Compute Engine IAM のロール

Compute Engine には特定の Identity and Access Management（IAM）ロールのセットがあります。各事前定義ロールには、一連の権限が含まれています。

プロジェクトに新しいメンバーを追加する際は、IAM ポリシーを使用して新しいメンバーに 1 つ以上の IAM のロールを割り当てることが可能です。各 IAM ロールには、メンバーに特定のリソースへのアクセスを許可する権限が含まれています。

プロジェクトレベルでポリシーを設定する方法については、IAM ドキュメントのリソースへのアクセス権の付与、変更、取り消しをご覧ください。Compute Engine リソースに対するポリシーを設定する方法については、Compute Engine リソースへのアクセスを許可するをご覧ください。Compute Engine のサービスアカウントにロールを割り当てる方法については、インスタンスのサービスアカウントの作成と有効化をご覧ください。権限のサブセットを含めたカスタムロールを作成する方法については、カスタムロールの作成と管理をご覧ください。

始める前に

このガイドのコマンドラインのサンプルを使用する場合は、以下を行ってください。
1. gcloud コマンドラインツールの最新バージョンをインストールするか、最新バージョンに更新します。
2. デフォルトのリージョンとゾーンを設定します。
このガイドの API の例を使用する場合は API アクセスを設定します。
Google Cloud IAM のドキュメントをご覧ください。

IAM とは

Google Cloud には Cloud Identity and Access Management（Cloud IAM）機能があり、特定の Google Cloud リソースに対するアクセス権を詳細に設定できるため、他のリソースへの不要なアクセスを防ぐことができます。IAM を使用すると、セキュリティに関する最小権限の原則を導入できるため、リソースに対する必要なアクセス権のみ付与できます。

IAM では、IAM ポリシーを設定して、誰（どのユーザー）に、どのリソースに対するどのアクセス権（ロール）を付与するかを制御できます。IAM ポリシーは、特定のロールをプロジェクトメンバーに付与することで、その ID に特定の権限を付与します。たとえば、プロジェクトなどの特定のリソースに対し、Google アカウントに roles/compute.networkAdmin のロールを割り当てた場合、そのアカウントはプロジェクト内のネットワーク関連のリソースは制御できるようになりますが、インスタンスやディスクなどの他のリソースは管理できません。また、Cloud IAM を使用して、プロジェクトチームメンバーに付与されている Cloud Console の以前のロールを管理することもできます。

事前定義された Compute Engine Cloud IAM ロール

Cloud IAM では、Compute Engine API のすべての API メソッドで、API リクエストを行う ID がリソースの使用に必要な権限を保持していることが要求されます。権限を付与するには、プロジェクトのメンバー（ユーザー、グループ、またはサービスアカウント）にロールを付与するポリシーを設定します。

従来のロール（閲覧者、編集者、オーナー）やカスタムのロールに加え、Compute Engine で事前定義されている以下のロールもプロジェクトのメンバーに割り当てることができます。

1 人のプロジェクトメンバーに、同一リソースにおける複数のロールを付与できます。たとえば、ネットワーキングチームがファイアウォールルールも管理している場合、roles/compute.networkAdmin と roles/compute.securityAdmin の両方のロールをネットワーキングチームの Google グループに付与できます。

次の表に、事前定義された Compute Engine Cloud IAM ロールと、それぞれのロールに含まれる権限を示します。各ロールには、特定のタスクに適した一連の権限が含まれています。たとえば、最初の 2 つのロールはインスタンスを管理する権限を付与するものです。ネットワーク関連のロールにはネットワーク関連のリソースを管理する権限が含まれ、セキュリティ関連のロールにはファイウォールや SSL 証明書などのセキュリティ関連のリソースを管理する権限が含まれています。

Compute 管理者の役割

名前説明権限

名前	説明	権限
`roles/compute.admin`	Compute Engine リソースのすべてを管理する権限。ユーザーがサービスアカウントとして実行するように構成されている仮想マシンインスタンスを管理する場合は、`roles/iam.serviceAccountUser` の役割も付与する必要があります。	`compute.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.admin

Compute Engine リソースのすべてを管理する権限。

ユーザーがサービスアカウントとして実行するように構成されている仮想マシンインスタンスを管理する場合は、roles/iam.serviceAccountUser の役割も付与する必要があります。

compute.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute イメージユーザーの役割

名前	説明	権限
`roles/compute.imageUser`	イメージに対してその他の権限のない、イメージを一覧表示し、読み取る権限。プロジェクトレベルで `compute.imageUser` の役割が付与されると、ユーザーは、プロジェクト内のイメージの一覧を取得できます。また、プロジェクト内のイメージに基づいて、インスタンスや永続ディスクなどのリソースを作成できます。	`compute.images.get` `compute.images.getFromFamily` `compute.images.list` `compute.images.useReadOnly` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute インスタンス管理者（ベータ版）の役割

名前説明権限

名前	説明	権限
`roles/compute.instanceAdmin`	仮想マシンインスタンスを作成、変更、削除する権限。ディスクの作成、変更、削除を行う権限が含まれます。Shielded VM^ベータ版の設定を構成する権限も含まれます。ユーザーがサービスアカウントとして実行するように構成されている仮想マシンインスタンスを管理する場合は、`roles/iam.serviceAccountUser` の役割も付与する必要があります。たとえば、仮想マシンインスタンスのグループは管理しているが、ネットワークやセキュリティの設定の管理や、サービスアカウントとして実行するインスタンスの管理は行っていないというユーザーが社内にいる場合は、この役割をインスタンスが含まれている組織、フォルダ、プロジェクトあるいは個々のインスタンスに付与できます。	`compute.acceleratorTypes.` `compute.addresses.get` `compute.addresses.list` `compute.addresses.use` `compute.autoscalers.` `compute.diskTypes.` `compute.disks.create` `compute.disks.createSnapshot` `compute.disks.delete` `compute.disks.get` `compute.disks.list` `compute.disks.resize` `compute.disks.setLabels` `compute.disks.update` `compute.disks.use` `compute.disks.useReadOnly` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalOperations.get` `compute.globalOperations.list` `compute.images.get` `compute.images.getFromFamily` `compute.images.list` `compute.images.useReadOnly` `compute.instanceGroupManagers.` `compute.instanceGroups.` `compute.instanceTemplates.` `compute.instances.` `compute.licenses.get` `compute.licenses.list` `compute.machineTypes.` `compute.networkEndpointGroups.` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.networks.useExternalIp` `compute.projects.get` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regions.` `compute.reservations.get` `compute.reservations.list` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.use` `compute.subnetworks.useExternalIp` `compute.targetPools.get` `compute.targetPools.list` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.instanceAdmin

