ロールについて

このページでは、IAM ロールについて説明し、プリンシパルに付与できる事前定義ロールのリストを示します。

ロールには、Google Cloud リソースに対して特定の操作を実行できるようにする一連の権限が含まれています。ユーザー、グループ、サービス アカウントなど、プリンシパルで権限を使用できるようにするには、プリンシパルにロールを付与します。

このガイドの前提条件

ロールのタイプ

IAM には、次の 3 種類のロールがあります。

  • 基本ロール: IAM の導入前に存在していたオーナー、編集者、閲覧者のロールが含まれます。
  • 事前定義ロール: 特定のサービスへのアクセスを細かく制御します。また、Google Cloud により管理されます。
  • カスタムロール: ユーザー指定の権限のリストに応じたきめ細かなアクセス権が提供されます。

権限が基本、事前定義、カスタムのいずれかのロールに含まれているかどうかを判断するには、次のいずれかの方法を使用します。

  • gcloud iam roles describe コマンドを実行して、ロールの権限を一覧表示します。
  • roles.get() REST API メソッドを呼び出して、ロールの権限を一覧表示します。
  • 基本ロールと事前定義ロールのみ: 権限のリファレンスを検索して、ロールによって権限が付与されるかどうかを確認します。
  • 事前定義ロールのみ: このページで定義済みのロールの説明を参照して、ロールに含まれる権限を確認します。

次のセクションでは、各ロールのタイプについて説明し、それらの使用方法の例を示します。

基本ロール

IAM の導入前に存在していた、オーナー、編集者、閲覧者の複数の基本ロールがあります。オーナー、編集者、閲覧者の各ロールは入れ子構造になっています。つまり、オーナーロールには編集者ロールの権限が含まれており、編集者ロールには閲覧者ロールの権限が含まれています。元々は「基本(primitive)ロール」と呼ばれていました。

次の表では、Google Cloud のすべてのサービスに関して基本ロールが持っている権限が要約されています。

基本ロールの定義

名前 タイトル 権限
roles/viewer 閲覧者 既存のリソースやデータの表示(ただし変更は不可能)など、状態に影響しない読み取り専用アクションに必要な権限。
roles/editor 編集者 すべての閲覧者権限に加えて状態を変更するアクション(既存のリソースの変更など)に必要な権限。
注: 編集者のロールには、ほとんどの Google Cloud サービスでリソースを作成および削除できる権限が含まれます。ただし、すべてのサービスのすべてのアクションを実行する権限は含まれていません。必要な権限がロールに含まれているかどうかを確認する方法については、このページのロールのタイプをご覧ください。
roles/owner オーナー すべての編集者権限、以下のアクションを実行するために必要な権限:
  • プロジェクトおよびプロジェクト内のすべてのリソースの権限とロールを管理する。
  • プロジェクトの課金情報を設定する。
注:
  • リソースレベル(Pub/Sub トピックなど)でオーナーのロールを付与しても、その親プロジェクトにオーナーのロールが付与されることはありません。
  • 組織レベルでオーナーのロールを付与しても、その組織のメタデータを更新することはできません。ただし、その組織のすべてのプロジェクトや他のリソースは変更できます。
  • プロジェクトのオーナーロールを組織外のユーザーに付与するには、gcloud CLI ではなく Cloud Console を使用する必要があります。プロジェクトが組織の一部でない場合は、Cloud Console を使用してオーナーのロールを付与する必要があります。

Cloud Console、API、gcloud CLI を使用して、プロジェクトまたはサービスのリソースレベルで基本ロールを適用できます。手順については、アクセス権の付与、変更、取り消しをご覧ください。

Cloud Console を使用してロールを付与する方法については、アクセス権の付与、変更、取り消しをご覧ください。

事前定義ロール

基本ロールに加えて、IAM の事前定義ロールを使用すると、特定の Google Cloud リソースに対してきめ細やかなアクセス権を付与し、他のリソースへの望ましくないアクセスを防ぐことができます。これらのロールは Google によって作成され、管理されます。Google は、Google Cloud によって新しい機能やサービスが追加された場合など、必要に応じて権限を自動的に更新します。

