ロールについて

Identity and Access Management では、Google Cloud API を呼び出す ID には、リソースを使用するための適切な権限が必要になります。権限を付与するには、ユーザー、グループ、またはサービス アカウントにロールを付与します。

このページでは、Google Cloud リソースにアクセスするために ID に付与する IAM のロールについて説明します。

このガイドの前提条件

ロールのタイプ

IAM には、次の 3 種類のロールがあります。

  • 基本ロール: IAM の導入前に存在していたオーナー、編集者、閲覧者のロールが含まれます。
  • 事前定義ロール: 特定のサービスへのアクセスを細かく制御します。また、Google Cloud により管理されます。
  • カスタムロール: ユーザー指定の権限のリストに応じたきめ細かなアクセス権が提供されます。

基本ロール、事前定義ロール、カスタムロールに 1 つ以上の権限が含まれているかどうかを確認するには、次のいずれかの方法を使用します。

次のセクションでは、各役割のタイプについて説明し、それらの使用方法の例を示します。

基本ロール

IAM の導入前に存在していたオーナー、編集者、閲覧者の 3 つのロールがあります。オーナー、編集者、閲覧者の各ロールは入れ子構造になっています。つまり、オーナーロールには編集者ロールの権限が含まれており、編集者ロールには閲覧者ロールの権限が含まれています。

次の表に、Google Cloud のすべてのサービスで、基本の役割に含まれている権限を要約します。

基本の役割の定義

名前 タイトル 権限
roles/viewer 閲覧者 既存のリソースやデータの表示(ただし変更は不可能)など、状態に影響しない読み取り専用アクションに必要な権限。
roles/editor 編集者 すべての閲覧者権限に加えて状態を変更するアクション(既存のリソースの変更など)に必要な権限。
注: roles/editor の役割には、ほとんどの Google Cloud サービスでリソースを作成および削除する権限が含まれますが、一部のサービスではこうした権限が含まれません。必要な権限が役割に含まれているかどうかを確認する方法については、上記のセクションをご覧ください。
roles/owner オーナー すべての編集者権限、および以下のアクションを実行するために必要な権限。
  • プロジェクトおよびプロジェクト内のすべてのリソースの権限と役割を管理する。
  • プロジェクトの課金情報を設定する。
注:
  • リソースレベル(Pub/Sub トピックなど)でオーナーのロールを付与しても、その親プロジェクトにオーナーのロールが付与されることはありません。
  • 組織レベルでオーナーのロールを付与しても、その組織のメタデータを更新することはできません。ただし、その組織のプロジェクトや他のリソースを変更することはできます。

Cloud Console、API、gcloud ツールを使用して、プロジェクトまたはサービスのリソースレベルで基本ロールを適用できます。手順については、アクセス権の付与、変更、取り消しをご覧ください。

招待フロー

Identity and Access Management API または gcloud コマンドライン ツールを使用して、プロジェクトのメンバーにオーナーロールを付与することはできません。オーナーは、Cloud Console を使用することによってのみプロジェクトに追加できます。招待はメールでメンバーに送信されます。そのメンバーがプロジェクトのオーナーになるには、その招待を受け入れる必要があります。

以下の場合、招待メールは送信されないことに注意してください。

  • オーナー以外のロールを付与している場合。
  • 組織のメンバーが、組織内のプロジェクトのオーナーとして組織の別のメンバーを追加した場合。

Cloud Console を使用してロールを付与する方法については、アクセス権の付与、変更、取り消しをご覧ください。

事前定義ロール

基本ロールに加えて、IAM は、特定の Google Cloud リソースに対して、よりきめ細やかなアクセス権を付与し、他のリソースへの望ましくないアクセスを防ぐことができる事前定義ロールを提供します。

次の表に、定義されたロールとその説明、およびそれらのロールを設定できる最低レベルのリソースタイプを示します。このリソースタイプまたはほとんどの場合に Google Cloud 階層のそれ以上の任意のタイプに特定の役割を付与できます。1 人のユーザーに複数の役割を付与できます。たとえば、特定のユーザーに、あるプロジェクトにおけるネットワーク管理者およびログ閲覧者の役割を付与し、なおかつ、そのプロジェクト内の Pub/Sub トピックに対するパブリッシャーの役割を付与できます。役割に含まれる権限のリストについては、役割メタデータの取得をご覧ください。

Access Approval の役割

役割 役職 説明 権限 最下位のリソース
roles/accessapproval.approver アクセス承認者 ベータ版 アクセス承認リクエストを表示または操作し、構成を表示できる権限
  • accessapproval.requests.*
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accessapproval.configEditor Access Approval Config 編集者 ベータ版 アクセス承認の構成を更新する権限
  • accessapproval.settings.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accessapproval.viewer アクセス承認閲覧者 ベータ版 アクセス承認リクエストおよび構成を閲覧できる権限
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Context Manager の役割

ロール 役職 説明 権限 最下位のリソース
roles/accesscontextmanager.policyAdmin Access Context Manager 管理者 ポリシー、アクセスレベル、アクセスゾーンへの完全アクセス権
  • accesscontextmanager.*
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accesscontextmanager.policyEditor Access Context Manager 編集者 ポリシーに対する編集権限。アクセスレベルとアクセスゾーンを作成、編集、変更します。
  • accesscontextmanager.accessLevels.*
  • accesscontextmanager.accessPolicies.create
  • accesscontextmanager.accessPolicies.delete
  • accesscontextmanager.accessPolicies.get
  • accesscontextmanager.accessPolicies.getIamPolicy
  • accesscontextmanager.accessPolicies.list
  • accesscontextmanager.accessPolicies.update
  • accesscontextmanager.accessZones.*
  • accesscontextmanager.policies.create
  • accesscontextmanager.policies.delete
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.policies.update
  • accesscontextmanager.servicePerimeters.*
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accesscontextmanager.policyReader Access Context Manager 読み取り ポリシー、アクセスレベル、アクセスゾーンに対する読み取り権限。
  • accesscontextmanager.accessLevels.get
  • accesscontextmanager.accessLevels.list
  • accesscontextmanager.accessPolicies.get
  • accesscontextmanager.accessPolicies.getIamPolicy
  • accesscontextmanager.accessPolicies.list
  • accesscontextmanager.accessZones.get
  • accesscontextmanager.accessZones.list
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.servicePerimeters.get
  • accesscontextmanager.servicePerimeters.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accesscontextmanager.vpcScTroubleshooterViewer VPC Service Controls トラブルシューティング閲覧者
  • accesscontextmanager.accessLevels.get
  • accesscontextmanager.accessLevels.list
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.servicePerimeters.get
  • accesscontextmanager.servicePerimeters.list
  • logging.exclusions.get
  • logging.exclusions.list
  • logging.logEntries.list
  • logging.logMetrics.get
  • logging.logMetrics.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.sinks.get
  • logging.sinks.list
  • logging.usage.*
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

アクションの役割

役割 役職 説明 権限 最下位のリソース
roles/actions.Admin アクション管理者 アクセスしてアクションの編集とデプロイを行います
  • actions.*
  • firebase.projects.get
  • firebase.projects.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use
roles/actions.Viewer アクション閲覧者 アクセスしてアクションを表示します
  • actions.agent.get
  • actions.agentVersions.get
  • actions.agentVersions.list
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

Android Management の役割

役割 役職 説明 権限 最下位のリソース
roles/androidmanagement.user Android Management ユーザー デバイスを管理するための完全アクセス権。
  • androidmanagement.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Apigee の役割

ロール 役職 説明 権限 最下位のリソース
roles/apigee.admin Apigee 組織管理者ベータ版 すべての Apigee リソース機能に対する完全アクセス権
  • apigee.*
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.analyticsAgent Apigee アナリティクス エージェントベータ版 Apigee 組織のアナリティクスを管理するために、Apigee Universal Data Collection Agent 用にキュレートされた権限セット
  • apigee.environments.getDataLocation
roles/apigee.analyticsEditor Apigee アナリティクス編集者ベータ版 Apigee 組織のアナリティクス編集者
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.queries.*
  • apigee.reports.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.analyticsViewer Apigee アナリティクス閲覧者ベータ版 Apigee 組織のアナリティクス閲覧者
  • apigee.environments.getStats
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.queries.get
  • apigee.queries.list
  • apigee.reports.get
  • apigee.reports.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.apiCreator Apigee API 作成者ベータ版 Apigee リソースの作成者
  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.apps.*
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.keyvaluemaps.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.*
  • apigee.proxyrevisions.delete
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.proxyrevisions.update
  • apigee.sharedflowrevisions.*
  • apigee.sharedflows.*
  • apigee.tracesessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.deployer Apigee デプロイ担当者ベータ版 Apigee リソースのデプロイ担当者
  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.apps.*
  • apigee.deployments.*
  • apigee.environments.get
  • apigee.environments.getIamPolicy
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.environments.setIamPolicy
  • apigee.flowhooks.*
  • apigee.keystorealiases.*
  • apigee.keystores.*
  • apigee.keyvaluemaps.*
  • apigee.maskconfigs.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.deploy
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.proxyrevisions.undeploy
  • apigee.references.*
  • apigee.resourcefiles.*
  • apigee.sharedflowrevisions.*
  • apigee.sharedflows.*
  • apigee.targetservers.*
  • apigee.tracesessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.developerAdmin Apigee デベロッパー管理者ベータ版 Apigee リソースのデベロッパー管理者
  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.appkeys.*
  • apigee.developerappattributes.*
  • apigee.developerapps.*
  • apigee.developerattributes.*
  • apigee.developers.*
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.organizations.get
  • apigee.organizations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.readOnlyAdmin Apigee 読み取り専用管理者ベータ版 すべての Apigee リソースの閲覧者
  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.appkeys.get
  • apigee.apps.*
  • apigee.deployments.get
  • apigee.deployments.list
  • apigee.developerappattributes.get
  • apigee.developerappattributes.list
  • apigee.developerapps.get
  • apigee.developerapps.list
  • apigee.developerattributes.get
  • apigee.developerattributes.list
  • apigee.developers.get
  • apigee.developers.list
  • apigee.environments.get
  • apigee.environments.getDataLocation
  • apigee.environments.getIamPolicy
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.flowhooks.getSharedFlow
  • apigee.flowhooks.list
  • apigee.keystorealiases.get
  • apigee.keystorealiases.list
  • apigee.keystores.get
  • apigee.keystores.list
  • apigee.keyvaluemaps.list
  • apigee.maskconfigs.get
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.queries.get
  • apigee.queries.list
  • apigee.references.get
  • apigee.references.list
  • apigee.reports.get
  • apigee.reports.list
  • apigee.resourcefiles.get
  • apigee.resourcefiles.list
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • apigee.targetservers.get
  • apigee.targetservers.list
  • apigee.tracesessions.get
  • apigee.tracesessions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.runtimeAgent Apigee ランタイム エージェントアルファ版 ランタイム エージェントが Apigee 組織リソースにアクセスするための、キュレートされた権限セット
roles/apigee.synchronizerManager Apigee Synchronizer 管理者ベータ版 Synchronizer で Apigee 組織の環境を管理するための、キュレートされた権限セット。
  • apigee.environments.get
  • apigee.environments.manageRuntime
roles/apigeeconnect.Admin Apigee Connect 管理者ベータ版 Apigee Connect の管理者
  • apigeeconnect.connections.*
roles/apigeeconnect.Agent Apigee Connect エージェントベータ版 外部クラスタと Google の間の Apigee Connect エージェントを設定できます。
  • apigeeconnect.endpoints.*

App Engine のロール

ロール 役職 説明 権限 最下位のリソース
roles/appengine.appAdmin App Engine 管理者 すべてのアプリケーションの構成と設定に対する読み取り / 書き込み / 変更アクセス権。
  • appengine.applications.get
  • appengine.applications.update
  • appengine.instances.*
  • appengine.operations.*
  • appengine.runtimes.*
  • appengine.services.*
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/appengine.appViewer App Engine 閲覧者 すべてのアプリケーション構成への読み取り専用アクセス権。
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.get
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/appengine.codeViewer App Engine コード閲覧者 すべてのアプリケーションの構成と設定、デプロイされたソースコードに対する読み取り専用権限。
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.get
  • appengine.versions.getFileContents
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/appengine.deployer App Engine デプロイ担当者

すべてのアプリケーション構成への読み取り専用アクセス権。

新しいバージョンの作成のみに限定された書き込みアクセス権。既存のバージョンを変更することはできません。ただし、トラフィックを受信していないバージョンを削除することはできます。

  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/appengine.serviceAdmin App Engine サービス管理者

すべてのアプリケーション構成への読み取り専用アクセス権。

モジュール レベルおよびバージョン レベルの設定に対する書き込み権限。新しいバージョンをデプロイすることはできません。

  • appengine.applications.get
  • appengine.instances.*
  • appengine.operations.*
  • appengine.services.*
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト

Artifact Registry のロール

役割 役職 説明 権限 最下位のリソース
roles/artifactregistry.admin Artifact Registry 管理者 ベータ版 リポジトリを作成、管理するための管理者アクセス権。
  • artifactregistry.*
roles/artifactregistry.reader Artifact Registry 読み取り ベータ版 リポジトリ アイテムを読み取るためのアクセス権。
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.versions.get
  • artifactregistry.versions.list
roles/artifactregistry.repoAdmin Artifact Registry リポジトリ管理者 ベータ版 リポジトリ内のアーティファクトを管理するためのアクセス権。
  • artifactregistry.files.*
  • artifactregistry.packages.*
  • artifactregistry.repositories.deleteArtifacts
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.*
  • artifactregistry.versions.*
roles/artifactregistry.writer Artifact Registry 書き込み ベータ版 リポジトリ アイテムの読み取りと書き込みを行うためのアクセス権。
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list

