ロールについて

ロールには、Google Cloud リソースに対して特定の操作を実行できるようにする一連の権限が含まれています。ユーザー、グループ、サービスアカウントなど、メンバーに対して権限を付与するには、メンバーにロールを付与します。

このページでは、付与できる IAM のロールについて説明します。

このガイドの前提条件

IAM の基本コンセプトについて理解しておきます。

ロールのタイプ

IAM には、次の 3 種類のロールがあります。

基本ロール: IAM の導入前に存在していたオーナー、編集者、閲覧者のロールが含まれます。
事前定義ロール: 特定のサービスへのアクセスを細かく制御します。また、Google Cloud により管理されます。
カスタムロール: ユーザー指定の権限のリストに応じたきめ細かなアクセス権が提供されます。

権限が基本、事前定義、カスタムのいずれかのロールに含まれているかどうかを判断するには、次のいずれかの方法を使用します。

gcloud iam roles describe コマンドを実行して、ロールの権限を一覧表示します。
roles.get() REST API メソッドを呼び出して、ロールの権限を一覧表示します。
基本ロールと事前定義ロールのみ: 権限のリファレンスを検索して、ロールによって権限が付与されるかどうかを確認します。
事前定義ロールのみ: このページで定義済みのロールの説明を参照して、ロールに含まれる権限を確認します。

次のセクションでは、各ロールのタイプについて説明し、それらの使用方法の例を示します。

基本ロール

IAM の導入前に存在していた、オーナー、編集者、閲覧者の複数の基本ロールがあります。オーナー、編集者、閲覧者の各ロールは入れ子構造になっています。つまり、オーナーロールには編集者ロールの権限が含まれており、編集者ロールには閲覧者ロールの権限が含まれています。元々は「基本（primitive）ロール」と呼ばれていました。

次の表では、Google Cloud のすべてのサービスに関して基本ロールが持っている権限が要約されています。

基本ロールの定義

名前	タイトル	権限
`roles/viewer`	閲覧者	既存のリソースやデータの表示（ただし変更は不可能）など、状態に影響しない読み取り専用アクションに必要な権限。
`roles/editor`	編集者	すべての閲覧者権限に加えて状態を変更するアクション（既存のリソースの変更など）に必要な権限。注: `roles/editor` ロールには、ほとんどの Google Cloud サービスでリソースを作成および削除する権限が含まれますが、すべてのサービスのすべてのアクションを実行する権限は含まれていません。必要な権限がロールに含まれているかどうかを確認する方法については、上記のセクションをご覧ください。
`roles/owner`	オーナー	すべての編集者権限、および以下のアクションを実行するために必要な権限。プロジェクトおよびプロジェクト内のすべてのリソースの権限とロールを管理する。プロジェクトの課金情報を設定する。注: リソースレベル（Pub/Sub トピックなど）でオーナーのロールを付与しても、その親プロジェクトにオーナーのロールが付与されることはありません。組織レベルでオーナーのロールを付与しても、その組織のメタデータを更新することはできません。ただし、その組織のプロジェクトや他のリソースを変更することはできます。

Cloud Console、API、gcloud ツールを使用して、プロジェクトまたはサービスのリソースレベルで基本ロールを適用できます。手順については、アクセス権の付与、変更、取り消しをご覧ください。

招待フロー

Identity and Access Management API または gcloud コマンドラインツールを使用して、プロジェクトのメンバーにオーナーロールを付与することはできません。オーナーは、Cloud Console を使用することによってのみプロジェクトに追加できます。招待はメールでメンバーに送信されます。そのメンバーがプロジェクトのオーナーになるには、その招待を受け入れる必要があります。

以下の場合、招待メールは送信されないことに注意してください。

オーナー以外のロールを付与している場合。
組織のメンバーが、組織内のプロジェクトのオーナーとして組織の別のメンバーを追加した場合。

Cloud Console を使用してロールを付与する方法については、アクセス権の付与、変更、取り消しをご覧ください。

事前定義ロール

基本ロールに加えて、IAM の事前定義ロールを使用すると、特定の Google Cloud リソースに対してきめ細やかなアクセス権を付与し、他のリソースへの望ましくないアクセスを防ぐことができます。これらのロールは Google によって作成され、管理されます。Google は、Google Cloud によって新しい機能やサービスが追加された場合など、必要に応じて権限を自動的に更新します。

次の表に、定義されたロールとその説明、それらのロールを設定できる最低レベルのリソースタイプを示します。このリソースタイプまたはほとんどの場合に Google Cloud 階層のそれ以上の任意のタイプに特定のロールを付与できます。1 人のユーザーに複数のロールを付与できます。たとえば、特定のユーザーに、あるプロジェクトにおけるネットワーク管理者およびログ閲覧者のロールを付与し、なおかつ、そのプロジェクト内の Pub/Sub トピックに対するパブリッシャーのロールを付与できます。ロールに含まれる権限のリストについては、ロールメタデータの取得をご覧ください。

Access Approval のロール

役割	役職	説明	権限
`roles/accessapproval.approver`	アクセス承認者^ベータ版	アクセス承認リクエストを表示または操作し、構成を表示できる権限	accessapproval.requests.* accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list
`roles/accessapproval.configEditor`	Access Approval Config 編集者^ベータ版	アクセス承認の構成を更新する権限	accessapproval.settings.* resourcemanager.projects.get resourcemanager.projects.list
`roles/accessapproval.viewer`	アクセス承認閲覧者^ベータ版	アクセス承認リクエストおよび構成を閲覧できる権限	accessapproval.requests.get accessapproval.requests.list accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list

Access Context Manager のロール

ロール	役職	説明	権限
`roles/accesscontextmanager.gcpAccessAdmin`	Cloud アクセスバインディング管理者	Cloud アクセスバインディングの作成、編集、変更。	accesscontextmanager.gcpUserAccessBindings.*
`roles/accesscontextmanager.gcpAccessReader`	Cloud アクセスバインディングリーダー	Cloud アクセスバインディングへの読み取りアクセス。	accesscontextmanager.gcpUserAccessBindings.get accesscontextmanager.gcpUserAccessBindings.list
`roles/accesscontextmanager.policyAdmin`	Access Context Manager 管理者	ポリシー、アクセスレベル、アクセスゾーンへの完全アクセス権	accesscontextmanager.accessLevels.* accesscontextmanager.accessPolicies.* accesscontextmanager.accessZones.* accesscontextmanager.policies.* accesscontextmanager.servicePerimeters.* resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/accesscontextmanager.policyEditor`	Access Context Manager 編集者	ポリシーに対する編集権限。アクセスレベルとアクセスゾーンを作成、編集、変更します。	accesscontextmanager.accessLevels.* accesscontextmanager.accessPolicies.create accesscontextmanager.accessPolicies.delete accesscontextmanager.accessPolicies.get accesscontextmanager.accessPolicies.getIamPolicy accesscontextmanager.accessPolicies.list accesscontextmanager.accessPolicies.update accesscontextmanager.accessZones.* accesscontextmanager.policies.create accesscontextmanager.policies.delete accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.policies.update accesscontextmanager.servicePerimeters.* resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/accesscontextmanager.policyReader`	Access Context Manager 読み取り	ポリシー、アクセスレベル、アクセスゾーンに対する読み取り権限。	accesscontextmanager.accessLevels.get accesscontextmanager.accessLevels.list accesscontextmanager.accessPolicies.get accesscontextmanager.accessPolicies.getIamPolicy accesscontextmanager.accessPolicies.list accesscontextmanager.accessZones.get accesscontextmanager.accessZones.list accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.servicePerimeters.get accesscontextmanager.servicePerimeters.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/accesscontextmanager.vpcScTroubleshooterViewer`	VPC Service Controls トラブルシューティング閲覧者		accesscontextmanager.accessLevels.get accesscontextmanager.accessLevels.list accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.servicePerimeters.get accesscontextmanager.servicePerimeters.list logging.exclusions.get logging.exclusions.list logging.logEntries.list logging.logMetrics.get logging.logMetrics.list logging.logServiceIndexes.* logging.logServices.* logging.logs.list logging.sinks.get logging.sinks.list logging.usage.* resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

アクションのロール

役割	役職	説明	権限	最下位のリソース
`roles/actions.Admin`	アクション管理者	アクセスしてアクションの編集とデプロイを行います	actions.* firebase.projects.get firebase.projects.update resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use
`roles/actions.Viewer`	アクション閲覧者	アクセスしてアクションを表示します	actions.agent.get actions.agentVersions.get actions.agentVersions.list firebase.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use

Android Management のロール

役割	役職	説明	権限	最下位のリソース
`roles/androidmanagement.user`	Android Management ユーザー	デバイスを管理するための完全アクセス権。	androidmanagement.* serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

API ゲートウェイのロール

ロール	役職	説明	権限	最下位のリソース
`roles/apigateway.admin`	API ゲートウェイ管理者	API ゲートウェイと関連リソースに対する完全アクセス権。	apigateway.* resourcemanager.projects.get resourcemanager.projects.list
`roles/apigateway.viewer`	API ゲートウェイ閲覧者	API ゲートウェイと関連リソースに対する読み取り専用アクセス権。	apigateway.apiconfigs.get apigateway.apiconfigs.getIamPolicy apigateway.apiconfigs.list apigateway.apis.get apigateway.apis.getIamPolicy apigateway.apis.list apigateway.gateways.get apigateway.gateways.getIamPolicy apigateway.gateways.list apigateway.locations.* apigateway.operations.get apigateway.operations.list resourcemanager.projects.get resourcemanager.projects.list

Apigee のロール

ロール	役職	説明	権限
`roles/apigee.admin`	Apigee 組織管理者	すべての Apigee リソース機能に対する完全アクセス権	apigee.* resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
`roles/apigee.analyticsAgent`	Apigee Analytics エージェント	Apigee 組織の Analytics を管理するために、Apigee Universal Data Collection Agent 用にキュレートされた権限セット	apigee.environments.getDataLocation
`roles/apigee.analyticsEditor`	Apigee Analytics 編集者	Apigee 組織の Analytics 編集者	apigee.datacollectors.* apigee.datastores.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.exports.* apigee.hostqueries.* apigee.hoststats.* apigee.organizations.get apigee.organizations.list apigee.queries.* apigee.reports.* resourcemanager.projects.get resourcemanager.projects.list
`roles/apigee.analyticsViewer`	Apigee Analytics 閲覧者	Apigee 組織の Analytics 閲覧者	apigee.datacollectors.get apigee.datacollectors.list apigee.datastores.get apigee.datastores.list apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.exports.get apigee.exports.list apigee.hostqueries.get apigee.hostqueries.list apigee.hoststats.* apigee.organizations.get apigee.organizations.list apigee.queries.get apigee.queries.list apigee.reports.get apigee.reports.list resourcemanager.projects.get resourcemanager.projects.list
`roles/apigee.apiAdmin`	Apigee API 管理者	すべての Apigee API リソースに対する完全な読み取り / 書き込みアクセス権	apigee.apiproductattributes.* apigee.apiproducts.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.keyvaluemaps.list apigee.organizations.get apigee.organizations.list apigee.proxies.* apigee.proxyrevisions.* apigee.sharedflowrevisions.* apigee.sharedflows.* apigee.tracesessions.* resourcemanager.projects.get resourcemanager.projects.list
`roles/apigee.apiReader`	Apigee API 読み取り	Apigee リソースの読み取り	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.keyvaluemaps.list apigee.organizations.get apigee.organizations.list apigee.proxies.get apigee.proxies.list apigee.proxyrevisions.deploy apigee.proxyrevisions.get apigee.proxyrevisions.list apigee.proxyrevisions.undeploy apigee.sharedflowrevisions.deploy apigee.sharedflowrevisions.get apigee.sharedflowrevisions.list apigee.sharedflowrevisions.undeploy apigee.sharedflows.get apigee.sharedflows.list apigee.tracesessions.get apigee.tracesessions.list resourcemanager.projects.get resourcemanager.projects.list
`roles/apigee.developerAdmin`	Apigee デベロッパー管理者	Apigee リソースのデベロッパー管理者	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.appkeys.* apigee.apps.* apigee.datacollectors.* apigee.developerappattributes.* apigee.developerapps.* apigee.developerattributes.* apigee.developers.* apigee.environments.get apigee.environments.getStats apigee.hoststats.* apigee.organizations.get apigee.organizations.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
`roles/apigee.environmentAdmin`	Apigee 環境管理者	デプロイメントを含む Apigee 環境リソースに対する完全な読み取り / 書き込みアクセス権。	apigee.datacollectors.get apigee.datacollectors.list apigee.deployments.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getIamPolicy apigee.environments.getStats apigee.environments.list apigee.environments.setIamPolicy apigee.flowhooks.* apigee.ingressconfigs.* apigee.keystorealiases.* apigee.keystores.* apigee.keyvaluemaps.* apigee.maskconfigs.* apigee.organizations.get apigee.organizations.list apigee.proxies.get apigee.proxies.list apigee.proxyrevisions.deploy apigee.proxyrevisions.get apigee.proxyrevisions.list apigee.proxyrevisions.undeploy apigee.references.* apigee.resourcefiles.* apigee.sharedflowrevisions.deploy apigee.sharedflowrevisions.get apigee.sharedflowrevisions.list apigee.sharedflowrevisions.undeploy apigee.sharedflows.get apigee.sharedflows.list apigee.targetservers.* apigee.tracesessions.* resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
`roles/apigee.portalAdmin`	Apigee ポータル管理者	Apigee 組織のポータル管理者	apigee.organizations.get apigee.organizations.list apigee.portals.* resourcemanager.projects.get resourcemanager.projects.list
`roles/apigee.readOnlyAdmin`	Apigee 読み取り専用管理者	すべての Apigee リソースの閲覧者	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.appkeys.get apigee.apps.* apigee.caches.list apigee.canaryevaluations.get apigee.datacollectors.get apigee.datacollectors.list apigee.datastores.get apigee.datastores.list apigee.deployments.get apigee.deployments.list apigee.developerappattributes.get apigee.developerappattributes.list apigee.developerapps.get apigee.developerapps.list apigee.developerattributes.get apigee.developerattributes.list apigee.developers.get apigee.developers.list apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getDataLocation apigee.environments.getIamPolicy apigee.environments.getStats apigee.environments.list apigee.exports.get apigee.exports.list apigee.flowhooks.getSharedFlow apigee.flowhooks.list apigee.hostqueries.get apigee.hostqueries.list apigee.hoststats.* apigee.ingressconfigs.* apigee.instanceattachments.get apigee.instanceattachments.list apigee.instances.get apigee.instances.list apigee.keystorealiases.get apigee.keystorealiases.list apigee.keystores.get apigee.keystores.list apigee.keyvaluemaps.list apigee.maskconfigs.get apigee.operations.* apigee.organizations.get apigee.organizations.list apigee.portals.get apigee.portals.list apigee.proxies.get apigee.proxies.list apigee.proxyrevisions.get apigee.proxyrevisions.list apigee.queries.get apigee.queries.list apigee.references.get apigee.references.list apigee.reports.get apigee.reports.list apigee.resourcefiles.get apigee.resourcefiles.list apigee.sharedflowrevisions.get apigee.sharedflowrevisions.list apigee.sharedflows.get apigee.sharedflows.list apigee.targetservers.get apigee.targetservers.list apigee.tracesessions.get apigee.tracesessions.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
`roles/apigee.runtimeAgent`	Apigee ランタイムエージェント	ランタイムエージェントが Apigee 組織リソースにアクセスするための、キュレートされた権限セット	apigee.canaryevaluations.* apigee.ingressconfigs.* apigee.instances.reportStatus apigee.operations.*
`roles/apigee.synchronizerManager`	Apigee Synchronizer 管理者	Synchronizer で Apigee 組織の環境を管理するための、キュレートされた権限セット	apigee.environments.get apigee.environments.manageRuntime apigee.ingressconfigs.*
`roles/apigeeconnect.Admin`	Apigee Connect 管理者	Apigee Connect の管理者	apigeeconnect.connections.*
`roles/apigeeconnect.Agent`	Apigee Connect エージェント	外部クラスタと Google の間の Apigee Connect エージェントを設定できます。	apigeeconnect.endpoints.*