仮想マシンインスタンスを作成、変更、削除する権限。ディスクの作成、変更、削除を行う権限が含まれます。Shielded VM^ベータ版の設定を構成する権限も含まれます。

たとえば、仮想マシンインスタンスのグループは管理しているが、ネットワークやセキュリティの設定の管理や、サービスアカウントとして実行するインスタンスの管理は行っていないというユーザーが社内にいる場合は、この役割をインスタンスが含まれている組織、フォルダ、プロジェクトあるいは個々のインスタンスに付与できます。

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.addresses.use
compute.autoscalers.*
compute.diskTypes.*
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.list
compute.disks.resize
compute.disks.setLabels
compute.disks.update
compute.disks.use
compute.disks.useReadOnly
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalOperations.get
compute.globalOperations.list
compute.images.get
compute.images.getFromFamily
compute.images.list
compute.images.useReadOnly
compute.instanceGroupManagers.*
compute.instanceGroups.*
compute.instanceTemplates.*
compute.instances.*
compute.licenses.get
compute.licenses.list
compute.machineTypes.*
compute.networkEndpointGroups.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.reservations.get
compute.reservations.list
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetPools.get
compute.targetPools.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute インスタンス管理者（v1）の役割

名前	説明	権限
`roles/compute.instanceAdmin.v1`	Compute Engine インスタンス、インスタンスグループ、ディスク、スナップショット、イメージのすべてを管理する権限。すべての Compute Engine ネットワーキングリソースへの読み取り専用権権限。この役割をユーザーにインスタンスレベルでのみ付与した場合、そのユーザーは新しいインスタンスを作成できません。	`compute.acceleratorTypes.` `compute.addresses.get` `compute.addresses.list` `compute.addresses.use` `compute.autoscalers.` `compute.backendBuckets.get` `compute.backendBuckets.list` `compute.backendServices.get` `compute.backendServices.list` `compute.diskTypes.` `compute.disks.` `compute.externalVpnGateways.get` `compute.externalVpnGateways.list` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.get` `compute.forwardingRules.list` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalForwardingRules.get` `compute.globalForwardingRules.list` `compute.globalOperations.get` `compute.globalOperations.list` `compute.healthChecks.get` `compute.healthChecks.list` `compute.httpHealthChecks.get` `compute.httpHealthChecks.list` `compute.httpsHealthChecks.get` `compute.httpsHealthChecks.list` `compute.images.` `compute.instanceGroupManagers.` `compute.instanceGroups.` `compute.instanceTemplates.` `compute.instances.` `compute.interconnectAttachments.get` `compute.interconnectAttachments.list` `compute.interconnectLocations.` `compute.interconnects.get` `compute.interconnects.list` `compute.licenseCodes.` `compute.licenses.` `compute.machineTypes.` `compute.networkEndpointGroups.` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.networks.useExternalIp` `compute.projects.get` `compute.projects.setCommonInstanceMetadata` `compute.regionBackendServices.get` `compute.regionBackendServices.list` `compute.regionHealthCheckServices.get` `compute.regionHealthCheckServices.list` `compute.regionNotificationEndpoints.get` `compute.regionNotificationEndpoints.list` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regions.` `compute.reservations.get` `compute.reservations.list` `compute.resourcePolicies.` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.snapshots.` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.sslPolicies.get` `compute.sslPolicies.list` `compute.sslPolicies.listAvailableFeatures` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.use` `compute.subnetworks.useExternalIp` `compute.targetHttpProxies.get` `compute.targetHttpProxies.list` `compute.targetHttpsProxies.get` `compute.targetHttpsProxies.list` `compute.targetInstances.get` `compute.targetInstances.list` `compute.targetPools.get` `compute.targetPools.list` `compute.targetSslProxies.get` `compute.targetSslProxies.list` `compute.targetTcpProxies.get` `compute.targetTcpProxies.list` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.urlMaps.get` `compute.urlMaps.list` `compute.vpnGateways.get` `compute.vpnGateways.list` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute Load Balancer 管理者の役割

名前説明権限

名前	説明	権限
`roles/compute.loadBalancerAdmin` ^ベータ版	ロードバランサを作成、変更、削除し、リソースを関連付ける権限。たとえば、ロードバランサ、ロードバランサの SSL 証明書、SSL ポリシー、その他のロードバランシングリソースを管理するロードバランシングチームと、その他のネットワークリソースを管理するネットワークチームが社内にいる場合は、ロードバランシングチームのグループに `loadBalancerAdmin` の役割を付与します。	`compute.addresses.` `compute.backendBuckets.` `compute.backendServices.` `compute.forwardingRules.` `compute.globalAddresses.` `compute.globalForwardingRules.` `compute.healthChecks.` `compute.httpHealthChecks.` `compute.httpsHealthChecks.` `compute.instanceGroups.` `compute.instances.get` `compute.instances.list` `compute.instances.use` `compute.networkEndpointGroups.` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.projects.get` `compute.regionBackendServices.` `compute.regionHealthCheckServices.` `compute.regionNotificationEndpoints.` `compute.securityPolicies.get` `compute.securityPolicies.list` `compute.securityPolicies.use` `compute.sslCertificates.` `compute.sslPolicies.` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.use` `compute.targetHttpProxies.` `compute.targetHttpsProxies.` `compute.targetInstances.` `compute.targetPools.` `compute.targetSslProxies.` `compute.targetTcpProxies.` `compute.urlMaps.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.loadBalancerAdmin ^ベータ版