次の表に、定義されたロールとその説明、それらのロールを設定できる最低レベルのリソースタイプを示します。このリソースタイプまたはほとんどの場合に Google Cloud リソース階層のそれ以上の任意のタイプに特定のロールを付与できます。

リソース階層の任意のレベルで、同じユーザーに複数のロールを付与できます。たとえば、同じユーザーにプロジェクトの Compute ネットワーク管理者ロールとログ閲覧者のロールが付与され、そのプロジェクト内の Pub/Sub トピックに Pub/Sub パブリッシャー ロールが付与されている場合があります。ロールに含まれる権限を一覧表示する方法については、ロール メタデータの取得をご覧ください。

最適な事前定義ロールを選択する方法については、事前定義ロールの選択をご覧ください。

Access Approval のロール

ロール 権限

Access Approval 承認者 ベータ版
roles/accessapproval.approver

アクセス承認リクエストを表示または操作し、構成を表示できる権限

  • accessapproval.requests.*
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Approval Config 編集者 ベータ版
roles/accessapproval.configEditor

アクセス承認の構成を更新する権限

  • accessapproval.settings.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Approval 閲覧者 ベータ版
roles/accessapproval.viewer

アクセス承認リクエストおよび構成を閲覧できる権限

  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Context Manager のロール

ロール 権限

Cloud アクセス バインディング管理者
roles/accesscontextmanager.gcpAccessAdmin

Cloud アクセス バインディングの作成、編集、変更。

  • accesscontextmanager.gcpUserAccessBindings.*

Cloud アクセス バインディング リーダー
roles/accesscontextmanager.gcpAccessReader

Cloud アクセス バインディングへの読み取りアクセス。

  • accesscontextmanager.gcpUserAccessBindings.get
  • accesscontextmanager.gcpUserAccessBindings.list

Access Context Manager 管理者
roles/accesscontextmanager.policyAdmin

ポリシー、アクセスレベル、アクセスゾーンへの完全アクセス権。

  • accesscontextmanager.accessLevels.*
  • accesscontextmanager.accessPolicies.*
  • accesscontextmanager.accessZones.*
  • accesscontextmanager.policies.*
  • accesscontextmanager.servicePerimeters.*
  • cloudasset.assets.searchAllResources
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Context Manager 編集者
roles/accesscontextmanager.policyEditor

ポリシーに対する編集権限。アクセスレベルとアクセスゾーンを作成、編集、変更します。

  • accesscontextmanager.accessLevels.*
  • accesscontextmanager.accessPolicies.create
  • accesscontextmanager.accessPolicies.delete
  • accesscontextmanager.accessPolicies.get
  • accesscontextmanager.accessPolicies.getIamPolicy
  • accesscontextmanager.accessPolicies.list
  • accesscontextmanager.accessPolicies.update
  • accesscontextmanager.accessZones.*
  • accesscontextmanager.policies.create
  • accesscontextmanager.policies.delete
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.policies.update
  • accesscontextmanager.servicePerimeters.*
  • cloudasset.assets.searchAllResources
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Context Manager 読み取り
roles/accesscontextmanager.policyReader

ポリシー、アクセスレベル、アクセスゾーンに対する読み取り権限。

  • accesscontextmanager.accessLevels.get
  • accesscontextmanager.accessLevels.list
  • accesscontextmanager.accessPolicies.get
  • accesscontextmanager.accessPolicies.getIamPolicy
  • accesscontextmanager.accessPolicies.list
  • accesscontextmanager.accessZones.get
  • accesscontextmanager.accessZones.list
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.servicePerimeters.get
  • accesscontextmanager.servicePerimeters.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

VPC Service Controls トラブルシューティング閲覧者
roles/accesscontextmanager.vpcScTroubleshooterViewer

