職務の事前定義ロール

このドキュメントでは、 Google Cloudで特定の職務機能を持つユーザーに付与するように設計された事前定義ロールについて説明します。

Google Cloud リソースへのアクセス権を付与する際に、ユーザーが必要とするサービス固有の IAM ロールがわからなくても、データベース管理者やサイト信頼性エンジニアなど、一般的な職務機能を把握している場合があります。これらのユーザーに必要な権限を簡単に付与できるように、Identity and Access Management（IAM）には特定の職務機能用に設計された事前定義ロールが用意されています。これらのロールには、特定の職務に関連するサービスにアクセスするために通常必要なすべての権限が含まれています。これらのロールは、このページで説明する職務内容に最も近い責任を負う Google Cloud 組織内のユーザーに割り当てます。

管理者

以降のセクションでは、一般的な管理職務機能と、それに対応する事前定義ロールについて説明します。

データベース管理者

データベース管理者（roles/iam.databasesAdmin）ロールは、組織の情報技術インフラストラクチャの構成とメンテナンスを担当する管理ユーザー向けに設計されています。このようなユーザーは、組織のコンピュータ システム、サーバー、データ セキュリティ システムが安全で効率的かつ最新の状態であり、バックアップされている状態を維持することを職務としています。

データベース管理者ロールには、Google Cloudのすべての構造化データストアと非構造化データストアへの管理アクセスに必要な権限が含まれています。これらの権限により、ユーザーは次の操作を行うことができます。

• Cloud SQL、Datastore、BigQuery、Cloud Storage などのデータサービスを管理、保守する。
• ダッシュボードとアラートを作成する。
• ログを表示してデータサービスをデバッグする。
• Dataflow、Cloud Key Management Service、Pub/Sub など、関連する Google Cloud サービスのデータを確認する。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページでデータベース管理者ロールをご覧ください。

インフラストラクチャ管理者

インフラストラクチャ管理者（roles/iam.infrastructureAdmin）ロールは、組織のコア インフラストラクチャ サービスの効率、セキュリティ、信頼性の管理を担当する管理ユーザー向けに設計されています。多くの場合、これらのユーザーはサーバー、ネットワーク、ストレージなど、さまざまなインフラストラクチャ コンポーネントを扱うジェネラリストです。

インフラストラクチャ管理者ロールには、 Google Cloudで主要なインフラストラクチャ サービスを管理するために必要な権限が含まれています。これらの権限により、ユーザーは次の操作を行うことができます。

• すべてのコンピューティング、ネットワーキング、ストレージ サービスを管理および保守する。
• カスタム ダッシュボードとカスタム アラートを作成する。
• インフラストラクチャ サービスのデバッグ用のログを確認する。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページでインフラストラクチャ管理者ロールをご覧ください。

ネットワーク管理者

ネットワーク管理者（roles/iam.networkAdmin）ロールは、組織のネットワーク デバイスやソフトウェアの構成、パフォーマンスの維持、脆弱性やリソース アクセスなどのネットワーク問題のトラブルシューティングを担当する管理ユーザー向けに設計されています。

ネットワーク管理者ロールには、 Google Cloud ネットワーキング リソースを完全に制御するために必要な権限が含まれています。これらの権限により、ユーザーは次の操作を行うことができます。

• クラウドでネットワーク インフラストラクチャを管理、保守する。
• カスタマイズされたダッシュボードとアラートを作成する。
• ネットワークの問題をデバッグするためのログを確認する。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページでネットワーク管理者ロールをご覧ください。

データと AI の担当者

以降のセクションでは、一般的なデータと AI 関連の職務機能と、対応する事前定義ロールについて説明します。

データ サイエンティスト

データ サイエンティスト（roles/iam.dataScientist）ロールは、データの収集と検証、データ型の分類、データセット内のパターンの特定を担当するユーザー向けに設計されています。このようなユーザーは、分析されたデータからビジネス上の問題に対する潜在的な解決策を提案できるモデルを構築します。

データ サイエンティスト ロールには、 Google Cloud リソースのデータを分析し、データ処理、変換、分析のパイプラインを構築するために必要な権限が含まれています。これらの権限により、ユーザーは次の操作を行うことができます。

• Vertex AI、データ プラットフォーム、その他の関連する Compute Engine サービスを管理する。
• イベント サービスとデータ ストリーミング サービスを使用する。
• モニタリング、権限借用、鍵の使用、デバッグ機能を使用する。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページでデータ サイエンティスト ロールをご覧ください。

