.images.` `compute.instanceGroupManagers.` `compute.instanceGroups.` `compute.instances.` `compute.instanceTemplates.` `compute.interconnectAttachments.get` `compute.interconnectAttachments.list` `compute.interconnectLocations.get` `compute.interconnectLocations.list` `compute.interconnects.get` `compute.interconnects.list` `compute.licenses.` `compute.licenseCodes.` `compute.machineTypes.get` `compute.machineTypes.list` `compute.networkEndpointGroups.` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.networks.useExternalIp` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regions.get` `compute.regions.list` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.snapshots.*` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.sslPolicies.get` `compute.sslPolicies.list` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.use` `compute.subnetworks.useExternalIp` `compute.targetHttpProxies.get` `compute.targetHttpProxies.list` `compute.targetHttpsProxies.get` `compute.targetHttpsProxies.list` `compute.targetInstances.get` `compute.targetInstances.list` `compute.targetPools.get` `compute.targetPools.list` `compute.targetSslProxies.get` `compute.targetSslProxies.list` `compute.targetTcpProxies.get` `compute.targetTcpProxies.list` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.urlMaps.get` `compute.urlMaps.list` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.get` `compute.zones.list` `compute.projects.get` `compute.projects.setCommonInstanceMetadata` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicemanagement.projectSettings.get` `serviceusage.services.get` `serviceusage.quotas.get`

roles/compute.instanceAdmin.v1

仮想マシンインスタンスを作成、変更、削除するための権限。ディスクを作成、変更、削除するための権限が含まれます。

ユーザーがサービスアカウントとして実行するように設定されている仮想マシンインスタンスを管理する場合は、iam.serviceAccountUser の役割も付与する必要があります。

たとえば、仮想マシンインスタンスのグループは管理しているが、ネットワークやセキュリティの設定の管理や、サービスアカウントとして実行するインスタンスの管理は行っていないというユーザーが社内にいる場合は、この役割を付与します。

この役割をユーザーにインスタンスレベルでのみ付与した場合、そのユーザーは新しいインスタンスを作成できません。

compute.acceleratorTypes.get
compute.acceleratorTypes.list
compute.addresses.get
compute.addresses.list
compute.addresses.use
compute.autoscalers.*
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.clientSslPolicies.get
compute.clientSslPolicies.list
compute.disks.*
compute.diskTypes.get
compute.diskTypes.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalOperations.get
compute.globalOperations.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.*
compute.instanceGroupManagers.*
compute.instanceGroups.*
compute.instances.*
compute.instanceTemplates.*
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.get
compute.interconnectLocations.list
compute.interconnects.get
compute.interconnects.list
compute.licenses.*
compute.licenseCodes.*
compute.machineTypes.get
compute.machineTypes.list
compute.networkEndpointGroups.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.regionOperations.get
compute.regionOperations.list
compute.regions.get
compute.regions.list
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.snapshots.*
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.get
compute.zones.list
compute.projects.get
compute.projects.setCommonInstanceMetadata
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.projectSettings.get
serviceusage.services.get
serviceusage.quotas.get

Compute 管理者の役割

役割名 説明権限

役割名	説明	権限
`roles/compute.admin`	Compute Engine リソースのすべてを管理できる権限。ユーザーがサービスアカウントとして実行するように設定されている仮想マシンインスタンスを管理する場合は、`roles/iam.serviceAccountUser` の役割も付与する必要があります。	`compute.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicemanagement.projectSettings.get` `serviceusage.services.get` `serviceusage.quotas.get`

roles/compute.admin

Compute Engine リソースのすべてを管理できる権限。

ユーザーがサービスアカウントとして実行するように設定されている仮想マシンインスタンスを管理する場合は、roles/iam.serviceAccountUser の役割も付与する必要があります。

compute.*
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.projectSettings.get
serviceusage.services.get
serviceusage.quotas.get

