職務の事前定義ロール

このドキュメントでは、 Google Cloudで特定の職務機能を持つユーザーに付与するように設計された事前定義ロールについて説明します。

Google Cloud リソースへのアクセス権を付与する際に、ユーザーが必要とするサービス固有の IAM ロールがわからない場合があります。代わりに、データベース管理者やサイト信頼性エンジニアなど、一般的な職務機能を知っている場合があります。これらのユーザーに必要な権限を簡単に付与できるように、Identity and Access Management(IAM)には特定の職務機能用に設計された事前定義ロールが用意されています。これらのロールには、特定の職務に関連するサービスにアクセスするために通常必要なすべての権限が含まれています。これらのロールは、このページで説明する職務内容に最も近い責任を負う Google Cloud 組織内のユーザーに割り当てます。

管理者

以降のセクションでは、一般的な管理ジョブ機能と、それに対応する事前定義ロールについて説明します。

データベース管理者

データベース管理者(roles/iam.databasesAdmin)ロールは、組織の情報技術インフラストラクチャの構成と保守を担当する管理ユーザー向けに設計されています。これらのユーザーは、組織のコンピュータ システム、サーバー、データ セキュリティ システムが安全で効率的かつ最新の状態に保たれ、バックアップされていることを確認します。

データベース管理者ロールには、Google Cloudのすべての構造化データストアと非構造化データストアへの管理アクセスに必要な権限が含まれています。これらの権限により、ユーザーは次の操作を行うことができます。

  • Cloud SQL、Datastore、BigQuery、Cloud Storage などのデータサービスを管理、保守する。
  • ダッシュボードとアラートの作成。
  • ログを表示してデータサービスをデバッグします。
  • Dataflow、Cloud Key Management Service、Pub/Sub などの関連する Google Cloud サービスからデータを表示します。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページの Databases 管理者ロールをご覧ください。

インフラストラクチャ管理者

インフラストラクチャ管理者(roles/iam.infrastructureAdmin)ロールは、組織のコア インフラストラクチャ サービスの効率、セキュリティ、信頼性の管理を担当する管理ユーザー向けに設計されています。これらのユーザーは、サーバー、ネットワーク、ストレージなど、さまざまなインフラストラクチャ コンポーネントを扱うジェネラリストであることが多いです。

インフラストラクチャ管理者ロールには、 Google Cloudで主要なインフラストラクチャ サービスを管理するために必要な権限が含まれています。これらの権限により、ユーザーは次の操作を行えます。

  • すべてのコンピューティング、ネットワーキング、ストレージ サービスを管理および維持します。
  • カスタム ダッシュボードとカスタム アラートを作成します。
  • インフラストラクチャ サービスのデバッグ用のログを表示します。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページのインフラストラクチャ管理者ロールをご覧ください。

ネットワーク管理者

ネットワーク管理者(roles/iam.networkAdmin)ロールは、組織のネットワーク デバイスやソフトウェアの構成、パフォーマンスの維持、脆弱性やリソース アクセスなどのネットワーク問題のトラブルシューティングを担当する管理ユーザー向けに設計されています。

ネットワーク管理者ロールには、 Google Cloud ネットワーキング リソースを完全に制御するために必要な権限が含まれています。これらの権限により、ユーザーは次のことが可能になります。

  • クラウドでネットワーク インフラストラクチャを管理、維持します。
  • カスタマイズされたダッシュボードとアラートを作成します。
  • ネットワークの問題をデバッグするためのログを表示します。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページのネットワーク管理者ロールをご覧ください。

データと AI の技術者

以降のセクションでは、一般的なデータと AI 関連のジョブ機能と、対応する事前定義ロールについて説明します。

データ サイエンティスト

データ サイエンティスト(roles/iam.dataScientist)ロールは、データの収集と検証、データ型の分類、データセット内のパターンの特定を担当するユーザー向けに設計されています。これらのユーザーは、分析されたデータを使用して、ビジネス上の問題に対する潜在的な解決策を提案できるモデルを構築します。

データ サイエンティスト ロールには、 Google Cloud リソースのデータを分析し、データ処理、変換、分析のパイプラインを構築するために必要な権限が含まれています。これらの権限により、ユーザーは次の操作を行えます。

  • Vertex AI、データ プラットフォーム、その他の関連する Compute Engine サービスを管理します。
  • イベント サービスとデータ ストリーミング サービスを使用する。
  • モニタリング、権限借用、鍵の使用、デバッグ機能を使用します。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページの データ サイエンティストのロールをご覧ください。