ロードバランサを作成、変更、削除し、リソースを関連付ける権限。

たとえば、ロードバランサ、ロードバランサの SSL 証明書、SSL ポリシー、その他のロードバランシングリソースを管理するロードバランシングチームと、その他のネットワークリソースを管理するネットワークチームが社内にいる場合は、ロードバランシングチームのグループに loadBalancerAdmin の役割を付与します。

compute.addresses.*
compute.backendBuckets.*
compute.backendServices.*
compute.forwardingRules.*
compute.globalAddresses.*
compute.globalForwardingRules.*
compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute.instanceGroups.*
compute.instances.get
compute.instances.list
compute.instances.use
compute.networkEndpointGroups.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
compute.regionBackendServices.*
compute.regionHealthCheckServices.*
compute.regionNotificationEndpoints.*
compute.securityPolicies.get
compute.securityPolicies.list
compute.securityPolicies.use
compute.sslCertificates.*
compute.sslPolicies.*
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.urlMaps.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute ネットワーク管理者（ベータ版）の役割

名前説明権限

名前	説明	権限
`roles/compute.networkAdmin`	ネットワーキングリソース（ファイアウォールルールと SSL 証明書を除く）を作成、変更、削除する権限。ネットワーク管理者の役割により、ファイアウォールルール、SSL 証明書、インスタンス（それぞれのエフェメラル IP アドレスの表示用）への読み取り専用アクセスを付与できます。ネットワーク管理者の役割で、インスタンスの作成、起動、停止、削除はできません。たとえば、ファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワーキングリソースを管理するネットワーキングチームが社内にいる場合は、ネットワーキングチームのグループに `networkAdmin` の役割を付与します。	`compute.acceleratorTypes.` `compute.addresses.` `compute.autoscalers.get` `compute.autoscalers.list` `compute.backendBuckets.` `compute.backendServices.` `compute.externalVpnGateways.` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.` `compute.globalAddresses.` `compute.globalForwardingRules.` `compute.globalOperations.get` `compute.globalOperations.list` `compute.healthChecks.` `compute.httpHealthChecks.` `compute.httpsHealthChecks.` `compute.instanceGroupManagers.get` `compute.instanceGroupManagers.list` `compute.instanceGroupManagers.update` `compute.instanceGroupManagers.use` `compute.instanceGroups.get` `compute.instanceGroups.list` `compute.instanceGroups.update` `compute.instanceGroups.use` `compute.instances.get` `compute.instances.getGuestAttributes` `compute.instances.getScreenshot` `compute.instances.getSerialPortOutput` `compute.instances.list` `compute.instances.listReferrers` `compute.instances.use` `compute.interconnectAttachments.` `compute.interconnectLocations.` `compute.interconnects.` `compute.machineTypes.` `compute.networkEndpointGroups.get` `compute.networkEndpointGroups.list` `compute.networkEndpointGroups.use` `compute.networks.` `compute.projects.get` `compute.regionBackendServices.` `compute.regionHealthCheckServices.` `compute.regionNotificationEndpoints.` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regions.` `compute.routers.` `compute.routes.` `compute.securityPolicies.get` `compute.securityPolicies.list` `compute.securityPolicies.use` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.sslPolicies.` `compute.subnetworks.` `compute.targetHttpProxies.` `compute.targetHttpsProxies.` `compute.targetInstances.` `compute.targetPools.` `compute.targetSslProxies.` `compute.targetTcpProxies.` `compute.targetVpnGateways.` `compute.urlMaps.` `compute.vpnGateways.` `compute.vpnTunnels.` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicenetworking.operations.get` `servicenetworking.services.addPeering` `servicenetworking.services.get` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.networkAdmin

ネットワーキングリソース（ファイアウォールルールと SSL 証明書を除く）を作成、変更、削除する権限。ネットワーク管理者の役割により、ファイアウォールルール、SSL 証明書、インスタンス（それぞれのエフェメラル IP アドレスの表示用）への読み取り専用アクセスを付与できます。ネットワーク管理者の役割で、インスタンスの作成、起動、停止、削除はできません。

たとえば、ファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワーキングリソースを管理するネットワーキングチームが社内にいる場合は、ネットワーキングチームのグループに networkAdmin の役割を付与します。

compute.acceleratorTypes.*
compute.addresses.*
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.*
compute.backendServices.*
compute.externalVpnGateways.*
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.*
compute.globalAddresses.*
compute.globalForwardingRules.*
compute.globalOperations.get
compute.globalOperations.list
compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroupManagers.update
compute.instanceGroupManagers.use
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceGroups.update
compute.instanceGroups.use
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getScreenshot
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.instances.use
compute.interconnectAttachments.*
compute.interconnectLocations.*
compute.interconnects.*
compute.machineTypes.*
compute.networkEndpointGroups.get
compute.networkEndpointGroups.list
compute.networkEndpointGroups.use
compute.networks.*
compute.projects.get
compute.regionBackendServices.*
compute.regionHealthCheckServices.*
compute.regionNotificationEndpoints.*
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.routers.*
compute.routes.*
compute.securityPolicies.get
compute.securityPolicies.list
compute.securityPolicies.use
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.*
compute.subnetworks.*
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.targetVpnGateways.*
compute.urlMaps.*
compute.vpnGateways.*
compute.vpnTunnels.*
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute ネットワークユーザーの役割

名前説明権限

名前	説明	権限
`roles/compute.networkUser`	共有 VPC ネットワークへのアクセス権を付与します。アクセス権を付与されたサービスオーナーは、ホストプロジェクトに属する VPC ネットワークとサブネットを使用できます。たとえば、ネットワークユーザーは、ホストプロジェクトネットワークに属する VM インスタンスを作成できますが、ホストプロジェクトでネットワークを削除できません。また、新しいネットワークを作成することもできません。	`compute.addresses.createInternal` `compute.addresses.deleteInternal` `compute.addresses.get` `compute.addresses.list` `compute.addresses.useInternal` `compute.externalVpnGateways.get` `compute.externalVpnGateways.list` `compute.externalVpnGateways.use` `compute.firewalls.get` `compute.firewalls.list` `compute.interconnectAttachments.get` `compute.interconnectAttachments.list` `compute.interconnectLocations.` `compute.interconnects.get` `compute.interconnects.list` `compute.interconnects.use` `compute.networks.access` `compute.networks.get` `compute.networks.list` `compute.networks.listPeeringRoutes` `compute.networks.use` `compute.networks.useExternalIp` `compute.projects.get` `compute.regions.` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.use` `compute.subnetworks.useExternalIp` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.vpnGateways.get` `compute.vpnGateways.list` `compute.vpnGateways.use` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicenetworking.services.get` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.networkUser

