このページでは、IAM ロールについて説明し、プリンシパルに付与できる事前定義ロールのリストを示します。
ロールには、Google Cloud リソースに対して特定の操作を実行できるようにする一連の権限が含まれています。ユーザー、グループ、サービス アカウントなど、プリンシパルで権限を使用できるようにするには、プリンシパルにロールを付与します。
このガイドの前提条件
- IAM の基本コンセプトについて理解しておきます。
ロールのタイプ
IAM には、次の 3 種類のロールがあります。
- 基本ロール: IAM の導入前に存在していたオーナー、編集者、閲覧者のロールが含まれます。
- 事前定義ロール: 特定のサービスへのアクセスを細かく制御します。また、Google Cloud により管理されます。
- カスタムロール: ユーザー指定の権限のリストに応じたきめ細かなアクセス権が提供されます。
権限が基本、事前定義、カスタムのいずれかのロールに含まれているかどうかを判断するには、次のいずれかの方法を使用します。
gcloud iam roles describeコマンドを実行して、ロールの権限を一覧表示します。roles.get()REST API メソッドを呼び出して、ロールの権限を一覧表示します。- 基本ロールと事前定義ロールのみ: 権限のリファレンスを検索して、ロールによって権限が付与されるかどうかを確認します。
- 事前定義ロールのみ: このページで定義済みのロールの説明を参照して、ロールに含まれる権限を確認します。
次のセクションでは、各ロールのタイプについて説明し、それらの使用方法の例を示します。
基本ロール
IAM の導入前に存在していた、オーナー、編集者、閲覧者の複数の基本ロールがあります。オーナー、編集者、閲覧者の各ロールは入れ子構造になっています。つまり、オーナーロールには編集者ロールの権限が含まれており、編集者ロールには閲覧者ロールの権限が含まれています。元々は「基本(primitive)ロール」と呼ばれていました。
次の表では、Google Cloud のすべてのサービスに関して基本ロールが持っている権限が要約されています。
基本ロールの定義
| 名前 | タイトル | 権限 |
|---|---|---|
roles/viewer |
閲覧者 | 既存のリソースやデータの表示(ただし変更は不可能)など、状態に影響しない読み取り専用アクションに必要な権限。 |
roles/editor |
編集者 | すべての閲覧者権限に加えて状態を変更するアクション(既存のリソースの変更など)に必要な権限。 注: 編集者のロールには、ほとんどの Google Cloud サービスでリソースを作成および削除できる権限が含まれます。ただし、すべてのサービスのすべてのアクションを実行する権限は含まれていません。必要な権限がロールに含まれているかどうかを確認する方法については、このページのロールのタイプをご覧ください。
|
roles/owner |
オーナー |
すべての編集者権限と、以下のアクションを実行するために必要な権限:
注:
|
コンソール、API、gcloud CLI を使用して、基本ロールを付与できます。プロジェクト、フォルダまたは組織に基本ロールを付与するには、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。他のリソースに対して基本ロールを付与するには、他のリソースへのアクセスを管理するをご覧ください。
事前定義されたロール
基本ロールに加えて、IAM の事前定義ロールを使用すると、特定の Google Cloud リソースに対してきめ細やかなアクセス権を付与し、他のリソースへの望ましくないアクセスを防ぐことができます。これらのロールは Google によって作成され、管理されます。Google は、Google Cloud によって新しい機能やサービスが追加された場合など、必要に応じて権限を自動的に更新します。
次の表に、定義されたロールとその説明、それらのロールを設定できる最低レベルのリソースタイプを示します。このリソースタイプまたはほとんどの場合に Google Cloud リソース階層のそれ以上の任意のタイプに特定のロールを付与できます。
リソース階層の任意のレベルで、同じユーザーに複数のロールを付与できます。たとえば、同じユーザーにプロジェクトの Compute ネットワーク管理者ロールとログ閲覧者のロールが付与され、そのプロジェクト内の Pub/Sub トピックに Pub/Sub パブリッシャー ロールが付与されている場合があります。ロールに含まれる権限を一覧表示する方法については、ロール メタデータの取得をご覧ください。
最適な事前定義ロールを選択する方法については、事前定義ロールの選択をご覧ください。
Access Approval のロール
| ロール | 権限 |
|---|---|
|
Access Approval 承認者
ベータ版
アクセス承認リクエストを表示または操作し、構成を表示できる権限 |
|
|
Access Approval Config 編集者
ベータ版
アクセス承認の構成を更新する権限 |
|
|
Access Approval Invalidator
ベータ版
既存の承認済みの承認リクエストを無効にする機能 |
|
|
Access Approval 閲覧者
ベータ版