App Engine のロール

ロール	役職	説明	権限	最下位のリソース
`roles/appengine.appAdmin`	App Engine 管理者	すべてのアプリケーションの構成と設定に対する読み取り / 書き込み / 変更アクセス権。新しいバージョンをデプロイするには、サービスアカウントユーザー（`roles/iam.serviceAccountUser`）のロールも付与する必要があります。 `gcloud` ツールを使用してデプロイするには、Compute ストレージ管理者（`roles/compute.storageAdmin`）ロールと Cloud Build 編集者（`roles/cloudbuild.builds.editor`）ロールを追加する必要があります。	appengine.applications.get appengine.applications.update appengine.instances.* appengine.operations.* appengine.runtimes.* appengine.services.* appengine.versions.create appengine.versions.delete appengine.versions.get appengine.versions.list appengine.versions.update resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/appengine.appCreator`	App Engine 作成者	プロジェクトの App Engine リソースを作成できます。	appengine.applications.create resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/appengine.appViewer`	App Engine 閲覧者	すべてのアプリケーション構成への読み取り専用アクセス権。	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.get appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/appengine.codeViewer`	App Engine コード閲覧者	すべてのアプリケーションの構成と設定、デプロイされたソースコードに対する読み取り専用権限。	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.get appengine.versions.getFileContents appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/appengine.deployer`	App Engine デプロイ担当者	すべてのアプリケーション構成への読み取り専用アクセス権。新しいバージョンをデプロイするには、サービスアカウントユーザー（`roles/iam.serviceAccountUser`）のロールも付与する必要があります。 `gcloud` ツールを使用してデプロイするには、Compute ストレージ管理者（`roles/compute.storageAdmin`）ロールと Cloud Build 編集者（`roles/cloudbuild.builds.editor`）ロールを追加する必要があります。既存のバージョンに対しては、トラフィックを受信していないバージョンを削除する以外の変更は加えられません。	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.create appengine.versions.delete appengine.versions.get appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/appengine.serviceAdmin`	App Engine サービス管理者	すべてのアプリケーション構成への読み取り専用アクセス権。モジュールレベルおよびバージョンレベルの設定に対する書き込み権限。新しいバージョンをデプロイすることはできません。	appengine.applications.get appengine.instances.* appengine.operations.* appengine.services.* appengine.versions.delete appengine.versions.get appengine.versions.list appengine.versions.update resourcemanager.projects.get resourcemanager.projects.list	プロジェクト

Artifact Registry のロール

ロール	役職	説明	権限
`roles/artifactregistry.admin`	Artifact Registry 管理者^ベータ版	リポジトリを作成、管理するための管理者アクセス権。	artifactregistry.*
`roles/artifactregistry.reader`	Artifact Registry 読み取り^ベータ版	リポジトリアイテムを読み取るためのアクセス権。	artifactregistry.files.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.tags.get artifactregistry.tags.list artifactregistry.versions.get artifactregistry.versions.list
`roles/artifactregistry.repoAdmin`	Artifact Registry リポジトリ管理者^ベータ版	リポジトリ内のアーティファクトを管理するためのアクセス権。	artifactregistry.files.* artifactregistry.packages.* artifactregistry.repositories.deleteArtifacts artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.uploadArtifacts artifactregistry.tags.* artifactregistry.versions.*
`roles/artifactregistry.writer`	Artifact Registry 書き込み^ベータ版	リポジトリアイテムの読み取りと書き込みを行うためのアクセス権。	artifactregistry.files.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.uploadArtifacts artifactregistry.tags.create artifactregistry.tags.get artifactregistry.tags.list artifactregistry.tags.update artifactregistry.versions.get artifactregistry.versions.list

Assured Workloads のロール

ロール	役職	説明	権限
`roles/assuredworkloads.admin`	Assured Workloads 管理者	Assured Workloads リソースに対する完全アクセス権（IAM ポリシーの管理を含む）を付与します。	assuredworkloads.* orgpolicy.* resourcemanager.organizations.get resourcemanager.projects.create resourcemanager.projects.get resourcemanager.projects.list
`roles/assuredworkloads.editor`	Assured Workloads 編集者	Assured Workloads リソースに対する読み取りおよび書き込みアクセス権を付与します。	assuredworkloads.* orgpolicy.* resourcemanager.organizations.get resourcemanager.projects.create resourcemanager.projects.get resourcemanager.projects.list
`roles/assuredworkloads.reader`	Assured Workloads 閲覧者	すべての Assured Workloads リソースに対する読み取りアクセス権を付与します。	assuredworkloads.operations.* assuredworkloads.workload.get assuredworkloads.workload.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

AutoML のロール

役割	役職	説明	権限	最下位のリソース
`roles/automl.admin`	AutoML 管理者^ベータ版	すべての AutoML リソースに対する完全アクセス権	automl.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list	データセット / モデル
`roles/automl.editor`	AutoML 編集者^ベータ版	すべての AutoML リソースの編集者	automl.annotationSpecs.* automl.annotations.* automl.columnSpecs.* automl.datasets.create automl.datasets.delete automl.datasets.export automl.datasets.get automl.datasets.import automl.datasets.list automl.datasets.update automl.examples.* automl.humanAnnotationTasks.* automl.locations.get automl.locations.list automl.modelEvaluations.* automl.models.create automl.models.delete automl.models.deploy automl.models.export automl.models.get automl.models.list automl.models.predict automl.models.undeploy automl.operations.* automl.tableSpecs.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list	データセット / モデル
`roles/automl.predictor`	AutoML 予測者^ベータ版	モデルを使用して予測します	automl.models.predict resourcemanager.projects.get resourcemanager.projects.list	モデル
`roles/automl.viewer`	AutoML 閲覧者^ベータ版	すべての AutoML リソースの閲覧者	automl.annotationSpecs.get automl.annotationSpecs.list automl.annotations.list automl.columnSpecs.get automl.columnSpecs.list automl.datasets.get automl.datasets.list automl.examples.get automl.examples.list automl.humanAnnotationTasks.get automl.humanAnnotationTasks.list automl.locations.get automl.locations.list automl.modelEvaluations.get automl.modelEvaluations.list automl.models.get automl.models.list automl.operations.get automl.operations.list automl.tableSpecs.get automl.tableSpecs.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list	データセット / モデル

BigQuery のロール

ロール	役職	説明	権限	最下位のリソース
`roles/bigquery.admin`	BigQuery 管理者	プロジェクト内のすべてのリソースを管理する権限を提供します。プロジェクト内のすべてのデータを管理でき、プロジェクト内で実行されている他のユーザーのジョブもキャンセルできます。	bigquery.* resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/bigquery.connectionAdmin`	BigQuery Connection 管理者		bigquery.connections.*
`roles/bigquery.connectionUser`	BigQuery Connection ユーザー		bigquery.connections.get bigquery.connections.getIamPolicy bigquery.connections.list bigquery.connections.use
`roles/bigquery.dataEditor`	BigQuery データ編集者	このロールをテーブルまたはビューに適用すると、次の権限が付与されます。テーブルまたはビューのデータとメタデータを読み取り、更新する。テーブルまたはビューを削除する。このロールは、個々のモデルやルーティンに適用できません。このロールをデータセットに適用すると、次の権限が付与されます。データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。データセットのテーブルを作成、更新、取得、削除する。プロジェクトまたは組織レベルで適用した場合、このロールは新しいデータセットを作成することもできます。	bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.models.* bigquery.routines.* bigquery.tables.create bigquery.tables.delete bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag resourcemanager.projects.get resourcemanager.projects.list	テーブルまたはビュー
`roles/bigquery.dataOwner`	BigQuery データオーナー	このロールをテーブルまたはビューに適用すると、次の権限が付与されます。テーブルまたはビューのデータとメタデータを読み取り、更新する。テーブルまたはビューを共有する。テーブルまたはビューを削除する。このロールは、個々のモデルやルーティンに適用できません。このロールをデータセットに適用すると、次の権限が付与されます。データセットを読み取り、更新、削除する。データセットのテーブルを作成、更新、取得、削除する。プロジェクトまたは組織レベルで適用した場合、このロールは新しいデータセットを作成することもできます。	bigquery.datasets.* bigquery.models.* bigquery.routines.* bigquery.tables.* resourcemanager.projects.get resourcemanager.projects.list	テーブルまたはビュー
`roles/bigquery.dataViewer`	BigQuery データ閲覧者	このロールをテーブルまたはビューに適用すると、次の権限が付与されます。テーブルまたはビューからデータとメタデータを読み取る。このロールは、個々のモデルやルーティンに適用できません。このロールをデータセットに適用すると、次の権限が付与されます。データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。データセットのテーブルからデータとメタデータを読み取る。プロジェクトまたは組織レベルで適用した場合、このロールは、プロジェクト内のすべてのデータセットを列挙することもできます。ただし、ジョブを実行するためには別途他のロールが必要です。	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list	テーブルまたはビュー
`roles/bigquery.jobUser`	BigQuery ジョブユーザー	プロジェクト内でジョブ（クエリを含む）を実行する権限を付与します。	bigquery.jobs.create resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/bigquery.metadataViewer`	BigQuery メタデータ閲覧者	このロールをテーブルまたはビューに適用すると、次の権限が付与されます。テーブルまたはビューからメタデータを読み取る。このロールは、個々のモデルやルーティンに適用できません。このロールをデータセットに適用すると、次の権限が付与されます。データセット内のテーブルとビューを一覧表示する。データセットのテーブルとビューからメタデータを読み取る。このロールをプロジェクトレベルまたは組織レベルで適用すると、次の権限が付与されます。プロジェクト内のすべてのデータセットを一覧表示し、すべてのデータセットのメタデータを読み込む。プロジェクト内のすべてのテーブルとビューを一覧表示し、すべてのテーブルとビューのメタデータを読み込みます。ジョブを実行する場合は別途他のロールが必要です。	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.get bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list	テーブルまたはビュー
`roles/bigquery.readSessionUser`	BigQuery 読み取りセッションユーザー	読み取りセッションを作成および使用するためのアクセス権	bigquery.readsessions.* resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.resourceAdmin`	BigQuery リソース管理者	BigQuery のすべてのリソースを管理します。	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.* bigquery.reservations.* resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.resourceEditor`	BigQuery リソース編集者	すべての BigQuery リソースを管理しますが、購入意思決定はできません。	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.* bigquery.reservations.* resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.resourceViewer`	BigQuery リソース閲覧者	すべての BigQuery リソースを表示できますが、変更や購入意思決定はできません。	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.user`	BigQuery ユーザー	このロールをデータセットに適用すると、データセットのメタデータを読み取り、データセット内のテーブルを一覧表示できます。プロジェクトに適用すると、プロジェクト内でクエリなどのジョブを実行することもできるようになります。このロールを持つメンバーは、自分が所有するジョブの列挙、自分が所有するジョブのキャンセル、プロジェクト内のデータセットの列挙を行うことができます。また、プロジェクト内に新しいデータセットを作成することもできます。作成者には新しいデータセットに対する BigQuery データオーナーのロール（`roles/bigquery.dataOwner`）が付与されます。	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.config.get bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.jobs.create bigquery.jobs.list bigquery.models.list bigquery.readsessions.* bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list bigquery.routines.list bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.list bigquery.transfers.get resourcemanager.projects.get resourcemanager.projects.list	データセット

Cloud Bigtable のロール

ロール	役職	説明	権限	最下位のリソース
`roles/bigtable.admin`	Bigtable 管理者	テーブル内に保存されているデータなど、プロジェクト内のすべてのインスタンスを管理します。新しいインスタンスを作成できます。プロジェクト管理者向け。	bigtable.* monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get	テーブル
`roles/bigtable.reader`	Bigtable Reader	テーブル内に保存されたデータへの読み取りアクセス権を提供します。データサイエンティスト、ダッシュボード生成ツール、その他のデータ分析シナリオ向け。	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.keyvisualizer.* bigtable.locations.* bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list bigtable.tables.readRows bigtable.tables.sampleRowKeys monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get	テーブル
`roles/bigtable.user`	Bigtable ユーザー	テーブル内に保存されたデータへの読み取り / 書き込みアクセス権を提供します。アプリケーションデベロッパーやサービスアカウント向け。	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.keyvisualizer.* bigtable.locations.* bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list bigtable.tables.mutateRows bigtable.tables.readRows bigtable.tables.sampleRowKeys monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get	テーブル
`roles/bigtable.viewer`	Bigtable 閲覧者	データにはアクセスできません。Cloud Bigtable の Cloud Console にアクセスするための最小権限セットとして使用されます。	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.locations.* bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get	テーブル