共有 VPC ネットワークへのアクセス権を付与します。

アクセス権を付与されたサービスオーナーは、ホストプロジェクトに属する VPC ネットワークとサブネットを使用できます。たとえば、ネットワークユーザーは、ホストプロジェクトネットワークに属する VM インスタンスを作成できますが、ホストプロジェクトでネットワークを削除できません。また、新しいネットワークを作成することもできません。

compute.addresses.createInternal
compute.addresses.deleteInternal
compute.addresses.get
compute.addresses.list
compute.addresses.useInternal
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.externalVpnGateways.use
compute.firewalls.get
compute.firewalls.list
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.interconnects.use
compute.networks.access
compute.networks.get
compute.networks.list
compute.networks.listPeeringRoutes
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnGateways.use
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute ネットワーク閲覧者の役割

名前説明権限

名前	説明	権限
`roles/compute.networkViewer`	すべてのネットワークリソースへの読み取り専用権限。たとえば、ネットワーク構成を検査するソフトウェアがある場合は、そのソフトウェアのサービスアカウントに `networkViewer` 役割を付与します。	`compute.acceleratorTypes.` `compute.addresses.get` `compute.addresses.list` `compute.autoscalers.get` `compute.autoscalers.list` `compute.backendBuckets.get` `compute.backendBuckets.list` `compute.backendServices.get` `compute.backendServices.list` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.get` `compute.forwardingRules.list` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalForwardingRules.get` `compute.globalForwardingRules.list` `compute.healthChecks.get` `compute.healthChecks.list` `compute.httpHealthChecks.get` `compute.httpHealthChecks.list` `compute.httpsHealthChecks.get` `compute.httpsHealthChecks.list` `compute.instanceGroupManagers.get` `compute.instanceGroupManagers.list` `compute.instanceGroups.get` `compute.instanceGroups.list` `compute.instances.get` `compute.instances.getGuestAttributes` `compute.instances.getScreenshot` `compute.instances.getSerialPortOutput` `compute.instances.list` `compute.instances.listReferrers` `compute.interconnectAttachments.get` `compute.interconnectAttachments.list` `compute.interconnectLocations.` `compute.interconnects.get` `compute.interconnects.list` `compute.machineTypes.` `compute.networks.get` `compute.networks.list` `compute.networks.listPeeringRoutes` `compute.projects.get` `compute.regionBackendServices.get` `compute.regionBackendServices.list` `compute.regionHealthCheckServices.get` `compute.regionHealthCheckServices.list` `compute.regionNotificationEndpoints.get` `compute.regionNotificationEndpoints.list` `compute.regions.` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.sslPolicies.get` `compute.sslPolicies.list` `compute.sslPolicies.listAvailableFeatures` `compute.subnetworks.get` `compute.subnetworks.list` `compute.targetHttpProxies.get` `compute.targetHttpProxies.list` `compute.targetHttpsProxies.get` `compute.targetHttpsProxies.list` `compute.targetInstances.get` `compute.targetInstances.list` `compute.targetPools.get` `compute.targetPools.list` `compute.targetSslProxies.get` `compute.targetSslProxies.list` `compute.targetTcpProxies.get` `compute.targetTcpProxies.list` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.urlMaps.get` `compute.urlMaps.list` `compute.vpnGateways.get` `compute.vpnGateways.list` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicenetworking.services.get` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.networkViewer

すべてのネットワークリソースへの読み取り専用権限。

たとえば、ネットワーク構成を検査するソフトウェアがある場合は、そのソフトウェアのサービスアカウントに networkViewer 役割を付与します。

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getScreenshot
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.machineTypes.*
compute.networks.get
compute.networks.list
compute.networks.listPeeringRoutes
compute.projects.get
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regionHealthCheckServices.get
compute.regionHealthCheckServices.list
compute.regionNotificationEndpoints.get
compute.regionNotificationEndpoints.list
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute 組織セキュリティポリシー管理者の役割

名前	説明	権限
`roles/compute.orgSecurityPolicyAdmin` ^ベータ版	Compute Engine 組織のセキュリティポリシーのすべてを管理できる権限。	`compute.globalOperations.get` `compute.globalOperations.getIamPolicy` `compute.globalOperations.list` `compute.globalOperations.setIamPolicy` `compute.projects.get` `compute.securityPolicies.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute 組織セキュリティポリシーユーザーの役割

名前	説明	権限
`roles/compute.orgSecurityPolicyUser` ^ベータ版	Compute Engine セキュリティポリシーを表示または使用して、組織またはフォルダに関連付けます。	`compute.globalOperations.get` `compute.globalOperations.getIamPolicy` `compute.globalOperations.list` `compute.globalOperations.setIamPolicy` `compute.projects.get` `compute.securityPolicies.get` `compute.securityPolicies.list` `compute.securityPolicies.use` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute 組織リソース管理者の役割

名前	説明	権限
`roles/compute.orgSecurityResourceAdmin` ^ベータ版	組織またはフォルダへの Compute Engine セキュリティポリシーの関連付けのすべてを管理できる権限。	`compute.globalOperations.get` `compute.globalOperations.getIamPolicy` `compute.globalOperations.list` `compute.globalOperations.setIamPolicy` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute OS 管理者ログインの役割

名前	説明	権限
`roles/compute.osAdminLogin`	管理者ユーザーとして Compute Engine インスタンスにログインするための権限。	`compute.instances.get` `compute.instances.list` `compute.instances.osAdminLogin` `compute.instances.osLogin` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute OS ログインの役割

名前	説明	権限
`roles/compute.osLogin`	標準ユーザーとして Compute Engine インスタンスにログインするアクセス権。	`compute.instances.get` `compute.instances.list` `compute.instances.osLogin` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute OS ログインの外部ユーザーの役割