AutoML のロール

役割 役職 説明 権限 最下位のリソース
roles/automl.admin AutoML 管理者 ベータ版 すべての AutoML リソースに対するフルアクセス
  • automl.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
データセット/モデル
roles/automl.editor AutoML 編集者 ベータ版 すべての AutoML リソースの編集者
  • automl.annotationSpecs.*
  • automl.annotations.*
  • automl.columnSpecs.*
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.update
  • automl.examples.*
  • automl.humanAnnotationTasks.*
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.*
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.list
  • automl.models.predict
  • automl.models.undeploy
  • automl.operations.*
  • automl.tableSpecs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
データセット/モデル
roles/automl.predictor AutoML 予測者 ベータ版 モデルを使用して予測します
  • automl.models.predict
  • resourcemanager.projects.get
  • resourcemanager.projects.list
モデル
roles/automl.viewer AutoML 閲覧者 ベータ版 すべての AutoML リソースの閲覧者
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
データセット/モデル

BigQuery の役割

ロール 役職 説明 権限 最下位のリソース
roles/bigquery.admin BigQuery 管理者 プロジェクト内のすべてのリソースを管理する権限を提供します。プロジェクト内のすべてのデータを管理でき、プロジェクト内で実行されている他のユーザーのジョブもキャンセルできます。
  • bigquery.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/bigquery.connectionAdmin BigQuery Connection 管理者 ベータ版
  • bigquery.connections.*
roles/bigquery.connectionUser BigQuery Connection ユーザー ベータ版
  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use
roles/bigquery.dataEditor BigQuery データ編集者

このロールをテーブルまたはビューに適用すると、次の権限が付与されます。

  • テーブルまたはビューのデータとメタデータを読み取り、更新する。
  • テーブルまたはビューを削除する。

このロールは、個々のモデルやルーティンに適用できません。

このロールをデータセットに適用すると、次の権限が付与されます。

  • データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。
  • データセットのテーブルを作成、更新、取得、削除する。

プロジェクトまたは組織レベルで適用した場合、このロールは新しいデータセットを作成することもできます。

  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.delete
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
テーブルまたはビュー
roles/bigquery.dataOwner BigQuery データオーナー

このロールをテーブルまたはビューに適用すると、次の権限が付与されます。

  • テーブルまたはビューのデータとメタデータを読み取り、更新する。
  • テーブルまたはビューを共有する。
  • テーブルまたはビューを削除する。

このロールは、個々のモデルやルーティンに適用できません。

このロールをデータセットに適用すると、次の権限が付与されます。

  • データセットを読み取り、更新、削除する。
  • データセットのテーブルを作成、更新、取得、削除する。

プロジェクトまたは組織レベルで適用した場合、このロールは新しいデータセットを作成することもできます。

  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
テーブルまたはビュー
roles/bigquery.dataViewer BigQuery データ閲覧者

このロールをテーブルまたはビューに適用すると、次の権限が付与されます。

  • テーブルまたはビューからデータとメタデータを読み取る。

このロールは、個々のモデルやルーティンに適用できません。

このロールをデータセットに適用すると、次の権限が付与されます。

  • データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。
  • データセットのテーブルからデータとメタデータを読み取る。

プロジェクトまたは組織レベルで適用した場合、このロールは、プロジェクト内のすべてのデータセットを列挙することもできます。ただし、ジョブを実行するためには別途他のロールが必要です。

  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
テーブルまたはビュー
roles/bigquery.jobUser BigQuery ジョブユーザー プロジェクト内でジョブ(クエリを含む)を実行する権限を付与します。このロールは、すべてのジョブの存在を確認し、自身のジョブを列挙し、自身のジョブを取り消すことができます。
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/bigquery.metadataViewer BigQuery メタデータ閲覧者

このロールをテーブルまたはビューに適用すると、次の権限が付与されます。

  • テーブルまたはビューからメタデータを読み取る。

このロールは、個々のモデルやルーティンに適用できません。

このロールをデータセットに適用すると、次の権限が付与されます。

  • データセット内のテーブルとビューを一覧表示する。
  • データセットのテーブルとビューからメタデータを読み取る。

このロールをプロジェクト レベルまたは組織レベルで適用すると、次の権限が付与されます。

  • プロジェクト内のすべてのデータセットを一覧表示し、すべてのデータセットのメタデータを読み込む。
  • プロジェクト内のすべてのテーブルとビューを一覧表示し、すべてのテーブルとビューのメタデータを読み込みます。

ジョブを実行する場合は別途他のロールが必要です。

  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
テーブルまたはビュー
roles/bigquery.readSessionUser BigQuery 読み取りセッション ユーザー 読み取りセッションを作成および使用するためのアクセス権
  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceAdmin BigQuery リソース管理者 ベータ版 BigQuery のすべてのリソースを管理します。
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.user BigQuery ユーザー

このロールをデータセットに適用すると、データセットのメタデータを読み取り、データセット内のテーブルを一覧表示できます。

プロジェクトに適用すると、プロジェクト内でクエリなどのジョブを実行することもできるようになります。このロールを持つメンバーは、自分が所有するジョブの列挙、自分が所有するジョブのキャンセル、プロジェクト内のデータセットの列挙を行うことができます。また、プロジェクト内に新しいデータセットを作成することもできます。作成者には新しいデータセットに対する BigQuery データオーナーのロール(roles/bigquery.dataOwner)が付与されます。

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
データセット

Cloud Bigtable の役割

ロール 役職 説明 権限 最下位のリソース
roles/bigtable.admin Bigtable 管理者 テーブル内に保存されているデータなど、プロジェクト内のすべてのインスタンスを管理します。新しいインスタンスを作成できます。プロジェクト管理者向け。
  • bigtable.*
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
インスタンス
roles/bigtable.reader Bigtable Reader テーブル内に保存されたデータへの読み取りアクセス権を提供します。データ サイエンティスト、ダッシュボード生成ツール、その他のデータ分析シナリオ向け。
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.keyvisualizer.*
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
インスタンス
roles/bigtable.user Bigtable ユーザー テーブル内に保存されたデータへの読み取り / 書き込みアクセス権を提供します。アプリケーション デベロッパーやサービス アカウント向け。
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.keyvisualizer.*
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.mutateRows
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
インスタンス
roles/bigtable.viewer Bigtable 閲覧者 データにアクセスすることはできません。Bigtable の Cloud Console にアクセスするための最小権限セットとして使用されます。
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
インスタンス

請求の役割

ロール 役職 説明 権限 最下位のリソース
roles/billing.admin 請求先アカウント管理者 請求先アカウントを表示、管理できる権限を付与します。
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.*
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.*
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
  • dataprocessing.groupcontrols.list
  • logging.logEntries.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
請求先アカウント
roles/billing.creator 請求先アカウント作成者 請求先アカウントを作成するための権限を付与します。
  • billing.accounts.create
  • resourcemanager.organizations.get
組織
roles/billing.projectManager プロジェクト支払い管理者 プロジェクトの請求先アカウントの割り当てと、請求の無効化を行う権限を付与します。
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
プロジェクト
roles/billing.user 請求先アカウント ユーザー プロジェクトに請求先アカウントを関連付けるための権限を付与します。
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.*
  • billing.resourceAssociations.create
請求先アカウント
roles/billing.viewer 請求先アカウント閲覧者 請求先アカウントの費用情報とトランザクションを表示します。
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.*
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • dataprocessing.groupcontrols.list
請求先アカウント

Binary Authorization の役割

役割 役職 説明 権限 最下位のリソース
roles/binaryauthorization.attestorsAdmin Binary Authorization 認証者管理者 ベータ版 Binary Authorization 認証者の管理者
  • binaryauthorization.attestors.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.attestorsEditor Binary Authorization 認証者編集者 ベータ版 Binary Authorization 認証者の編集者
  • binaryauthorization.attestors.create
  • binaryauthorization.attestors.delete
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • binaryauthorization.attestors.update
  • binaryauthorization.attestors.verifyImageAttested
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.attestorsVerifier Binary Authorization 認証者イメージ検証者 ベータ版 Binary Authorization 認証者の VerifyImageAttested の呼び出し担当者
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • binaryauthorization.attestors.verifyImageAttested
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.attestorsViewer Binary Authorization 認証者閲覧者 ベータ版 Binary Authorization 認証者の閲覧者
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.policyAdmin Binary Authorization ポリシー管理者 ベータ版 Binary Authorization ポリシーの管理者
  • binaryauthorization.policy.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.policyEditor Binary Authorization ポリシー編集者 ベータ版 Binary Authorization ポリシーの編集者
  • binaryauthorization.policy.get
  • binaryauthorization.policy.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.policyViewer Binary Authorization ポリシー閲覧者 ベータ版 Binary Authorization ポリシーの閲覧者
  • binaryauthorization.policy.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Hangouts Chat の役割

役割 役職 説明 権限 最下位のリソース
roles/chat.owner チャットボット オーナー ボット構成を表示および変更できます
  • chat.*
roles/chat.reader チャットボット閲覧者 ボット構成を表示できます
  • chat.bots.get

Cloud Asset の役割

役割 役職 説明 権限 最下位のリソース
roles/cloudasset.owner Cloud Asset オーナー Cloud Asset メタデータへの完全アクセス権
  • cloudasset.*
roles/cloudasset.viewer クラウド アセット閲覧者 クラウド アセット メタデータに対する読み取り権限
  • cloudasset.assets.*

Cloud Build の役割

役割 役職 説明 権限 最下位のリソース
roles/cloudbuild.builds.builder Cloud Build サービス アカウント ビルドを実行するためのアクセス権を提供します。
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list
  • cloudbuild.*
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • pubsub.topics.create
  • pubsub.topics.publish
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update
roles/cloudbuild.builds.editor Cloud Build 編集者 ビルドを作成、キャンセルするための権限を付与します。
  • cloudbuild.*
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/cloudbuild.builds.viewer Cloud Build 閲覧者 ビルドを表示するための権限を付与します。
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト

Cloud Data Fusion のロール

ロール 役職 説明 権限 最下位のリソース
roles/datafusion.admin Cloud Data Fusion 管理者 ベータ版 Cloud Data Fusion インスタンスと関連リソースに対する完全アクセス権。
  • datafusion.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/datafusion.runner Cloud Data Fusion ランナーベータ版 Cloud Data Fusion ランタイム リソースに対するアクセス権。
  • datafusion.instances.runtime
roles/datafusion.viewer Cloud Data Fusion 閲覧者 ベータ版 Cloud Data Fusion インスタンスと関連リソースに対する読み取り専用アクセス権。
  • datafusion.instances.get
  • datafusion.instances.getIamPolicy
  • datafusion.instances.list
  • datafusion.instances.runtime
  • datafusion.locations.*
  • datafusion.operations.get
  • datafusion.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト

Cloud デバッガのロール

ロール 役職 説明 権限 最下位のリソース
roles/clouddebugger.agent Cloud デバッガ エージェント ベータ版 デバッグ ターゲットの登録、アクティブなブレーク ポイントの読み取り、ブレーク ポイントの結果の報告を行うアクセス権を付与します。
  • clouddebugger.breakpoints.list
  • clouddebugger.breakpoints.listActive
  • clouddebugger.breakpoints.update
  • clouddebugger.debuggees.create
サービス アカウント
roles/clouddebugger.user Cloud デバッガ ユーザーベータ版 ブレークポイント(スナップショットとログポイント)の作成、表示、一覧表示、削除に加え、デバッグ ターゲット(デバッグ対象)の一覧表示を行うアクセス権を付与します。
  • clouddebugger.breakpoints.create
  • clouddebugger.breakpoints.delete
  • clouddebugger.breakpoints.get
  • clouddebugger.breakpoints.list
  • clouddebugger.debuggees.list
プロジェクト

Cloud Functions のロール

役割 役職 説明 権限 最下位のリソース
roles/cloudfunctions.admin Cloud Functions 管理者 ベータ版 関数、演算、場所に対する完全アクセス権。
  • cloudfunctions.*
  • resourcemanager.projects.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudfunctions.developer Cloud Functions デベロッパー ベータ版 すべてのファンクション関連リソースに対する読み取り / 書き込みアクセス権。
  • cloudfunctions.functions.call
  • cloudfunctions.functions.create
  • cloudfunctions.functions.delete
  • cloudfunctions.functions.get
  • cloudfunctions.functions.invoke
  • cloudfunctions.functions.list
  • cloudfunctions.functions.sourceCodeGet
  • cloudfunctions.functions.sourceCodeSet
  • cloudfunctions.functions.update
  • cloudfunctions.locations.*
  • cloudfunctions.operations.*
  • resourcemanager.projects.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudfunctions.invoker Cloud Functions 起動元 ベータ版 アクセスが制限されている HTTP 関数を呼び出すことができます。
  • cloudfunctions.functions.invoke
roles/cloudfunctions.viewer Cloud Functions 閲覧者 ベータ版 関数や場所に対する読み取り専用権限。
  • cloudfunctions.functions.get
  • cloudfunctions.functions.list
  • cloudfunctions.locations.*
  • cloudfunctions.operations.*
  • resourcemanager.projects.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Cloud IAP の役割

役割 役職 説明 権限 最下位のリソース
roles/iap.admin IAP ポリシー管理者 Identity-Aware Proxy のリソースに対する完全アクセス権を付与します。
  • iap.tunnel.*
  • iap.tunnelInstances.getIamPolicy
  • iap.tunnelInstances.setIamPolicy
  • iap.tunnelZones.*
  • iap.web.getIamPolicy
  • iap.web.setIamPolicy
  • iap.webServiceVersions.getIamPolicy
  • iap.webServiceVersions.setIamPolicy
  • iap.webServices.getIamPolicy
  • iap.webServices.setIamPolicy
  • iap.webTypes.getIamPolicy
  • iap.webTypes.setIamPolicy
プロジェクト
roles/iap.httpsResourceAccessor IAP で保護されたウェブアプリ ユーザー Identity-Aware Proxy を使用する HTTPS リソースへのアクセス権を付与します。
  • iap.webServiceVersions.accessViaIAP
プロジェクト
roles/iap.settingsAdmin IAP 設定管理者 IAP 設定の管理者。
  • iap.projects.*
  • iap.web.getSettings
  • iap.web.updateSettings
  • iap.webServiceVersions.getSettings
  • iap.webServiceVersions.updateSettings
  • iap.webServices.getSettings
  • iap.webServices.updateSettings
  • iap.webTypes.getSettings
  • iap.webTypes.updateSettings
roles/iap.tunnelResourceAccessor IAP で保護されたトンネル ユーザー Identity-Aware Proxy を使用するトンネル リソースのアクセス権
  • iap.tunnelInstances.accessViaIAP