アクセス承認リクエストおよび構成を閲覧できる権限 |
|
Access Context Manager のロール
| ロール | 権限 |
|---|---|
|
Cloud アクセス バインディング管理者
Cloud アクセス バインディングの作成、編集、変更。 |
|
|
Cloud アクセス バインディング リーダー
Cloud アクセス バインディングへの読み取りアクセス。 |
|
|
Access Context Manager 管理者
ポリシー、アクセスレベル、アクセスゾーンへの完全アクセス権。 |
|
|
Access Context Manager 編集者
ポリシーに対する編集権限。アクセスレベルとアクセスゾーンを作成、編集、変更します。 |
|
|
Access Context Manager 読み取り
ポリシー、アクセスレベル、アクセスゾーンに対する読み取り権限。 |
|
|
VPC Service Controls トラブルシューティング閲覧者
|
|
アクションのロール
| ロール | 権限 |
|---|---|
|
アクション管理者
アクセスしてアクションの編集とデプロイを行います。 |
|
|
アクション閲覧者
アクセスしてアクションを表示します。 |
|
AI Notebooks のロール
| ロール | 権限 |
|---|---|
|
Notebooks 管理者
Notebooks のすべてのリソースに対する完全アクセス権。 このロールを付与できる最下位レベルのリソース:
|
|
|
Notebooks の従来の管理者
Compute API での Notebooks のすべてのリソースに対する完全アクセス権。 |
|
|
Notebooks の従来の閲覧者
Compute API での Notebooks のすべてのリソースに対する読み取り専用アクセス権。 |
|
|
Notebooks 実行者
スケジュール設定された Notebooks を実行するための制限付きアクセス権 |
|
|
Notebooks 閲覧者
Notebooks のすべてのリソースに対する読み取り専用アクセス権。 このロールを付与できる最下位レベルのリソース:
|
|
AI Platform のロール
| ロール | 権限 |
|---|---|
|
AI Platform 管理者
AI Platform リソースとそのジョブ、オペレーション、モデル、バージョンに対する完全アクセス権を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
|
AI Platform デベロッパー
モデル、バージョン、トレーニングと予測用のジョブの作成や、オンライン予測リクエストの送信を行うために AI Platform リソースを使用することを許可します。 このロールを付与できる最下位レベルのリソース:
|
|
|
AI Platform ジョブオーナー
特定のジョブリソースに対するすべての権限への完全アクセス権を付与します。このロールはジョブを作成したユーザーに自動的に付与されます。 このロールを付与できる最下位レベルのリソース:
|
|
|
AI Platform モデルオーナー
モデルとそのバージョンへの完全アクセス権を付与します。このロールは、モデルを作成したユーザーに自動的に付与されます。 このロールを付与できる最下位レベルのリソース:
|
|
|
AI Platform モデルユーザー
モデルとそのバージョンを読み取り、予測に使用する権限を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
|
AI Platform オペレーション オーナー
特定のオペレーション リソースに対する完全アクセス権を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
|
AI Platform 閲覧者
AI Platform のリソースに対する読み取り専用権限を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
Analytics Hub のロール
| ロール | 権限 |
|---|---|
|
Analytics Hub 管理者
ベータ版
データ交換とリスティングの管理 |
|
|
Analytics Hub リスティング管理者
ベータ版
ACL の更新、削除、設定を含め、リスティングに対する完全な管理権限を付与します |
|
|
Analytics Hub パブリッシャー
ベータ版
データ交換に公開してリスティングを作成可能 |
|
|
Analytics Hub サブスクライバー
ベータ版
データ交換の閲覧とリスティングへの登録が可能です |
|
|
Analytics Hub 閲覧者
ベータ版
データ交換とリスティングを閲覧できます。 |
|
Android Management のロール
| Role | Permissions |
|---|---|
|
Android Management User
Full access to manage devices. |
|
Anthos マルチクラウドのロール
| ロール | 権限 |
|---|---|
|
Anthos マルチクラウド管理者
Anthos マルチクラウド リソースに対する管理者アクセス権。 |
|
|
Anthos マルチクラウド テレメトリー ライター