名前説明権限

名前	説明	権限
`roles/compute.osLoginExternalUser`	組織レベルでのみ利用できます。この組織に関連付けられた OS ログイン情報を外部ユーザーが設定するアクセス権。この役割で、インスタンスへのアクセスは許可されません。外部ユーザーが SSH を使用してインスタンスにアクセスできるようにするには、OS ログインの役割のいずれかが付与されている必要があります。	`compute.oslogin.*`

roles/compute.osLoginExternalUser

組織レベルでのみ利用できます。

この組織に関連付けられた OS ログイン情報を外部ユーザーが設定するアクセス権。この役割で、インスタンスへのアクセスは許可されません。外部ユーザーが SSH を使用してインスタンスにアクセスできるようにするには、OS ログインの役割のいずれかが付与されている必要があります。

compute.oslogin.*

コンピューティングパケットミラーリング管理者の役割

名前	説明	権限
`roles/compute.packetMirroringAdmin`	ミラーリングするリソースを指定します。	`compute.networks.mirror` `compute.projects.get` `compute.subnetworks.mirror` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

コンピューティングパケットミラーリングユーザーの役割

名前	説明	権限
`roles/compute.packetMirroringUser`	Compute Engine パケットミラーリングを使用します。	`compute.packetMirrorings.*` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Compute セキュリティ管理者の役割

名前説明権限

名前	説明	権限
`roles/compute.securityAdmin`	ファイアウォールルールと SSL 証明書を作成、変更、削除する権限。Shielded VM^ベータ版の設定を構成する権限も含まれます。たとえば、ファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワーキングリソースを管理するネットワーキングチームが社内にいる場合は、セキュリティチームのグループに `securityAdmin` の役割を付与します。	`compute.firewalls.` `compute.globalOperations.get` `compute.globalOperations.list` `compute.instances.setShieldedInstanceIntegrityPolicy` `compute.instances.setShieldedVmIntegrityPolicy` `compute.instances.updateShieldedInstanceConfig` `compute.instances.updateShieldedVmConfig` `compute.networks.get` `compute.networks.list` `compute.networks.updatePolicy` `compute.packetMirrorings.` `compute.projects.get` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regions.` `compute.routes.get` `compute.routes.list` `compute.securityPolicies.` `compute.sslCertificates.` `compute.sslPolicies.` `compute.subnetworks.get` `compute.subnetworks.list` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.securityAdmin

ファイアウォールルールと SSL 証明書を作成、変更、削除する権限。Shielded VM^ベータ版の設定を構成する権限も含まれます。

たとえば、ファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワーキングリソースを管理するネットワーキングチームが社内にいる場合は、セキュリティチームのグループに securityAdmin の役割を付与します。

compute.firewalls.*
compute.globalOperations.get
compute.globalOperations.list
compute.instances.setShieldedInstanceIntegrityPolicy
compute.instances.setShieldedVmIntegrityPolicy
compute.instances.updateShieldedInstanceConfig
compute.instances.updateShieldedVmConfig
compute.networks.get
compute.networks.list
compute.networks.updatePolicy
compute.packetMirrorings.*
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.routes.get
compute.routes.list
compute.securityPolicies.*
compute.sslCertificates.*
compute.sslPolicies.*
compute.subnetworks.get
compute.subnetworks.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute ストレージ管理者の役割

名前説明権限

名前	説明	権限
`roles/compute.storageAdmin`	ディスク、イメージ、スナップショットを作成、変更、削除する権限。たとえば、自社のプロジェクトイメージ管理者にプロジェクトの編集者の役割を付与しない場合は、そのアカウントにプロジェクトレベルで `storageAdmin` 役割を付与します。	`compute.diskTypes.` `compute.disks.` `compute.globalOperations.get` `compute.globalOperations.list` `compute.images.` `compute.licenseCodes.` `compute.licenses.` `compute.projects.get` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regions.` `compute.resourcePolicies.` `compute.snapshots.` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.storageAdmin

ディスク、イメージ、スナップショットを作成、変更、削除する権限。

たとえば、自社のプロジェクトイメージ管理者にプロジェクトの編集者の役割を付与しない場合は、そのアカウントにプロジェクトレベルで storageAdmin 役割を付与します。

compute.diskTypes.*
compute.disks.*
compute.globalOperations.get
compute.globalOperations.list
compute.images.*
compute.licenseCodes.*
compute.licenses.*
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.resourcePolicies.*
compute.snapshots.*
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute 閲覧者の役割