  • accesscontextmanager.accessLevels.get
  • accesscontextmanager.accessLevels.list
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.servicePerimeters.get
  • accesscontextmanager.servicePerimeters.list
  • logging.exclusions.get
  • logging.exclusions.list
  • logging.logEntries.list
  • logging.logMetrics.get
  • logging.logMetrics.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.sinks.get
  • logging.sinks.list
  • logging.usage.*
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

アクションのロール

ロール 権限

アクション管理者
roles/actions.Admin

アクセスしてアクションの編集とデプロイを行います。

  • actions.*
  • firebase.projects.get
  • firebase.projects.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

アクション閲覧者
roles/actions.Viewer

アクセスしてアクションを表示します。

  • actions.agent.get
  • actions.agentVersions.get
  • actions.agentVersions.list
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

AI Notebooks のロール

ロール 権限

Notebooks 管理者
roles/notebooks.admin

Notebooks のすべてのリソースに対する完全アクセス権。

このロールを付与できる最下位レベルのリソース:

  • インスタンス
  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.getIamPolicy
  • compute.regionFirewallPolicies.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • notebooks.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Notebooks の従来の管理者
roles/notebooks.legacyAdmin

Compute API での Notebooks のすべてのリソースに対する完全アクセス権。

  • compute.*
  • notebooks.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Notebooks の従来の閲覧者
roles/notebooks.legacyViewer

Compute API での Notebooks のすべてのリソースに対する読み取り専用アクセス権。

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.getIamPolicy
  • compute.regionFirewallPolicies.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • notebooks.environments.get
  • notebooks.environments.getIamPolicy
  • notebooks.environments.list
  • notebooks.executions.get
  • notebooks.executions.getIamPolicy
  • notebooks.executions.list
  • notebooks.instances.checkUpgradability
  • notebooks.instances.get
  • notebooks.instances.getHealth
  • notebooks.instances.getIamPolicy
  • notebooks.instances.list
  • notebooks.locations.*
  • notebooks.operations.get
  • notebooks.operations.list
  • notebooks.runtimes.get
  • notebooks.runtimes.getIamPolicy
  • notebooks.runtimes.list
  • notebooks.schedules.get
  • notebooks.schedules.getIamPolicy
  • notebooks.schedules.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Notebooks 実行者
roles/notebooks.runner

スケジュール設定された Notebooks を実行するための制限付きアクセス権

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.getIamPolicy
  • compute.regionFirewallPolicies.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • notebooks.environments.get
  • notebooks.environments.getIamPolicy
  • notebooks.environments.list
  • notebooks.executions.create
  • notebooks.executions.get
  • notebooks.executions.getIamPolicy
  • notebooks.executions.list
  • notebooks.instances.checkUpgradability
  • notebooks.instances.create
  • notebooks.instances.get
  • notebooks.instances.getHealth
  • notebooks.instances.getIamPolicy
  • notebooks.instances.list
  • notebooks.locations.*
  • notebooks.operations.get
  • notebooks.operations.list
  • notebooks.runtimes.create
  • notebooks.runtimes.get
  • notebooks.runtimes.getIamPolicy
  • notebooks.runtimes.list
  • notebooks.schedules.create
  • notebooks.schedules.get
  • notebooks.schedules.getIamPolicy
  • notebooks.schedules.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Notebooks 閲覧者
roles/notebooks.viewer

Notebooks のすべてのリソースに対する読み取り専用アクセス権。

このロールを付与できる最下位レベルのリソース:

  • インスタンス
  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.getIamPolicy
  • compute.regionFirewallPolicies.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • notebooks.environments.get
  • notebooks.environments.getIamPolicy
  • notebooks.environments.list
  • notebooks.executions.get
  • notebooks.executions.getIamPolicy
  • notebooks.executions.list
  • notebooks.instances.checkUpgradability
  • notebooks.instances.get
  • notebooks.instances.getHealth
  • notebooks.instances.getIamPolicy
  • notebooks.instances.list
  • notebooks.locations.*
  • notebooks.operations.get
  • notebooks.operations.list
  • notebooks.runtimes.get
  • notebooks.runtimes.getIamPolicy
  • notebooks.runtimes.list
  • notebooks.schedules.get
  • notebooks.schedules.getIamPolicy
  • notebooks.schedules.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