サービスアカウントユーザーの役割

役割名	説明	権限
`roles/iam.serviceAccountUser`	`instanceAdmin.v1` とともに付与された場合、VM の作成、ディスクの接続、およびサービスアカウントとして実行できる VM インスタンス上のメタデータの更新のためのアクセス権を付与します。	`iam.serviceAccounts.actAs` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

イメージユーザーの役割

役割名	説明	権限
`roles/compute.imageUser`	イメージを一覧表示し、読み取る権限。イメージの作成や削除などの権限はありません。プロジェクトレベルでこの役割が付与されたメンバーは、プロジェクト内のイメージの一覧を取得できます。また、プロジェクト内のイメージに基づいて、インスタンスや永続ディスクなどのリソースを作成できます。	`compute.images.get` `compute.images.getFromFamily` `compute.images.list` `compute.images.useReadOnly` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicemanagement.projectSettings.get` `serviceusage.services.get` `serviceusage.quotas.get`

ネットワーク閲覧者の役割

役割名 説明権限

役割名	説明	権限
`roles/compute.networkViewer`	すべてのネットワークリソースへの読み取り専用アクセス権。たとえば、ネットワーク構成を検査するソフトウェアがある場合は、そのソフトウェアのサービスアカウントに `networkViewer` の役割を付与します。	`compute.addresses.get` `compute.addresses.list` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.backendBuckets.get` `compute.backendBuckets.list` `compute.backendServices.get` `compute.backendServices.list` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.get` `compute.forwardingRules.list` `compute.globalForwardingRules.get` `compute.globalForwardingRules.list` `compute.healthChecks.get` `compute.healthChecks.list` `compute.httpHealthChecks.get` `compute.httpHealthChecks.list` `compute.httpsHealthChecks.get` `compute.httpsHealthChecks.list` `compute.instanceGroups.get` `compute.instanceGroups.list` `compute.instances.get` `compute.instances.getGuestAttributes` `compute.instances.getSerialPortOutput` `compute.instances.list` `compute.networks.get` `compute.networks.list` `compute.packetMirroringConfigs.get` `compute.packetMirroringConfigs.list` `compute.routes.get` `compute.routes.list` `compute.routers.get` `compute.routers.list` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.subnetworks.get` `compute.subnetworks.list` `compute.targetHttpProxies.get` `compute.targetHttpProxies.list` `compute.targetHttpsProxies.get` `compute.targetHttpsProxies.list` `compute.targetInstances.get` `compute.targetInstances.list` `compute.targetPools.get` `compute.targetPools.list` `compute.targetSslProxies.get` `compute.targetSslProxies.list` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.urlMaps.get` `compute.urlMaps.list` `compute.vpns.get` `compute.vpns.list` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.scopes.get` `compute.scopes.list` `compute.regions.get` `compute.regions.list` `compute.zones.get` `compute.zones.list` `compute.projects.get` `resourcemanager.projects.get` `servicemanagement.projectSettings.get`

roles/compute.networkViewer

すべてのネットワークリソースへの読み取り専用アクセス権。

たとえば、ネットワーク構成を検査するソフトウェアがある場合は、そのソフトウェアのサービスアカウントに networkViewer の役割を付与します。

compute.addresses.get
compute.addresses.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getSerialPortOutput
compute.instances.list
compute.networks.get
compute.networks.list
compute.packetMirroringConfigs.get
compute.packetMirroringConfigs.list
compute.routes.get
compute.routes.list
compute.routers.get
compute.routers.list
compute.sslCertificates.get
compute.sslCertificates.list
compute.subnetworks.get
compute.subnetworks.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.vpns.get
compute.vpns.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.scopes.get
compute.scopes.list
compute.regions.get
compute.regions.list
compute.zones.get
compute.zones.list
compute.projects.get
resourcemanager.projects.get
servicemanagement.projectSettings.get