名前説明権限

名前	説明	権限
`roles/compute.viewer`	Compute Engine リソースを取得して表示する読み取りアクセス権。そこに格納されたデータを読み取ることはできません。たとえば、この役割を持つアカウントはプロジェクトのすべてのディスクの一覧を作成できますが、それらのディスク内のデータを読み取ることはできません。	`compute.acceleratorTypes.` `compute.addresses.get` `compute.addresses.list` `compute.autoscalers.get` `compute.autoscalers.list` `compute.backendBuckets.get` `compute.backendBuckets.list` `compute.backendServices.get` `compute.backendServices.list` `compute.commitments.get` `compute.commitments.list` `compute.diskTypes.` `compute.disks.get` `compute.disks.getIamPolicy` `compute.disks.list` `compute.externalVpnGateways.get` `compute.externalVpnGateways.list` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.get` `compute.forwardingRules.list` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalForwardingRules.get` `compute.globalForwardingRules.list` `compute.globalOperations.get` `compute.globalOperations.getIamPolicy` `compute.globalOperations.list` `compute.healthChecks.get` `compute.healthChecks.list` `compute.httpHealthChecks.get` `compute.httpHealthChecks.list` `compute.httpsHealthChecks.get` `compute.httpsHealthChecks.list` `compute.images.get` `compute.images.getFromFamily` `compute.images.getIamPolicy` `compute.images.list` `compute.instanceGroupManagers.get` `compute.instanceGroupManagers.list` `compute.instanceGroups.get` `compute.instanceGroups.list` `compute.instanceTemplates.get` `compute.instanceTemplates.getIamPolicy` `compute.instanceTemplates.list` `compute.instances.get` `compute.instances.getGuestAttributes` `compute.instances.getIamPolicy` `compute.instances.getScreenshot` `compute.instances.getSerialPortOutput` `compute.instances.getShieldedInstanceIdentity` `compute.instances.getShieldedVmIdentity` `compute.instances.list` `compute.instances.listReferrers` `compute.interconnectAttachments.get` `compute.interconnectAttachments.list` `compute.interconnectLocations.` `compute.interconnects.get` `compute.interconnects.list` `compute.licenseCodes.get` `compute.licenseCodes.getIamPolicy` `compute.licenseCodes.list` `compute.licenses.get` `compute.licenses.getIamPolicy` `compute.licenses.list` `compute.machineTypes.` `compute.maintenancePolicies.get` `compute.maintenancePolicies.getIamPolicy` `compute.maintenancePolicies.list` `compute.networkEndpointGroups.get` `compute.networkEndpointGroups.getIamPolicy` `compute.networkEndpointGroups.list` `compute.networks.get` `compute.networks.list` `compute.networks.listPeeringRoutes` `compute.nodeGroups.get` `compute.nodeGroups.getIamPolicy` `compute.nodeGroups.list` `compute.nodeTemplates.get` `compute.nodeTemplates.getIamPolicy` `compute.nodeTemplates.list` `compute.nodeTypes.` `compute.projects.get` `compute.regionBackendServices.get` `compute.regionBackendServices.list` `compute.regionHealthCheckServices.get` `compute.regionHealthCheckServices.list` `compute.regionNotificationEndpoints.get` `compute.regionNotificationEndpoints.list` `compute.regionOperations.get` `compute.regionOperations.getIamPolicy` `compute.regionOperations.list` `compute.regions.` `compute.reservations.get` `compute.reservations.list` `compute.resourcePolicies.get` `compute.resourcePolicies.list` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.securityPolicies.get` `compute.securityPolicies.getIamPolicy` `compute.securityPolicies.list` `compute.snapshots.get` `compute.snapshots.getIamPolicy` `compute.snapshots.list` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.sslPolicies.get` `compute.sslPolicies.list` `compute.sslPolicies.listAvailableFeatures` `compute.subnetworks.get` `compute.subnetworks.getIamPolicy` `compute.subnetworks.list` `compute.targetHttpProxies.get` `compute.targetHttpProxies.list` `compute.targetHttpsProxies.get` `compute.targetHttpsProxies.list` `compute.targetInstances.get` `compute.targetInstances.list` `compute.targetPools.get` `compute.targetPools.list` `compute.targetSslProxies.get` `compute.targetSslProxies.list` `compute.targetTcpProxies.get` `compute.targetTcpProxies.list` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.urlMaps.get` `compute.urlMaps.list` `compute.urlMaps.validate` `compute.vpnGateways.get` `compute.vpnGateways.list` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.zoneOperations.get` `compute.zoneOperations.getIamPolicy` `compute.zoneOperations.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.viewer

Compute Engine リソースを取得して表示する読み取りアクセス権。そこに格納されたデータを読み取ることはできません。

たとえば、この役割を持つアカウントはプロジェクトのすべてのディスクの一覧を作成できますが、それらのディスク内のデータを読み取ることはできません。

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.commitments.get
compute.commitments.list
compute.diskTypes.*
compute.disks.get
compute.disks.getIamPolicy
compute.disks.list
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.get
compute.images.getFromFamily
compute.images.getIamPolicy
compute.images.list
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceTemplates.get
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getIamPolicy
compute.instances.getScreenshot
compute.instances.getSerialPortOutput
compute.instances.getShieldedInstanceIdentity
compute.instances.getShieldedVmIdentity
compute.instances.list
compute.instances.listReferrers
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.licenseCodes.get
compute.licenseCodes.getIamPolicy
compute.licenseCodes.list
compute.licenses.get
compute.licenses.getIamPolicy
compute.licenses.list
compute.machineTypes.*
compute.maintenancePolicies.get
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.networkEndpointGroups.get
compute.networkEndpointGroups.getIamPolicy
compute.networkEndpointGroups.list
compute.networks.get
compute.networks.list
compute.networks.listPeeringRoutes
compute.nodeGroups.get
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTypes.*
compute.projects.get
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regionHealthCheckServices.get
compute.regionHealthCheckServices.list
compute.regionNotificationEndpoints.get
compute.regionNotificationEndpoints.list
compute.regionOperations.get
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regions.*
compute.reservations.get
compute.reservations.list
compute.resourcePolicies.get
compute.resourcePolicies.list
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.securityPolicies.get
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.snapshots.get
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.urlMaps.validate
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Compute Shared VPC 管理者の役割

名前説明権限

名前	説明	権限
`roles/compute.xpnAdmin`	共有 VPC ホストプロジェクトを管理する権限。特にホストプロジェクトを有効にし、共有 VPC サービスプロジェクトをホストプロジェクトのネットワークに関連付ける権限。この役割を組織に付与できるのは、組織管理者だけです。 Google Cloud では、共有 VPC ホストプロジェクトのオーナーを共有 VPC 管理者にすることを推奨しています。共有 VPC 管理者はサービスオーナーに `compute.networkUser` 役割を付与し、共有 VPC ホストプロジェクトのオーナーはプロジェクト自体を制御します。単一のプリンシパル（個人やグループ）が両方の役割を果たすことができれば、プロジェクトの管理が容易になります。	`compute.globalOperations.get` `compute.globalOperations.list` `compute.organizations.*` `compute.projects.get` `compute.subnetworks.getIamPolicy` `compute.subnetworks.setIamPolicy` `resourcemanager.organizations.get` `resourcemanager.projects.get` `resourcemanager.projects.getIamPolicy` `resourcemanager.projects.list`

roles/compute.xpnAdmin

共有 VPC ホストプロジェクトを管理する権限。特にホストプロジェクトを有効にし、共有 VPC サービスプロジェクトをホストプロジェクトのネットワークに関連付ける権限。

この役割を組織に付与できるのは、組織管理者だけです。

Google Cloud では、共有 VPC ホストプロジェクトのオーナーを共有 VPC 管理者にすることを推奨しています。共有 VPC 管理者はサービスオーナーに compute.networkUser 役割を付与し、共有 VPC ホストプロジェクトのオーナーはプロジェクト自体を制御します。単一のプリンシパル（個人やグループ）が両方の役割を果たすことができれば、プロジェクトの管理が容易になります。

compute.globalOperations.get
compute.globalOperations.list
compute.organizations.*
compute.projects.get
compute.subnetworks.getIamPolicy
compute.subnetworks.setIamPolicy
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list