AI Platform のロール

ロール 権限

AI Platform 管理者
roles/ml.admin

AI Platform リソースとそのジョブ、オペレーション、モデル、バージョンに対する完全アクセス権を付与します。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • ml.*
  • resourcemanager.projects.get

AI Platform デベロッパー
roles/ml.developer

モデル、バージョン、トレーニングと予測用のジョブの作成や、オンライン予測リクエストの送信を行うために AI Platform リソースを使用することを許可します。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • ml.jobs.create
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.list
  • ml.locations.*
  • ml.models.create
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.list
  • ml.models.predict
  • ml.operations.get
  • ml.operations.list
  • ml.projects.*
  • ml.studies.*
  • ml.trials.*
  • ml.versions.get
  • ml.versions.list
  • ml.versions.predict
  • resourcemanager.projects.get

AI Platform ジョブオーナー
roles/ml.jobOwner

特定のジョブリソースに対するすべての権限への完全アクセス権を付与します。このロールはジョブを作成したユーザーに自動的に付与されます。

このロールを付与できる最下位レベルのリソース:

  • ジョブ
  • ml.jobs.*

AI Platform モデルオーナー
roles/ml.modelOwner

モデルとそのバージョンへの完全アクセス権を付与します。このロールは、モデルを作成したユーザーに自動的に付与されます。

このロールを付与できる最下位レベルのリソース:

  • モデル
  • ml.models.*
  • ml.versions.*

AI Platform モデルユーザー
roles/ml.modelUser

モデルとそのバージョンを読み取り、予測に使用する権限を付与します。

このロールを付与できる最下位レベルのリソース:

  • モデル
  • ml.models.get
  • ml.models.predict
  • ml.versions.get
  • ml.versions.list
  • ml.versions.predict

AI Platform オペレーション オーナー
roles/ml.operationOwner

特定のオペレーション リソースに対する完全アクセス権を付与します。

このロールを付与できる最下位レベルのリソース:

  • オペレーション
  • ml.operations.*

AI Platform 閲覧者
roles/ml.viewer

AI Platform のリソースに対する読み取り専用権限を付与します。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • ml.jobs.get
  • ml.jobs.list
  • ml.locations.*
  • ml.models.get
  • ml.models.list
  • ml.operations.get
  • ml.operations.list
  • ml.projects.*
  • ml.studies.get
  • ml.studies.getIamPolicy
  • ml.studies.list
  • ml.trials.get
  • ml.trials.list
  • ml.versions.get
  • ml.versions.list
  • resourcemanager.projects.get

Analytics Hub のロール

ロール 権限

Analytics Hub 管理者 ベータ版
roles/analyticshub.admin

データ交換とリスティングの管理

  • analyticshub.dataExchanges.*
  • analyticshub.listings.create
  • analyticshub.listings.delete
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • analyticshub.listings.setIamPolicy
  • analyticshub.listings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Analytics Hub リスティング管理者 ベータ版
roles/analyticshub.listingAdmin

ACL の更新、削除、設定を含め、リスティングに対する完全な管理権限を付与します

  • analyticshub.dataExchanges.get
  • analyticshub.dataExchanges.getIamPolicy
  • analyticshub.dataExchanges.list
  • analyticshub.listings.delete
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • analyticshub.listings.setIamPolicy
  • analyticshub.listings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Analytics Hub パブリッシャー ベータ版
roles/analyticshub.publisher

データ交換に公開してリスティングを作成可能

  • analyticshub.dataExchanges.get
  • analyticshub.dataExchanges.getIamPolicy
  • analyticshub.dataExchanges.list
  • analyticshub.listings.create
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Analytics Hub サブスクライバー ベータ版
roles/analyticshub.subscriber

データ交換の閲覧とリスティングへの登録が可能です

  • analyticshub.dataExchanges.get
  • analyticshub.dataExchanges.getIamPolicy
  • analyticshub.dataExchanges.list
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • analyticshub.listings.subscribe
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Analytics Hub 閲覧者 ベータ版
roles/analyticshub.viewer