請求のロール

ロール	役職	説明	権限	最下位のリソース
`roles/billing.admin`	請求先アカウント管理者	請求先アカウントを表示、管理できる権限を付与します。	billing.accounts.close billing.accounts.get billing.accounts.getIamPolicy billing.accounts.getPaymentInfo billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.accounts.move billing.accounts.redeemPromotion billing.accounts.removeFromOrganization billing.accounts.reopen billing.accounts.setIamPolicy billing.accounts.update billing.accounts.updatePaymentInfo billing.accounts.updateUsageExportSpec billing.budgets.* billing.credits.* billing.resourceAssociations.* billing.subscriptions.* cloudnotifications.* consumerprocurement.accounts.* consumerprocurement.orders.* dataprocessing.datasources.get dataprocessing.datasources.list dataprocessing.groupcontrols.get dataprocessing.groupcontrols.list logging.logEntries.list logging.logServiceIndexes.* logging.logServices.* logging.logs.list logging.privateLogEntries.* recommender.commitmentUtilizationInsights.* recommender.usageCommitmentRecommendations.* resourcemanager.projects.createBillingAssignment resourcemanager.projects.deleteBillingAssignment	請求先アカウント
`roles/billing.costsManager`	請求先アカウントの費用管理者	請求先アカウントの費用情報を表示、エクスポートできます。	billing.accounts.get billing.accounts.getIamPolicy billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.accounts.updateUsageExportSpec billing.budgets.*
`roles/billing.creator`	請求先アカウント作成者	請求先アカウントを作成するための権限を付与します。	billing.accounts.create resourcemanager.organizations.get	組織
`roles/billing.projectManager`	プロジェクト支払い管理者	プロジェクトの請求先アカウントの割り当てと、請求の無効化を行う権限を付与します。	resourcemanager.projects.createBillingAssignment resourcemanager.projects.deleteBillingAssignment	プロジェクト
`roles/billing.user`	請求先アカウントユーザー	プロジェクトに請求先アカウントを関連付けるための権限を付与します。	billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.accounts.redeemPromotion billing.credits.* billing.resourceAssociations.create	請求先アカウント
`roles/billing.viewer`	請求先アカウント閲覧者	請求先アカウントの費用情報とトランザクションを表示します。	billing.accounts.get billing.accounts.getIamPolicy billing.accounts.getPaymentInfo billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.budgets.get billing.budgets.list billing.credits.* billing.resourceAssociations.list billing.subscriptions.get billing.subscriptions.list consumerprocurement.accounts.get consumerprocurement.accounts.list consumerprocurement.orders.get consumerprocurement.orders.list dataprocessing.datasources.get dataprocessing.datasources.list dataprocessing.groupcontrols.get dataprocessing.groupcontrols.list recommender.commitmentUtilizationInsights.get recommender.commitmentUtilizationInsights.list recommender.usageCommitmentRecommendations.get recommender.usageCommitmentRecommendations.list	請求先アカウント

Binary Authorization のロール

役割	役職	説明	権限
`roles/binaryauthorization.attestorsAdmin`	Binary Authorization 認証者管理者	Binary Authorization 認証者の管理者	binaryauthorization.attestors.* resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.attestorsEditor`	Binary Authorization 認証者編集者	Binary Authorization 認証者の編集者	binaryauthorization.attestors.create binaryauthorization.attestors.delete binaryauthorization.attestors.get binaryauthorization.attestors.list binaryauthorization.attestors.update binaryauthorization.attestors.verifyImageAttested resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.attestorsVerifier`	Binary Authorization 認証者イメージ検証者	Binary Authorization 認証者の VerifyImageAttested の呼び出し担当者	binaryauthorization.attestors.get binaryauthorization.attestors.list binaryauthorization.attestors.verifyImageAttested resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.attestorsViewer`	Binary Authorization 認証者閲覧者	Binary Authorization 認証者の閲覧者	binaryauthorization.attestors.get binaryauthorization.attestors.list resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.continuousValidationConfigAdmin`	Binary Authorization ContinuousValidationConfig 管理者^ベータ版	Binary Authorization ContinuousValidationConfig 管理者	binaryauthorization.continuousValidationConfig.* resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.continuousValidationConfigEditor`	Binary Authorization ContinuousValidationConfig 編集者^ベータ版	Binary Authorization ContinuousValidationConfig の編集者	binaryauthorization.continuousValidationConfig.get binaryauthorization.continuousValidationConfig.update resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.continuousValidationConfigViewer`	Binary Authorization ContinuousValidationConfig 閲覧者^ベータ版	Binary Authorization ContinuousValidationConfig の閲覧者	binaryauthorization.continuousValidationConfig.get resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.policyAdmin`	Binary Authorization ポリシー管理者	Binary Authorization ポリシーの管理者	binaryauthorization.policy.* resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.policyEditor`	Binary Authorization ポリシー編集者	Binary Authorization ポリシーの編集者	binaryauthorization.policy.get binaryauthorization.policy.update resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.policyViewer`	Binary Authorization ポリシー閲覧者	Binary Authorization ポリシーの閲覧者	binaryauthorization.policy.get resourcemanager.projects.get resourcemanager.projects.list

Hangouts Chat のロール

役割	役職	説明	権限	最下位のリソース
`roles/chat.owner`	チャットボットオーナー	bot 構成を表示および変更できます	chat.*
`roles/chat.reader`	チャットボット閲覧者	bot 構成を表示できます	chat.bots.get

Cloud Asset のロール

役割	役職	説明	権限	最下位のリソース
`roles/cloudasset.owner`	Cloud Asset オーナー	Cloud Asset メタデータへの完全アクセス権	cloudasset.*
`roles/cloudasset.viewer`	Cloud Asset 閲覧者	Cloud Asset メタデータに対する読み取り権限	cloudasset.assets.*

Cloud Build のロール

役割	役職	説明	権限	最下位のリソース
`roles/cloudbuild.builds.builder`	Cloud Build サービスアカウント	ビルドを実行するためのアクセス権を提供します。	artifactregistry.files.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.uploadArtifacts artifactregistry.tags.create artifactregistry.tags.get artifactregistry.tags.list artifactregistry.tags.update artifactregistry.versions.get artifactregistry.versions.list cloudbuild.* containeranalysis.occurrences.create containeranalysis.occurrences.delete containeranalysis.occurrences.get containeranalysis.occurrences.list containeranalysis.occurrences.update logging.logEntries.create pubsub.topics.create pubsub.topics.publish remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update
`roles/cloudbuild.builds.editor`	Cloud Build 編集者	ビルドを作成、キャンセルするための権限を付与します。	cloudbuild.* remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/cloudbuild.builds.viewer`	Cloud Build 閲覧者	ビルドを表示するための権限を付与します。	cloudbuild.builds.get cloudbuild.builds.list remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list	プロジェクト

Cloud Data Fusion のロール

ロール	役職	説明	権限	最下位のリソース
`roles/datafusion.admin`	Cloud Data Fusion 管理者 ^ベータ版	Cloud Data Fusion インスタンスと関連リソースに対する完全アクセス権。	datafusion.* resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/datafusion.runner`	Cloud Data Fusion ランナー^ベータ版	Cloud Data Fusion ランタイムリソースに対するアクセス権。	datafusion.instances.runtime
`roles/datafusion.viewer`	Cloud Data Fusion 閲覧者 ^ベータ版	Cloud Data Fusion インスタンスと関連リソースに対する読み取り専用アクセス権。	datafusion.instances.get datafusion.instances.getIamPolicy datafusion.instances.list datafusion.instances.runtime datafusion.locations.* datafusion.operations.get datafusion.operations.list resourcemanager.projects.get resourcemanager.projects.list	プロジェクト

Cloud デバッガのロール

ロール	役職	説明	権限	最下位のリソース
`roles/clouddebugger.agent`	Cloud デバッガエージェント ^ベータ版	デバッグターゲットの登録、アクティブなブレークポイントの読み取り、ブレークポイントの結果の報告を行うアクセス権を付与します。	clouddebugger.breakpoints.list clouddebugger.breakpoints.listActive clouddebugger.breakpoints.update clouddebugger.debuggees.create	サービスアカウント
`roles/clouddebugger.user`	Cloud デバッガユーザー^ベータ版	ブレークポイント（スナップショットとログポイント）の作成、表示、一覧表示、削除に加え、デバッグターゲット（デバッグ対象）の一覧表示を行うアクセス権を付与します。	clouddebugger.breakpoints.create clouddebugger.breakpoints.delete clouddebugger.breakpoints.get clouddebugger.breakpoints.list clouddebugger.debuggees.list	プロジェクト

Cloud DocumentAI のロール

ロール	役職	説明	権限
`roles/documentai.admin`	Cloud DocumentAI 管理者。^ベータ版	Cloud DocumentAI 内のすべてのリソースに対する完全アクセス権を付与します	documentai.* resourcemanager.projects.get resourcemanager.projects.list
`roles/documentai.apiUser`	Cloud DocumentAI API ユーザー^ベータ版	Cloud DocumentAI 内のドキュメントを処理するためのアクセス権を付与します	documentai.humanReviewConfigs.review documentai.operations.* documentai.processors.processBatch documentai.processors.processOnline
`roles/documentai.editor`	Cloud DocumentAI 編集者^ベータ版	Cloud DocumentAI 内のすべてのリソースを使用するためのアクセス権を付与します	documentai.* resourcemanager.projects.get resourcemanager.projects.list
`roles/documentai.viewer`	Cloud DocumentAI 閲覧者^ベータ版	Cloud DocumentAI 内のすべてのリソースを表示し、ドキュメントを処理するためのアクセス権を付与します	documentai.humanReviewConfigs.get documentai.humanReviewConfigs.review documentai.labelerPools.get documentai.labelerPools.list documentai.locations.* documentai.operations.* documentai.processorTypes.* documentai.processorVersions.get documentai.processorVersions.list documentai.processors.fetchHumanReviewDetails documentai.processors.get documentai.processors.list documentai.processors.processBatch documentai.processors.processOnline resourcemanager.projects.get resourcemanager.projects.list

Cloud Functions のロール

役割	役職	説明	権限
`roles/cloudfunctions.admin`	Cloud Functions 管理者	関数、演算、場所に対する完全アクセス権。	cloudfunctions.* resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/cloudfunctions.developer`	Cloud Functions デベロッパー	すべての Cloud Functions 関連リソースに対する読み取り / 書き込み権限。	cloudfunctions.functions.call cloudfunctions.functions.create cloudfunctions.functions.delete cloudfunctions.functions.get cloudfunctions.functions.invoke cloudfunctions.functions.list cloudfunctions.functions.sourceCodeGet cloudfunctions.functions.sourceCodeSet cloudfunctions.functions.update cloudfunctions.locations.* cloudfunctions.operations.* resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/cloudfunctions.invoker`	Cloud Functions 起動元	アクセスが制限されている HTTP 関数を呼び出せます。	cloudfunctions.functions.invoke
`roles/cloudfunctions.viewer`	Cloud Functions 閲覧者	関数と場所に対する読み取り専用権限。	cloudfunctions.functions.get cloudfunctions.functions.list cloudfunctions.locations.* cloudfunctions.operations.* resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Cloud IAP のロール

役割	役職	説明	権限	最下位のリソース
`roles/iap.admin`	IAP ポリシー管理者	Identity-Aware Proxy のリソースに対する完全アクセス権を付与します。	iap.tunnel.* iap.tunnelInstances.getIamPolicy iap.tunnelInstances.setIamPolicy iap.tunnelZones.* iap.web.getIamPolicy iap.web.setIamPolicy iap.webServiceVersions.getIamPolicy iap.webServiceVersions.setIamPolicy iap.webServices.getIamPolicy iap.webServices.setIamPolicy iap.webTypes.getIamPolicy iap.webTypes.setIamPolicy	プロジェクト
`roles/iap.httpsResourceAccessor`	IAP で保護されたウェブアプリユーザー	Identity-Aware Proxy を使用する HTTPS リソースへのアクセス権を付与します。	iap.webServiceVersions.accessViaIAP	プロジェクト
`roles/iap.settingsAdmin`	IAP 設定管理者	IAP 設定の管理者。	iap.projects.* iap.web.getSettings iap.web.updateSettings iap.webServiceVersions.getSettings iap.webServiceVersions.updateSettings iap.webServices.getSettings iap.webServices.updateSettings iap.webTypes.getSettings iap.webTypes.updateSettings
`roles/iap.tunnelResourceAccessor`	IAP で保護されたトンネルユーザー	Identity-Aware Proxy を使用するトンネルリソースのアクセス権	iap.tunnelInstances.accessViaIAP

Cloud IoT のロール

ロール	役職	説明	権限	最下位のリソース
`roles/cloudiot.admin`	Cloud IoT 管理者	すべての Cloud IoT リソースと権限を完全に管理できる権限。	cloudiot.* cloudiottoken.*	デバイス
`roles/cloudiot.deviceController`	Cloud IoT デバイスコントローラ	デバイス構成を更新するためのアクセス権。デバイスの作成や削除はできません。	cloudiot.devices.get cloudiot.devices.list cloudiot.devices.sendCommand cloudiot.devices.updateConfig cloudiot.registries.get cloudiot.registries.list cloudiottoken.tokensettings.get	デバイス
`roles/cloudiot.editor`	Cloud IoT 編集者	すべての Cloud IoT リソースに対する読み取り / 書き込みアクセス権。	cloudiot.devices.* cloudiot.registries.create cloudiot.registries.delete cloudiot.registries.get cloudiot.registries.list cloudiot.registries.update cloudiottoken.*	デバイス
`roles/cloudiot.provisioner`	Cloud IoT プロビジョナー	レジストリに対してデバイスを作成および削除する権限（レジストリを変更する権限は除く）。	cloudiot.devices.* cloudiot.registries.get cloudiot.registries.list cloudiottoken.tokensettings.get	デバイス
`roles/cloudiot.viewer`	Cloud IoT 閲覧者	すべての Cloud IoT リソースに対する読み取り専用アクセス権。	cloudiot.devices.get cloudiot.devices.list cloudiot.registries.get cloudiot.registries.list cloudiottoken.tokensettings.get	デバイス