割り当て管理者の役割

名前	説明	権限
`roles/osconfig.assignmentAdmin` ^{アルファ版}	割り当てに対する完全な管理者アクセス権	`resourcemanager.projects.get` `resourcemanager.projects.list`

割り当て編集者の役割

名前	説明	権限
`roles/osconfig.assignmentEditor` ^{アルファ版}	割り当てリソースの編集者	`resourcemanager.projects.get` `resourcemanager.projects.list`

割り当て閲覧者の役割

名前	説明	権限
`roles/osconfig.assignmentViewer` ^{アルファ版}	割り当てリソースの閲覧者	`resourcemanager.projects.get` `resourcemanager.projects.list`

GuestPolicy 管理者の役割

名前	説明	権限
`roles/osconfig.guestPolicyAdmin` ^{アルファ版}	GuestPolicies に対する完全な管理者アクセス権	`osconfig.guestPolicies.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

GuestPolicy 編集者の役割

名前	説明	権限
`roles/osconfig.guestPolicyEditor` ^{アルファ版}	GuestPolicy リソースの編集者	`osconfig.guestPolicies.get` `osconfig.guestPolicies.list` `osconfig.guestPolicies.update` `resourcemanager.projects.get` `resourcemanager.projects.list`

GuestPolicy 閲覧者の役割

名前	説明	権限
`roles/osconfig.guestPolicyViewer` ^{アルファ版}	GuestPolicy リソースの閲覧者	`osconfig.guestPolicies.get` `osconfig.guestPolicies.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

OsConfig 管理者の役割

名前	説明	権限
`roles/osconfig.osConfigAdmin` ^{アルファ版}	OsConfig に対する完全な管理者アクセス権	`resourcemanager.projects.get` `resourcemanager.projects.list`

OsConfig 編集者の役割

名前	説明	権限
`roles/osconfig.osConfigEditor` ^{アルファ版}	OsConfig リソースの編集者	`resourcemanager.projects.get` `resourcemanager.projects.list`

OsConfig 閲覧者の役割

名前	説明	権限
`roles/osconfig.osConfigViewer` ^{アルファ版}	OsConfig リソースの閲覧者	`resourcemanager.projects.get` `resourcemanager.projects.list`

PatchDeployment 管理者の役割

名前	説明	権限
`roles/osconfig.patchDeploymentAdmin` ^{アルファ版}	PatchDeployments に対する完全な管理者アクセス権	`osconfig.patchDeployments.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

PatchDeployment 閲覧者の役割

名前	説明	権限
`roles/osconfig.patchDeploymentViewer` ^{アルファ版}	PatchDeployment リソースの閲覧者	`osconfig.patchDeployments.get` `osconfig.patchDeployments.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

パッチジョブエグゼキュータの役割

名前	説明	権限
`roles/osconfig.patchJobExecutor` ^{アルファ版}	パッチジョブを実行するためのアクセス権。	`osconfig.patchJobs.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

パッチジョブ閲覧者の役割

名前	説明	権限
`roles/osconfig.patchJobViewer` ^{アルファ版}	パッチジョブを取得して一覧表示します。	`osconfig.patchJobs.get` `osconfig.patchJobs.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

DNS 管理者の役割

名前	説明	権限
`roles/dns.admin`	すべての DNS リソースへの読み取り / 書き込みアクセス権を付与します。	`compute.networks.get` `compute.networks.list` `dns.changes.` `dns.dnsKeys.` `dns.managedZoneOperations.` `dns.managedZones.` `dns.networks.` `dns.policies.create` `dns.policies.delete` `dns.policies.get` `dns.policies.list` `dns.policies.update` `dns.projects.` `dns.resourceRecordSets.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

DNS ピアの役割

名前	説明	権限
`roles/dns.peer`	DNS ピアリングゾーンを持つターゲットネットワークへのアクセス権	`dns.networks.targetWithPeeringZone`

DNS リーダーの役割

名前	説明	権限
`roles/dns.reader`	すべての Cloud DNS リソースへの読み取り専用アクセス権を付与します。	`compute.networks.get` `dns.changes.get` `dns.changes.list` `dns.dnsKeys.` `dns.managedZoneOperations.` `dns.managedZones.get` `dns.managedZones.list` `dns.policies.get` `dns.policies.list` `dns.projects.*` `dns.resourceRecordSets.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

サービスアカウント管理者の役割

名前	説明	権限
`roles/iam.serviceAccountAdmin`	サービスアカウントを作成、管理します。	`iam.serviceAccounts.create` `iam.serviceAccounts.delete` `iam.serviceAccounts.get` `iam.serviceAccounts.getIamPolicy` `iam.serviceAccounts.list` `iam.serviceAccounts.setIamPolicy` `iam.serviceAccounts.update` `resourcemanager.projects.get` `resourcemanager.projects.list`

サービスアカウント作成の役割

名前	説明	権限
`roles/iam.serviceAccountCreator`	サービスアカウントを作成するための権限。	`iam.serviceAccounts.create` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

サービスアカウント削除の役割

名前	説明	権限
`roles/iam.serviceAccountDeleter`	サービスアカウントを削除するための権限。	`iam.serviceAccounts.delete` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

サービスアカウントキー管理者の役割

名前	説明	権限
`roles/iam.serviceAccountKeyAdmin`	サービスアカウントキーの作成と管理（ローテーション）を行います。	`iam.serviceAccountKeys.*` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

サービスアカウントトークン作成者の役割

名前	説明	権限
`roles/iam.serviceAccountTokenCreator`	サービスアカウント権限を使用できます（OAuth2 アクセストークンを作成し、blob または JWT などに署名します）。	`iam.serviceAccounts.get` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.list` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` `resourcemanager.projects.get` `resourcemanager.projects.list`

サービスアカウントユーザーの役割

名前	説明	権限
`roles/iam.serviceAccountUser`	サービスアカウントとして操作を行います。	`iam.serviceAccounts.actAs` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