ML エンジニア

ML エンジニア（roles/iam.mlEngineer）ロールは、ML モデルと技術の開発を専門とするユーザー向けに設計されています。ML プラクティスを標準化し、デプロイ用の ML モデルを運用してスケーリングすることを目標としています。

ML エンジニア ロールには、AI Platform のすべての機能を完全に制御するために必要な権限が含まれています。これらの権限により、ユーザーは次の操作を行うことができます。

• Vertex AI、Model Armor、Google Kubernetes Engine などの Google Cloud AI サービスを使用して、AI ベースのアプリケーションを構築してデプロイします。
• ML アプリケーションのデータを作成して管理する。
• モニタリング、ロギング、関連するキーデータを確認する。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページで ML エンジニア ロールをご覧ください。

運用とサポートの担当者

以降のセクションでは、一般的な運用とサポート関連の職務、それに対応する事前定義ロールについて説明します。

開発と運用（DevOps）

DevOps（roles/iam.devOps）ロールは、組織のソフトウェア開発ライフサイクルの合理化を担当するユーザー向けに設計されています。このようなユーザーは、クラウド アプリケーションの構築とデプロイ、信頼性とパフォーマンスのモニタリングを行います。

DevOps ロールには、アプリケーションのビルドとデプロイ、関連するGoogle Cloud リソースでの管理タスクの作成、管理、実行に必要な権限が含まれています。これらの権限により、ユーザーは次の操作を行うことができます。

• 仮想マシンで管理タスクを実行する。
• ストレージ オブジェクトとソース リポジトリを管理および保守する。
• Cloud SQL、Cloud Build、Cloud Monitoring、Cloud Logging、サービス アカウントなどの関連する Google Cloud リソースを管理する。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページで DevOps ロールをご覧ください。

サイト信頼性エンジニア

サイト信頼性エンジニア（roles/iam.siteReliabilityEngineer）ロールは、組織のアプリケーションとサービスの信頼性、スケーラビリティ、効率性を確保するユーザー向けに設計されています。安全かつ効率的な更新とリリースを実施し、コードの変更がアプリやサービスの信頼性を損なわないようにすることが、その責任となります。

サイト信頼性エンジニア ロールには、 Google Cloudで構築されたアプリケーションの運用モニタリング、パフォーマンスの最適化、信頼性の管理に必要な権限が含まれています。これらの権限により、ユーザーは次の操作を行うことができます。

• モニタリングとロギングのデータを確認する。
• アセットのパフォーマンスをデバッグする。
• 本番環境にデプロイされたアセットのデータを確認する。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページでサイト信頼性エンジニア ロールをご覧ください。

サポート ユーザー

サポート ユーザー（roles/iam.supportUser）ロールは、お客様が技術的な問題を解決する際に支援をしたり、プロダクトやサービスに関する質問に回答するユーザーを対象としています。

サポート ユーザーロールには、Google Cloud リソース情報にアクセスし、お客様の問題のトラブルシューティングに必要な分析情報を収集するために必要な権限が含まれています。これらの権限により、ユーザーは次の操作を行うことができます。

• 組織のサポートケースを作成、管理する。
• リソース構成とリソースログ情報を表示して、問題のトラブルシューティングを行う。
• サポートケースを提出するために、リソース、モニタリング、ロギング情報を読み取る。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページでサポート ユーザー ロールをご覧ください。

セキュリティ担当者

以降のセクションでは、一般的なセキュリティ関連の職務と、それに対応する事前定義ロールについて説明します。

セキュリティ監査担当者

セキュリティ監査担当者（roles/iam.securityAuditor）ロールは、組織のセキュリティ ポスチャーがサイバー脅威から保護され、関連する基準と規制に準拠しているかどうかを評価するユーザーを対象としています。

セキュリティ監査ロールには、 Google Cloud 環境、関連するポリシー、構成の包括的なセキュリティ評価を実行するために必要な読み取り専用権限が含まれています。これらの権限により、ユーザーは次の操作を行うことができます。

• Google Cloud リソース、フォルダとプロジェクトの階層、ログを閲覧して確認する。
• セキュリティ構成を読み取る。
• キーリソースのメタデータを読み取る。

このロールに含まれる特定の権限の一覧については、Identity and Access Management のロールと権限のページでセキュリティ監査者ロールをご覧ください。

次のステップ

• プリンシパルにロールを付与する方法を確認する。
• 適切な事前定義ロールを見つける方法を確認する。
• カスタムロールを作成して維持する方法を確認する。