Cloud IoT の役割

ロール 役職 説明 権限 最下位のリソース
roles/cloudiot.admin Cloud IoT 管理者 すべての Cloud IoT リソースと権限を完全に管理できる権限。
  • cloudiot.*
  • cloudiottoken.*
デバイス
roles/cloudiot.deviceController Cloud IoT デバイス コントローラ デバイス構成を更新するためのアクセス権。デバイスの作成や削除はできません。
  • cloudiot.devices.get
  • cloudiot.devices.list
  • cloudiot.devices.sendCommand
  • cloudiot.devices.updateConfig
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiottoken.tokensettings.get
デバイス
roles/cloudiot.editor Cloud IoT 編集者 すべての Cloud IoT リソースに対する読み取り / 書き込みアクセス権。
  • cloudiot.devices.*
  • cloudiot.registries.create
  • cloudiot.registries.delete
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiot.registries.update
  • cloudiottoken.*
デバイス
roles/cloudiot.provisioner Cloud IoT プロビジョナー レジストリに対してデバイスを作成および削除する権限(レジストリを変更する権限は除く)。
  • cloudiot.devices.*
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiottoken.tokensettings.get
デバイス
roles/cloudiot.viewer Cloud IoT 閲覧者 すべての Cloud IoT リソースに対する読み取り専用アクセス権。
  • cloudiot.devices.get
  • cloudiot.devices.list
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiottoken.tokensettings.get
デバイス

Cloud Talent Solution の役割

ロール 役職 説明 権限 最下位のリソース
roles/cloudjobdiscovery.admin 管理者 Cloud Talent Solution セルフサービス ツールに対するアクセス権。
  • cloudjobdiscovery.tools.*
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.jobsEditor ジョブ編集者 Cloud Talent Solution のすべてのジョブデータに対する書き込みアクセス権。
  • cloudjobdiscovery.companies.*
  • cloudjobdiscovery.events.*
  • cloudjobdiscovery.jobs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.jobsViewer ジョブ閲覧者 Cloud Talent Solution のすべてのジョブデータに対する読み取りアクセス権。
  • cloudjobdiscovery.companies.get
  • cloudjobdiscovery.companies.list
  • cloudjobdiscovery.jobs.get
  • cloudjobdiscovery.jobs.search
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.profilesEditor プロファイル編集者 Cloud Talent Solution のすべてのプロファイル データに対する書き込み権限。
  • cloudjobdiscovery.events.*
  • cloudjobdiscovery.profiles.*
  • cloudjobdiscovery.tenants.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.profilesViewer プロファイル閲覧者 Cloud Talent Solution のすべてのプロファイル データに対する読み取り権限。
  • cloudjobdiscovery.profiles.get
  • cloudjobdiscovery.profiles.search
  • cloudjobdiscovery.tenants.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud KMS のロール

役割 役職 説明 権限 最下位のリソース
roles/cloudkms.admin Cloud KMS 管理者 暗号化と復号を除く、Cloud KMS リソースに対する完全アクセス権を付与します。
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.destroy
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.cryptoKeyVersions.restore
  • cloudkms.cryptoKeyVersions.update
  • cloudkms.cryptoKeys.*
  • cloudkms.importJobs.*
  • cloudkms.keyRings.*
  • resourcemanager.projects.get
暗号鍵
roles/cloudkms.cryptoKeyDecrypter Cloud KMS 暗号鍵の復号 復号の場合のみ、Cloud KMS リソースの使用を許可します。
  • cloudkms.cryptoKeyVersions.useToDecrypt
  • resourcemanager.projects.get
暗号鍵
roles/cloudkms.cryptoKeyEncrypter Cloud KMS 暗号鍵の暗号化 暗号化の場合にのみ、Cloud KMS リソースの使用を許可します。
  • cloudkms.cryptoKeyVersions.useToEncrypt
  • resourcemanager.projects.get
暗号鍵
roles/cloudkms.cryptoKeyEncrypterDecrypter Cloud KMS 暗号鍵の暗号化 / 復号 暗号化と復号の場合のみ、Cloud KMS リソースの使用を許可します。
  • cloudkms.cryptoKeyVersions.useToDecrypt
  • cloudkms.cryptoKeyVersions.useToEncrypt
  • resourcemanager.projects.get
暗号鍵
roles/cloudkms.importer Cloud KMS インポータ ImportCryptoKeyVersion、CreateImportJob、ListImportJobs、GetImportJob の各オペレーションを有効にします
  • cloudkms.importJobs.create
  • cloudkms.importJobs.get
  • cloudkms.importJobs.list
  • cloudkms.importJobs.useToImport
  • resourcemanager.projects.get
roles/cloudkms.publicKeyViewer Cloud KMS 暗号鍵の公開鍵閲覧者 GetPublicKey オペレーションを有効にします。
  • cloudkms.cryptoKeyVersions.viewPublicKey
  • resourcemanager.projects.get
roles/cloudkms.signer Cloud KMS 暗号鍵の署名者 AsymmetricSign オペレーションを有効にします。
  • cloudkms.cryptoKeyVersions.useToSign
  • resourcemanager.projects.get
roles/cloudkms.signerVerifier Cloud KMS 暗号鍵の署名者 / 検証者 AsymmetricSign と GetPublicKey のオペレーションを有効にします。
  • cloudkms.cryptoKeyVersions.useToSign
  • cloudkms.cryptoKeyVersions.viewPublicKey
  • resourcemanager.projects.get

Cloud Marketplace のロール

ロール 役職 説明 権限 最下位のリソース
roles/consumerprocurement.entitlementManager Consumer Procurement Entitlement 管理者ベータ版 エンタイトルメントを管理し、コンシューマ プロジェクトのサービス状態の有効化、無効化、検査を行うことができます。
  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.services.disable
  • serviceusage.services.enable
  • serviceusage.services.get
  • serviceusage.services.list
roles/consumerprocurement.entitlementViewer Consumer Procurement Entitlement 閲覧者ベータ版 ユーザー プロジェクトのエンタイトルメントとサービスの状態を検査できます。
  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.get
  • consumerprocurement.freeTrials.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/consumerprocurement.orderAdmin Consumer Procurement Order 管理者ベータ版 購入を管理できます。
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
roles/consumerprocurement.orderViewer Consumer Procurement Order 閲覧者ベータ版 購入を検査できます。
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list

Cloud Migration のロール

役割 役職 説明 権限 最下位のリソース
roles/cloudmigration.inframanager Velostrata Manager ベータ版 Compute VM を作成、管理して Velostrata インフラストラクチャを運用できる権限
  • cloudmigration.*
  • compute.addresses.*
  • compute.diskTypes.*
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.list
  • compute.disks.setLabels
  • compute.disks.update
  • compute.disks.use
  • compute.disks.useReadOnly
  • compute.globalOperations.get
  • compute.images.get
  • compute.images.list
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.reset
  • compute.instances.setDiskAutoDelete
  • compute.instances.setLabels
  • compute.instances.setMachineType
  • compute.instances.setMetadata
  • compute.instances.setMinCpuPlatform
  • compute.instances.setScheduling
  • compute.instances.setServiceAccount
  • compute.instances.setTags
  • compute.instances.start
  • compute.instances.startWithEncryptionKey
  • compute.instances.stop
  • compute.instances.update
  • compute.instances.updateNetworkInterface
  • compute.instances.updateShieldedInstanceConfig
  • compute.instances.use
  • compute.licenseCodes.get
  • compute.licenseCodes.list
  • compute.licenseCodes.update
  • compute.licenseCodes.use
  • compute.licenses.get
  • compute.licenses.list
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.nodeGroups.get
  • compute.nodeGroups.list
  • compute.nodeTemplates.list
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regions.*
  • compute.snapshots.create
  • compute.snapshots.delete
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zoneOperations.get
  • compute.zones.*
  • gkehub.endpoints.*
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • storage.buckets.create
  • storage.buckets.delete
  • storage.buckets.get
  • storage.buckets.list
  • storage.buckets.update
roles/cloudmigration.storageaccess Velostrata ストレージ アクセス ベータ版 移行ストレージにアクセスできる権限
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update
roles/cloudmigration.velostrataconnect Velostrata Manager 接続エージェント ベータ版 Velostrata Manager と Google の間の接続を設定できる権限
  • cloudmigration.*
  • gkehub.endpoints.*
roles/vmmigration.admin VM 移行管理者 ベータ版 すべての VM Migration オブジェクトの表示と編集の権限
  • vmmigration.*
roles/vmmigration.viewer VM 移行閲覧者 ベータ版 すべての VM Migration オブジェクトを表示できる権限
  • vmmigration.deployments.get
  • vmmigration.deployments.list

Cloud プライベート カタログのロール

役割 役職 説明 権限 最下位のリソース
roles/cloudprivatecatalog.consumer カタログ ユーザー ベータ版 ターゲット リソース コンテキストでカタログを参照できます。
  • cloudprivatecatalog.*
roles/cloudprivatecatalogproducer.admin カタログ管理者 ベータ版 カタログを管理し、カタログの関連付けを表示できます。
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.catalogs.*
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
roles/cloudprivatecatalogproducer.manager カタログ マネージャー ベータ版 カタログとターゲット リソース間の関連付けを管理できます。
  • cloudprivatecatalog.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Cloud Profiler のロール

ロール 役職 説明 権限 最下位のリソース
roles/cloudprofiler.agent Stackdriver Profiler エージェントベータ版 Stackdriver Profiler エージェントは、プロファイリング データの登録と出力が可能です。
  • cloudprofiler.profiles.create
  • cloudprofiler.profiles.update
roles/cloudprofiler.user Stackdriver Profiler ユーザーベータ版 Stackdriver Profiler ユーザーは、プロファイリング データのクエリと表示が可能です。
  • cloudprofiler.profiles.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Cloud Scheduler のロール

役割 役職 説明 権限 最下位のリソース
roles/cloudscheduler.admin Cloud Scheduler 管理者 ベータ版 ジョブと実行への完全アクセス権。
  • appengine.applications.get
  • cloudscheduler.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudscheduler.jobRunner Cloud Scheduler ジョブ実行者 ベータ版 ジョブを実行するためのアクセス権。
  • appengine.applications.get
  • cloudscheduler.jobs.fullView
  • cloudscheduler.jobs.run
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudscheduler.viewer Cloud Scheduler 閲覧者 ベータ版 ジョブ、実行、位置の取得、一覧表示に必要な権限。
  • appengine.applications.get
  • cloudscheduler.jobs.fullView
  • cloudscheduler.jobs.get
  • cloudscheduler.jobs.list
  • cloudscheduler.locations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list

Cloud Security Scanner の役割

ロール 役職 説明 権限 最下位のリソース
roles/cloudsecurityscanner.editor Web Security Scanner 編集者 すべての Web Security Scanner リソースに対する完全アクセス権
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト
roles/cloudsecurityscanner.runner Web Security Scanner 実行者 スキャンとスキャン実行に対する読み取りアクセス権、およびスキャンを開始する権限
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scanruns.stop
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • cloudsecurityscanner.scans.run
プロジェクト
roles/cloudsecurityscanner.viewer Web Security Scanner 閲覧者 すべての Web Security Scanner リソースに対する読み取りアクセス権
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト

Cloud Services の役割

役割 役職 説明 権限 最下位のリソース
roles/servicebroker.admin Service Broker 管理者 ベータ版 Service Broker リソースへフルアクセス。
  • servicebroker.*
roles/servicebroker.operator Service Broker オペレーター ベータ版 Service Broker リソースに対する操作アクセス権。
  • servicebroker.bindingoperations.*
  • servicebroker.bindings.create
  • servicebroker.bindings.delete
  • servicebroker.bindings.get
  • servicebroker.bindings.list
  • servicebroker.catalogs.create
  • servicebroker.catalogs.delete
  • servicebroker.catalogs.get
  • servicebroker.catalogs.list
  • servicebroker.instanceoperations.*
  • servicebroker.instances.create
  • servicebroker.instances.delete
  • servicebroker.instances.get
  • servicebroker.instances.list
  • servicebroker.instances.update

Cloud SQL の役割

ロール 役職 説明 権限 最下位のリソース
roles/cloudsql.admin Cloud SQL 管理者 Cloud SQL リソースのすべてを管理できます。
  • cloudsql.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト
roles/cloudsql.client Cloud SQL クライアント Cloud SQL インスタンスへの接続アクセス権を付与します。
  • cloudsql.instances.connect
  • cloudsql.instances.get
プロジェクト
roles/cloudsql.editor Cloud SQL 編集者 ユーザー、SSL 証明書の変更、またはリソースの削除を除いて、既存の Cloud SQL インスタンスのすべてを管理できます。
  • cloudsql.backupRuns.create
  • cloudsql.backupRuns.get
  • cloudsql.backupRuns.list
  • cloudsql.databases.create
  • cloudsql.databases.get
  • cloudsql.databases.list
  • cloudsql.databases.update
  • cloudsql.instances.addServerCa
  • cloudsql.instances.connect
  • cloudsql.instances.export
  • cloudsql.instances.failover
  • cloudsql.instances.get
  • cloudsql.instances.list
  • cloudsql.instances.listServerCas
  • cloudsql.instances.restart
  • cloudsql.instances.rotateServerCa
  • cloudsql.instances.truncateLog
  • cloudsql.instances.update
  • cloudsql.sslCerts.get
  • cloudsql.sslCerts.list
  • cloudsql.users.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト
roles/cloudsql.viewer Cloud SQL 閲覧者 Cloud SQL リソースに対する読み取り専用権限を付与します。
  • cloudsql.backupRuns.get
  • cloudsql.backupRuns.list
  • cloudsql.databases.get
  • cloudsql.databases.list
  • cloudsql.instances.export
  • cloudsql.instances.get
  • cloudsql.instances.list
  • cloudsql.instances.listServerCas
  • cloudsql.sslCerts.get
  • cloudsql.sslCerts.list
  • cloudsql.users.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト

Cloud Tasks の役割

役割 役職 説明 権限 最下位のリソース
roles/cloudtasks.admin Cloud Tasks 管理者 ベータ版 キューとタスクへの完全アクセス権。
  • cloudtasks.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.enqueuer Cloud Tasks へのデータ追加 ベータ版 タスクを作成するための権限。
  • cloudtasks.tasks.create
  • cloudtasks.tasks.fullView
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.queueAdmin Cloud Tasks のキュー管理者 ベータ版 キューに対する管理者権限。
  • cloudtasks.locations.*
  • cloudtasks.queues.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.taskDeleter Cloud Tasks のタスク削除 ベータ版 タスクを削除するための権限。
  • cloudtasks.tasks.delete
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.taskRunner Cloud Tasks タスク実行者 ベータ版 タスクを実行するための権限。
  • cloudtasks.tasks.fullView
  • cloudtasks.tasks.run
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.viewer Cloud Tasks 閲覧者 ベータ版 タスク、キュー、位置の取得と一覧表示のためのアクセス権。
  • cloudtasks.locations.*
  • cloudtasks.queues.get
  • cloudtasks.queues.list
  • cloudtasks.tasks.fullView
  • cloudtasks.tasks.get
  • cloudtasks.tasks.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Trace の役割

ロール 役職 説明 権限 最下位のリソース
roles/cloudtrace.admin Cloud Trace 管理者 Trace コンソールへの完全アクセス権とトレースへの読み取り / 書き込み権限を付与します。
  • cloudtrace.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/cloudtrace.agent Cloud Trace エージェント サービス アカウントの場合。Stackdriver Trace にデータを送信してトレースを書き込む権限を付与します。
  • cloudtrace.traces.patch
プロジェクト
roles/cloudtrace.user Cloud Trace ユーザー Trace コンソールへの完全アクセス権とトレースへの読み取り権限を付与します。
  • cloudtrace.insights.*
  • cloudtrace.stats.*
  • cloudtrace.tasks.*
  • cloudtrace.traces.get
  • cloudtrace.traces.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト

Cloud Translation の役割

役割 役職 説明 権限 最下位のリソース
roles/cloudtranslate.admin Cloud Translation API 管理者 すべての Cloud Translation リソースに対するフルアクセス
  • automl.models.get
  • automl.models.predict
  • cloudtranslate.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtranslate.editor Cloud Translation API 編集者 すべての Cloud Translation リソースの編集者
  • automl.models.get
  • automl.models.predict
  • cloudtranslate.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtranslate.user Cloud Translation API ユーザー Cloud Translation と AutoML モデルのユーザー
  • automl.models.get
  • automl.models.predict
  • cloudtranslate.generalModels.*
  • cloudtranslate.glossaries.batchPredict
  • cloudtranslate.glossaries.get
  • cloudtranslate.glossaries.list
  • cloudtranslate.glossaries.predict
  • cloudtranslate.languageDetectionModels.*
  • cloudtranslate.locations.*
  • cloudtranslate.operations.get
  • cloudtranslate.operations.list
  • cloudtranslate.operations.wait
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtranslate.viewer Cloud Translation API 閲覧者 すべての Translation リソースの閲覧者
  • automl.models.get
  • cloudtranslate.generalModels.get
  • cloudtranslate.glossaries.get
  • cloudtranslate.glossaries.list
  • cloudtranslate.locations.*
  • cloudtranslate.operations.get
  • cloudtranslate.operations.list
  • cloudtranslate.operations.wait
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Codelab API キーの役割

役割 役職 説明 権限 最下位のリソース
roles/codelabapikeys.admin Codelab API キー管理者 ベータ版 API キーへの完全アクセス権。
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/codelabapikeys.editor Codelab API キー編集者 ベータ版 API キーのすべてのプロパティの表示と編集が可能
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/codelabapikeys.viewer Codelab API キー閲覧者 ベータ版 API キーの変更履歴以外のすべてのプロパティを表示できる
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Composer の役割

ロール 役職 説明 権限 最下位のリソース
roles/composer.admin Composer 管理者 Cloud Composer リソースのすべてを管理できます。
  • composer.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト
roles/composer.environmentAndStorageObjectAdmin 環境とストレージ オブジェクトの管理者 Cloud Composer のリソースとすべてのプロジェクト バケットのオブジェクトを管理できる権限を付与します。
  • composer.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.*
プロジェクト
roles/composer.environmentAndStorageObjectViewer 環境ユーザーとストレージ オブジェクトの閲覧者 Cloud Composer 環境とオペレーションを一覧表示して取得するために必要な権限を付与します。 すべてのプロジェクト バケットのオブジェクトに対して読み取り専用アクセスを許可します。
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.*
  • composer.operations.get
  • composer.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.get
  • storage.objects.list
プロジェクト
roles/composer.user Composer ユーザー Cloud Composer 環境とオペレーションを一覧表示して取得するために必要な権限を付与します。
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.*
  • composer.operations.get
  • composer.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト
roles/composer.worker Composer ワーカー Cloud Composer 環境 VM の実行に必要な権限を付与します(サービス アカウント向け)。
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list
  • cloudbuild.*
  • container.*
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.timeSeries.*
  • pubsub.snapshots.create
  • pubsub.snapshots.delete
  • pubsub.snapshots.get
  • pubsub.snapshots.list
  • pubsub.snapshots.seek
  • pubsub.snapshots.update
  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.list
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.detachSubscription
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.topics.publish
  • pubsub.topics.update
  • pubsub.topics.updateTag
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.*
プロジェクト

Compute Engine の役割

ロール 役職 説明 権限 最下位のリソース
roles/compute.admin Compute 管理者

Compute Engine リソースのすべてを管理する権限。

ユーザーがサービス アカウントとして実行するように構成されている仮想マシン インスタンスを管理する場合は、roles/iam.serviceAccountUser ロールも付与する必要があります。

  • compute.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
ディスク、イメージ、インスタンス、インスタンス テンプレート、ノードグループ、ノード テンプレート、スナップショットベータ版
roles/compute.imageUser Compute イメージ ユーザー

イメージを一覧表示して読み取る権限(イメージに対する他の権限はありません)。このロールをプロジェクト レベルで付与すると、ユーザーはプロジェクト内のすべてのイメージを一覧表示し、プロジェクト内のイメージに基づいてインスタンス、永続ディスクなどのリソースを作成できます。

  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
イメージベータ版
roles/compute.instanceAdmin Compute インスタンス管理者(ベータ版)

仮想マシン インスタンスを作成、変更、削除する権限。ディスクの作成、変更、削除を行う権限が含まれます。Shielded VMベータ版の設定を構成する権限も含まれます。

ユーザーがサービス アカウントとして実行するように構成されている仮想マシン インスタンスを管理する場合は、roles/iam.serviceAccountUser ロールも付与する必要があります。

たとえば、仮想マシン インスタンスのグループは管理しているが、ネットワークやセキュリティの設定の管理や、サービス アカウントとして実行するインスタンスの管理は行っていないというユーザーが社内にいる場合は、このロールをインスタンスが含まれている組織、フォルダ、プロジェクトあるいは個々のインスタンスに付与できます。

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers.*
  • compute.diskTypes.*
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.list
  • compute.disks.resize
  • compute.disks.setLabels
  • compute.disks.update
  • compute.disks.use
  • compute.disks.useReadOnly
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • compute.instanceGroupManagers.*
  • compute.instanceGroups.*
  • compute.instanceTemplates.*
  • compute.instances.*
  • compute.licenses.get
  • compute.licenses.list
  • compute.machineTypes.*
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
ディスク、イメージ、インスタンス、インスタンス テンプレート、スナップショットベータ版
roles/compute.instanceAdmin.v1 Compute インスタンス管理者(v1)

Compute Engine インスタンス、インスタンス グループ、ディスク、スナップショット、イメージのすべてを管理する権限。すべての Compute Engine ネットワーキング リソースへの読み取り専用権権限。

このロールをユーザーにインスタンス レベルでのみ付与した場合、そのユーザーは新しいインスタンスを作成できません。

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers.*
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.diskTypes.*
  • compute.disks.*
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.*
  • compute.instanceGroupManagers.*
  • compute.instanceGroups.*
  • compute.instanceTemplates.*
  • compute.instances.*
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.*
  • compute.licenses.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.projects.setCommonInstanceMetadata
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.snapshots.*
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.loadBalancerAdmin Compute ロードバランサ管理者 ベータ版

ロードバランサを作成、変更、削除し、リソースを関連付ける権限。

たとえば、ロードバランサ、ロードバランサの SSL 証明書、SSL ポリシー、その他の負荷分散リソースを管理する負荷分散チームと、残りのネットワーク リソースを管理する別のネットワーク チームが会社に存在する場合は、このロールを負荷分散チームのグループに付与します。

  • compute.addresses.*
  • compute.backendBuckets.*
  • compute.backendServices.*
  • compute.forwardingRules.*
  • compute.globalAddresses.*
  • compute.globalForwardingRules.*
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.instanceGroups.*
  • compute.instances.get
  • compute.instances.list
  • compute.instances.use
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.projects.get
  • compute.regionBackendServices.*
  • compute.regionHealthCheckServices.*
  • compute.regionNotificationEndpoints.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.sslCertificates.*
  • compute.sslPolicies.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.urlMaps.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
インスタンスベータ版
roles/compute.networkAdmin Compute ネットワーク管理者

ネットワーキング リソース(ファイアウォール ルールと SSL 証明書を除く)を作成、変更、削除する権限。ネットワーク管理者の役割により、ファイアウォール ルール、SSL 証明書、インスタンス(それぞれのエフェメラル IP アドレスの表示用)への読み取り専用アクセスを付与できます。ネットワーク管理者ロールでは、インスタンスの作成、起動、停止、削除はできません。

たとえば、ファイアウォールや SSL 証明書を管理するセキュリティ チームと、残りのネットワーク リソースを管理するネットワーク チームが会社に存在する場合は、このロールをネットワーク チームのグループに付与します。

  • compute.acceleratorTypes.*
  • compute.addresses.*
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.*
  • compute.backendServices.*
  • compute.externalVpnGateways.*
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.*
  • compute.globalAddresses.*
  • compute.globalForwardingRules.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.delete
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.globalPublicDelegatedPrefixes.update
  • compute.globalPublicDelegatedPrefixes.updatePolicy
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroupManagers.update
  • compute.instanceGroupManagers.use
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceGroups.update
  • compute.instanceGroups.use
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.instances.use
  • compute.interconnectAttachments.*
  • compute.interconnectLocations.*
  • compute.interconnects.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.list
  • compute.networkEndpointGroups.use
  • compute.networks.*
  • compute.projects.get
  • compute.publicDelegatedPrefixes.delete
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.publicDelegatedPrefixes.update
  • compute.publicDelegatedPrefixes.updatePolicy
  • compute.regionBackendServices.*
  • compute.regionHealthCheckServices.*
  • compute.regionNotificationEndpoints.*
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.routers.*
  • compute.routes.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.*
  • compute.subnetworks.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.targetVpnGateways.*
  • compute.urlMaps.*
  • compute.vpnGateways.*
  • compute.vpnTunnels.*
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • networksecurity.*
  • networkservices.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.operations.get
  • servicenetworking.services.addPeering
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
インスタンスベータ版
roles/compute.networkUser Compute ネットワーク ユーザー

共有 VPC ネットワークへのアクセス権を付与します。

アクセス権を付与されたサービス オーナーは、ホスト プロジェクトに属する VPC ネットワークとサブネットを使用できます。たとえば、ネットワーク ユーザーは、ホスト プロジェクト ネットワークに属する VM インスタンスを作成できますが、ホスト プロジェクトでネットワークを削除できません。また、新しいネットワークを作成することもできません。

  • compute.addresses.createInternal
  • compute.addresses.deleteInternal
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.useInternal
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.externalVpnGateways.use
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.interconnects.use
  • compute.networks.access
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regions.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnGateways.use
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zones.*
  • networksecurity.authorizationPolicies.get
  • networksecurity.authorizationPolicies.list
  • networksecurity.authorizationPolicies.use
  • networksecurity.clientTlsPolicies.get
  • networksecurity.clientTlsPolicies.list
  • networksecurity.clientTlsPolicies.use
  • networksecurity.locations.*
  • networksecurity.operations.get
  • networksecurity.operations.list
  • networksecurity.serverTlsPolicies.get
  • networksecurity.serverTlsPolicies.list
  • networksecurity.serverTlsPolicies.use
  • networkservices.endpointConfigSelectors.get
  • networkservices.endpointConfigSelectors.list
  • networkservices.endpointConfigSelectors.use
  • networkservices.httpFilters.get
  • networkservices.httpFilters.list
  • networkservices.httpFilters.use
  • networkservices.httpfilters.get
  • networkservices.httpfilters.list
  • networkservices.httpfilters.use
  • networkservices.locations.*
  • networkservices.operations.get
  • networkservices.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト
roles/compute.networkViewer Compute ネットワーク閲覧者