Cloud Talent Solution のロール

ロール	役職	説明	権限
`roles/cloudjobdiscovery.admin`	管理者	Cloud Talent Solution セルフサービスツールに対するアクセス権。	cloudjobdiscovery.tools.* iam.serviceAccounts.list resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudjobdiscovery.jobsEditor`	ジョブ編集者	Cloud Talent Solution のすべてのジョブデータに対する書き込みアクセス権。	cloudjobdiscovery.companies.* cloudjobdiscovery.events.* cloudjobdiscovery.jobs.* cloudjobdiscovery.tenants.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudjobdiscovery.jobsViewer`	ジョブ閲覧者	Cloud Talent Solution のすべてのジョブデータに対する読み取りアクセス権。	cloudjobdiscovery.companies.get cloudjobdiscovery.companies.list cloudjobdiscovery.jobs.get cloudjobdiscovery.jobs.search cloudjobdiscovery.tenants.get resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudjobdiscovery.profilesEditor`	プロファイル編集者	Cloud Talent Solution のすべてのプロファイルデータに対する書き込み権限。	cloudjobdiscovery.events.* cloudjobdiscovery.profiles.* cloudjobdiscovery.tenants.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudjobdiscovery.profilesViewer`	プロファイル閲覧者	Cloud Talent Solution のすべてのプロファイルデータに対する読み取り権限。	cloudjobdiscovery.profiles.get cloudjobdiscovery.profiles.search cloudjobdiscovery.tenants.get resourcemanager.projects.get resourcemanager.projects.list

Cloud KMS のロール

役割	役職	説明	権限	最下位のリソース
`roles/cloudkms.admin`	Cloud KMS 管理者	暗号化と復号を除く、Cloud KMS リソースに対する完全アクセス権を付与します。	cloudkms.cryptoKeyVersions.create cloudkms.cryptoKeyVersions.destroy cloudkms.cryptoKeyVersions.get cloudkms.cryptoKeyVersions.list cloudkms.cryptoKeyVersions.restore cloudkms.cryptoKeyVersions.update cloudkms.cryptoKeys.* cloudkms.importJobs.* cloudkms.keyRings.* resourcemanager.projects.get	暗号鍵
`roles/cloudkms.cryptoKeyDecrypter`	Cloud KMS 暗号鍵の復号	復号の場合のみ、Cloud KMS リソースの使用を許可します。	cloudkms.cryptoKeyVersions.useToDecrypt resourcemanager.projects.get	暗号鍵
`roles/cloudkms.cryptoKeyEncrypter`	Cloud KMS 暗号鍵の暗号化	暗号化の場合にのみ、Cloud KMS リソースの使用を許可します。	cloudkms.cryptoKeyVersions.useToEncrypt resourcemanager.projects.get	暗号鍵
`roles/cloudkms.cryptoKeyEncrypterDecrypter`	Cloud KMS 暗号鍵の暗号化 / 復号	暗号化と復号の場合のみ、Cloud KMS リソースの使用を許可します。	cloudkms.cryptoKeyVersions.useToDecrypt cloudkms.cryptoKeyVersions.useToEncrypt resourcemanager.projects.get	暗号鍵
`roles/cloudkms.importer`	Cloud KMS インポータ	ImportCryptoKeyVersion、CreateImportJob、ListImportJobs、GetImportJob の各オペレーションを有効にします	cloudkms.importJobs.create cloudkms.importJobs.get cloudkms.importJobs.list cloudkms.importJobs.useToImport resourcemanager.projects.get
`roles/cloudkms.publicKeyViewer`	Cloud KMS 暗号鍵の公開鍵閲覧者	GetPublicKey オペレーションを有効にします。	cloudkms.cryptoKeyVersions.viewPublicKey resourcemanager.projects.get
`roles/cloudkms.signer`	Cloud KMS 暗号鍵の署名者	Sign オペレーションを有効にします	cloudkms.cryptoKeyVersions.useToSign resourcemanager.projects.get
`roles/cloudkms.signerVerifier`	Cloud KMS 暗号鍵の署名者 / 検証者	Sign、Verify、GetPublicKey の各オペレーションを有効にします	cloudkms.cryptoKeyVersions.useToSign cloudkms.cryptoKeyVersions.viewPublicKey resourcemanager.projects.get

Cloud Marketplace のロール

ロール	役職	説明	権限
`roles/consumerprocurement.entitlementManager`	Consumer Procurement Entitlement 管理者^ベータ版	エンタイトルメントを管理し、コンシューマプロジェクトのサービス状態の有効化、無効化、検査を行うことができます。	consumerprocurement.entitlements.* consumerprocurement.freeTrials.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list
`roles/consumerprocurement.entitlementViewer`	Consumer Procurement Entitlement 閲覧者^ベータ版	ユーザープロジェクトのエンタイトルメントとサービスの状態を検査できます。	consumerprocurement.entitlements.* consumerprocurement.freeTrials.get consumerprocurement.freeTrials.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list
`roles/consumerprocurement.orderAdmin`	Consumer Procurement Order 管理者^ベータ版	購入を管理できます。	consumerprocurement.accounts.* consumerprocurement.orders.*
`roles/consumerprocurement.orderViewer`	Consumer Procurement Order 閲覧者^ベータ版	購入を検査できます。	consumerprocurement.accounts.get consumerprocurement.accounts.list consumerprocurement.orders.get consumerprocurement.orders.list

Cloud Migration のロール

役割	役職	説明	権限
`roles/cloudmigration.inframanager`	Velostrata Manager ^ベータ版	Compute VM を作成、管理して Velostrata インフラストラクチャを運用できる権限	cloudmigration.* compute.addresses.* compute.diskTypes.* compute.disks.create compute.disks.createSnapshot compute.disks.delete compute.disks.get compute.disks.list compute.disks.setLabels compute.disks.update compute.disks.use compute.disks.useReadOnly compute.globalOperations.get compute.images.get compute.images.list compute.images.useReadOnly compute.instances.attachDisk compute.instances.create compute.instances.delete compute.instances.detachDisk compute.instances.get compute.instances.getSerialPortOutput compute.instances.list compute.instances.reset compute.instances.setDiskAutoDelete compute.instances.setLabels compute.instances.setMachineType compute.instances.setMetadata compute.instances.setMinCpuPlatform compute.instances.setScheduling compute.instances.setServiceAccount compute.instances.setTags compute.instances.start compute.instances.startWithEncryptionKey compute.instances.stop compute.instances.update compute.instances.updateNetworkInterface compute.instances.updateShieldedInstanceConfig compute.instances.use compute.licenseCodes.get compute.licenseCodes.list compute.licenseCodes.update compute.licenseCodes.use compute.licenses.get compute.licenses.list compute.machineTypes.* compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.nodeGroups.get compute.nodeGroups.list compute.nodeTemplates.list compute.projects.get compute.regionOperations.get compute.regions.* compute.snapshots.create compute.snapshots.delete compute.snapshots.get compute.snapshots.setLabels compute.snapshots.useReadOnly compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.zoneOperations.get compute.zones.* gkehub.endpoints.* iam.serviceAccounts.get iam.serviceAccounts.list resourcemanager.projects.get storage.buckets.create storage.buckets.delete storage.buckets.get storage.buckets.list storage.buckets.update
`roles/cloudmigration.storageaccess`	Velostrata ストレージアクセス ^ベータ版	移行ストレージにアクセスできる権限	storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update
`roles/cloudmigration.velostrataconnect`	Velostrata Manager 接続エージェント ^ベータ版	Velostrata Manager と Google の間の接続を設定できる権限	cloudmigration.* gkehub.endpoints.*
`roles/vmmigration.admin`	VM 移行管理者 ^ベータ版	すべての VM Migration オブジェクトの表示と編集の権限	vmmigration.*
`roles/vmmigration.viewer`	VM 移行閲覧者 ^ベータ版	すべての VM Migration オブジェクトを表示できる権限	vmmigration.deployments.get vmmigration.deployments.list

Cloud プライベートカタログのロール

役割	役職	説明	権限
`roles/cloudprivatecatalog.consumer`	カタログユーザー^ベータ版	ターゲットリソースコンテキストでカタログを参照できます。	cloudprivatecatalog.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudprivatecatalogproducer.admin`	カタログ管理者^ベータ版	カタログを管理し、カタログの関連付けを表示できます。	cloudprivatecatalog.* cloudprivatecatalogproducer.associations.* cloudprivatecatalogproducer.catalogAssociations.* cloudprivatecatalogproducer.catalogs.* cloudprivatecatalogproducer.producerCatalogs.* cloudprivatecatalogproducer.products.* cloudprivatecatalogproducer.targets.* resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudprivatecatalogproducer.manager`	カタログマネージャー^ベータ版	カタログとターゲットリソース間の関連付けを管理できます。	cloudprivatecatalog.* cloudprivatecatalogproducer.associations.* cloudprivatecatalogproducer.catalogAssociations.* cloudprivatecatalogproducer.catalogs.get cloudprivatecatalogproducer.catalogs.list cloudprivatecatalogproducer.producerCatalogs.get cloudprivatecatalogproducer.producerCatalogs.list cloudprivatecatalogproducer.targets.* resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudprivatecatalogproducer.orgAdmin`	カタログ組織管理者^ベータ版	カタログ組織の設定を管理できます。	cloudprivatecatalog.* cloudprivatecatalogproducer.* resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

Cloud Profiler のロール

ロール	役職	説明	権限	最下位のリソース
`roles/cloudprofiler.agent`	Cloud Profiler エージェント	Cloud Profiler エージェントは、プロファイリングデータの登録と出力が可能です。	cloudprofiler.profiles.create cloudprofiler.profiles.update
`roles/cloudprofiler.user`	Cloud Profiler ユーザー	Cloud Profiler ユーザーは、プロファイリングデータのクエリと表示が可能です。	cloudprofiler.profiles.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Cloud Scheduler のロール

役割	役職	説明	権限
`roles/cloudscheduler.admin`	Cloud Scheduler 管理者	ジョブと実行に対する完全アクセス権。	appengine.applications.get cloudscheduler.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list
`roles/cloudscheduler.jobRunner`	Cloud Scheduler ジョブ実行者	ジョブを実行するためのアクセス権。	appengine.applications.get cloudscheduler.jobs.fullView cloudscheduler.jobs.run resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list
`roles/cloudscheduler.viewer`	Cloud Scheduler 閲覧者	ジョブ、実行、位置の取得、一覧表示に必要な権限。	appengine.applications.get cloudscheduler.jobs.fullView cloudscheduler.jobs.get cloudscheduler.jobs.list cloudscheduler.locations.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list

Cloud Security Scanner のロール

ロール	役職	説明	権限	最下位のリソース
`roles/cloudsecurityscanner.editor`	Web Security Scanner 編集者	すべての Web Security Scanner リソースに対する完全アクセス権	appengine.applications.get cloudsecurityscanner.* compute.addresses.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	プロジェクト
`roles/cloudsecurityscanner.runner`	Web Security Scanner 実行者	スキャンとスキャン実行に対する読み取りアクセス権、およびスキャンを開始する権限	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.list cloudsecurityscanner.scanruns.stop cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list cloudsecurityscanner.scans.run	プロジェクト
`roles/cloudsecurityscanner.viewer`	Web Security Scanner 閲覧者	すべての Web Security Scanner リソースに対する読み取りアクセス権	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.results.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.getSummary cloudsecurityscanner.scanruns.list cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	プロジェクト

Cloud Services のロール

役割	役職	説明	権限	最下位のリソース
`roles/servicebroker.admin`	サービスブローカー管理者	サービスブローカーリソースへの完全アクセス権。	servicebroker.*
`roles/servicebroker.operator`	サービスブローカーオペレータ	サービスブローカーリソースに対する操作アクセス権。	servicebroker.bindingoperations.* servicebroker.bindings.create servicebroker.bindings.delete servicebroker.bindings.get servicebroker.bindings.list servicebroker.catalogs.create servicebroker.catalogs.delete servicebroker.catalogs.get servicebroker.catalogs.list servicebroker.instanceoperations.* servicebroker.instances.create servicebroker.instances.delete servicebroker.instances.get servicebroker.instances.list servicebroker.instances.update

Cloud SQL のロール

ロール	役職	説明	権限	最下位のリソース
`roles/cloudsql.admin`	Cloud SQL 管理者	Cloud SQL リソースのすべてを管理できます。	cloudsql.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	プロジェクト
`roles/cloudsql.client`	Cloud SQL クライアント	Cloud SQL インスタンスへの接続アクセス権を付与します。	cloudsql.instances.connect cloudsql.instances.get	プロジェクト
`roles/cloudsql.editor`	Cloud SQL 編集者	ユーザー、SSL 証明書の変更、またはリソースの削除を除いて、既存の Cloud SQL インスタンスのすべてを管理できます。	cloudsql.backupRuns.create cloudsql.backupRuns.get cloudsql.backupRuns.list cloudsql.databases.create cloudsql.databases.get cloudsql.databases.list cloudsql.databases.update cloudsql.instances.addServerCa cloudsql.instances.connect cloudsql.instances.export cloudsql.instances.failover cloudsql.instances.get cloudsql.instances.list cloudsql.instances.listServerCas cloudsql.instances.restart cloudsql.instances.rotateServerCa cloudsql.instances.truncateLog cloudsql.instances.update cloudsql.sslCerts.get cloudsql.sslCerts.list cloudsql.users.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	プロジェクト
`roles/cloudsql.instanceUser`	Cloud SQL インスタンスユーザー	Cloud SQL インスタンスへのアクセスを許可するロール	cloudsql.instances.get cloudsql.instances.login
`roles/cloudsql.viewer`	Cloud SQL 閲覧者	Cloud SQL リソースに対する読み取り専用権限を付与します。	cloudsql.backupRuns.get cloudsql.backupRuns.list cloudsql.databases.get cloudsql.databases.list cloudsql.instances.export cloudsql.instances.get cloudsql.instances.list cloudsql.instances.listServerCas cloudsql.sslCerts.get cloudsql.sslCerts.list cloudsql.users.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	プロジェクト