ワークロード ID ユーザーの役割

名前	説明	権限
`roles/iam.workloadIdentityUser`	GKE ワークロードのサービスアカウントを使用できます	`iam.serviceAccounts.get` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.list`

serviceAccountUser のロール

roles/iam.serviceAccountUser と roles/compute.instanceAdmin.v1 の両方が付与されたメンバーは、サービスアカウントを使用するインスタンスを作成、管理できます。具体的には、roles/iam.serviceAccountUser と roles/compute.instanceAdmin.v1 の両方が付与されたメンバーには次の権限が設定されます。

サービスアカウントとして実行するインスタンスの作成。
サービスアカウントとして実行するインスタンスへの永続ディスクの接続。
サービスアカウントとして実行するインスタンスへのインスタンスメタデータの設定。
サービスアカウントとして実行するインスタンスへの SSH を使用した接続。
サービスアカウントとして実行するインスタンスの再構成。

roles/iam.serviceAccountUser は、次の 2 つの方法のいずれかで付与できます。

（推奨）特定のサービスアカウントに基づいてメンバーにロールを付与する。これにより、このロールが付与されたメンバーは自身が iam.serviceAccountUser となっているサービスアカウントにはアクセスできますが、iam.serviceAccountUser となっていない他のサービスアカウントにはアクセスできません。
プロジェクトレベルでメンバーにロールを付与する。このメンバーは、プロジェクト内のすべてのサービスアカウントにアクセスできます。今後作成されるサービスアカウントにもアクセスできます。

サービスアカウントに精通していない場合は、サービスアカウントの詳細を確認してください。

instanceAdmin としてのインスタンスへの接続

プロジェクトメンバーに roles/compute.instanceAdmin.v1 のロールを付与すると、そのメンバーは gcloud やブラウザからの SSH をはじめとする標準の Google Cloud ツールを使用して、仮想マシン（VM）インスタンスに接続できます。

gcloud コマンドラインツールまたはブラウザからの SSH を使用すると、公開鍵 / 秘密鍵のペアが自動的に生成され、公開鍵がプロジェクトメタデータに追加されます。メンバーがプロジェクトメタデータを編集する権限を保有していない場合、ツールによって代わりにメンバーの公開鍵がインスタンスメタデータに追加されます。

使用する既存の鍵のペアを持っているメンバーは、自分の公開鍵をインスタンスのメタデータに手動で追加できます。インスタンスに SSH 認証鍵を追加する方法と削除する方法については、こちらをご覧ください。

IAM とサービスアカウント

新しいカスタムサービスアカウントを作成し、Cloud IAM のロールをサービスアカウントに付与して、インスタンスのアクセスを制限します。Cloud IAM のロールとカスタムサービスアカウントは、以下の目的のために使用します。

きめ細かい Cloud IAM のロールを使用して、Google Cloud APIs に対するインスタンスのアクセスを制限する。
各インスタンス、または一連のインスタンスに一意の ID を付与する。
デフォルトのサービスアカウントのアクセスを制限する。

サービスアカウントの詳細を確認する。

マネージドインスタンスグループと Cloud IAM

マネージドインスタンスグループでは、特に自動スケーリングの対象として構成されていると、ユーザーが直接操作しなくてもリソースによって操作が行われます。マネージドインスタンスグループは、サービスアカウント ID を使用して、インスタンスグループ内のインスタンスを作成、削除、管理します。詳細については、マネージドインスタンスグループと Cloud IAM のドキュメントをご覧ください。

サポートされていない操作

Cloud IAM のロールを使用して、インスタンスグループに対するローリングアップデートを実行するためのアクセス権を付与することはできません。

このような操作の実行権限を付与するには、より広範囲なオーナー、編集者、または閲覧者のロールを使用します。

Compute Engine IAM のロール

始める前に

IAM とは

事前定義された Compute Engine Cloud IAM ロール

Compute 管理者の役割

Compute イメージ ユーザーの役割

Compute インスタンス管理者（ベータ版）の役割

Compute インスタンス管理者（v1）の役割

Compute Load Balancer 管理者の役割

Compute ネットワーク管理者（ベータ版）の役割

Compute ネットワーク ユーザーの役割

Compute ネットワーク閲覧者の役割

Compute 組織セキュリティ ポリシー管理者の役割

Compute 組織セキュリティ ポリシー ユーザーの役割

Compute 組織リソース管理者の役割

Compute OS 管理者ログインの役割

Compute OS ログインの役割

Compute OS ログインの外部ユーザーの役割

コンピューティング パケット ミラーリング管理者の役割

コンピューティング パケット ミラーリング ユーザーの役割

Compute セキュリティ管理者の役割

Compute ストレージ管理者の役割

Compute 閲覧者の役割

Compute Shared VPC 管理者の役割

割り当て管理者の役割

割り当て編集者の役割

割り当て閲覧者の役割

GuestPolicy 管理者の役割

GuestPolicy 編集者の役割

GuestPolicy 閲覧者の役割

OsConfig 管理者の役割

OsConfig 編集者の役割

OsConfig 閲覧者の役割

PatchDeployment 管理者の役割

PatchDeployment 閲覧者の役割

パッチジョブ エグゼキュータの役割

パッチジョブ 閲覧者の役割

DNS 管理者の役割

DNS ピアの役割

DNS リーダーの役割

サービス アカウント管理者の役割

サービス アカウント作成の役割

サービス アカウント削除の役割

サービス アカウントキー管理者の役割

サービス アカウント トークン作成者の役割

サービス アカウント ユーザーの役割

ワークロード ID ユーザーの役割

serviceAccountUser のロール

instanceAdmin としてのインスタンスへの接続

IAM とサービス アカウント

マネージド インスタンス グループと Cloud IAM

サポートされていない操作

次のステップ

Compute イメージユーザーの役割

Compute ネットワークユーザーの役割

Compute 組織セキュリティポリシー管理者の役割

Compute 組織セキュリティポリシーユーザーの役割

コンピューティングパケットミラーリング管理者の役割

コンピューティングパケットミラーリングユーザーの役割

パッチジョブエグゼキュータの役割

パッチジョブ閲覧者の役割

サービスアカウント管理者の役割

サービスアカウント作成の役割

サービスアカウント削除の役割

サービスアカウントキー管理者の役割

サービスアカウントトークン作成者の役割

サービスアカウントユーザーの役割

IAM とサービスアカウント

マネージドインスタンスグループと Cloud IAM