ネットワーク管理者の役割

役割名 説明権限

役割名	説明	権限
`roles/compute.networkAdmin`	ネットワーキングリソース（ファイアウォールルールと SSL 証明書を除く）を作成、変更、削除するための権限。`networkAdmin` の役割により、ファイアウォールルール、SSL 証明書、インスタンス（それぞれのエフェメラル IP アドレスの表示用）への読み取り専用アクセスを付与できます。この役割では、ユーザーがインスタンスを作成、開始、停止、削除することはできません。たとえば、ファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワーキングリソースを管理するネットワーキングチームが社内にいる場合は、ネットワーキングチームのグループに `networkAdmin` の役割を付与します。	`compute.addresses.` `compute.globalAddresses.` `compute.backendBuckets.` `compute.securityPolicies.get` `compute.securityPolicies.list` `compute.securityPolicies.use` `compute.backendServices.` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.` `compute.globalForwardingRules.` `compute.healthChecks.` `compute.httpHealthChecks.` `compute.httpsHealthChecks.` `compute.interconnectAttachments.` `compute.interconnectLocations.` `compute.interconnects.` `compute.networks.` `compute.packetMirrorings.get` `compute.packetMirrorings.list` `compute.packetMirrorings.use` `compute.routes.` `compute.routers.` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.clientSslPolicies.` `compute.sslPolicies.` `compute.subnetworks.` `compute.targetHttpProxies.` `compute.targetHttpsProxies.` `compute.targetInstances.` `compute.targetPools.` `compute.targetSslProxies.` `compute.targetTcpProxies.` `compute.targetVpnGateways.` `compute.urlMaps.` `compute.instances.get` `compute.instances.getGuestAttributes` `compute.instances.getSerialPortOutput` `compute.instances.list` `compute.instances.listReferrers` `compute.instances.use` `compute.instanceGroups.get` `compute.instanceGroups.list` `compute.instanceGroups.use` `compute.instanceGroups.update` `compute.instanceGroupManagers.get` `compute.instanceGroupManagers.list` `compute.instanceGroupManagers.use` `compute.instanceGroupManagers.update` `compute.vpns.` `compute.vpnTunnels.` `compute.scopes.get` `compute.scopes.list` `compute.regions.get` `compute.regions.list` `compute.zones.get` `compute.zones.list` `compute.globalOperations.get` `compute.globalOperations.list` `compute.regionOperations.get` `compute.regionOperations.list` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicemanagement.projectSettings.get` `serviceusage.services.get` `serviceusage.quotas.get`

roles/compute.networkAdmin

ネットワーキングリソース（ファイアウォールルールと SSL 証明書を除く）を作成、変更、削除するための権限。networkAdmin の役割により、ファイアウォールルール、SSL 証明書、インスタンス（それぞれのエフェメラル IP アドレスの表示用）への読み取り専用アクセスを付与できます。この役割では、ユーザーがインスタンスを作成、開始、停止、削除することはできません。

たとえば、ファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワーキングリソースを管理するネットワーキングチームが社内にいる場合は、ネットワーキングチームのグループに networkAdmin の役割を付与します。

compute.addresses.*
compute.globalAddresses.*
compute.backendBuckets.*
compute.securityPolicies.get
compute.securityPolicies.list
compute.securityPolicies.use
compute.backendServices.*
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.*
compute.globalForwardingRules.*
compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute.interconnectAttachments.*
compute.interconnectLocations.*
compute.interconnects.*
compute.networks.*
compute.packetMirrorings.get
compute.packetMirrorings.list
compute.packetMirrorings.use
compute.routes.*
compute.routers.*
compute.sslCertificates.get
compute.sslCertificates.list
compute.clientSslPolicies.*
compute.sslPolicies.*
compute.subnetworks.*
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.targetVpnGateways.*
compute.urlMaps.*
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.instances.use
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceGroups.use
compute.instanceGroups.update
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroupManagers.use
compute.instanceGroupManagers.update
compute.vpns.*
compute.vpnTunnels.*
compute.scopes.get
compute.scopes.list
compute.regions.get
compute.regions.list
compute.zones.get
compute.zones.list
compute.globalOperations.get
compute.globalOperations.list
compute.regionOperations.get
compute.regionOperations.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.projectSettings.get
serviceusage.services.get
serviceusage.quotas.get