Cloud Tasks のロール

役割	役職	説明	権限
`roles/cloudtasks.admin`	Cloud Tasks 管理者^ベータ版	キューとタスクに対する完全アクセス権。	cloudtasks.* monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.enqueuer`	Cloud Tasks へのデータ追加^ベータ版	タスクを作成するための権限。	cloudtasks.tasks.create cloudtasks.tasks.fullView resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.queueAdmin`	Cloud Tasks のキュー管理者^ベータ版	キューに対する管理者アクセス権です。	cloudtasks.locations.* cloudtasks.queues.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.taskDeleter`	Cloud Tasks のタスク削除^ベータ版	タスクを削除するための権限。	cloudtasks.tasks.delete resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.taskRunner`	Cloud Tasks タスク実行者^ベータ版	タスクを実行するための権限。	cloudtasks.tasks.fullView cloudtasks.tasks.run resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.viewer`	Cloud Tasks 閲覧者^ベータ版	タスク、キュー、位置の取得と一覧表示のアクセス権。	cloudtasks.locations.* cloudtasks.queues.get cloudtasks.queues.list cloudtasks.tasks.fullView cloudtasks.tasks.get cloudtasks.tasks.list monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.list

Cloud Trace のロール

ロール	役職	説明	権限	最下位のリソース
`roles/cloudtrace.admin`	Cloud Trace 管理者	Trace コンソールへの完全アクセス権とトレースへの読み取り / 書き込み権限を付与します。	cloudtrace.* resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/cloudtrace.agent`	Cloud Trace エージェント	サービスアカウントの場合。Stackdriver Trace にデータを送信してトレースを書き込む権限を付与します。	cloudtrace.traces.patch	プロジェクト
`roles/cloudtrace.user`	Cloud Trace ユーザー	Trace コンソールへの完全アクセス権とトレースへの読み取り権限を付与します。	cloudtrace.insights.* cloudtrace.stats.* cloudtrace.tasks.* cloudtrace.traces.get cloudtrace.traces.list resourcemanager.projects.get resourcemanager.projects.list	プロジェクト

Cloud Translation のロール

役割	役職	説明	権限
`roles/cloudtranslate.admin`	Cloud Translation API 管理者	すべての Cloud Translation リソースに対する完全アクセス権	automl.models.get automl.models.predict cloudtranslate.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtranslate.editor`	Cloud Translation API 編集者	すべての Cloud Translation リソースの編集者	automl.models.get automl.models.predict cloudtranslate.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtranslate.user`	Cloud Translation API ユーザー	Cloud Translation と AutoML モデルのユーザー	automl.models.get automl.models.predict cloudtranslate.generalModels.* cloudtranslate.glossaries.batchPredict cloudtranslate.glossaries.get cloudtranslate.glossaries.list cloudtranslate.glossaries.predict cloudtranslate.languageDetectionModels.* cloudtranslate.locations.* cloudtranslate.operations.get cloudtranslate.operations.list cloudtranslate.operations.wait resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtranslate.viewer`	Cloud Translation API 閲覧者	すべての Translation リソースの閲覧者	automl.models.get cloudtranslate.generalModels.get cloudtranslate.glossaries.get cloudtranslate.glossaries.list cloudtranslate.locations.* cloudtranslate.operations.get cloudtranslate.operations.list cloudtranslate.operations.wait resourcemanager.projects.get resourcemanager.projects.list

ワークフローのロール

ロール	役職	説明	権限
`roles/workflows.admin`	ワークフロー管理者^ベータ版	ワークフローと関連リソースに対する完全アクセス権。	resourcemanager.projects.get resourcemanager.projects.list workflows.*
`roles/workflows.editor`	ワークフロー編集者^ベータ版	ワークフローと関連リソースに対する読み取り / 書き込みアクセス権。	resourcemanager.projects.get resourcemanager.projects.list workflows.executions.* workflows.locations.* workflows.operations.* workflows.workflows.create workflows.workflows.delete workflows.workflows.get workflows.workflows.getIamPolicy workflows.workflows.list workflows.workflows.update
`roles/workflows.invoker`	ワークフロー起動元^ベータ版	ワークフローを実行し、実行内容を管理するためのアクセス権。	resourcemanager.projects.get resourcemanager.projects.list workflows.executions.*
`roles/workflows.viewer`	ワークフロー閲覧者^ベータ版	ワークフローと関連リソースに対する読み取り専用アクセス権。	resourcemanager.projects.get resourcemanager.projects.list workflows.executions.get workflows.executions.list workflows.locations.* workflows.operations.get workflows.operations.list workflows.workflows.get workflows.workflows.getIamPolicy workflows.workflows.list

Codelab API キーのロール

役割	役職	説明	権限
`roles/codelabapikeys.admin`	Codelab ApiKeys 管理者^ベータ版	API キーに対する完全アクセス権	resourcemanager.projects.get resourcemanager.projects.list
`roles/codelabapikeys.editor`	Codelab API キー編集者^ベータ版	このロールは API キーのすべてのプロパティを表示および編集できます。	resourcemanager.projects.get resourcemanager.projects.list
`roles/codelabapikeys.viewer`	Codelab API キー閲覧者^ベータ版	このロールは API キーの変更履歴を除くすべてのプロパティを表示できます。	resourcemanager.projects.get resourcemanager.projects.list

Cloud Composer のロール

ロール	役職	説明	権限	最下位のリソース
`roles/composer.admin`	Composer 管理者	Cloud Composer リソースのすべてを管理できます。	composer.* serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	プロジェクト
`roles/composer.environmentAndStorageObjectAdmin`	環境とストレージオブジェクトの管理者	Cloud Composer のリソースとすべてのプロジェクトバケットのオブジェクトを管理できる権限を付与します。	composer.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.objects.*	プロジェクト
`roles/composer.environmentAndStorageObjectViewer`	環境ユーザーとストレージオブジェクトの閲覧者	Cloud Composer 環境とオペレーションを一覧表示して取得するために必要な権限を付与します。すべてのプロジェクトバケットのオブジェクトに対して読み取り専用アクセスを許可します。	composer.environments.get composer.environments.list composer.imageversions.* composer.operations.get composer.operations.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.objects.get storage.objects.list	プロジェクト
`roles/composer.sharedVpcAgent`	Composer の共有 VPC エージェント	共有 VPC ホストプロジェクトで Composer Agent のサービスアカウントに割り当てる必要があるロール	compute.networks.access compute.networks.addPeering compute.networks.get compute.networks.list compute.networks.listPeeringRoutes compute.networks.removePeering compute.networks.updatePeering compute.networks.use compute.networks.useExternalIp compute.projects.get compute.regions.* compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.zones.*
`roles/composer.user`	Composer ユーザー	Cloud Composer 環境とオペレーションを一覧表示して取得するために必要な権限を付与します。	composer.environments.get composer.environments.list composer.imageversions.* composer.operations.get composer.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	プロジェクト
`roles/composer.worker`	Composer ワーカー	Cloud Composer 環境 VM の実行に必要な権限を付与します（サービスアカウント向け）。	artifactregistry.* cloudbuild.* container.* containeranalysis.occurrences.create containeranalysis.occurrences.delete containeranalysis.occurrences.get containeranalysis.occurrences.list containeranalysis.occurrences.update logging.logEntries.create monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.timeSeries.* pubsub.snapshots.create pubsub.snapshots.delete pubsub.snapshots.get pubsub.snapshots.list pubsub.snapshots.seek pubsub.snapshots.update pubsub.subscriptions.consume pubsub.subscriptions.create pubsub.subscriptions.delete pubsub.subscriptions.get pubsub.subscriptions.list pubsub.subscriptions.update pubsub.topics.attachSubscription pubsub.topics.create pubsub.topics.delete pubsub.topics.detachSubscription pubsub.topics.get pubsub.topics.list pubsub.topics.publish pubsub.topics.update pubsub.topics.updateTag remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.*	プロジェクト