すべてのネットワーク リソースへの読み取り専用権限。

たとえば、ネットワーク構成を検査するソフトウェアがある場合は、そのソフトウェアのサービス アカウントにこのロールを付与できます。

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.projects.get
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regions.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zones.*
  • networksecurity.authorizationPolicies.get
  • networksecurity.authorizationPolicies.list
  • networksecurity.clientTlsPolicies.get
  • networksecurity.clientTlsPolicies.list
  • networksecurity.locations.*
  • networksecurity.operations.get
  • networksecurity.operations.list
  • networksecurity.serverTlsPolicies.get
  • networksecurity.serverTlsPolicies.list
  • networkservices.endpointConfigSelectors.get
  • networkservices.endpointConfigSelectors.list
  • networkservices.httpFilters.get
  • networkservices.httpFilters.list
  • networkservices.httpfilters.get
  • networkservices.httpfilters.list
  • networkservices.locations.*
  • networkservices.operations.get
  • networkservices.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
インスタンスベータ版
roles/compute.orgSecurityPolicyAdmin コンピューティング組織セキュリティ ポリシー管理者 ベータ版 Compute Engine 組織のセキュリティ ポリシーのすべてを管理できる権限。
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setIamPolicy
  • compute.projects.get
  • compute.securityPolicies.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.orgSecurityPolicyUser コンピューティング組織セキュリティ ポリシー ユーザー ベータ版 Compute Engine セキュリティ ポリシーを表示または使用して、組織またはフォルダに関連付けます。
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setIamPolicy
  • compute.projects.get
  • compute.securityPolicies.addAssociation
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.removeAssociation
  • compute.securityPolicies.use
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.orgSecurityResourceAdmin コンピューティング組織リソース管理者 ベータ版 組織またはフォルダへの Compute Engine セキュリティ ポリシーの関連付けのすべてを管理できる権限。
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setIamPolicy
  • compute.organizations.listAssociations
  • compute.organizations.setSecurityPolicy
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.osAdminLogin Compute OS 管理者ログイン 管理者ユーザーとして Compute Engine インスタンスにログインするアクセス権。
  • compute.instances.get
  • compute.instances.list
  • compute.instances.osAdminLogin
  • compute.instances.osLogin
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
インスタンスベータ版
roles/compute.osLogin Compute OS ログイン 標準ユーザーとして Compute Engine インスタンスにログインするアクセス権。
  • compute.instances.get
  • compute.instances.list
  • compute.instances.osLogin
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
インスタンスベータ版
roles/compute.osLoginExternalUser Compute OS ログインの外部ユーザー

組織レベルでのみ利用できます。

この組織に関連付けられた OS ログイン情報を外部ユーザーが設定するアクセス権。この役割で、インスタンスへのアクセスは許可されません。外部ユーザーが SSH を使用してインスタンスにアクセスできるようにするには、OS ログインの役割のいずれかが付与されている必要があります。

  • compute.oslogin.*
組織
roles/compute.packetMirroringAdmin Compute パケット ミラーリング管理者 ミラーリングするリソースを指定します。
  • compute.networks.mirror
  • compute.projects.get
  • compute.subnetworks.mirror
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.packetMirroringUser Compute パケット ミラーリング ユーザー Compute Engine パケット ミラーリングを使用します。
  • compute.packetMirrorings.*
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.publicIpAdmin Compute パブリック IP 管理者 ベータ版 Compute Engine のパブリック IP アドレス管理を完全に制御できる権限。
  • compute.addresses.*
  • compute.globalAddresses.*
  • compute.globalPublicDelegatedPrefixes.*
  • compute.publicAdvertisedPrefixes.*
  • compute.publicDelegatedPrefixes.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/compute.securityAdmin Compute セキュリティ管理者

ファイアウォール ルールと SSL 証明書を作成、変更、削除する権限。Shielded VMベータ版の設定を構成する権限も含まれます。

たとえば、ファイアウォールや SSL 証明書を管理するセキュリティチームと、残りのネットワーク リソースを管理するネットワーク チームが会社に存在する場合は、このロールをセキュリティ チームのグループに付与します。

  • compute.firewalls.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.instances.getEffectiveFirewalls
  • compute.instances.setShieldedInstanceIntegrityPolicy
  • compute.instances.setShieldedVmIntegrityPolicy
  • compute.instances.updateShieldedInstanceConfig
  • compute.instances.updateShieldedVmConfig
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.updatePolicy
  • compute.packetMirrorings.*
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.*
  • compute.sslCertificates.*
  • compute.sslPolicies.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
インスタンスベータ版
roles/compute.storageAdmin Compute ストレージ管理者

ディスク、イメージ、スナップショットを作成、変更、削除する権限。

たとえば、プロジェクトのイメージを管理するユーザーがいて、そのユーザーにプロジェクト編集者ロールを与えたくない場合には、プロジェクトでそのユーザーのアカウントにこのロールを付与します。

  • compute.diskTypes.*
  • compute.disks.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.images.*
  • compute.licenseCodes.*
  • compute.licenses.*
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.resourcePolicies.*
  • compute.snapshots.*
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
ディスク、イメージ、スナップショットベータ版
roles/compute.viewer Compute 閲覧者

Compute Engine リソースを取得して表示する読み取りアクセス権。そこに格納されたデータを読み取ることはできません。

たとえば、このロールを持つアカウントはプロジェクトのすべてのディスクの一覧を作成できますが、それらのディスク内のデータを読み取ることはできません。

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
ディスク、イメージ、インスタンス、インスタンス テンプレート、ノードグループ、ノード テンプレート、スナップショットベータ版
roles/compute.xpnAdmin Compute Shared VPC 管理者

共有 VPC ホスト プロジェクトを管理する権限。特にホスト プロジェクトを有効にし、共有 VPC サービス プロジェクトをホスト プロジェクトのネットワークに関連付ける権限。

組織レベルでこのロールを付与できるのは組織管理者のみです。

Google Cloud では、共有 VPC ホスト プロジェクトのオーナーを共有 VPC 管理者にすることを推奨しています。共有 VPC 管理者は Compute ネットワーク ユーザーのロール(roles/compute.networkUser)をサービス オーナーに付与し、共有 VPC ホスト プロジェクトのオーナーはプロジェクト自体を制御します。単一のプリンシパル(個人やグループ)が両方のロールを果たすことができれば、プロジェクトの管理が容易になります。

  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.organizations.administerXpn
  • compute.organizations.disableXpnHost
  • compute.organizations.disableXpnResource
  • compute.organizations.enableXpnHost
  • compute.organizations.enableXpnResource
  • compute.projects.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.setIamPolicy
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
フォルダ
roles/osconfig.assignmentAdmin 割り当て管理者 割り当てに対する完全な管理者アクセス権
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.assignmentEditor 割り当て編集者 割り当てリソースの編集者
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.assignmentViewer 割り当て閲覧者 割り当てリソースの閲覧者
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.guestPolicyAdmin GuestPolicy 管理者 ベータ版 GuestPolicy に対する完全な管理者アクセス権
  • osconfig.guestPolicies.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.guestPolicyEditor GuestPolicy 編集者 ベータ版 GuestPolicy リソースの編集者
  • osconfig.guestPolicies.get
  • osconfig.guestPolicies.list
  • osconfig.guestPolicies.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.guestPolicyViewer GuestPolicy 閲覧者 ベータ版 GuestPolicy リソースの閲覧者
  • osconfig.guestPolicies.get
  • osconfig.guestPolicies.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.osConfigAdmin OsConfig 管理者 OsConfig に対する完全な管理者アクセス権
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.osConfigEditor OsConfig 編集者 OsConfig リソースの編集者
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.osConfigViewer OsConfig 閲覧者 OsConfig リソースの閲覧者
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchDeploymentAdmin PatchDeployment 管理者 PatchDeployment に対する完全な管理者アクセス権
  • osconfig.patchDeployments.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchDeploymentViewer PatchDeployment 閲覧者 PatchDeployment リソースの閲覧者
  • osconfig.patchDeployments.get
  • osconfig.patchDeployments.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchJobExecutor パッチジョブ エグゼキュータ パッチジョブを実行するためのアクセス権。
  • osconfig.patchJobs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchJobViewer パッチジョブ閲覧者 パッチジョブを取得して一覧表示します。
  • osconfig.patchJobs.get
  • osconfig.patchJobs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Kubernetes Engine の役割

役割 役職 説明 権限 最下位のリソース
roles/container.admin Kubernetes Engine 管理者

クラスタとその Kubernetes API オブジェクトを完全に管理するためのアクセス権を付与します。

ノードでサービス アカウントを設定するには、サービス アカウント ユーザーロール(roles/iam.serviceAccountUser)も付与する必要があります。

  • container.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/container.clusterAdmin Kubernetes Engine クラスタ管理者

クラスタを管理するための権限を付与します。

ノードでサービス アカウントを設定するには、サービス アカウント ユーザーロール(roles/iam.serviceAccountUser)も付与する必要があります。

  • container.clusters.create
  • container.clusters.delete
  • container.clusters.get
  • container.clusters.list
  • container.clusters.update
  • container.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/container.clusterViewer Kubernetes Engine Cluster 閲覧者 GKE クラスタの取得と一覧表示のアクセス権。
  • container.clusters.get
  • container.clusters.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/container.developer Kubernetes Engine 開発者 クラスタ内の Kubernetes API オブジェクトへのアクセス権を付与します。
  • container.apiServices.*
  • container.backendConfigs.*
  • container.bindings.*
  • container.certificateSigningRequests.create
  • container.certificateSigningRequests.delete
  • container.certificateSigningRequests.get
  • container.certificateSigningRequests.list
  • container.certificateSigningRequests.update
  • container.certificateSigningRequests.updateStatus
  • container.clusterRoleBindings.get
  • container.clusterRoleBindings.list
  • container.clusterRoles.get
  • container.clusterRoles.list
  • container.clusters.get
  • container.clusters.list
  • container.componentStatuses.*
  • container.configMaps.*
  • container.controllerRevisions.get
  • container.controllerRevisions.list
  • container.cronJobs.*
  • container.csiDrivers.*
  • container.csiNodes.*
  • container.customResourceDefinitions.*
  • container.daemonSets.*
  • container.deployments.*
  • container.endpoints.*
  • container.events.*
  • container.horizontalPodAutoscalers.*
  • container.ingresses.*
  • container.initializerConfigurations.*
  • container.jobs.*
  • container.limitRanges.*
  • container.localSubjectAccessReviews.*
  • container.namespaces.*
  • container.networkPolicies.*
  • container.nodes.*
  • container.persistentVolumeClaims.*
  • container.persistentVolumes.*
  • container.petSets.*
  • container.podDisruptionBudgets.*
  • container.podPresets.*
  • container.podSecurityPolicies.get
  • container.podSecurityPolicies.list
  • container.podTemplates.*
  • container.pods.*
  • container.replicaSets.*
  • container.replicationControllers.*
  • container.resourceQuotas.*
  • container.roleBindings.get
  • container.roleBindings.list
  • container.roles.get
  • container.roles.list
  • container.runtimeClasses.*
  • container.scheduledJobs.*
  • container.secrets.*
  • container.selfSubjectAccessReviews.*
  • container.serviceAccounts.*
  • container.services.*
  • container.statefulSets.*
  • container.storageClasses.*
  • container.subjectAccessReviews.*
  • container.thirdPartyObjects.*
  • container.thirdPartyResources.*
  • container.tokenReviews.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/container.hostServiceAgentUser Kubernetes Engine Host サービス エージェント ユーザー クラスタ管理用に共有ネットワーク リソースを構成することを、ホスト プロジェクトの Kubernetes Engine サービス アカウントに許可します。また、ホスト プロジェクトのファイアウォール ルールを調べるためのアクセス権も付与します。
  • compute.firewalls.get
  • container.hostServiceAgent.*
roles/container.viewer Kubernetes Engine 閲覧者 GKE リソースに対する読み取り専用アクセス権を付与します。
  • container.apiServices.get
  • container.apiServices.list
  • container.backendConfigs.get
  • container.backendConfigs.list
  • container.bindings.get
  • container.bindings.list
  • container.certificateSigningRequests.get
  • container.certificateSigningRequests.list
  • container.clusterRoleBindings.get
  • container.clusterRoleBindings.list
  • container.clusterRoles.get
  • container.clusterRoles.list
  • container.clusters.get
  • container.clusters.list
  • container.componentStatuses.*
  • container.configMaps.get
  • container.configMaps.list
  • container.controllerRevisions.get
  • container.controllerRevisions.list
  • container.cronJobs.get
  • container.cronJobs.getStatus
  • container.cronJobs.list
  • container.csiDrivers.get
  • container.csiDrivers.list
  • container.csiNodes.get
  • container.csiNodes.list
  • container.customResourceDefinitions.get
  • container.customResourceDefinitions.list
  • container.daemonSets.get
  • container.daemonSets.getStatus
  • container.daemonSets.list
  • container.deployments.get
  • container.deployments.getStatus
  • container.deployments.list
  • container.endpoints.get
  • container.endpoints.list
  • container.events.get
  • container.events.list
  • container.horizontalPodAutoscalers.get
  • container.horizontalPodAutoscalers.getStatus
  • container.horizontalPodAutoscalers.list
  • container.ingresses.get
  • container.ingresses.getStatus
  • container.ingresses.list
  • container.initializerConfigurations.get
  • container.initializerConfigurations.list
  • container.jobs.get
  • container.jobs.getStatus
  • container.jobs.list
  • container.limitRanges.get
  • container.limitRanges.list
  • container.namespaces.get
  • container.namespaces.getStatus
  • container.namespaces.list
  • container.networkPolicies.get
  • container.networkPolicies.list
  • container.nodes.get
  • container.nodes.getStatus
  • container.nodes.list
  • container.operations.*
  • container.persistentVolumeClaims.get
  • container.persistentVolumeClaims.getStatus
  • container.persistentVolumeClaims.list
  • container.persistentVolumes.get
  • container.persistentVolumes.getStatus
  • container.persistentVolumes.list
  • container.petSets.get
  • container.petSets.list
  • container.podDisruptionBudgets.get
  • container.podDisruptionBudgets.getStatus
  • container.podDisruptionBudgets.list
  • container.podPresets.get
  • container.podPresets.list
  • container.podSecurityPolicies.get
  • container.podSecurityPolicies.list
  • container.podTemplates.get
  • container.podTemplates.list
  • container.pods.get
  • container.pods.getStatus
  • container.pods.list
  • container.replicaSets.get
  • container.replicaSets.getScale
  • container.replicaSets.getStatus
  • container.replicaSets.list
  • container.replicationControllers.get
  • container.replicationControllers.getScale
  • container.replicationControllers.getStatus
  • container.replicationControllers.list
  • container.resourceQuotas.get
  • container.resourceQuotas.getStatus
  • container.resourceQuotas.list
  • container.roleBindings.get
  • container.roleBindings.list
  • container.roles.get
  • container.roles.list
  • container.runtimeClasses.get
  • container.runtimeClasses.list
  • container.scheduledJobs.get
  • container.scheduledJobs.list
  • container.serviceAccounts.get
  • container.serviceAccounts.list
  • container.services.get
  • container.services.getStatus
  • container.services.list
  • container.statefulSets.get
  • container.statefulSets.getStatus
  • container.statefulSets.list
  • container.storageClasses.get
  • container.storageClasses.list
  • container.thirdPartyObjects.get
  • container.thirdPartyObjects.list
  • container.thirdPartyResources.get
  • container.thirdPartyResources.list
  • container.tokenReviews.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト

Container Analysis の役割

ロール 役職 説明 権限 最下位のリソース
roles/containeranalysis.admin Container Analysis 管理者 すべての Container Analysis リソースへのアクセス権。
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.create
  • containeranalysis.notes.delete
  • containeranalysis.notes.get
  • containeranalysis.notes.getIamPolicy
  • containeranalysis.notes.list
  • containeranalysis.notes.setIamPolicy
  • containeranalysis.notes.update
  • containeranalysis.occurrences.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.notes.attacher Container Analysis メモ添付者 Container Analysis のオカレンスをメモに添付できます。
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.get
roles/containeranalysis.notes.editor Container Analysis メモ編集者 Container Analysis のメモを編集できる権限。
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.create
  • containeranalysis.notes.delete
  • containeranalysis.notes.get
  • containeranalysis.notes.list
  • containeranalysis.notes.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.notes.occurrences.viewer メモに対する Container Analysis 実行回数の閲覧者
  • containeranalysis.notes.get
  • containeranalysis.notes.listOccurrences
roles/containeranalysis.notes.viewer Container Analysis メモ閲覧者 Container Analysis のメモを閲覧する権限。
  • containeranalysis.notes.get
  • containeranalysis.notes.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.occurrences.editor Container Analysis 実行回数の編集者 Container Analysis のオカレンスを編集する権限。
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.occurrences.viewer Container Analysis 実行回数の閲覧者 Container Analysis のオカレンスを閲覧する権限。
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Data Catalog の役割

ロール 役職 説明 権限 最下位のリソース
roles/datacatalog.admin DataCatalog 管理者 すべての DataCatalog リソースに対する完全アクセス権
  • bigquery.datasets.get
  • bigquery.datasets.updateTag
  • bigquery.models.getMetadata
  • bigquery.models.updateTag
  • bigquery.tables.get
  • bigquery.tables.updateTag
  • datacatalog.categories.getIamPolicy
  • datacatalog.categories.setIamPolicy
  • datacatalog.entries.*
  • datacatalog.entryGroups.*
  • datacatalog.tagTemplates.*
  • datacatalog.taxonomies.*
  • pubsub.topics.get
  • pubsub.topics.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.categoryAdmin ポリシータグ管理者 ベータ版 分類を管理します
  • datacatalog.categories.getIamPolicy
  • datacatalog.categories.setIamPolicy
  • datacatalog.taxonomies.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.categoryFineGrainedReader きめ細かい読み取り ベータ版 ポリシーのタグが付けられているサブリソース(BigQuery 列など)に対する読み取りアクセス権
  • datacatalog.categories.fineGrainedGet
roles/datacatalog.entryGroupCreator DataCatalog EntryGroup 作成者 新しい entryGroup を作成できます
  • datacatalog.entryGroups.create
  • datacatalog.entryGroups.get
  • datacatalog.entryGroups.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.entryGroupOwner DataCatalog entryGroup オーナー entryGroup に対する完全アクセス権
  • datacatalog.entries.*
  • datacatalog.entryGroups.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.entryOwner DataCatalog エントリ オーナー エントリへの完全アクセス権
  • datacatalog.entries.*
  • datacatalog.entryGroups.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.entryViewer DataCatalog エントリ閲覧者 エントリに対する読み取りアクセス権
  • datacatalog.entries.get
  • datacatalog.entries.list
  • datacatalog.entryGroups.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.tagEditor Data Catalog Tag 編集者 BigQuery と Pub/Sub の Google Cloud アセットのタグを変更するためのアクセス権を付与します。
  • bigquery.datasets.updateTag
  • bigquery.models.updateTag
  • bigquery.tables.updateTag
  • datacatalog.entries.updateTag
  • pubsub.topics.updateTag
roles/datacatalog.tagTemplateCreator Data Catalog TagTemplate 作成者 新しいタグ テンプレートを作成するためのアクセス権
  • datacatalog.tagTemplates.create
  • datacatalog.tagTemplates.get
roles/datacatalog.tagTemplateOwner Data Catalog TagTemplate オーナー タグ テンプレートに対する完全アクセス権
  • datacatalog.tagTemplates.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.tagTemplateUser Data Catalog TagTemplate ユーザー テンプレートを使用してリソースにタグを付けるためのアクセス権
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • datacatalog.tagTemplates.use
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.tagTemplateViewer Data Catalog TagTemplate 閲覧者 テンプレートとそのテンプレートを使用して作成されたタグに対する読み取りアクセス権
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.viewer Data Catalog 閲覧者 BigQuery と Pub/Sub のカタログ化された Google Cloud アセットのメタデータを読み取るためのアクセス権を付与します。
  • bigquery.datasets.get
  • bigquery.models.getMetadata
  • bigquery.tables.get
  • datacatalog.entries.get
  • datacatalog.entries.list
  • datacatalog.entryGroups.get
  • datacatalog.entryGroups.list
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • datacatalog.taxonomies.get
  • datacatalog.taxonomies.list
  • pubsub.topics.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Dataflow の役割

ロール 役職 説明 権限 最下位のリソース
roles/dataflow.admin Dataflow 管理者 データフロー ジョブを作成し、管理するための最低限のロール。
  • compute.machineTypes.get
  • dataflow.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.buckets.get
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list
roles/dataflow.developer Dataflow デベロッパー Dataflow ジョブを実行、操作するために必要な権限を付与します。
  • dataflow.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/dataflow.viewer Dataflow 閲覧者 すべての Dataflow 関連リソースに対する読み取り専用アクセス権を付与します。
  • dataflow.jobs.get
  • dataflow.jobs.list
  • dataflow.messages.*
  • dataflow.metrics.*
  • dataflow.snapshots.get
  • dataflow.snapshots.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/dataflow.worker Dataflow ワーカー Compute Engine サービス アカウントが Dataflow パイプラインの作業単位を実行するために必要な権限を付与します。
  • compute.instanceGroupManagers.update
  • compute.instances.delete
  • compute.instances.setDiskAutoDelete
  • dataflow.jobs.get
  • logging.logEntries.create
  • storage.objects.create
  • storage.objects.get
プロジェクト

Cloud Data Labeling の役割

役割 役職 説明 権限 最下位のリソース
roles/datalabeling.admin DataLabeling サービス管理者 ベータ版 すべての DataLabeling リソースの完全アクセス権
  • datalabeling.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datalabeling.editor DataLabeling サービス編集者 ベータ版 すべての DataLabeling リソースの編集者
  • datalabeling.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datalabeling.viewer DataLabeling サービス閲覧者 ベータ版 すべての DataLabeling リソースの閲覧者
  • datalabeling.annotateddatasets.get
  • datalabeling.annotateddatasets.list
  • datalabeling.annotationspecsets.get
  • datalabeling.annotationspecsets.list
  • datalabeling.dataitems.*
  • datalabeling.datasets.get
  • datalabeling.datasets.list
  • datalabeling.examples.*
  • datalabeling.instructions.get
  • datalabeling.instructions.list
  • datalabeling.operations.get
  • datalabeling.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Dataprep の役割

役割 役職 説明 権限 最下位のリソース
roles/dataprep.projects.user Dataprep ユーザー ベータ版 Dataprep の使用権限。
  • dataprep.*
  • resourcemanager.projects.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Dataproc の役割

ロール 役職 説明 権限 最下位のリソース
roles/dataproc.admin Dataproc 管理者 Dataproc リソースのすべてを管理できる権限。
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.list
  • compute.projects.get
  • compute.regions.*
  • compute.zones.*
  • dataproc.autoscalingPolicies.*
  • dataproc.clusters.*
  • dataproc.jobs.*
  • dataproc.operations.*
  • dataproc.workflowTemplates.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/dataproc.editor Dataproc 編集者 マシンタイプ、ネットワーク、プロジェクト、ゾーンなどの Dataproc を管理するために必要となるリソースの表示に必要な権限を付与します。
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.list
  • compute.projects.get
  • compute.regions.*
  • compute.zones.*
  • dataproc.autoscalingPolicies.create
  • dataproc.autoscalingPolicies.delete
  • dataproc.autoscalingPolicies.get
  • dataproc.autoscalingPolicies.list
  • dataproc.autoscalingPolicies.update
  • dataproc.autoscalingPolicies.use
  • dataproc.clusters.create
  • dataproc.clusters.delete
  • dataproc.clusters.get
  • dataproc.clusters.list
  • dataproc.clusters.update
  • dataproc.clusters.use
  • dataproc.jobs.cancel
  • dataproc.jobs.create
  • dataproc.jobs.delete
  • dataproc.jobs.get
  • dataproc.jobs.list
  • dataproc.jobs.update
  • dataproc.operations.delete
  • dataproc.operations.get
  • dataproc.operations.list
  • dataproc.workflowTemplates.create
  • dataproc.workflowTemplates.delete
  • dataproc.workflowTemplates.get
  • dataproc.workflowTemplates.instantiate
  • dataproc.workflowTemplates.instantiateInline
  • dataproc.workflowTemplates.list
  • dataproc.workflowTemplates.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/dataproc.viewer Dataproc 閲覧者 Dataproc リソースに対する読み取り専用アクセス権を付与します。
  • compute.machineTypes.get
  • compute.regions.*
  • compute.zones.*
  • dataproc.autoscalingPolicies.get
  • dataproc.autoscalingPolicies.list
  • dataproc.clusters.get
  • dataproc.clusters.list
  • dataproc.jobs.get
  • dataproc.jobs.list
  • dataproc.operations.get
  • dataproc.operations.list
  • dataproc.workflowTemplates.get
  • dataproc.workflowTemplates.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/dataproc.worker Dataproc ワーカー Dataproc リソースへのワーカー アクセス権を付与します。サービス アカウント向けです。
  • dataproc.agents.*
  • dataproc.tasks.*
  • logging.logEntries.create
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.timeSeries.create
  • storage.buckets.get
  • storage.objects.*

Datastore の役割

役割 役職 説明 権限 最下位のリソース
roles/datastore.importExportAdmin Cloud Datastore インポート / エクスポート管理者 インポートとエクスポートを管理できる完全アクセス権を付与します。
  • appengine.applications.get
  • datastore.databases.export
  • datastore.databases.import
  • datastore.operations.cancel
  • datastore.operations.get
  • datastore.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/datastore.indexAdmin Cloud Datastore インデックス管理者 インデックス定義を管理できる完全アクセス権を付与します。
  • appengine.applications.get
  • datastore.indexes.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/datastore.owner Cloud Datastore オーナー Datastore のリソースへの完全アクセス権を付与します。
  • appengine.applications.get
  • datastore.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/datastore.user Cloud Datastore ユーザー Datastore データベース内のデータに対する読み取り / 書き込み権限を付与します。
  • appengine.applications.get
  • datastore.databases.get
  • datastore.entities.*
  • datastore.indexes.list
  • datastore.namespaces.get
  • datastore.namespaces.list
  • datastore.statistics.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/datastore.viewer Cloud Datastore 閲覧者 Datastore のリソースへの読み取りアクセス権を付与します。
  • appengine.applications.get
  • datastore.databases.get
  • datastore.databases.list
  • datastore.entities.get
  • datastore.entities.list
  • datastore.indexes.get
  • datastore.indexes.list
  • datastore.namespaces.get
  • datastore.namespaces.list
  • datastore.statistics.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト

Deployment Manager の役割

ロール 役職 説明 権限 最下位のリソース
roles/deploymentmanager.editor Deployment Manager 編集者 デプロイの作成と管理に必要なアクセス権を付与します。
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.deployments.cancelPreview
  • deploymentmanager.deployments.create
  • deploymentmanager.deployments.delete
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.deployments.stop
  • deploymentmanager.deployments.update
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト
roles/deploymentmanager.typeEditor Deployment Manager タイプ編集者 すべてのタイプ レジストリ リソースに対する読み取り / 書き込みアクセス権を付与します。
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.operations.get
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
プロジェクト
roles/deploymentmanager.typeViewer Deployment Manager タイプ閲覧者 すべてのタイプ レジストリ リソースに対する読み取り専用アクセス権を付与します。
  • deploymentmanager.compositeTypes.get
  • deploymentmanager.compositeTypes.list
  • deploymentmanager.typeProviders.get
  • deploymentmanager.typeProviders.getType
  • deploymentmanager.typeProviders.list
  • deploymentmanager.typeProviders.listTypes
  • deploymentmanager.types.get
  • deploymentmanager.types.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
プロジェクト
roles/deploymentmanager.viewer Deployment Manager 閲覧者 すべての Deployment Manager 関連リソースに対する読み取り専用アクセス権を付与します。
  • deploymentmanager.compositeTypes.get
  • deploymentmanager.compositeTypes.list
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.get
  • deploymentmanager.typeProviders.getType
  • deploymentmanager.typeProviders.list
  • deploymentmanager.typeProviders.listTypes
  • deploymentmanager.types.get
  • deploymentmanager.types.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
プロジェクト