セキュリティ管理者の役割

役割名 説明権限

役割名	説明	権限
`roles/compute.securityAdmin`	ファイアウォールルールと SSL 証明書を作成、変更、削除するための権限。たとえば、ファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワーキングリソースを管理するネットワーキングチームが社内にいる場合は、セキュリティチームのグループに `securityAdmin` の役割を付与します。	`compute.firewalls.` `compute.packetMirrorings.` `compute.sslCertificates.` `compute.clientSslPolicies.` `compute.securityPolicies.` `compute.sslPolicies.` `compute.instances.setShieldedVmIntegrityPolicy` `compute.instances.updateSecurity` `compute.instances.updateShieldedVmConfig` `compute.networks.get` `compute.networks.list` `compute.networks.updatePolicy` `compute.routes.get` `compute.routes.list` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.updatePolicy` `compute.scopes.get` `compute.scopes.list` `compute.regions.get` `compute.regions.list` `compute.zones.get` `compute.zones.list` `compute.globalOperations.get` `compute.globalOperations.list` `compute.regionOperations.get` `compute.regionOperations.list` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicemanagement.projectSettings.get` `serviceusage.services.get` `serviceusage.quotas.get`

roles/compute.securityAdmin

ファイアウォールルールと SSL 証明書を作成、変更、削除するための権限。

たとえば、ファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワーキングリソースを管理するネットワーキングチームが社内にいる場合は、セキュリティチームのグループに securityAdmin の役割を付与します。

compute.firewalls.*
compute.packetMirrorings.*
compute.sslCertificates.*
compute.clientSslPolicies.*
compute.securityPolicies.*
compute.sslPolicies.*
compute.instances.setShieldedVmIntegrityPolicy
compute.instances.updateSecurity
compute.instances.updateShieldedVmConfig
compute.networks.get
compute.networks.list
compute.networks.updatePolicy
compute.routes.get
compute.routes.list
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.updatePolicy
compute.scopes.get
compute.scopes.list
compute.regions.get
compute.regions.list
compute.zones.get
compute.zones.list
compute.globalOperations.get
compute.globalOperations.list
compute.regionOperations.get
compute.regionOperations.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.projectSettings.get
serviceusage.services.get
serviceusage.quotas.get

Compute 閲覧者の役割

役割名 説明権限

役割名	説明	権限
`roles/compute.viewer`	Compute Engine リソースを取得して表示するための読み取り専用アクセス権。そこに格納されたデータを読み取ることはできません。たとえば、プロジェクトレベルでこの役割を持つアカウントはプロジェクトのすべてのディスクの一覧を作成できますが、それらのディスク内のデータは読み取ることができません。	`compute..get` `compute..getIamPolicy` `compute.*.list` `compute.forwardingRules.externalGet` `compute.images.getFromFamily` `compute.instances.getGuestAttributes` `compute.instances.getSerialPortOutput` `compute.instances.listReferrers` `compute.networks.listIpOwners` `compute.networks.listUsableSubnets` `compute.sslPolicies.listAvailableFeatures` `compute.subnetworks.listIpOwners` `compute.urlMaps.validate` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicemanagement.projectSettings.get` `serviceusage.services.get` `serviceusage.quotas.get`

roles/compute.viewer

Compute Engine リソースを取得して表示するための読み取り専用アクセス権。そこに格納されたデータを読み取ることはできません。

たとえば、プロジェクトレベルでこの役割を持つアカウントはプロジェクトのすべてのディスクの一覧を作成できますが、それらのディスク内のデータは読み取ることができません。

compute.*.get
compute.*.getIamPolicy
compute.*.list
compute.forwardingRules.externalGet
compute.images.getFromFamily
compute.instances.getGuestAttributes
compute.instances.getSerialPortOutput
compute.instances.listReferrers
compute.networks.listIpOwners
compute.networks.listUsableSubnets
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.listIpOwners
compute.urlMaps.validate
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.projectSettings.get
serviceusage.services.get
serviceusage.quotas.get