ログ、指標、リソース メタデータなどのクラスタのテレメトリー データを書き込むアクセス権を付与します。 |
|
|
Anthos マルチクラウド閲覧者
Anthos マルチクラウド リソースに対する閲覧者アクセス権。 |
|
API ゲートウェイのロール
| Role | Permissions |
|---|---|
|
ApiGateway Admin
Full access to ApiGateway and related resources. |
|
|
ApiGateway Viewer
Read-only access to ApiGateway and related resources. |
|
Apigee のロール
| ロール | 権限 |
|---|---|
|
Apigee 組織管理者
すべての Apigee リソース機能に対する完全アクセス権 |
|
|
Apigee Analytics エージェント
Apigee 組織のアナリティクスを管理するために、Apigee Universal Data Collection Agent 用にキュレートされた権限セット |
|
|
Apigee Analytics 編集者
Apigee 組織のアナリティクス編集者 |
|
|
Apigee Analytics 閲覧者
Apigee 組織のアナリティクス閲覧者 |
|
|
Apigee API 管理者
すべての Apigee API リソースに対する完全な読み取り / 書き込みアクセス権 |
|
|
Apigee API 読み取り
Apigee リソースの読み取り |
|
|
Apigee デベロッパー管理者
Apigee リソースのデベロッパー管理者 |
|
|
Apigee 環境管理者
デプロイメントを含む Apigee 環境リソースに対する完全な読み取り / 書き込みアクセス権。 |
|
|
Apigee Monetization 管理者
収益化に関連するすべての権限 |
|
|
Apigee ポータル管理者
Apigee 組織のポータル管理者 |
|
|
Apigee 読み取り専用管理者
すべての Apigee リソースの閲覧者 |
|
|
Apigee ランタイム エージェント
ランタイム エージェントが Apigee 組織リソースにアクセスするための、キュレートされた権限セット |
|
|
Apigee セキュリティ管理者
Apigee 組織のセキュリティ管理者 |
|
|
Apigee セキュリティ閲覧者
Apigee 組織のセキュリティ閲覧者 |
|
|
Apigee Synchronizer 管理者
Synchronizer で Apigee 組織の環境を管理するための、キュレートされた権限セット |
|
|
Apigee Connect 管理者
Apigee Connect の管理者 |
|
|
Apigee Connect エージェント
外部クラスタと Google の間の Apigee Connect エージェントを設定できます。 |
|
Apigee Registry のロール
| ロール | 権限 |
|---|---|
|
Cloud Apigee Registry 管理者
ベータ版
Cloud Apigee Registry と Runtime のリソースに対する完全アクセス権。 |
|
|
Cloud Apigee Registry 編集者
ベータ版
Cloud Apigee Registry リソースに対する編集アクセス権。 |
|
|
Cloud Apigee Registry 閲覧者
ベータ版
Cloud Apigee Registry のリソースに対する読み取り専用アクセス権。 |
|
|
Cloud Apigee Registry ワーカー
ベータ版
Apigee Registry アプリケーション ワーカーが Apigee Registry アーティファクトの読み取りと更新に使用するロール。 |
|
App Engine のロール
| ロール | 権限 |
|---|---|
|
App Engine 管理者
すべてのアプリケーションの構成と設定に対する読み取り / 書き込み / 変更アクセス権。 新しいバージョンをデプロイするには、プリンシパルが App Engine デフォルト サービス アカウントに対するサービス アカウント ユーザー( このロールを付与できる最下位レベルのリソース:
|
|
|
App Engine 作成者
プロジェクトの App Engine リソースを作成できます。 このロールを付与できる最下位レベルのリソース:
|
|
|
App Engine 閲覧者
すべてのアプリケーションの構成と設定への読み取り専用アクセス権。 このロールを付与できる最下位レベルのリソース:
|
|
|
App Engine コード閲覧者
すべてのアプリケーションの構成と設定、デプロイされたソースコードに対する読み取り専用権限。 このロールを付与できる最下位レベルのリソース:
|
|
|
App Engine デプロイ担当者
すべてのアプリケーションの構成と設定への読み取り専用アクセス権。 新しいバージョンをデプロイするには、App Engine デフォルト サービス アカウントに対するサービス アカウント ユーザー( 既存のバージョンに対しては、トラフィックを受信していないバージョンを削除する以外の変更は加えられません。 このロールを付与できる最下位レベルのリソース:
|
|
|
App Engine サービス管理者
すべてのアプリケーションの構成と設定への読み取り専用アクセス権。 モジュール レベルおよびバージョン レベルの設定に対する書き込み権限。新しいバージョンをデプロイすることはできません。 このロールを付与できる最下位レベルのリソース:
|
|
Artifact Registry のロール
| ロール | 権限 |
|---|---|
|
Artifact Registry 管理者
リポジトリを作成、管理するための管理者アクセス権。 |
|
|
Artifact Registry 読み取り
リポジトリ アイテムを読み取るためのアクセス権。 |
|
|
Artifact Registry リポジトリ管理者
リポジトリ内のアーティファクトを管理するためのアクセス権。 |
|
|
Artifact Registry 書き込み
リポジトリ アイテムの読み取りと書き込みを行うためのアクセス権。 |
|
Assured Workloads のロール
| ロール | 権限 |
|---|---|
|
Assured Workloads 管理者
Assured Workloads リソース、CRM リソース(プロジェクト / フォルダ、組織ポリシーの管理)に対する完全アクセス権を付与します。 |
|
|
Assured Workloads 編集者
Assured Workloads リソース、CRM リソース(プロジェクト / フォルダ、組織ポリシーの管理)に対する読み取り、書き込みアクセス権を付与します。 |
|
|
Assured Workloads 閲覧者
すべての Assured Workloads リソースと CRM リソース(プロジェクト / フォルダ)に対する読み取りアクセス権を付与します。 |
|
AutoML のロール
| ロール | 権限 |
|---|---|
|
AutoML 管理者
ベータ版
すべての AutoML リソースに対する完全アクセス権 このロールを付与できる最下位レベルのリソース:
|
|
|
AutoML 編集者
ベータ版
すべての AutoML リソースの編集者 このロールを付与できる最下位レベルのリソース:
|
|
|
AutoML 予測者
ベータ版
モデルを使用して予測します このロールを付与できる最下位レベルのリソース:
|
|
|
AutoML 閲覧者
ベータ版
すべての AutoML リソースの閲覧者 このロールを付与できる最下位レベルのリソース:
|
|
Backup for GKE のロール
| Role | Permissions |
|---|---|
|
Backup for GKE Admin
Beta
Full access to all Backup for GKE resources. |
|
|
Backup for GKE Backup Admin
Beta
Allows administrators to manage all BackupPlan and Backup resources. |
|
|
Backup for GKE Delegated Backup Admin
Beta
Allows administrators to manage Backup resources for specific BackupPlans |
|
|
Backup for GKE Delegated Restore Admin
Beta
Allows administrators to manage Restore resources for specific RestorePlans |
|
|
Backup for GKE Restore Admin
Beta
Allows administrators to manage all RestorePlan and Restore resources. |
|
|
Backup for GKE Viewer
Beta
Read-only access to all Backup for GKE resources. |
|
BeyondCorp のロール
| ロール | 権限 |
|---|---|
|
Cloud BeyondCorp 管理者
ベータ版
すべての Cloud BeyondCorp リソースに対する完全アクセス権。 |
|
|
Cloud BeyondCorp クライアント コネクタ管理者
ベータ版
すべての BeyondCorp クライアント コネクタ リソースに対する完全アクセス権。 |
|
|
Cloud BeyondCorp クライアント コネクタ サービス ユーザー
ベータ版
クライアント コネクタ サービスにアクセス |
|
|
Cloud BeyondCorp クライアント コネクタ閲覧者
ベータ版
すべての BeyondCorp クライアント コネクタ リソースに対する読み取り専用アクセス権。 |
|
|
Cloud BeyondCorp 閲覧者
ベータ版
すべての Cloud BeyondCorp リソースに対する読み取り専用アクセス権。 |
|
BigQuery のロール
| ロール | 権限 |
|---|---|
|
BigQuery 管理者 プロジェクト内のすべてのリソースを管理する権限を提供します。プロジェクト内のすべてのデータを管理でき、プロジェクト内で実行されている他のユーザーのジョブもキャンセルできます。 このロールを付与できる最下位レベルのリソース:
|
|
|
BigQuery Connection 管理者
|
|
|
BigQuery Connection ユーザー
|
|
|
BigQuery データ編集者 このロールをテーブルまたはビューに適用すると、次の権限が付与されます。
このロールは、個々のモデルやルーティンに適用できません。 このロールをデータセットに適用すると、次の権限が付与されます。
プロジェクトまたは組織レベルで適用した場合、このロールは新しいデータセットを作成することもできます。 このロールを付与できる最下位レベルのリソース:
|
|
|
BigQuery データオーナー このロールをテーブルまたはビューに適用すると、次の権限が付与されます。
このロールは、個々のモデルやルーティンに適用できません。 このロールをデータセットに適用すると、次の権限が付与されます。
プロジェクトまたは組織レベルで適用した場合、このロールは新しいデータセットを作成することもできます。 このロールを付与できる最下位レベルのリソース:
|
|
|
BigQuery データ閲覧者 このロールをテーブルまたはビューに適用すると、次の権限が付与されます。
このロールは、個々のモデルやルーティンに適用できません。 このロールをデータセットに適用すると、次の権限が付与されます。
プロジェクトまたは組織レベルで適用した場合、このロールは、プロジェクト内のすべてのデータセットを列挙することもできます。ただし、ジョブを実行するためには追加の役割が必要です。 このロールを付与できる最下位レベルのリソース:
|
|
|
BigQuery フィルタ済みデータ閲覧者 行アクセス ポリシーにより定義される、フィルタ済みテーブルデータを表示するためのアクセス権 |
|
|
BigQuery ジョブユーザー プロジェクト内でジョブ(クエリを含む)を実行する権限を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
|
BigQuery メタデータ閲覧者 このロールをテーブルまたはビューに適用すると、次の権限が付与されます。
このロールは、個々のモデルやルーティンに適用できません。 このロールをデータセットに適用すると、次の権限が付与されます。
このロールをプロジェクト レベルまたは組織レベルで適用すると、次の権限が付与されます。
ジョブを実行する場合は追加の役割が必要です。 このロールを付与できる最下位レベルのリソース:
|
|
|
BigQuery 読み取りセッション ユーザー 読み取りセッションを作成および使用するためのアクセス権 |
|
|
BigQuery リソース管理者 BigQuery のすべてのリソースを管理します。 |
|
|
BigQuery リソース編集者 すべての BigQuery リソースを管理しますが、購入意思決定はできません。 |
|
|
BigQuery リソース閲覧者 すべての BigQuery リソースを表示できますが、変更や購入意思決定はできません。 |
|
|
BigQuery ユーザー このロールをデータセットに適用すると、データセットのメタデータを読み取り、データセット内のテーブルを一覧表示できます。 プロジェクトに適用すると、プロジェクト内でクエリなどのジョブを実行することもできるようになります。このロールを持つプリンシパルは、所有するジョブの列挙、所有するジョブのキャンセル、プロジェクト内のデータセットの列挙を行えます。また、プロジェクト内に新しいデータセットを作成することもできます。作成者には新しいデータセットに対する BigQuery データオーナーのロール( このロールを付与できる最下位レベルのリソース:
|
|
|
マスクされた読み取り
ベータ版
データポリシーに関連付けられたポリシータグでタグ付けされたサブリソース(BigQuery 列など)に対するマスクされた読み取りアクセス権 |
|
Billing のロール
| ロール | 権限 |
|---|---|
|
請求先アカウント管理者
請求先アカウントを表示、管理できる権限を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
|
請求先アカウントの費用管理者
請求先アカウントの予算を管理し、請求先アカウントの費用情報を表示、分析、エクスポートします。 このロールを付与できる最下位レベルのリソース:
|
|
|
請求先アカウント作成者
請求先アカウントを作成するための権限を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
|
プロジェクト支払い管理者
請求先アカウント ユーザーのロールと組み合わせて付与する場合、プロジェクトの請求先アカウントの割り当てと、請求の無効化を行うアクセス権が付与されます。 このロールを付与できる最下位レベルのリソース:
|
|
|
請求先アカウント ユーザー
プロジェクト オーナーのロールまたはプロジェクト支払い管理者のロールと組み合わせて付与する場合、プロジェクトと請求先アカウントを関連付けるためのアクセス権が付与されます。 このロールを付与できる最下位レベルのリソース:
|
|
|
請求先アカウント閲覧者
請求先アカウントの費用と料金の情報、トランザクション、請求とコミットメントに関する推奨事項を表示します。 このロールを付与できる最下位レベルのリソース:
|
|
Binary Authorization のロール
CA Service のロール
| ロール | 権限 |
|---|---|
|
CA サービス管理者
すべての CA サービスのリソースへの完全アクセス権。 |
|
|
CA サービス監査者
すべての CA サービスのリソースの読み取り専用アクセス権。 |
|
|
CA サービス オペレーション マネージャー
CA の作成と管理、証明書の失効、証明書テンプレートの作成、CA サービスのリソースの読み取り専用アクセス。 |
|
|
CA サービス証明書管理者
証明書の作成と CA サービスのリソースに対する読み取り専用アクセス権。 |
|
|
CA サービス証明書リクエスト元
CA サービスから証明書をリクエストします。 |
|
|
CA サービス証明書テンプレート ユーザー
証明書テンプレートの読み取り、一覧表示、使用。 |
|
|
CA サービス ワークロード証明書リクエスト元
呼び出し元の ID を使用して CA サービスから証明書をリクエストします。 |
|
Certificate Manager のロール
| ロール | 権限 |
|---|---|
|
Certificate Manager 編集者 すべての Certificate Manager リソースに対する編集アクセス権。 |
|
|
Certificate Manager オーナー すべての Certificate Manager リソースに対する完全アクセス権。 |
|
|
Certificate Manager 閲覧者 すべての Certificate Manager リソースに対する読み取り専用アクセス権。 |
|
Cloud AlloyDB のロール
| ロール | 権限 |
|---|---|
|
Cloud AlloyDB 管理者
ベータ版
Cloud AlloyDB のすべてのリソースに対する完全アクセス権。 |
|
|
Cloud AlloyDB クライアント
ベータ版
Cloud AlloyDB インスタンスへの接続アクセス権。 |
|
|
Cloud AlloyDB 閲覧者
ベータ版
Cloud AlloyDB のすべてのリソースに対する読み取り専用アクセス権。 |
|
Cloud Asset のロール
| ロール | 権限 |
|---|---|
|
Cloud Asset オーナー
Cloud Asset メタデータへの完全アクセス権 |
|
|
Cloud Asset 閲覧者
Cloud Asset メタデータに対する読み取り権限 |
|
Cloud BackupDR のロール
| ロール | 権限 |
|---|---|
|
バックアップと DR の管理者 管理コンソールを介した ACL 構成を含む、バックアップ リソースと DR リソースを完全に管理できる権限。 |
|
|
バックアップと DR ユーザー 管理コンソールへのアクセス権を付与します。バックアップと DR の詳細な権限は、管理コンソール内でバックアップと DR の管理者が指定する ACL 構成によって異なります。 |
|
|
バックアップと DR の閲覧者 バックアップと DR のリソースの読み取り専用権限。 |
|
Cloud Bigtable のロール
| Role | Permissions |
|---|---|
|
Bigtable Administrator
Administers all Bigtable instances within a project, including the data stored within tables. Can create new instances. Intended for project administrators. Lowest-level resources where you can grant this role:
|
|
|
Bigtable Reader
Provides read-only access to the data stored within Bigtable tables. Intended for data scientists, dashboard generators, and other data-analysis scenarios. Lowest-level resources where you can grant this role:
|
|
|
Bigtable User
Provides read-write access to the data stored within Bigtable tables. Intended for application developers or service accounts. Lowest-level resources where you can grant this role:
|
|
|
Bigtable Viewer
Provides no data access. Intended as a minimal set of permissions to access the Google Cloud console for Bigtable. Lowest-level resources where you can grant this role:
|
|
Cloud Build のロール