Compute Engine のロール

ロール	役職	説明	権限	最下位のリソース
`roles/compute.admin`	Compute 管理者	Compute Engine リソースのすべてを管理する権限。ユーザーがサービスアカウントとして実行するように構成されている仮想マシンインスタンスを管理する場合は、`roles/iam.serviceAccountUser` ロールも付与する必要があります。	compute.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	ディスク、イメージ、インスタンス、インスタンステンプレート、ノードグループ、ノードテンプレート、スナップショット^ベータ版
`roles/compute.imageUser`	Compute イメージユーザー	イメージを一覧表示して読み取る権限（イメージに対する他の権限はありません）。このロールをプロジェクトレベルで付与すると、ユーザーはプロジェクト内のすべてのイメージを一覧表示し、プロジェクト内のイメージに基づいてインスタンス、永続ディスクなどのリソースを作成できます。	compute.images.get compute.images.getFromFamily compute.images.list compute.images.useReadOnly resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	イメージ^ベータ版
`roles/compute.instanceAdmin`	Compute インスタンス管理者（ベータ版）	仮想マシンインスタンスを作成、変更、削除する権限。ディスクの作成、変更、削除を行う権限が含まれます。Shielded VM^ベータ版の設定を構成する権限も含まれます。ユーザーがサービスアカウントとして実行するように構成されている仮想マシンインスタンスを管理する場合は、`roles/iam.serviceAccountUser` ロールも付与する必要があります。たとえば、仮想マシンインスタンスのグループは管理しているが、ネットワークやセキュリティの設定の管理や、サービスアカウントとして実行するインスタンスの管理は行っていないというユーザーが社内にいる場合は、このロールをインスタンスが含まれている組織、フォルダ、プロジェクトあるいは個々のインスタンスに付与できます。	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.addresses.use compute.autoscalers.* compute.diskTypes.* compute.disks.create compute.disks.createSnapshot compute.disks.delete compute.disks.get compute.disks.list compute.disks.resize compute.disks.setLabels compute.disks.update compute.disks.use compute.disks.useReadOnly compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalNetworkEndpointGroups.* compute.globalOperations.get compute.globalOperations.list compute.images.get compute.images.getFromFamily compute.images.list compute.images.useReadOnly compute.instanceGroupManagers.* compute.instanceGroups.* compute.instanceTemplates.* compute.instances.* compute.licenses.get compute.licenses.list compute.machineImages.* compute.machineTypes.* compute.networkEndpointGroups.* compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.projects.get compute.regionNetworkEndpointGroups.* compute.regionOperations.get compute.regionOperations.list compute.regions.* compute.reservations.get compute.reservations.list compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.targetPools.get compute.targetPools.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	ディスク、イメージ、インスタンス、インスタンステンプレート、スナップショット^ベータ版
`roles/compute.instanceAdmin.v1`	Compute インスタンス管理者（v1）	Compute Engine インスタンス、インスタンスグループ、ディスク、スナップショット、イメージのすべてを管理する権限。すべての Compute Engine ネットワーキングリソースへの読み取り専用権権限。このロールをユーザーにインスタンスレベルでのみ付与した場合、そのユーザーは新しいインスタンスを作成できません。	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.addresses.use compute.autoscalers.* compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute.diskTypes.* compute.disks.* compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalForwardingRules.pscGet compute.globalNetworkEndpointGroups.* compute.globalOperations.get compute.globalOperations.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.* compute.instanceGroupManagers.* compute.instanceGroups.* compute.instanceTemplates.* compute.instances.* compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.* compute.licenses.* compute.machineImages.* compute.machineTypes.* compute.networkEndpointGroups.* compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.projects.get compute.projects.setCommonInstanceMetadata compute.regionBackendServices.get compute.regionBackendServices.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.* compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionOperations.get compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.* compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.snapshots.* compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.loadBalancerAdmin`	Compute ロードバランサ管理者 ^ベータ版	ロードバランサを作成、変更、削除し、リソースを関連付ける権限。たとえば、ロードバランサ、ロードバランサの SSL 証明書、SSL ポリシー、その他の負荷分散リソースを管理する負荷分散チームと、残りのネットワークリソースを管理する別のネットワークチームが会社に存在する場合は、このロールを負荷分散チームのグループに付与します。	compute.addresses.* compute.backendBuckets.* compute.backendServices.* compute.forwardingRules.* compute.globalAddresses.* compute.globalForwardingRules.* compute.globalNetworkEndpointGroups.* compute.healthChecks.* compute.httpHealthChecks.* compute.httpsHealthChecks.* compute.instanceGroups.* compute.instances.get compute.instances.list compute.instances.use compute.instances.useReadOnly compute.networkEndpointGroups.* compute.networks.get compute.networks.list compute.networks.use compute.projects.get compute.regionBackendServices.* compute.regionHealthCheckServices.* compute.regionHealthChecks.* compute.regionNetworkEndpointGroups.* compute.regionNotificationEndpoints.* compute.regionSslCertificates.* compute.regionTargetHttpProxies.* compute.regionTargetHttpsProxies.* compute.regionUrlMaps.* compute.securityPolicies.get compute.securityPolicies.list compute.securityPolicies.use compute.sslCertificates.* compute.sslPolicies.* compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.targetGrpcProxies.* compute.targetHttpProxies.* compute.targetHttpsProxies.* compute.targetInstances.* compute.targetPools.* compute.targetSslProxies.* compute.targetTcpProxies.* compute.urlMaps.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	インスタンス^ベータ版
`roles/compute.networkAdmin`	Compute ネットワーク管理者	ネットワーキングリソース（ファイアウォールルールと SSL 証明書を除く）を作成、変更、削除する権限。ネットワーク管理者の役割により、ファイアウォールルール、SSL 証明書、インスタンス（それぞれのエフェメラル IP アドレスの表示用）への読み取り専用アクセスを付与できます。ネットワーク管理者ロールでは、インスタンスの作成、起動、停止、削除はできません。たとえば、ファイアウォールや SSL 証明書を管理するセキュリティチームと、残りのネットワークリソースを管理するネットワークチームが会社に存在する場合は、このロールをネットワークチームのグループに付与します。	compute.acceleratorTypes.* compute.addresses.* compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.* compute.backendServices.* compute.externalVpnGateways.* compute.firewallPolicies.get compute.firewallPolicies.list compute.firewallPolicies.use compute.firewalls.get compute.firewalls.list compute.forwardingRules.* compute.globalAddresses.* compute.globalForwardingRules.* compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.globalNetworkEndpointGroups.use compute.globalOperations.get compute.globalOperations.list compute.globalPublicDelegatedPrefixes.delete compute.globalPublicDelegatedPrefixes.get compute.globalPublicDelegatedPrefixes.list compute.globalPublicDelegatedPrefixes.update compute.globalPublicDelegatedPrefixes.updatePolicy compute.healthChecks.* compute.httpHealthChecks.* compute.httpsHealthChecks.* compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroupManagers.update compute.instanceGroupManagers.use compute.instanceGroups.get compute.instanceGroups.list compute.instanceGroups.update compute.instanceGroups.use compute.instances.get compute.instances.getGuestAttributes compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.list compute.instances.listReferrers compute.instances.use compute.instances.useReadOnly compute.interconnectAttachments.* compute.interconnectLocations.* compute.interconnects.* compute.machineTypes.* compute.networkEndpointGroups.get compute.networkEndpointGroups.list compute.networkEndpointGroups.use compute.networks.* compute.projects.get compute.publicDelegatedPrefixes.delete compute.publicDelegatedPrefixes.get compute.publicDelegatedPrefixes.list compute.publicDelegatedPrefixes.update compute.publicDelegatedPrefixes.updatePolicy compute.regionBackendServices.* compute.regionHealthCheckServices.* compute.regionHealthChecks.* compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionNetworkEndpointGroups.use compute.regionNotificationEndpoints.* compute.regionOperations.get compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.* compute.regionTargetHttpsProxies.* compute.regionUrlMaps.* compute.regions.* compute.routers.* compute.routes.* compute.securityPolicies.get compute.securityPolicies.list compute.securityPolicies.use compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.* compute.subnetworks.* compute.targetGrpcProxies.* compute.targetHttpProxies.* compute.targetHttpsProxies.* compute.targetInstances.* compute.targetPools.* compute.targetSslProxies.* compute.targetTcpProxies.* compute.targetVpnGateways.* compute.urlMaps.* compute.vpnGateways.* compute.vpnTunnels.* compute.zoneOperations.get compute.zoneOperations.list compute.zones.* networksecurity.* networkservices.* resourcemanager.projects.get resourcemanager.projects.list servicenetworking.operations.get servicenetworking.services.addPeering servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	インスタンス^ベータ版
`roles/compute.networkUser`	Compute ネットワークユーザー	共有 VPC ネットワークへのアクセス権を付与します。アクセス権を付与されたサービスオーナーは、ホストプロジェクトに属する VPC ネットワークとサブネットを使用できます。たとえば、ネットワークユーザーは、ホストプロジェクトネットワークに属する VM インスタンスを作成できますが、ホストプロジェクトでネットワークを削除できません。また、新しいネットワークを作成することもできません。	compute.addresses.createInternal compute.addresses.deleteInternal compute.addresses.get compute.addresses.list compute.addresses.useInternal compute.externalVpnGateways.get compute.externalVpnGateways.list compute.externalVpnGateways.use compute.firewalls.get compute.firewalls.list compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.interconnects.use compute.networks.access compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.networks.use compute.networks.useExternalIp compute.projects.get compute.regions.* compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.targetVpnGateways.get compute.targetVpnGateways.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnGateways.use compute.vpnTunnels.get compute.vpnTunnels.list compute.zones.* networksecurity.authorizationPolicies.get networksecurity.authorizationPolicies.list networksecurity.authorizationPolicies.use networksecurity.clientTlsPolicies.get networksecurity.clientTlsPolicies.list networksecurity.clientTlsPolicies.use networksecurity.locations.* networksecurity.operations.get networksecurity.operations.list networksecurity.serverTlsPolicies.get networksecurity.serverTlsPolicies.list networksecurity.serverTlsPolicies.use networkservices.endpointConfigSelectors.get networkservices.endpointConfigSelectors.list networkservices.endpointConfigSelectors.use networkservices.httpFilters.get networkservices.httpFilters.list networkservices.httpFilters.use networkservices.httpfilters.get networkservices.httpfilters.list networkservices.httpfilters.use networkservices.locations.* networkservices.operations.get networkservices.operations.list resourcemanager.projects.get resourcemanager.projects.list servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	プロジェクト
`roles/compute.networkViewer`	Compute ネットワーク閲覧者	すべてのネットワークリソースへの読み取り専用権限。たとえば、ネットワーク構成を検査するソフトウェアがある場合は、そのソフトウェアのサービスアカウントにこのロールを付与できます。	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalForwardingRules.pscGet compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instances.get compute.instances.getGuestAttributes compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.list compute.instances.listReferrers compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.machineTypes.* compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.projects.get compute.regionBackendServices.get compute.regionBackendServices.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regions.* compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zones.* networksecurity.authorizationPolicies.get networksecurity.authorizationPolicies.list networksecurity.clientTlsPolicies.get networksecurity.clientTlsPolicies.list networksecurity.locations.* networksecurity.operations.get networksecurity.operations.list networksecurity.serverTlsPolicies.get networksecurity.serverTlsPolicies.list networkservices.endpointConfigSelectors.get networkservices.endpointConfigSelectors.list networkservices.httpFilters.get networkservices.httpFilters.list networkservices.httpfilters.get networkservices.httpfilters.list networkservices.locations.* networkservices.operations.get networkservices.operations.list resourcemanager.projects.get resourcemanager.projects.list servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	インスタンス^ベータ版
`roles/compute.orgFirewallPolicyAdmin`	Compute 組織ファイアウォールポリシー管理者	Compute Engine 組織のファイアウォールポリシーのすべてを管理できる権限。	compute.firewallPolicies.cloneRules compute.firewallPolicies.create compute.firewallPolicies.delete compute.firewallPolicies.get compute.firewallPolicies.getIamPolicy compute.firewallPolicies.list compute.firewallPolicies.move compute.firewallPolicies.setIamPolicy compute.firewallPolicies.update compute.firewallPolicies.use compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalOperations.setIamPolicy compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.orgFirewallPolicyUser`	Compute 組織ファイアウォールポリシーユーザー	Compute Engine ファイアウォールポリシーを表示または使用して、組織またはフォルダに関連付けます。	compute.firewallPolicies.get compute.firewallPolicies.list compute.firewallPolicies.use compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.orgSecurityPolicyAdmin`	コンピューティング組織セキュリティポリシー管理者	Compute Engine 組織のセキュリティポリシーのすべてを管理できる権限。	compute.firewallPolicies.* compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalOperations.setIamPolicy compute.projects.get compute.securityPolicies.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.orgSecurityPolicyUser`	コンピューティング組織セキュリティポリシーユーザー	Compute Engine セキュリティポリシーを表示または使用して、組織またはフォルダに関連付けます。	compute.firewallPolicies.addAssociation compute.firewallPolicies.get compute.firewallPolicies.list compute.firewallPolicies.removeAssociation compute.firewallPolicies.use compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalOperations.setIamPolicy compute.projects.get compute.securityPolicies.addAssociation compute.securityPolicies.get compute.securityPolicies.list compute.securityPolicies.removeAssociation compute.securityPolicies.use resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.orgSecurityResourceAdmin`	コンピューティング組織リソース管理者	組織またはフォルダへの Compute Engine ファイアウォールポリシーの関連付けのすべてを管理できる権限。	compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalOperations.setIamPolicy compute.organizations.listAssociations compute.organizations.setSecurityPolicy compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.osAdminLogin`	Compute OS 管理者ログイン	管理者ユーザーとして Compute Engine インスタンスにログインするアクセス権。	compute.instances.get compute.instances.list compute.instances.osAdminLogin compute.instances.osLogin compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	インスタンス^ベータ版
`roles/compute.osLogin`	Compute OS ログイン	標準ユーザーとして Compute Engine インスタンスにログインするアクセス権。	compute.instances.get compute.instances.list compute.instances.osLogin compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	インスタンス^ベータ版
`roles/compute.osLoginExternalUser`	Compute OS ログインの外部ユーザー	組織レベルでのみ利用できます。この組織に関連付けられた OS Login 情報を外部ユーザーが設定するアクセス権。この役割で、インスタンスへのアクセスは許可されません。外部ユーザーが SSH を使用してインスタンスにアクセスできるようにするには、OS ログインの役割のいずれかが付与されている必要があります。	compute.oslogin.*	組織
`roles/compute.packetMirroringAdmin`	Compute パケットミラーリング管理者	ミラーリングするリソースを指定します。	compute.networks.mirror compute.projects.get compute.subnetworks.mirror resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.packetMirroringUser`	Compute パケットミラーリングユーザー	Compute Engine パケットミラーリングを使用します。	compute.packetMirrorings.* compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.publicIpAdmin`	Compute パブリック IP 管理者 ^ベータ版	Compute Engine のパブリック IP アドレス管理を完全に制御できる権限。	compute.addresses.* compute.globalAddresses.* compute.globalPublicDelegatedPrefixes.* compute.publicAdvertisedPrefixes.* compute.publicDelegatedPrefixes.* resourcemanager.projects.get resourcemanager.projects.list
`roles/compute.securityAdmin`	Compute セキュリティ管理者	ファイアウォールルールと SSL 証明書を作成、変更、削除する権限。Shielded VM^ベータ版の設定を構成する権限も含まれます。たとえば、会社にファイアウォールと SSL 証明書を管理するセキュリティチームと、残りのネットワークリソースを管理するネットワークチームが存在する場合は、このロールをセキュリティチームのグループに付与します。	compute.firewallPolicies.* compute.firewalls.* compute.globalOperations.get compute.globalOperations.list compute.instances.getEffectiveFirewalls compute.instances.setShieldedInstanceIntegrityPolicy compute.instances.setShieldedVmIntegrityPolicy compute.instances.updateShieldedInstanceConfig compute.instances.updateShieldedVmConfig compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.list compute.networks.updatePolicy compute.packetMirrorings.* compute.projects.get compute.regionOperations.get compute.regionOperations.list compute.regionSslCertificates.* compute.regions.* compute.routes.get compute.routes.list compute.securityPolicies.* compute.sslCertificates.* compute.sslPolicies.* compute.subnetworks.get compute.subnetworks.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	インスタンス^ベータ版
`roles/compute.storageAdmin`	Compute ストレージ管理者	ディスク、イメージ、スナップショットを作成、変更、削除する権限。たとえば、プロジェクトのイメージを管理するユーザーがいて、そのユーザーにプロジェクト編集者ロールを与えたくない場合には、プロジェクトでそのユーザーのアカウントにこのロールを付与します。	compute.diskTypes.* compute.disks.* compute.globalOperations.get compute.globalOperations.list compute.images.* compute.licenseCodes.* compute.licenses.* compute.projects.get compute.regionOperations.get compute.regionOperations.list compute.regions.* compute.resourcePolicies.* compute.snapshots.* compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	ディスク、イメージ、スナップショット^ベータ版
`roles/compute.viewer`	Compute 閲覧者	Compute Engine リソースを取得して表示する読み取りアクセス権。そこに格納されたデータを読み取ることはできません。たとえば、このロールを持つアカウントはプロジェクトのすべてのディスクの一覧を作成できますが、それらのディスク内のデータを読み取ることはできません。	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute.commitments.get compute.commitments.list compute.diskTypes.* compute.disks.get compute.disks.getIamPolicy compute.disks.list compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewallPolicies.get compute.firewallPolicies.getIamPolicy compute.firewallPolicies.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalForwardingRules.pscGet compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalPublicDelegatedPrefixes.get compute.globalPublicDelegatedPrefixes.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.get compute.images.getFromFamily compute.images.getIamPolicy compute.images.list compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instanceTemplates.get compute.instanceTemplates.getIamPolicy compute.instanceTemplates.list compute.instances.get compute.instances.getEffectiveFirewalls compute.instances.getGuestAttributes compute.instances.getIamPolicy compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.getShieldedInstanceIdentity compute.instances.getShieldedVmIdentity compute.instances.list compute.instances.listReferrers compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.get compute.licenseCodes.getIamPolicy compute.licenseCodes.list compute.licenses.get compute.licenses.getIamPolicy compute.licenses.list compute.machineImages.get compute.machineImages.getIamPolicy compute.machineImages.list compute.machineTypes.* compute.maintenancePolicies.get compute.maintenancePolicies.getIamPolicy compute.maintenancePolicies.list compute.networkEndpointGroups.get compute.networkEndpointGroups.getIamPolicy compute.networkEndpointGroups.list compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.nodeGroups.get compute.nodeGroups.getIamPolicy compute.nodeGroups.list compute.nodeTemplates.get compute.nodeTemplates.getIamPolicy compute.nodeTemplates.list compute.nodeTypes.* compute.organizations.listAssociations compute.projects.get compute.publicAdvertisedPrefixes.get compute.publicAdvertisedPrefixes.list compute.publicDelegatedPrefixes.get compute.publicDelegatedPrefixes.list compute.regionBackendServices.get compute.regionBackendServices.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionOperations.get compute.regionOperations.getIamPolicy compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regionUrlMaps.validate compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.get compute.resourcePolicies.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.securityPolicies.get compute.securityPolicies.getIamPolicy compute.securityPolicies.list compute.snapshots.get compute.snapshots.getIamPolicy compute.snapshots.list compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.getIamPolicy compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.urlMaps.validate compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.getIamPolicy compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	ディスク、イメージ、インスタンス、インスタンステンプレート、ノードグループ、ノードテンプレート、スナップショット^ベータ版
`roles/compute.xpnAdmin`	Compute Shared VPC 管理者	共有 VPC ホストプロジェクトを管理する権限。特にホストプロジェクトを有効にし、共有 VPC サービスプロジェクトをホストプロジェクトのネットワークに関連付ける権限。組織レベルでこのロールを付与できるのは組織管理者のみです。 Google Cloud では、共有 VPC ホストプロジェクトのオーナーを共有 VPC 管理者にすることを推奨しています。共有 VPC 管理者は Compute ネットワークユーザーのロール（`roles/compute.networkUser`）をサービスオーナーに付与し、共有 VPC ホストプロジェクトのオーナーはプロジェクト自体を制御します。単一のプリンシパル（個人やグループ）が両方のロールを果たすことができれば、プロジェクトの管理が容易になります。	compute.globalOperations.get compute.globalOperations.list compute.organizations.administerXpn compute.organizations.disableXpnHost compute.organizations.disableXpnResource compute.organizations.enableXpnHost compute.organizations.enableXpnResource compute.projects.get compute.subnetworks.getIamPolicy compute.subnetworks.setIamPolicy resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list	フォルダ
`roles/osconfig.guestPolicyAdmin`	GuestPolicy 管理者^ベータ版	GuestPolicy に対する完全な管理者アクセス権	osconfig.guestPolicies.* resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.guestPolicyEditor`	GuestPolicy 編集者 ^ベータ版	GuestPolicy リソースの編集者	osconfig.guestPolicies.get osconfig.guestPolicies.list osconfig.guestPolicies.update resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.guestPolicyViewer`	GuestPolicy 閲覧者 ^ベータ版	GuestPolicy リソースの閲覧者	osconfig.guestPolicies.get osconfig.guestPolicies.list resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.patchDeploymentAdmin`	PatchDeployment 管理者	PatchDeployment に対する完全な管理者アクセス権	osconfig.patchDeployments.* resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.patchDeploymentViewer`	PatchDeployment 閲覧者	PatchDeployment リソースの閲覧者	osconfig.patchDeployments.get osconfig.patchDeployments.list resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.patchJobExecutor`	パッチジョブエグゼキュータ	パッチジョブを実行するためのアクセス権。	osconfig.patchJobs.* resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.patchJobViewer`	パッチジョブ閲覧者	パッチジョブを取得して一覧表示します。	osconfig.patchJobs.get osconfig.patchJobs.list resourcemanager.projects.get resourcemanager.projects.list