ML エンジニア

ML エンジニア(roles/iam.mlEngineer)ロールは、ML モデルと技術の開発を専門とするユーザー向けに設計されています。ML プラクティスを標準化し、デプロイ用の ML モデルを運用してスケーリングすることを目標としています。

ML エンジニア ロールには、AI Platform のすべての機能を完全に制御するために必要な権限が含まれています。これらの権限により、ユーザーは次のことが可能になります。

  • Vertex AI、Model Armor、Google Kubernetes Engine などの Google Cloud AI サービスを使用して、AI ベースのアプリケーションを構築してデプロイします。
  • 機械学習アプリケーションのデータを作成して管理します。
  • モニタリング、ロギング、関連するキーデータを表示します。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページの ML エンジニアのロールをご覧ください。

運用とサポートの担当者

以降のセクションでは、一般的な運用とサポート関連の職務と、それに対応する事前定義ロールについて説明します。

開発と運用(DevOps)

DevOps(roles/iam.devOps)ロールは、組織のソフトウェア開発ライフサイクルの効率化を担当するユーザー向けに設計されています。これらのユーザーは、クラウド アプリケーションの構築とデプロイ、信頼性とパフォーマンスのモニタリングを行います。

DevOps ロールには、アプリケーションのビルドとデプロイ、関連するGoogle Cloud リソースでの管理タスクの作成、管理、実行に必要な権限が含まれています。これらの権限により、ユーザーは次の操作を行うことができます。

  • 仮想マシンで管理タスクを実行する。
  • ストレージ オブジェクトとソース リポジトリを管理および維持します。
  • Cloud SQL、Cloud Build、Cloud Monitoring、Cloud Logging、サービス アカウントなどの関連する Google Cloud リソースを管理できる。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページの DevOps ロールをご覧ください。

サイト信頼性エンジニア

サイト信頼性エンジニア(roles/iam.siteReliabilityEngineer)ロールは、組織のアプリケーションとサービスが信頼性、スケーラビリティ、効率性を確保するユーザー向けに設計されています。安全かつ効率的な更新とリリースを実施し、コードの変更がアプリやサービスの信頼性に影響しないようにすることが、その責任となります。

サイト信頼性エンジニアのロールには、 Google Cloudで構築されたアプリケーションの運用モニタリング、パフォーマンスの最適化、信頼性の管理に必要な権限が含まれています。これらの権限により、ユーザーは次の操作を行えます。

  • モニタリングとロギングのデータを確認します。
  • アセットのパフォーマンスをデバッグします。
  • 本番環境にデプロイされたアセットのデータを表示する。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページの サイト信頼性エンジニアのロールをご覧ください。

サポート ユーザー

サポート ユーザー(roles/iam.supportUser)ロールは、お客様が技術的な問題を解決するのを支援したり、プロダクトやサービスに関する質問に回答したりするユーザーを対象としています。

サポート ユーザーロールには、Google Cloud リソース情報にアクセスし、お客様の問題のトラブルシューティングに必要な分析情報を収集するために必要な権限が含まれています。これらの権限により、ユーザーは次の操作を行えます。

  • 組織のサポートケースを作成、管理する。
  • リソース構成とリソースログ情報を表示して、問題のトラブルシューティングを行います。
  • サポートケースを提出するためのリソース、モニタリング、ロギング情報を読み取ります。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページのサポート ユーザーのロールをご覧ください。

セキュリティ担当者

以降のセクションでは、一般的なセキュリティ関連の職務と、それに対応する事前定義ロールについて説明します。

セキュリティ監査担当者

セキュリティ監査担当者(roles/iam.securityAuditor)ロールは、組織のセキュリティ体制がサイバー脅威から保護され、関連する基準と規制に準拠しているかどうかを評価するユーザーを対象としています。

セキュリティ監査ロールには、 Google Cloud 環境、関連するポリシー、構成の包括的なセキュリティ評価を実行するために必要な読み取り専用権限が含まれています。これらの権限により、ユーザーは次の操作を行えます。

  • Google Cloud リソース、フォルダとプロジェクトの階層、ログを閲覧して表示します。
  • セキュリティ構成を読み取ります。
  • キーリソースのメタデータを読み取ります。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページの Security Auditor ロールをご覧ください。

次のステップ