| ロール | 権限 |
|---|---|
|
Cloud Build 承認者
保留中のビルドを承認または却下できます。 |
|
|
Cloud Build サービス アカウント
ビルドを実行するためのアクセス権を提供します。 |
|
|
Cloud Build 編集者
ビルドを作成、キャンセルするためのアクセス権を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
|
Cloud Build 閲覧者
ビルドを表示するための権限を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
|
Cloud Build 統合編集者
統合を更新できます。 |
|
|
Cloud Build 統合オーナー
統合の作成と削除を行うことができます。 |
|
|
Cloud Build 統合閲覧者
統合を表示できます。 |
|
|
Cloud Build WorkerPool 編集者
WorkerPool の更新と表示を行うことができます。 |
|
|
Cloud Build WorkerPool オーナー
WorkerPool を作成、削除、更新、表示できます。 |
|
|
Cloud Build WorkerPool ユーザー
WorkerPool 内でビルドを実行できます。 |
|
|
Cloud Build WorkerPool 閲覧者
WorkerPool を表示できます。 |
|
Cloud Composer の役割
| ロール | 権限 |
|---|---|
|
Cloud Composer v2 API サービス エージェント拡張機能
Cloud Composer v2 API サービス エージェント拡張機能は、Composer v2 環境を管理するために必要な補助的ロールです。 |
|
|
Composer 管理者
Cloud Composer リソースのすべてを管理できます。 このロールを付与できる最下位レベルのリソース:
|
|
|
環境とストレージ オブジェクトの管理者
Cloud Composer のリソースとすべてのプロジェクト バケットのオブジェクトを管理できる権限を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
|
環境ユーザーとストレージ オブジェクトの閲覧者
Cloud Composer 環境とオペレーションを一覧表示して取得するために必要な権限を付与します。すべてのプロジェクト バケットのオブジェクトに対して読み取り専用アクセスを許可します。 このロールを付与できる最下位レベルのリソース:
|
|
|
Composer の共有 VPC エージェント
共有 VPC ホスト プロジェクトで Composer Agent のサービス アカウントに割り当てる必要があるロール |
|
|
Composer ユーザー
Cloud Composer 環境とオペレーションを一覧表示して取得するために必要な権限を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
|
Composer ワーカー
Cloud Composer 環境 VM の実行に必要な権限を付与します(サービス アカウント向け)。 このロールを付与できる最下位レベルのリソース:
|
|
Cloud Connectors のロール
| ロール | 権限 |
|---|---|
|
Connectors 管理者
Connectors サービスのすべてのリソースに対する完全アクセス権。 |
|
|
Connectors 閲覧者
Connectors のすべてのリソースに対する読み取り専用アクセス権。 |
|
Cloud Data Fusion の役割
| ロール | 権限 |
|---|---|
|
Cloud Data Fusion 管理者
ベータ版
Cloud Data Fusion インスタンス、名前空間、関連リソースに対する完全アクセス権。 このロールを付与できる最下位レベルのリソース:
|
|
|
Cloud Data Fusion ランナー
ベータ版
Cloud Data Fusion ランタイム リソースに対するアクセス権。 |
|
|
Cloud Data Fusion 閲覧者
ベータ版
Cloud Data Fusion インスタンス、名前空間、関連リソースに対する読み取り専用アクセス権。 このロールを付与できる最下位レベルのリソース:
|
|
Cloud Data Labeling のロール
| ロール | 権限 |
|---|---|
|
Data Labeling Service 管理者
ベータ版
すべての Data Labeling リソースに対する完全アクセス権 |
|
|
Data Labeling Service 編集者
ベータ版
すべての Data Labeling リソースの編集者 |
|
|
Data Labeling Service 閲覧者
ベータ版
すべての Data Labeling リソースの閲覧者 |
|
Cloud Dataplex のロール
| ロール | 権限 |
|---|---|
|
Dataplex 管理者
すべての Dataplex リソースに対する完全アクセス権。 |
|
|
Dataplex データオーナー