Dialogflow の役割

ロール 役職 説明 権限 最下位のリソース
roles/dialogflow.admin Dialogflow API 管理者 Dialogflow 固有のリソースへの完全アクセス権が必要な Dialogflow API 管理者に付与します。Dialogflow アクセス制御もご覧ください。
  • dialogflow.*
  • resourcemanager.projects.get
プロジェクト
roles/dialogflow.client Dialogflow API クライアント API を使用して Dialogflow 固有の編集を実行し、インテント呼び出しを検出する Dialogflow API クライアントに付与します。Dialogflow アクセス制御もご覧ください。
  • dialogflow.contexts.*
  • dialogflow.sessionEntityTypes.*
  • dialogflow.sessions.*
プロジェクト
roles/dialogflow.consoleAgentEditor Dialogflow コンソール エージェント編集者 既存のエージェントを編集する Dialogflow コンソール編集者に付与します。Dialogflow アクセス制御もご覧ください。
  • actions.agentVersions.create
  • dialogflow.*
  • resourcemanager.projects.get
プロジェクト
roles/dialogflow.reader Dialogflow API 読み取り API を使用して Dialogflow 固有の読み取り専用呼び出しを実行する Dialogflow API クライアントに付与します。Dialogflow アクセス制御もご覧ください。
  • dialogflow.agents.export
  • dialogflow.agents.get
  • dialogflow.agents.search
  • dialogflow.contexts.get
  • dialogflow.contexts.list
  • dialogflow.documents.get
  • dialogflow.documents.list
  • dialogflow.entityTypes.get
  • dialogflow.entityTypes.list
  • dialogflow.intents.get
  • dialogflow.intents.list
  • dialogflow.knowledgeBases.get
  • dialogflow.knowledgeBases.list
  • dialogflow.operations.*
  • dialogflow.sessionEntityTypes.get
  • dialogflow.sessionEntityTypes.list
  • resourcemanager.projects.get
プロジェクト

Cloud DLP の役割

ロール 役職 説明 権限 最下位のリソース
roles/dlp.admin DLP 管理者 ジョブやテンプレートを含む DLP の管理権限。
  • dlp.*
  • serviceusage.services.use
roles/dlp.analyzeRiskTemplatesEditor DLP 分析リスク テンプレート編集者 DLP 分析リスク テンプレートの編集権限。
  • dlp.analyzeRiskTemplates.*
roles/dlp.analyzeRiskTemplatesReader DLP 分析リスク テンプレート読み取り DLP 分析リスク テンプレートの読み取り権限。
  • dlp.analyzeRiskTemplates.get
  • dlp.analyzeRiskTemplates.list
roles/dlp.deidentifyTemplatesEditor DLP 匿名化テンプレート編集者 DLP 匿名化テンプレートの編集。
  • dlp.deidentifyTemplates.*
roles/dlp.deidentifyTemplatesReader DLP 匿名化テンプレート読み取り DLP 匿名化テンプレートの読み取り権限。
  • dlp.deidentifyTemplates.get
  • dlp.deidentifyTemplates.list
roles/dlp.inspectFindingsReader DLP 検査結果読み取り DLP 保存済み検査結果の読み取り権限。
  • dlp.inspectFindings.*
roles/dlp.inspectTemplatesEditor DLP 検査テンプレート編集者 DLP 検査テンプレートの編集権限。
  • dlp.inspectTemplates.*
roles/dlp.inspectTemplatesReader DLP 検査テンプレート読み取り DLP 検査テンプレートの読み取り。
  • dlp.inspectTemplates.get
  • dlp.inspectTemplates.list
roles/dlp.jobTriggersEditor DLP ジョブトリガー編集者 ジョブトリガー構成の編集。
  • dlp.jobTriggers.*
roles/dlp.jobTriggersReader DLP ジョブトリガー読み取り ジョブトリガーの読み取り権限。
  • dlp.jobTriggers.get
  • dlp.jobTriggers.list
roles/dlp.jobsEditor DLP ジョブ編集者 ジョブを編集および作成する権限
  • dlp.jobs.*
  • dlp.kms.*
roles/dlp.jobsReader DLP ジョブ読み取り ジョブの読み取り権限
  • dlp.jobs.get
  • dlp.jobs.list
roles/dlp.reader DLP 読み取り ジョブやテンプレートなどの DLP エンティティを読み取ります。
  • dlp.analyzeRiskTemplates.get
  • dlp.analyzeRiskTemplates.list
  • dlp.deidentifyTemplates.get
  • dlp.deidentifyTemplates.list
  • dlp.inspectFindings.*
  • dlp.inspectTemplates.get
  • dlp.inspectTemplates.list
  • dlp.jobTriggers.get
  • dlp.jobTriggers.list
  • dlp.jobs.get
  • dlp.jobs.list
  • dlp.storedInfoTypes.get
  • dlp.storedInfoTypes.list
roles/dlp.storedInfoTypesEditor DLP Stored InfoTypes 編集者 DLP に格納された情報タイプの編集権限。
  • dlp.storedInfoTypes.*
roles/dlp.storedInfoTypesReader DLP Stored InfoTypes 読み取り DLP に格納された情報タイプの読み取り権限。
  • dlp.storedInfoTypes.get
  • dlp.storedInfoTypes.list
roles/dlp.user DLP ユーザー コンテンツの検索、削除、匿名化
  • dlp.kms.*
  • serviceusage.services.use

DNS の役割

役割 役職 説明 権限 最下位のリソース
roles/dns.admin DNS 管理者 すべての Cloud DNS リソースへの読み取り / 書き込みアクセス権を付与します。
  • compute.networks.get
  • compute.networks.list
  • dns.changes.*
  • dns.dnsKeys.*
  • dns.managedZoneOperations.*
  • dns.managedZones.*
  • dns.networks.*
  • dns.policies.create
  • dns.policies.delete
  • dns.policies.get
  • dns.policies.list
  • dns.policies.update
  • dns.projects.*
  • dns.resourceRecordSets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト
roles/dns.peer DNS ピア DNS ピアリング ゾーンを持つターゲット ネットワークへのアクセス権
  • dns.networks.targetWithPeeringZone
roles/dns.reader DNS 読み取り すべての Cloud DNS リソースへの読み取り専用アクセス権を付与します。
  • compute.networks.get
  • dns.changes.get
  • dns.changes.list
  • dns.dnsKeys.*
  • dns.managedZoneOperations.*
  • dns.managedZones.get
  • dns.managedZones.list
  • dns.policies.get
  • dns.policies.list
  • dns.projects.*
  • dns.resourceRecordSets.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
プロジェクト

Endpoints の役割

役割 役職 説明 権限 最下位のリソース
roles/endpoints.portalAdmin Endpoints Portal 管理者 ベータ版 Cloud Console の [エンドポイント] > [デベロッパー ポータル] ページでカスタム ドメインを追加、表示、削除するのに必要なすべての権限を付与します。API 用に作成されたポータルで、[設定] ページの [サイト全体] タブで設定を変更するための権限を付与します。
  • endpoints.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.services.get
プロジェクト

Error Reporting の役割

ロール 役職 説明 権限 最下位のリソース
roles/errorreporting.admin Error Reporting 管理者 ベータ版 Error Reporting データへの完全アクセス権を付与します。
  • cloudnotifications.*
  • errorreporting.*
プロジェクト
roles/errorreporting.user Error Reporting ユーザー ベータ版 Error Reporting データを読み書きする権限(新しいエラーイベントの送信を除く)を付与します。
  • cloudnotifications.*
  • errorreporting.applications.*
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.*
  • errorreporting.groups.*
プロジェクト
roles/errorreporting.viewer Error Reporting 閲覧者 ベータ版 Error Reporting データに対する読み取り専用権限を付与します。
  • cloudnotifications.*
  • errorreporting.applications.*
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groups.*
プロジェクト
roles/errorreporting.writer エラー書き込み ベータ版 Reporting にエラーイベントを送信する権限を付与します。
  • errorreporting.errorEvents.create
サービス アカウント

Cloud Filestore の役割

役割 役職 説明 権限 最下位のリソース
roles/file.editor Cloud Filestore 編集者 ベータ版 Filestore インスタンスと関連リソースに対する読み取り / 書き込み権限。
  • file.*
roles/file.viewer Cloud Filestore 閲覧者 ベータ版 Filestore インスタンスと関連リソースに対する読み取り専用権限。
  • file.backups.get
  • file.backups.list
  • file.instances.get
  • file.instances.list
  • file.locations.*
  • file.operations.get
  • file.operations.list