Kubernetes Engine のロール

役割	役職	説明	権限	最下位のリソース
`roles/container.admin`	Kubernetes Engine 管理者	クラスタとその Kubernetes API オブジェクトを完全に管理するためのアクセス権を付与します。ノードでサービスアカウントを設定するには、サービスアカウントユーザーロール（`roles/iam.serviceAccountUser`）も付与する必要があります。	container.* resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/container.clusterAdmin`	Kubernetes Engine クラスタ管理者	クラスタを管理するための権限を付与します。ノードでサービスアカウントを設定するには、サービスアカウントユーザーロール（`roles/iam.serviceAccountUser`）も付与する必要があります。	container.clusters.create container.clusters.delete container.clusters.get container.clusters.list container.clusters.update container.operations.* resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/container.clusterViewer`	Kubernetes Engine Cluster 閲覧者	GKE クラスタの取得と一覧表示のアクセス権。	container.clusters.get container.clusters.list resourcemanager.projects.get resourcemanager.projects.list
`roles/container.developer`	Kubernetes Engine 開発者	クラスタ内の Kubernetes API オブジェクトへのアクセス権を付与します。	container.apiServices.* container.auditSinks.* container.backendConfigs.* container.bindings.* container.certificateSigningRequests.create container.certificateSigningRequests.delete container.certificateSigningRequests.get container.certificateSigningRequests.list container.certificateSigningRequests.update container.certificateSigningRequests.updateStatus container.clusterRoleBindings.get container.clusterRoleBindings.list container.clusterRoles.get container.clusterRoles.list container.clusters.get container.clusters.list container.componentStatuses.* container.configMaps.* container.controllerRevisions.get container.controllerRevisions.list container.cronJobs.* container.csiDrivers.* container.csiNodeInfos.* container.csiNodes.* container.customResourceDefinitions.* container.daemonSets.* container.deployments.* container.endpointSlices.* container.endpoints.* container.events.* container.frontendConfigs.* container.horizontalPodAutoscalers.* container.ingresses.* container.initializerConfigurations.* container.jobs.* container.leases.* container.limitRanges.* container.localSubjectAccessReviews.* container.managedCertificates.* container.mutatingWebhookConfigurations.get container.mutatingWebhookConfigurations.list container.namespaces.* container.networkPolicies.* container.nodes.* container.persistentVolumeClaims.* container.persistentVolumes.* container.petSets.* container.podDisruptionBudgets.* container.podPresets.* container.podSecurityPolicies.get container.podSecurityPolicies.list container.podTemplates.* container.pods.* container.priorityClasses.* container.replicaSets.* container.replicationControllers.* container.resourceQuotas.* container.roleBindings.get container.roleBindings.list container.roles.get container.roles.list container.runtimeClasses.* container.scheduledJobs.* container.secrets.* container.selfSubjectAccessReviews.* container.selfSubjectRulesReviews.* container.serviceAccounts.* container.services.* container.statefulSets.* container.storageClasses.* container.storageStates.* container.storageVersionMigrations.* container.subjectAccessReviews.* container.thirdPartyObjects.* container.thirdPartyResources.* container.tokenReviews.* container.updateInfos.* container.validatingWebhookConfigurations.get container.validatingWebhookConfigurations.list container.volumeAttachments.* container.volumeSnapshotClasses.* container.volumeSnapshotContents.* container.volumeSnapshots.* resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/container.hostServiceAgentUser`	Kubernetes Engine Host サービスエージェントユーザー	クラスタ管理用に共有ネットワークリソースを構成することを、ホストプロジェクトの Kubernetes Engine サービスアカウントに許可します。また、ホストプロジェクトのファイアウォールルールを調べるためのアクセス権も付与します。	compute.firewalls.get container.hostServiceAgent.*
`roles/container.viewer`	Kubernetes Engine 閲覧者	GKE リソースに対する読み取り専用アクセス権を付与します。	container.apiServices.get container.apiServices.getStatus container.apiServices.list container.auditSinks.get container.auditSinks.list container.backendConfigs.get container.backendConfigs.list container.bindings.get container.bindings.list container.certificateSigningRequests.get container.certificateSigningRequests.getStatus container.certificateSigningRequests.list container.clusterRoleBindings.get container.clusterRoleBindings.list container.clusterRoles.get container.clusterRoles.list container.clusters.get container.clusters.list container.componentStatuses.* container.configMaps.get container.configMaps.list container.controllerRevisions.get container.controllerRevisions.list container.cronJobs.get container.cronJobs.getStatus container.cronJobs.list container.csiDrivers.get container.csiDrivers.list container.csiNodeInfos.get container.csiNodeInfos.list container.csiNodes.get container.csiNodes.list container.customResourceDefinitions.get container.customResourceDefinitions.getStatus container.customResourceDefinitions.list container.daemonSets.get container.daemonSets.getStatus container.daemonSets.list container.deployments.get container.deployments.getStatus container.deployments.list container.endpointSlices.get container.endpointSlices.list container.endpoints.get container.endpoints.list container.events.get container.events.list container.frontendConfigs.get container.frontendConfigs.list container.horizontalPodAutoscalers.get container.horizontalPodAutoscalers.getStatus container.horizontalPodAutoscalers.list container.ingresses.get container.ingresses.getStatus container.ingresses.list container.initializerConfigurations.get container.initializerConfigurations.list container.jobs.get container.jobs.getStatus container.jobs.list container.leases.get container.leases.list container.limitRanges.get container.limitRanges.list container.managedCertificates.get container.managedCertificates.list container.mutatingWebhookConfigurations.get container.mutatingWebhookConfigurations.list container.namespaces.get container.namespaces.getStatus container.namespaces.list container.networkPolicies.get container.networkPolicies.list container.nodes.get container.nodes.getStatus container.nodes.list container.operations.* container.persistentVolumeClaims.get container.persistentVolumeClaims.getStatus container.persistentVolumeClaims.list container.persistentVolumes.get container.persistentVolumes.getStatus container.persistentVolumes.list container.petSets.get container.petSets.list container.podDisruptionBudgets.get container.podDisruptionBudgets.getStatus container.podDisruptionBudgets.list container.podPresets.get container.podPresets.list container.podSecurityPolicies.get container.podSecurityPolicies.list container.podTemplates.get container.podTemplates.list container.pods.get container.pods.getStatus container.pods.list container.priorityClasses.get container.priorityClasses.list container.replicaSets.get container.replicaSets.getScale container.replicaSets.getStatus container.replicaSets.list container.replicationControllers.get container.replicationControllers.getScale container.replicationControllers.getStatus container.replicationControllers.list container.resourceQuotas.get container.resourceQuotas.getStatus container.resourceQuotas.list container.roleBindings.get container.roleBindings.list container.roles.get container.roles.list container.runtimeClasses.get container.runtimeClasses.list container.scheduledJobs.get container.scheduledJobs.list container.serviceAccounts.get container.serviceAccounts.list container.services.get container.services.getStatus container.services.list container.statefulSets.get container.statefulSets.getStatus container.statefulSets.list container.storageClasses.get container.storageClasses.list container.storageStates.get container.storageStates.list container.storageVersionMigrations.get container.storageVersionMigrations.list container.thirdPartyObjects.get container.thirdPartyObjects.list container.thirdPartyResources.get container.thirdPartyResources.list container.tokenReviews.* container.updateInfos.get container.updateInfos.list container.validatingWebhookConfigurations.get container.validatingWebhookConfigurations.list container.volumeAttachments.get container.volumeAttachments.getStatus container.volumeAttachments.list container.volumeSnapshotClasses.get container.volumeSnapshotClasses.list container.volumeSnapshotContents.get container.volumeSnapshotContents.list container.volumeSnapshots.get container.volumeSnapshots.list resourcemanager.projects.get resourcemanager.projects.list	プロジェクト

Container Analysis のロール

ロール	役職	説明	権限
`roles/containeranalysis.admin`	Container Analysis 管理者	すべての Container Analysis リソースへのアクセス権。	containeranalysis.notes.attachOccurrence containeranalysis.notes.create containeranalysis.notes.delete containeranalysis.notes.get containeranalysis.notes.getIamPolicy containeranalysis.notes.list containeranalysis.notes.setIamPolicy containeranalysis.notes.update containeranalysis.occurrences.* resourcemanager.projects.get resourcemanager.projects.list
`roles/containeranalysis.notes.attacher`	Container Analysis メモ添付者	Container Analysis のオカレンスをメモに添付できます。	containeranalysis.notes.attachOccurrence containeranalysis.notes.get
`roles/containeranalysis.notes.editor`	Container Analysis メモ編集者	Container Analysis のメモを編集できる権限。	containeranalysis.notes.attachOccurrence containeranalysis.notes.create containeranalysis.notes.delete containeranalysis.notes.get containeranalysis.notes.list containeranalysis.notes.update resourcemanager.projects.get resourcemanager.projects.list
`roles/containeranalysis.notes.occurrences.viewer`	メモに対する Container Analysis 実行回数の閲覧者		containeranalysis.notes.get containeranalysis.notes.listOccurrences
`roles/containeranalysis.notes.viewer`	Container Analysis メモ閲覧者	Container Analysis のメモを閲覧する権限。	containeranalysis.notes.get containeranalysis.notes.list resourcemanager.projects.get resourcemanager.projects.list
`roles/containeranalysis.occurrences.editor`	Container Analysis 実行回数の編集者	Container Analysis のオカレンスを編集する権限。	containeranalysis.occurrences.create containeranalysis.occurrences.delete containeranalysis.occurrences.get containeranalysis.occurrences.list containeranalysis.occurrences.update resourcemanager.projects.get resourcemanager.projects.list
`roles/containeranalysis.occurrences.viewer`	Container Analysis 実行回数の閲覧者	Container Analysis のオカレンスを閲覧する権限。	containeranalysis.occurrences.get containeranalysis.occurrences.list resourcemanager.projects.get resourcemanager.projects.list

Data Catalog のロール

ロール	役職	説明	権限
`roles/datacatalog.admin`	DataCatalog 管理者	すべての DataCatalog リソースに対する完全アクセス権	bigquery.datasets.get bigquery.datasets.updateTag bigquery.models.getMetadata bigquery.models.updateTag bigquery.tables.get bigquery.tables.updateTag datacatalog.categories.getIamPolicy datacatalog.categories.setIamPolicy datacatalog.entries.* datacatalog.entryGroups.* datacatalog.tagTemplates.* datacatalog.taxonomies.* pubsub.topics.get pubsub.topics.updateTag resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.categoryAdmin`	ポリシータグ管理者 ^ベータ版	分類を管理します	datacatalog.categories.getIamPolicy datacatalog.categories.setIamPolicy datacatalog.taxonomies.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.categoryFineGrainedReader`	きめ細かい読み取り ^ベータ版	ポリシーのタグが付けられているサブリソース（BigQuery 列など）に対する読み取りアクセス権	datacatalog.categories.fineGrainedGet
`roles/datacatalog.entryGroupCreator`	DataCatalog EntryGroup 作成者	新しい entryGroup を作成できます	datacatalog.entryGroups.create datacatalog.entryGroups.get datacatalog.entryGroups.list resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.entryGroupOwner`	DataCatalog entryGroup オーナー	entryGroup に対する完全アクセス権	datacatalog.entries.* datacatalog.entryGroups.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.entryOwner`	DataCatalog エントリオーナー	エントリへの完全アクセス権	datacatalog.entries.* datacatalog.entryGroups.get resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.entryViewer`	DataCatalog エントリ閲覧者	エントリに対する読み取りアクセス権	datacatalog.entries.get datacatalog.entries.list datacatalog.entryGroups.get resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.tagEditor`	Data Catalog Tag 編集者	BigQuery と Pub/Sub の Google Cloud アセットのタグを変更するためのアクセス権を付与します。	bigquery.datasets.updateTag bigquery.models.updateTag bigquery.tables.updateTag datacatalog.entries.updateTag pubsub.topics.updateTag
`roles/datacatalog.tagTemplateCreator`	Data Catalog TagTemplate 作成者	新しいタグテンプレートを作成するためのアクセス権	datacatalog.tagTemplates.create datacatalog.tagTemplates.get
`roles/datacatalog.tagTemplateOwner`	Data Catalog TagTemplate オーナー	タグテンプレートに対する完全アクセス権	datacatalog.tagTemplates.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.tagTemplateUser`	Data Catalog TagTemplate ユーザー	テンプレートを使用してリソースにタグを付けるためのアクセス権	datacatalog.tagTemplates.get datacatalog.tagTemplates.getTag datacatalog.tagTemplates.use resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.tagTemplateViewer`	Data Catalog TagTemplate 閲覧者	テンプレートとそのテンプレートを使用して作成されたタグに対する読み取りアクセス権	datacatalog.tagTemplates.get datacatalog.tagTemplates.getTag resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.viewer`	Data Catalog 閲覧者	BigQuery と Pub/Sub のカタログ化された Google Cloud アセットのメタデータを読み取るためのアクセス権を付与します。	bigquery.datasets.get bigquery.models.getMetadata bigquery.tables.get datacatalog.entries.get datacatalog.entries.list datacatalog.entryGroups.get datacatalog.entryGroups.list datacatalog.tagTemplates.get datacatalog.tagTemplates.getTag datacatalog.taxonomies.get datacatalog.taxonomies.list pubsub.topics.get resourcemanager.projects.get resourcemanager.projects.list