ストレージ管理者の役割

役割名 説明権限

役割名	説明	権限
`roles/compute.storageAdmin`	ディスク、イメージ、スナップショットを作成、変更、削除するための権限。たとえば、自社のプロジェクトイメージ管理者にプロジェクトの編集者の役割を付与したくない場合は、そのアカウントにプロジェクトレベルで `storageAdmin` 役割を付与します。	`compute.disks.` `compute.diskTypes.get` `compute.diskTypes.list` `compute.images.` `compute.licenses.` `compute.licenseCodes.` `compute.snapshots.*` `compute.scopes.get` `compute.scopes.list` `compute.regions.get` `compute.regions.list` `compute.zones.get` `compute.zones.list` `compute.globalOperations.get` `compute.globalOperations.list` `compute.regionOperations.get` `compute.regionOperations.list` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicemanagement.projectSettings.get` `serviceusage.services.get` `serviceusage.quotas.get`

roles/compute.storageAdmin

ディスク、イメージ、スナップショットを作成、変更、削除するための権限。

たとえば、自社のプロジェクトイメージ管理者にプロジェクトの編集者の役割を付与したくない場合は、そのアカウントにプロジェクトレベルで storageAdmin 役割を付与します。

compute.disks.*
compute.diskTypes.get
compute.diskTypes.list
compute.images.*
compute.licenses.*
compute.licenseCodes.*
compute.snapshots.*
compute.scopes.get
compute.scopes.list
compute.regions.get
compute.regions.list
compute.zones.get
compute.zones.list
compute.globalOperations.get
compute.globalOperations.list
compute.regionOperations.get
compute.regionOperations.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.projectSettings.get
serviceusage.services.get
serviceusage.quotas.get

共有 VPC 管理者の役割

役割名 説明権限

役割名	説明	権限
`roles/compute.xpnAdmin`	共有 VPC を管理する権限: 共有 VPC ホストプロジェクトを指定し、共有 VPC サービスプロジェクトをホストプロジェクトネットワークに関連付ける権限。 Google Cloud Platform では、共有 VPC ホストプロジェクトのオーナーを共有 VPC 管理者にすることを推奨しています。共有 VPC 管理者はサービスオーナーに `compute.networkUser` 役割を付与し、共有 VPC ホストプロジェクトのオーナーはプロジェクト自体を制御します。単一のプリンシパル（個人やグループ）が両方の役割を果たすことができれば、プロジェクトの管理が容易になります。	`compute.globalOperations.get` `compute.globalOperations.list` `compute.organizations.administerXpn` `compute.organizations.enableXpnHost` `compute.organizations.disableXpnHost` `compute.organizations.enableXpnResource` `compute.organizations.disableXpnResource` `compute.projects.get` `compute.subnetworks.getIamPolicy` `resourcemanager.organizations.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `resourcemanager.projects.getIamPolicy`

roles/compute.xpnAdmin

共有 VPC を管理する権限: 共有 VPC ホストプロジェクトを指定し、共有 VPC サービスプロジェクトをホストプロジェクトネットワークに関連付ける権限。

Google Cloud Platform では、共有 VPC ホストプロジェクトのオーナーを共有 VPC 管理者にすることを推奨しています。共有 VPC 管理者はサービスオーナーに compute.networkUser 役割を付与し、共有 VPC ホストプロジェクトのオーナーはプロジェクト自体を制御します。単一のプリンシパル（個人やグループ）が両方の役割を果たすことができれば、プロジェクトの管理が容易になります。

compute.globalOperations.get
compute.globalOperations.list
compute.organizations.administerXpn
compute.organizations.enableXpnHost
compute.organizations.disableXpnHost
compute.organizations.enableXpnResource
compute.organizations.disableXpnResource
compute.projects.get
compute.subnetworks.getIamPolicy
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
resourcemanager.projects.getIamPolicy