Firebase の役割

ロール 役職 説明 権限 最下位のリソース
roles/firebase.admin Firebase 管理者 Firebase プロダクトに対する完全アクセス権。
  • apikeys.keys.get
  • apikeys.keys.list
  • apikeys.keys.lookup
  • appengine.applications.get
  • automl.*
  • clientauthconfig.brands.get
  • clientauthconfig.brands.list
  • clientauthconfig.brands.update
  • clientauthconfig.clients.create
  • clientauthconfig.clients.delete
  • clientauthconfig.clients.get
  • clientauthconfig.clients.list
  • clientauthconfig.clients.update
  • cloudconfig.*
  • cloudfunctions.*
  • cloudmessaging.*
  • cloudnotifications.*
  • cloudtestservice.*
  • cloudtoolresults.*
  • datastore.*
  • errorreporting.groups.*
  • firebase.*
  • firebaseabt.*
  • firebaseanalytics.*
  • firebaseappdistro.*
  • firebaseauth.*
  • firebasecrash.*
  • firebasecrashlytics.*
  • firebasedatabase.*
  • firebasedynamiclinks.*
  • firebaseextensions.*
  • firebasehosting.*
  • firebaseinappmessaging.*
  • firebaseml.*
  • firebasenotifications.*
  • firebaseperformance.*
  • firebasepredictions.*
  • firebaserules.*
  • logging.logEntries.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • runtimeconfig.configs.create
  • runtimeconfig.configs.delete
  • runtimeconfig.configs.get
  • runtimeconfig.configs.list
  • runtimeconfig.configs.update
  • runtimeconfig.operations.*
  • runtimeconfig.variables.create
  • runtimeconfig.variables.delete
  • runtimeconfig.variables.get
  • runtimeconfig.variables.list
  • runtimeconfig.variables.update
  • runtimeconfig.variables.watch
  • runtimeconfig.waiters.create
  • runtimeconfig.waiters.delete
  • runtimeconfig.waiters.get
  • runtimeconfig.waiters.list
  • runtimeconfig.waiters.update
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.buckets.*
  • storage.objects.*
roles/firebase.analyticsAdmin Firebase 向け Google アナリティクス管理者 Firebase 向け Google アナリティクスに対する完全アクセス権。
  • cloudnotifications.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseanalytics.*
  • firebaseextensions.configs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/firebase.analyticsViewer Firebase 向け Google アナリティクス閲覧者 Firebase 向け Google アナリティクスに対する読み取りアクセス権。
  • cloudnotifications.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
  • firebaseextensions.configs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/firebase.developAdmin Firebase Develop 管理者 Firebase Develop プロダクトとアナリティクスに対する完全アクセス権。
  • apikeys.keys.get
  • apikeys.keys.list
  • apikeys.keys.lookup
  • appengine.applications.get
  • automl.*
  • clientauthconfig.brands.get
  • clientauthconfig.brands.list
  • clientauthconfig.brands.update
  • clientauthconfig.clients.get
  • clientauthconfig.clients.list
  • cloudfunctions.*
  • cloudnotifications.*
  • datastore.*
  • errorreporting.groups.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseanalytics.*
  • firebaseauth.*
  • firebasedatabase.*
  • firebaseextensions.configs.list
  • firebasehosting.*
  • firebaseml.*
  • firebaserules.*
  • logging.logEntries.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • runtimeconfig.configs.create
  • runtimeconfig.configs.delete
  • runtimeconfig.configs.get
  • runtimeconfig.configs.list
  • runtimeconfig.configs.update
  • runtimeconfig.operations.*
  • runtimeconfig.variables.create
  • runtimeconfig.variables.delete
  • runtimeconfig.variables.get
  • runtimeconfig.variables.list
  • runtimeconfig.variables.update
  • runtimeconfig.variables.watch
  • runtimeconfig.waiters.create
  • runtimeconfig.waiters.delete
  • runtimeconfig.waiters.get
  • runtimeconfig.waiters.list
  • runtimeconfig.waiters.update
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.buckets.*
  • storage.objects.*
roles/firebase.developViewer Firebase Develop 閲覧者 Firebase Develop プロダクトとアナリティクスに対する読み取りアクセス権。
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • clientauthconfig.brands.get
  • clientauthconfig.brands.list
  • cloudfunctions.functions.get
  • cloudfunctions.functions.list
  • cloudfunctions.locations.*
  • cloudfunctions.operations.*
  • cloudnotifications.*
  • datastore.databases.get
  • datastore.databases.getIamPolicy
  • datastore.databases.list
  • datastore.entities.get
  • datastore.entities.list
  • datastore.indexes.get
  • datastore.indexes.list
  • datastore.namespaces.get
  • datastore.namespaces.getIamPolicy
  • datastore.namespaces.list
  • datastore.statistics.*
  • errorreporting.groups.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
  • firebaseauth.configs.get
  • firebaseauth.users.get
  • firebasedatabase.instances.get
  • firebasedatabase.instances.list
  • firebaseextensions.configs.list
  • firebasehosting.sites.get
  • firebasehosting.sites.list
  • firebaseml.compressionjobs.get
  • firebaseml.compressionjobs.list
  • firebaseml.models.get
  • firebaseml.models.list
  • firebaseml.modelversions.get
  • firebaseml.modelversions.list
  • firebaserules.releases.get
  • firebaserules.releases.list
  • firebaserules.rulesets.get
  • firebaserules.rulesets.list
  • logging.logEntries.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.buckets.get
  • storage.buckets.getIamPolicy
  • storage.buckets.list
  • storage.objects.get
  • storage.objects.getIamPolicy
  • storage.objects.list
roles/firebase.growthAdmin Firebase Grow 管理者 Firebase Grow プロダクトとアナリティクスに対する完全アクセス権。
  • clientauthconfig.clients.get
  • clientauthconfig.clients.list
  • cloudconfig.*
  • cloudmessaging.*
  • cloudnotifications.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseabt.*
  • firebaseanalytics.*
  • firebasedynamiclinks.*
  • firebaseextensions.configs.list
  • firebaseinappmessaging.*
  • firebasenotifications.*
  • firebasepredictions.*
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/firebase.growthViewer Firebase Grow 閲覧者 Firebase Grow プロダクトとアナリティクスに対する読み取りアクセス権。
  • cloudconfig.configs.get
  • cloudnotifications.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseabt.experimentresults.*
  • firebaseabt.experiments.get
  • firebaseabt.experiments.list
  • firebaseabt.projectmetadata.*
  • firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
  • firebasedynamiclinks.destinations.list
  • firebasedynamiclinks.domains.get
  • firebasedynamiclinks.domains.list
  • firebasedynamiclinks.links.get
  • firebasedynamiclinks.links.list
  • firebasedynamiclinks.stats.*
  • firebaseextensions.configs.list
  • firebaseinappmessaging.campaigns.get
  • firebaseinappmessaging.campaigns.list
  • firebasenotifications.messages.get
  • firebasenotifications.messages.list
  • firebasepredictions.predictions.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/firebase.qualityAdmin Firebase Quality 管理者 Firebase Quality プロダクトとアナリティクスに対する完全アクセス権。
  • cloudnotifications.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseanalytics.*
  • firebaseappdistro.*
  • firebasecrash.*
  • firebasecrashlytics.*
  • firebaseextensions.configs.list
  • firebaseperformance.*
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/firebase.qualityViewer Firebase Quality 閲覧者 Firebase Quality プロダクトとアナリティクスに対する読み取りアクセス権。
  • cloudnotifications.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
  • firebaseappdistro.groups.list
  • firebaseappdistro.releases.list
  • firebaseappdistro.testers.list
  • firebasecrash.reports.*
  • firebasecrashlytics.config.get
  • firebasecrashlytics.data.*
  • firebasecrashlytics.issues.get
  • firebasecrashlytics.issues.list
  • firebasecrashlytics.sessions.*
  • firebaseextensions.configs.list
  • firebaseperformance.data.*
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/firebase.viewer Firebase 閲覧者 Firebase プロダクトへの読み取り専用権限。
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • clientauthconfig.brands.get
  • clientauthconfig.brands.list
  • cloudconfig.configs.get
  • cloudfunctions.functions.get
  • cloudfunctions.functions.list
  • cloudfunctions.locations.*
  • cloudfunctions.operations.*
  • cloudnotifications.*
  • cloudtestservice.environmentcatalog.*
  • cloudtestservice.matrices.get
  • cloudtoolresults.executions.get
  • cloudtoolresults.executions.list
  • cloudtoolresults.histories.get
  • cloudtoolresults.histories.list
  • cloudtoolresults.settings.get
  • cloudtoolresults.steps.get
  • cloudtoolresults.steps.list
  • datastore.databases.get
  • datastore.databases.getIamPolicy
  • datastore.databases.list
  • datastore.entities.get
  • datastore.entities.list
  • datastore.indexes.get
  • datastore.indexes.list
  • datastore.namespaces.get
  • datastore.namespaces.getIamPolicy
  • datastore.namespaces.list
  • datastore.statistics.*
  • errorreporting.groups.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseabt.experimentresults.*
  • firebaseabt.experiments.get
  • firebaseabt.experiments.list
  • firebaseabt.projectmetadata.*
  • firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
  • firebaseappdistro.groups.list
  • firebaseappdistro.releases.list
  • firebaseappdistro.testers.list
  • firebaseauth.configs.get
  • firebaseauth.users.get
  • firebasecrash.reports.*
  • firebasecrashlytics.config.get
  • firebasecrashlytics.data.*
  • firebasecrashlytics.issues.get
  • firebasecrashlytics.issues.list
  • firebasecrashlytics.sessions.*
  • firebasedatabase.instances.get
  • firebasedatabase.instances.list
  • firebasedynamiclinks.destinations.list
  • firebasedynamiclinks.domains.get
  • firebasedynamiclinks.domains.list
  • firebasedynamiclinks.links.get
  • firebasedynamiclinks.links.list
  • firebasedynamiclinks.stats.*
  • firebaseextensions.configs.list
  • firebasehosting.sites.get
  • firebasehosting.sites.list
  • firebaseinappmessaging.campaigns.get
  • firebaseinappmessaging.campaigns.list
  • firebaseml.compressionjobs.get
  • firebaseml.compressionjobs.list
  • firebaseml.models.get
  • firebaseml.models.list
  • firebaseml.modelversions.get
  • firebaseml.modelversions.list
  • firebasenotifications.messages.get
  • firebasenotifications.messages.list
  • firebaseperformance.data.*
  • firebasepredictions.predictions.list
  • firebaserules.releases.get
  • firebaserules.releases.list
  • firebaserules.rulesets.get
  • firebaserules.rulesets.list
  • logging.logEntries.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.buckets.get
  • storage.buckets.getIamPolicy
  • storage.buckets.list
  • storage.objects.get
  • storage.objects.getIamPolicy
  • storage.objects.list

Firebase プロダクトのロール

役割 役職 説明 権限 最下位のリソース
roles/cloudconfig.admin Firebase Remote Config 管理者 Firebase Remote Config リソースに対する完全アクセス権。
  • cloudconfig.*
  • firebase.clients.get
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudconfig.viewer Firebase Remote Config 閲覧者 Firebase Remote Config リソースに対する読み取りアクセス権。
  • cloudconfig.configs.get
  • firebase.clients.get
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtestservice.testAdmin Firebase Test Lab 管理者 すべての Test Lab 機能に対する完全アクセス権
  • cloudtestservice.*
  • cloudtoolresults.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.update
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list
roles/cloudtestservice.testViewer Firebase Test Lab 閲覧者 Test Lab 機能への読み取りアクセス権
  • cloudtestservice.environmentcatalog.*
  • cloudtestservice.matrices.get
  • cloudtoolresults.executions.get
  • cloudtoolresults.executions.list
  • cloudtoolresults.histories.get
  • cloudtoolresults.histories.list
  • cloudtoolresults.settings.get
  • cloudtoolresults.steps.get
  • cloudtoolresults.steps.list
  • firebase.clients.get
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.objects.get
  • storage.objects.list
roles/firebaseabt.admin Firebase A/B テスト管理者 ベータ版 Firebase A/B Testing リソースに対する完全な読み取り / 書き込みアクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebaseabt.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseabt.viewer Firebase A/B テスト閲覧者 ベータ版 Firebase A/B Testing リソースに対する読み取り専用アクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebaseabt.experimentresults.*
  • firebaseabt.experiments.get
  • firebaseabt.experiments.list
  • firebaseabt.projectmetadata.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseappdistro.admin Firebase App Distribution 管理者 ベータ版 Firebase アプリ配布リソースへの完全な読み取り / 書き込みアクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebaseappdistro.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseappdistro.viewer Firebase App Distribution 閲覧者 ベータ版 Firebase App Distribution リソースに対する読み取り専用アクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebaseappdistro.groups.list
  • firebaseappdistro.releases.list
  • firebaseappdistro.testers.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseauth.admin Firebase Authentication 管理者 Firebase Authentication リソースに対する完全な読み取り / 書き込みアクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebaseauth.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseauth.viewer Firebase Authentication 閲覧者 Firebase Authentication リソースに対する読み取り専用アクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebaseauth.configs.get
  • firebaseauth.users.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasecrashlytics.admin Firebase Crashlytics 管理者 Firebase Crashlytics リソースに対する完全な読み取り / 書き込みアクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebasecrashlytics.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasecrashlytics.viewer Firebase Crashlytics 閲覧者 Firebase Crashlytics リソースに対する読み取り専用アクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebasecrashlytics.config.get
  • firebasecrashlytics.data.*
  • firebasecrashlytics.issues.get
  • firebasecrashlytics.issues.list
  • firebasecrashlytics.sessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasedatabase.admin Firebase Realtime Database 管理者 Firebase Realtime Database リソースに対する完全な読み取り / 書き込みアクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebasedatabase.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasedatabase.viewer Firebase Realtime Database 閲覧者 Firebase Realtime Database リソースに対する読み取り専用アクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebasedatabase.instances.get
  • firebasedatabase.instances.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasedynamiclinks.admin Firebase Dynamic Links 管理者 Firebase Dynamic Links リソースに対する完全な読み取り / 書き込みアクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebasedynamiclinks.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasedynamiclinks.viewer Firebase Dynamic Links 閲覧者 Firebase Dynamic Links リソースに対する読み取り専用アクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebasedynamiclinks.destinations.list
  • firebasedynamiclinks.domains.get
  • firebasedynamiclinks.domains.list
  • firebasedynamiclinks.links.get
  • firebasedynamiclinks.links.list
  • firebasedynamiclinks.stats.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasehosting.admin Firebase Hosting 管理者 Firebase Hosting リソースに対する完全な読み取り / 書き込みアクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebasehosting.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasehosting.viewer Firebase Hosting 閲覧者 Firebase Hosting リソースに対する読み取り専用アクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebasehosting.sites.get
  • firebasehosting.sites.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseinappmessaging.admin Firebase アプリ内メッセージング管理者 ベータ版 Firebase アプリ内メッセージングのリソースに対する完全な読み取り / 書き込みアクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebaseinappmessaging.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseinappmessaging.viewer Firebase アプリ内メッセージング閲覧者 ベータ版 Firebase アプリ内メッセージングのリソースに対する読み取り専用アクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebaseinappmessaging.campaigns.get
  • firebaseinappmessaging.campaigns.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseml.admin Firebase ML Kit 管理者 ベータ版 Firebase ML Kit リソースに対する完全な読み取り / 書き込みアクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebaseml.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseml.viewer Firebase ML Kit 閲覧者 ベータ版 Firebase ML Kit リソースに対する読み取り専用アクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebaseml.compressionjobs.get
  • firebaseml.compressionjobs.list
  • firebaseml.models.get
  • firebaseml.models.list
  • firebaseml.modelversions.get
  • firebaseml.modelversions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasenotifications.admin Firebase Cloud Messaging 管理者 Firebase Cloud Messaging リソースに対する完全な読み取り / 書き込みアクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebasenotifications.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasenotifications.viewer Firebase Cloud Messaging 閲覧者 Firebase Cloud Messaging リソースに対する読み取り専用アクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebasenotifications.messages.get
  • firebasenotifications.messages.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseperformance.admin Firebase Performance Reporting 管理者 firebaseperformance リソースに対する完全アクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebaseperformance.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseperformance.viewer Firebase Performance Reporting 閲覧者 firebaseperformance リソースに対する読み取り専用権限。
  • firebase.clients.get
  • firebase.projects.get
  • firebaseperformance.data.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasepredictions.admin Firebase Predictions 管理者 Firebase Predictions リソースに対する完全な読み取り / 書き込みアクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebasepredictions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasepredictions.viewer Firebase Predictions 閲覧者 Firebase Predictions リソースに対する読み取り専用アクセス権。
  • firebase.clients.get
  • firebase.projects.get
  • firebasepredictions.predictions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaserules.admin Firebase ルール管理者 Firebase ルールをすべて管理できます。
  • firebaserules.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaserules.viewer Firebase Rules 閲覧者 ルールセットをテストできる、すべてのリソースに対する読み取り専用アクセス権。
  • firebaserules.releases.get
  • firebaserules.releases.list
  • firebaserules.rulesets.get
  • firebaserules.rulesets.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

クラウドゲーム サービスのロール

役割 役職 説明 権限 最下位のリソース
roles/gameservices.admin Game Services API 管理者ベータ版 Game Services API と関連リソースに対する完全アクセス権。
  • gameservices.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/gameservices.viewer Game Services API 閲覧者ベータ版 Game Services API と関連リソースに対する読み取り専用アクセス権。
  • gameservices.gameServerClusters.get
  • gameservices.gameServerClusters.list
  • gameservices.gameServerConfigs.get
  • gameservices.gameServerConfigs.list
  • gameservices.gameServerDeployments.get
  • gameservices.gameServerDeployments.list
  • gameservices.locations.*
  • gameservices.operations.get
  • gameservices.operations.list
  • gameservices.realms.get
  • gameservices.realms.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Genomics のロール

役割 役職 説明 権限 最下位のリソース
roles/genomics.admin Genomics 管理者 Genomics のデータセットとオペレーションへの完全アクセス権。
  • genomics.*
roles/genomics.editor Genomics 編集者 ゲノミクス データセットとオペレーションの読み取り、編集ができるアクセス権。
  • genomics.datasets.create
  • genomics.datasets.delete
  • genomics.datasets.get
  • genomics.datasets.list
  • genomics.datasets.update