Dataflow のロール

ロール	役職	説明	権限	最下位のリソース
`roles/dataflow.admin`	Dataflow 管理者	データフロージョブを作成し、管理するための最低限のロール。	compute.machineTypes.get dataflow.* resourcemanager.projects.get resourcemanager.projects.list storage.buckets.get storage.objects.create storage.objects.get storage.objects.list
`roles/dataflow.developer`	Dataflow デベロッパー	Dataflow ジョブを実行、操作するために必要な権限を付与します。	dataflow.* resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/dataflow.viewer`	Dataflow 閲覧者	すべての Dataflow 関連リソースに対する読み取り専用アクセス権を付与します。	dataflow.jobs.get dataflow.jobs.list dataflow.messages.* dataflow.metrics.* dataflow.snapshots.get dataflow.snapshots.list resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/dataflow.worker`	Dataflow ワーカー	Compute Engine サービスアカウントが Dataflow パイプラインの作業単位を実行するために必要な権限を付与します。	compute.instanceGroupManagers.update compute.instances.delete compute.instances.setDiskAutoDelete dataflow.jobs.get logging.logEntries.create storage.objects.create storage.objects.get	プロジェクト

Cloud Data Labeling のロール

役割	役職	説明	権限
`roles/datalabeling.admin`	DataLabeling サービス管理者^ベータ版	すべての DataLabeling リソースに対する完全アクセス権	datalabeling.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datalabeling.editor`	DataLabeling サービス編集者^ベータ版	すべての DataLabeling リソースの編集者	datalabeling.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datalabeling.viewer`	DataLabeling サービス閲覧者^ベータ版	すべての DataLabeling リソースの閲覧者	datalabeling.annotateddatasets.get datalabeling.annotateddatasets.list datalabeling.annotationspecsets.get datalabeling.annotationspecsets.list datalabeling.dataitems.* datalabeling.datasets.get datalabeling.datasets.list datalabeling.examples.* datalabeling.instructions.get datalabeling.instructions.list datalabeling.operations.get datalabeling.operations.list resourcemanager.projects.get resourcemanager.projects.list

Data Migration のロール

ロール	役職	説明	権限	最下位のリソース
`roles/datamigration.admin`	データベース移行管理者 ^ベータ版	データベースの移行のすべてのリソースに対する完全アクセス権。	datamigration.* resourcemanager.projects.get resourcemanager.projects.list

Dataprep のロール

役割	役職	説明	権限	最下位のリソース
`roles/dataprep.projects.user`	Dataprep ユーザー^ベータ版	Dataprep の使用権限。	dataprep.* resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Dataproc のロール

ロール	役職	説明	権限	最下位のリソース
`roles/dataproc.admin`	Dataproc 管理者	Dataproc リソースのすべてを管理できる権限。	compute.machineTypes.* compute.networks.get compute.networks.list compute.projects.get compute.regions.* compute.zones.* dataproc.autoscalingPolicies.* dataproc.clusters.* dataproc.jobs.* dataproc.operations.* dataproc.workflowTemplates.* resourcemanager.projects.get resourcemanager.projects.list
`roles/dataproc.editor`	Dataproc 編集者	マシンタイプ、ネットワーク、プロジェクト、ゾーンなどの Dataproc を管理するために必要となるリソースの表示に必要な権限を付与します。	compute.machineTypes.* compute.networks.get compute.networks.list compute.projects.get compute.regions.* compute.zones.* dataproc.autoscalingPolicies.create dataproc.autoscalingPolicies.delete dataproc.autoscalingPolicies.get dataproc.autoscalingPolicies.list dataproc.autoscalingPolicies.update dataproc.autoscalingPolicies.use dataproc.clusters.create dataproc.clusters.delete dataproc.clusters.get dataproc.clusters.list dataproc.clusters.start dataproc.clusters.stop dataproc.clusters.update dataproc.clusters.use dataproc.jobs.cancel dataproc.jobs.create dataproc.jobs.delete dataproc.jobs.get dataproc.jobs.list dataproc.jobs.update dataproc.operations.delete dataproc.operations.get dataproc.operations.list dataproc.workflowTemplates.create dataproc.workflowTemplates.delete dataproc.workflowTemplates.get dataproc.workflowTemplates.instantiate dataproc.workflowTemplates.instantiateInline dataproc.workflowTemplates.list dataproc.workflowTemplates.update resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/dataproc.hubAgent`	Dataproc ハブエージェント	Dataproc リソースの管理を許可します。Dataproc ハブインスタンスが実行されているサービスアカウントを対象としています。	compute.instances.get compute.instances.setMetadata compute.instances.setTags compute.zoneOperations.get compute.zones.list dataproc.autoscalingPolicies.get dataproc.autoscalingPolicies.list dataproc.autoscalingPolicies.use dataproc.clusters.create dataproc.clusters.delete dataproc.clusters.get dataproc.clusters.list dataproc.clusters.update dataproc.operations.cancel dataproc.operations.delete dataproc.operations.get dataproc.operations.list iam.serviceAccounts.actAs iam.serviceAccounts.get iam.serviceAccounts.list logging.buckets.get logging.buckets.list logging.exclusions.get logging.exclusions.list logging.locations.* logging.logEntries.create logging.logEntries.list logging.logMetrics.get logging.logMetrics.list logging.logServiceIndexes.* logging.logServices.* logging.logs.list logging.queries.* logging.sinks.get logging.sinks.list logging.usage.* logging.views.get logging.views.list resourcemanager.projects.get resourcemanager.projects.list storage.buckets.get storage.objects.get storage.objects.list
`roles/dataproc.viewer`	Dataproc 閲覧者	Dataproc リソースに対する読み取り専用アクセス権を付与します。	compute.machineTypes.get compute.regions.* compute.zones.* dataproc.autoscalingPolicies.get dataproc.autoscalingPolicies.list dataproc.clusters.get dataproc.clusters.list dataproc.jobs.get dataproc.jobs.list dataproc.operations.get dataproc.operations.list dataproc.workflowTemplates.get dataproc.workflowTemplates.list resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/dataproc.worker`	Dataproc ワーカー	Dataproc リソースへのワーカーアクセス権を付与します。サービスアカウント向けです。	dataproc.agents.* dataproc.tasks.* logging.logEntries.create monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.timeSeries.create storage.buckets.get storage.objects.*

Datastore のロール

役割	役職	説明	権限	最下位のリソース
`roles/datastore.importExportAdmin`	Cloud Datastore インポート / エクスポート管理者	インポートとエクスポートを管理できる完全アクセス権を付与します。	appengine.applications.get datastore.databases.export datastore.databases.import datastore.operations.cancel datastore.operations.get datastore.operations.list resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/datastore.indexAdmin`	Cloud Datastore インデックス管理者	インデックス定義を管理できる完全アクセス権を付与します。	appengine.applications.get datastore.indexes.* resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/datastore.owner`	Cloud Datastore オーナー	Datastore のリソースへの完全アクセス権を付与します。	appengine.applications.get datastore.* resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/datastore.user`	Cloud Datastore ユーザー	Datastore データベース内のデータに対する読み取り / 書き込み権限を付与します。	appengine.applications.get datastore.databases.get datastore.entities.* datastore.indexes.list datastore.namespaces.get datastore.namespaces.list datastore.statistics.* resourcemanager.projects.get resourcemanager.projects.list	プロジェクト
`roles/datastore.viewer`	Cloud Datastore 閲覧者	Datastore のリソースへの読み取りアクセス権を付与します。	appengine.applications.get datastore.databases.get datastore.databases.list datastore.entities.get datastore.entities.list datastore.indexes.get datastore.indexes.list datastore.namespaces.get datastore.namespaces.list datastore.statistics.* resourcemanager.projects.get resourcemanager.projects.list	プロジェクト

Deployment Manager のロール

ロール	役職	説明	権限	最下位のリソース
`roles/deploymentmanager.editor`	Deployment Manager 編集者	デプロイの作成と管理に必要なアクセス権を付与します。	deploymentmanager.compositeTypes.* deploymentmanager.deployments.cancelPreview deploymentmanager.deployments.create deploymentmanager.deployments.delete deploymentmanager.deployments.get deploymentmanager.deployments.list deploymentmanager.deployments.stop deploymentmanager.deployments.update deploymentmanager.manifests.* deploymentmanager.operations.* deploymentmanager.resources.* deploymentmanager.typeProviders.* deploymentmanager.types.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	プロジェクト
`roles/deploymentmanager.typeEditor`	Deployment Manager タイプ編集者	すべてのタイプレジストリリソースに対する読み取り / 書き込みアクセス権を付与します。	deploymentmanager.compositeTypes.* deploymentmanager.operations.get deploymentmanager.typeProviders.* deploymentmanager.types.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get	プロジェクト
`roles/deploymentmanager.typeViewer`	Deployment Manager タイプ閲覧者	すべてのタイプレジストリリソースに対する読み取り専用アクセス権を付与します。	deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.types.get deploymentmanager.types.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get	プロジェクト
`roles/deploymentmanager.viewer`	Deployment Manager 閲覧者	すべての Deployment Manager 関連リソースに対する読み取り専用アクセス権を付与します。	deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.deployments.get deploymentmanager.deployments.list deploymentmanager.manifests.* deploymentmanager.operations.* deploymentmanager.resources.* deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.types.get deploymentmanager.types.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	プロジェクト

Dialogflow のロール

ロール	役職	説明	権限	最下位のリソース
`roles/dialogflow.admin`	Dialogflow API 管理者	Dialogflow 固有のリソースへの完全アクセス権が必要な Dialogflow API 管理者に付与します。Dialogflow アクセス制御もご覧ください。	dialogflow.* resourcemanager.projects.get	プロジェクト
`roles/dialogflow.client`	Dialogflow API クライアント	API を使用して Dialogflow 固有の編集を実行し、インテント呼び出しを検出する Dialogflow API クライアントに付与します。Dialogflow アクセス制御もご覧ください。	dialogflow.contexts.* dialogflow.sessionEntityTypes.* dialogflow.sessions.*	プロジェクト
`roles/dialogflow.consoleAgentEditor`	Dialogflow コンソールエージェント編集者	既存のエージェントを編集する Dialogflow コンソール編集者に付与します。Dialogflow アクセス制御もご覧ください。	actions.agentVersions.create dialogflow.* resourcemanager.projects.get	プロジェクト
`roles/dialogflow.conversationManager`	Dialogflow 会話マネージャー	Dialogflow の会話に関するすべてのリソースを管理できます。
`roles/dialogflow.integrationManager`	Dialogflow 統合マネージャー	Dialogflow 統合を追加、削除、有効化、無効化できます。
`roles/dialogflow.reader`	Dialogflow API 読み取り	API を使用して Dialogflow 固有の読み取り専用呼び出しを実行する Dialogflow API クライアントに付与します。Dialogflow アクセス制御もご覧ください。	dialogflow.agents.export dialogflow.agents.get dialogflow.agents.list dialogflow.agents.search dialogflow.contexts.get dialogflow.contexts.list dialogflow.documents.get dialogflow.documents.list dialogflow.entityTypes.get dialogflow.entityTypes.list dialogflow.environments.get dialogflow.environments.list dialogflow.flows.get dialogflow.flows.list dialogflow.fulfillments.get dialogflow.intents.get dialogflow.intents.list dialogflow.knowledgeBases.get dialogflow.knowledgeBases.list dialogflow.operations.* dialogflow.pages.get dialogflow.pages.list dialogflow.sessionEntityTypes.get dialogflow.sessionEntityTypes.list dialogflow.transitionRouteGroups.get dialogflow.transitionRouteGroups.list dialogflow.versions.get dialogflow.versions.list dialogflow.webhooks.get dialogflow.webhooks.list resourcemanager.projects.get	プロジェクト

Cloud DLP のロール

ロール	役職	説明	権限
`roles/dlp.admin`	DLP 管理者	ジョブやテンプレートを含む DLP の管理権限。	dlp.* serviceusage.services.use
`roles/dlp.analyzeRiskTemplatesEditor`	DLP 分析リスクテンプレート編集者	DLP 分析リスクテンプレートの編集権限。	dlp.analyzeRiskTemplates.*
`roles/dlp.analyzeRiskTemplatesReader`	DLP 分析リスクテンプレート読み取り	DLP 分析リスクテンプレートの読み取り権限。	dlp.analyzeRiskTemplates.get dlp.analyzeRiskTemplates.list
`roles/dlp.deidentifyTemplatesEditor`	DLP 匿名化テンプレート編集者	DLP 匿名化テンプレートの編集。	dlp.deidentifyTemplates.*
`roles/dlp.deidentifyTemplatesReader`	DLP 匿名化テンプレート読み取り	DLP 匿名化テンプレートの読み取り権限。	dlp.deidentifyTemplates.get dlp.deidentifyTemplates.list
`roles/dlp.inspectFindingsReader`	DLP 検査結果読み取り	DLP 保存済み検査結果の読み取り権限。	dlp.inspectFindings.*
`roles/dlp.inspectTemplatesEditor`	DLP 検査テンプレート編集者	DLP 検査テンプレートの編集権限。	dlp.inspectTemplates.*
`roles/dlp.inspectTemplatesReader`	DLP 検査テンプレート読み取り	DLP 検査テンプレートの読み取り。	dlp.inspectTemplates.get dlp.inspectTemplates.list
`roles/dlp.jobTriggersEditor`	DLP ジョブトリガー編集者	ジョブトリガー構成の編集。	dlp.jobTriggers.*
`roles/dlp.jobTriggersReader`	DLP ジョブトリガー読み取り	ジョブトリガーの読み取り権限。	dlp.jobTriggers.get dlp.jobTriggers.list
`roles/dlp.jobsEditor`	DLP ジョブ編集者	ジョブを編集および作成する権限	dlp.jobs.* dlp.kms.*
`roles/dlp.jobsReader`	DLP ジョブ読み取り	ジョブの読み取り権限	dlp.jobs.get dlp.jobs.list
`roles/dlp.reader`	DLP 読み取り	ジョブやテンプレートなどの DLP エンティ