ネットワークユーザーの役割

役割名	説明	権限
`roles/compute.networkUser`	共有 VPC ネットワークを使用する権限。具体的には、共有 VPC ホストプロジェクトネットワークでリソースを作成する必要があるサービスオーナーにこの役割を付与します。	`compute.addresses.get` `compute.addresses.list` `compute.firewalls.get` `compute.firewalls.list` `compute.interconnectAttachments.get` `compute.interconnectAttachments.list` `compute.interconnectLocations.get` `compute.interconnectLocations.list` `compute.interconnects.get` `compute.interconnects.list` `compute.interconnects.use` `compute.networks.get` `compute.networks.list` `compute.networks.listIpOwners` `compute.networks.listUsableSubnets` `compute.networks.use` `compute.networks.useExternalIp` `compute.routes.get` `compute.routes.list` `compute.routers.get` `compute.routers.list` `compute.subnetworks.list` `compute.subnetworks.listIpOwners` `compute.subnetworks.get` `compute.subnetworks.use` `compute.subnetworks.useExternalIp` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.vpns.get` `compute.vpns.list` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.scopes.get` `compute.scopes.list` `compute.regions.get` `compute.regions.list` `compute.zones.get` `compute.zones.list` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicemanagement.projectSettings.get` `serviceusage.services.get` `serviceusage.quotas.get`

OS 管理者ログインの役割

役割名	説明	権限
`roles/compute.osAdminLogin`	管理者ユーザーとして Compute Engine インスタンスにアクセスしてログインします。	`compute.instances.get` `compute.instances.list` `compute.instances.osAdminLogin` `compute.instances.osLogin` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

OS ログインの役割

役割名	説明	権限
`roles/compute.osLogin`	標準（管理者以外の）ユーザーとして Compute Engine インスタンスにアクセスしてログインします。	`compute.instances.get` `compute.instances.list` `compute.instances.osLogin` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

OS ログイン外部ユーザーの役割

役割名 説明権限

役割名	説明	権限
`roles/compute.osLoginExternalUser`	組織レベルでのみ利用できます。この組織に関連付けられた OS ログイン情報を外部ユーザーに設定するためのアクセス権。この役割では、インスタンスへのアクセスは許可されません。SSH を使用してインスタンスにアクセスできるようにするには、OS ログイン IAM の役割のいずれかを外部ユーザーに付与する必要があります。	`compute.oslogin.updateExternalUser`

roles/compute.osLoginExternalUser

組織レベルでのみ利用できます。

この組織に関連付けられた OS ログイン情報を外部ユーザーに設定するためのアクセス権。この役割では、インスタンスへのアクセスは許可されません。SSH を使用してインスタンスにアクセスできるようにするには、OS ログイン IAM の役割のいずれかを外部ユーザーに付与する必要があります。

compute.oslogin.updateExternalUser

ロードバランサ管理者の役割

役割名	説明	権限
`roles/compute.loadBalancerAdmin`	ロードバランサに関連した Compute Engine リソースのすべてを管理できる権限。	`compute.addresses.` `compute.globalAddresses.` `compute.backendBuckets.` `compute.backendServices.` `compute.regionBackendServices.` `compute.forwardingRules.` `compute.globalForwardingRules.` `compute.healthChecks.` `compute.httpHealthChecks.` `compute.httpsHealthChecks.` `compute.instanceGroups.` `compute.instances.get` `compute.instances.list` `compute.instances.use` `compute.instances.useReadOnly` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.sslCertificates.` `compute.securityPolicies.get` `compute.securityPolicies.list` `compute.securityPolicies.use` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.use` `compute.sslPolicies.` `compute.targetHttpProxies.` `compute.targetHttpsProxies.` `compute.targetInstances.` `compute.targetPools.` `compute.targetSslProxies.` `compute.targetTcpProxies.` `compute.urlMaps.` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicemanagement.projectSettings.get` `serviceusage.services.get` `serviceusage.services.list` `serviceusage.quotas.get`

serviceAccountUser の役割

roles/compute.instanceAdmin.v1 と roles/iam.serviceAccountUser の両方が付与されたメンバーは、サービスアカウントを使用するインスタンスを作成、管理できます。特に、roles/iam.serviceAccountUser と roles/compute.instanceAdmin.v1 を一緒に付与すると、メンバーに次の権限が設定されます。