データに対するオーナー アクセス権。Dataplex リソース(Lake、Zone、Asset)のみに付与されます。 |
|
|
Dataplex データリーダー
データに対する読み取り専用アクセス権。Dataplex リソース(Lake、Zone、Asset)のみに付与されます。 |
|
|
Dataplex データライター
データへの書き込みアクセス権。Dataplex リソース(Lake、Zone、Asset)のみに付与されます。 |
|
|
Dataplex デベロッパー
レイクでデータ分析ワークロードを実行できます。 |
|
|
Dataplex 編集者
Dataplex リソースに対する書き込みアクセス権。 |
|
|
Dataplex メタデータ読み取り
メタデータに対する読み取り専用アクセス権。 |
|
|
Dataplex メタデータ ライター
メタデータに対する読み取りおよび書き込みアクセス権。 |
|
|
Dataplex ストレージ データオーナー
データに対するオーナー アクセス権。直接使用しないでください。このロールは、Dataplex によって Cloud Storage バケット、BigQuery データセットなどのマネージド リソースに付与されます。 |
|
|
Dataplex ストレージ データ リーダー
データに対する読み取り専用アクセス権。直接使用しないでください。このロールは、Dataplex によって Cloud Storage バケット、BigQuery データセットなどのマネージド リソースに付与されます。 |
|
|
Dataplex ストレージ データライター
データへの書き込みアクセス権。直接使用しないでください。このロールは、Dataplex によって Cloud Storage バケット、BigQuery データセットなどのマネージド リソースに付与されます。 |
|
|
Dataplex 閲覧者
Dataplex リソースに対する読み取りアクセス権。 |
|
Cloud デバッガのロール
| ロール | 権限 |
|---|---|
|
Cloud デバッガ エージェント
ベータ版
デバッグ ターゲットの登録、アクティブなブレーク ポイントの読み取り、ブレーク ポイントの結果の報告を行うアクセス権を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
|
Cloud デバッガ ユーザー
ベータ版
ブレークポイント(スナップショットとログポイント)の作成、表示、一覧表示、削除に加え、デバッグ ターゲット(デバッグ対象)の一覧表示を行うアクセス権を付与します。 このロールを付与できる最下位レベルのリソース:
|
|
Cloud Deploy のロール
| ロール | 権限 |
|---|---|
|
Cloud Deploy 管理者
ベータ版
Cloud Deploy のリソースをすべて管理できる権限。 |
|
|
Cloud Deploy 承認者
ベータ版
ロールアウトを承認または拒否する権限。 |
|
|
Cloud Deploy デベロッパー
ベータ版
デプロイ構成を管理する権限。ターゲットなどの運用リソースにアクセスする権限はありません。 |
|
|
Cloud Deploy ランナー
ベータ版
Cloud Deploy の作業を実行する権限です。ターゲットに提供する権限はありません。 |
|
|
Cloud Deploy オペレータ
ベータ版
デプロイ構成を管理する権限。 |
|
|
Cloud Deploy リリース担当者
ベータ版
Cloud Deploy のリリースとロールアウトを作成する権限。 |
|
|
Cloud Deploy 閲覧者
ベータ版
Cloud Deploy リソースを閲覧できます。 |
|
Cloud DLP の役割
| ロール | 権限 |
|---|---|
|
DLP 管理者
ジョブやテンプレートを含む DLP の管理権限。 |
|
|
DLP 分析リスク テンプレート編集者
DLP 分析リスク テンプレートの編集権限。 |
|
|
DLP 分析リスク テンプレート読み取り
DLP 分析リスク テンプレートの読み取り権限。 |
|
|
DLP 列データ プロファイル読み取り
DLP 列プロファイルを読み取ります。 |
|
|
DLP データ プロファイル読み取り
DLP プロファイルを読み取ります。 |
|
|
DLP 匿名化テンプレート編集者
DLP 匿名化テンプレートの編集。 |
|
|
DLP 匿名化テンプレート読み取り
DLP 匿名化テンプレートの読み取り権限。 |
|
|
DLP 費用の見積もり
DLP 費用の見積もりを管理します。 |
|
|
DLP 検査結果読み取り
DLP 保存済み検査結果の読み取り権限。 |
|
|
DLP 検査テンプレート編集者
DLP 検査テンプレートの編集権限。 |
|
|
DLP 検査テンプレート読み取り
DLP 検査テンプレートの読み取り。 |
|
|
DLP ジョブトリガー編集者
ジョブトリガー構成の編集。 |
|
|
DLP ジョブトリガー読み取り
ジョブトリガーの読み取り権限。 |
|
|
DLP ジョブ編集者
ジョブを編集および作成する権限 |
|
|
DLP ジョブ読み取り
ジョブの読み取り権限 |
|
|
DLP 組織データ プロファイル ドライバ
DLP サービス アカウントが組織またはフォルダ内でデータ プロファイルを生成するために必要な権限。 |
|