サービスアカウントとして実行するインスタンスの作成。
サービスアカウントとして実行するインスタンスへの永続ディスクの接続。
サービスアカウントとして実行するインスタンスへのインスタンスメタデータの設定。
サービスアカウントとして実行するインスタンスへの SSH を使用した接続。
サービスアカウントとして実行するインスタンスの再構成。

roles/iam.serviceAccountUser は、次の 2 つの方法のいずれかで付与できます。

[推奨] 特定のサービスアカウントのメンバーに役割を付与する。この役割が付与されたメンバーは、iam.serviceAccountUser のサービスアカウントにアクセスできますが、メンバーが iam.serviceAccountUser でない他のサービスアカウントにはアクセスできません。
プロジェクトレベルでメンバーに役割を付与する。このメンバーは、プロジェクト内のすべてのサービスアカウントにアクセスできます。今後作成されるサービスアカウントにもアクセスできます。

サービスアカウントに精通していない場合は、サービスアカウントの詳細を確認してください。

instanceAdmin でのインスタンスへの接続

プロジェクトメンバーに roles/compute.instanceAdmin.v1 の役割を付与すると、そのメンバーは標準の Google Cloud Platform ツール（gcloud やブラウザからの SSH など）を使用して、仮想マシンインスタンスに接続できます。

gcloud コマンドラインツールまたはブラウザからの SSH を使用すると、公開鍵 / 秘密鍵のペアが自動的に生成され、公開鍵がプロジェクトメタデータに追加されます。メンバーがプロジェクトメタデータを編集する権限を保有していない場合、ツールによって代わりにメンバーの公開鍵がインスタンスメタデータに追加されます。

使用する既存の鍵のペアを持っているメンバーは、自分の公開鍵をインスタンスのメタデータに手動で追加できます。インスタンスから SSH キーを追加および削除する方法の詳細を確認してください。

IAM とサービスアカウント

新しいカスタムサービスアカウントを作成し、IAM の役割をサービスアカウントに付与して、インスタンスのアクセスを制限します。IAM の役割とカスタムサービスアカウントは、以下の目的のために使用します。

詳細な IAM の役割を使用して、インスタンスから Cloud Platform API へのアクセスを制限する。
各インスタンス、または一連のインスタンスに一意の ID を付与する。
デフォルトのサービスアカウントのアクセスを制限する。

サービスアカウントの詳細を確認する。

マネージドインスタンスグループと IAM

マネージドインスタンスグループでは、特に自動スケーリングに構成されている場合、ユーザーが直接操作しなくてもリソースによって操作が行われます。管理対象インスタンスグループは、サービスアカウント ID を使用して、インスタンスグループ内のインスタンスを作成、削除、管理します。詳細については、マネージドインスタンスグループと IAM のドキュメントを参照してください。

サポートされていない操作

IAM の役割を使用して、インスタンスグループに対するローリング更新を実行するためのアクセス権を付与することはできません。

このような操作の実行権限を付与するには、より広範囲なオーナー、編集者、または閲覧者の役割を使用します。

次のステップ

Cloud IAM の詳細を確認する。
Cloud IAM で Compute Engine の権限の完全なリストを確認する。
カスタム Cloud IAM の役割の詳細を確認する。
Cloud IAM の役割をプロジェクトユーザーに付与する。
Cloud IAM の役割をサービスアカウントに付与する。
特定のリソースに対して Cloud IAM の役割を付与する。

Compute Engine IAM の役割

始める前に

IAM とは