データ交換とリスティングを閲覧できます。

  • analyticshub.dataExchanges.get
  • analyticshub.dataExchanges.getIamPolicy
  • analyticshub.dataExchanges.list
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Android Management のロール

ロール 権限

Android Management ユーザー
roles/androidmanagement.user

デバイスを管理するための完全アクセス権。

  • androidmanagement.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Anthos マルチクラウドのロール

ロール 権限

Anthos マルチクラウド管理者
roles/gkemulticloud.admin

Anthos マルチクラウド リソースに対する管理者アクセス権。

  • gkemulticloud.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Anthos マルチクラウド テレメトリー ライター
roles/gkemulticloud.telemetryWriter

ログ、指標、リソース メタデータなどのクラスタのテレメトリー データを書き込むアクセス権を付与します。

  • logging.logEntries.create
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.timeSeries.create
  • opsconfigmonitoring.resourceMetadata.write

Anthos マルチクラウド閲覧者
roles/gkemulticloud.viewer

Anthos マルチクラウド リソースに対する閲覧者アクセス権。

  • gkemulticloud.awsClusters.generateAccessToken
  • gkemulticloud.awsClusters.get
  • gkemulticloud.awsClusters.list
  • gkemulticloud.awsNodePools.get
  • gkemulticloud.awsNodePools.list
  • gkemulticloud.awsServerConfigs.*
  • gkemulticloud.azureClients.get
  • gkemulticloud.azureClients.list
  • gkemulticloud.azureClusters.generateAccessToken
  • gkemulticloud.azureClusters.get
  • gkemulticloud.azureClusters.list
  • gkemulticloud.azureNodePools.get
  • gkemulticloud.azureNodePools.list
  • gkemulticloud.azureServerConfigs.*
  • gkemulticloud.operations.get
  • gkemulticloud.operations.list
  • gkemulticloud.operations.wait
  • resourcemanager.projects.get
  • resourcemanager.projects.list

API ゲートウェイのロール

ロール 権限

API Gateway 管理者
roles/apigateway.admin

API Gateway と関連リソースに対する完全アクセス権。

  • apigateway.*
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.services.get
  • serviceusage.services.list

API Gateway 閲覧者
roles/apigateway.viewer

API Gateway と関連リソースに対する読み取り専用アクセス権。

  • apigateway.apiconfigs.get
  • apigateway.apiconfigs.getIamPolicy
  • apigateway.apiconfigs.list
  • apigateway.apis.get
  • apigateway.apis.getIamPolicy
  • apigateway.apis.list
  • apigateway.gateways.get
  • apigateway.gateways.getIamPolicy
  • apigateway.gateways.list
  • apigateway.locations.*
  • apigateway.operations.get
  • apigateway.operations.list
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.services.get
  • serviceusage.services.list

Apigee のロール

ロール 権限

Apigee 組織管理者
roles/apigee.admin

すべての Apigee リソース機能に対する完全アクセス権

  • apigee.*
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list

Apigee Analytics エージェント
roles/apigee.analyticsAgent

Apigee 組織のアナリティクスを管理するために、Apigee Universal Data Collection Agent 用にキュレートされた権限セット

  • apigee.environments.getDataLocation
  • apigee.runtimeconfigs.*

Apigee Analytics 編集者
roles/apigee.analyticsEditor

Apigee 組織のアナリティクス編集者

  • apigee.datacollectors.*
  • apigee.datastores.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.*
  • apigee.hostqueries.*
  • apigee.hoststats.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.queries.*
  • apigee.reports.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee Analytics 閲覧者
roles/apigee.analyticsViewer

Apigee 組織のアナリティクス閲覧者

  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.datastores.get
  • apigee.datastores.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.get
  • apigee.exports.list
  • apigee.hostqueries.get
  • apigee.hostqueries.list
  • apigee.hoststats.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.queries.get
  • apigee.queries.list
  • apigee.reports.get
  • apigee.reports.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee API 管理者
roles/apigee.apiAdminV2

すべての Apigee API リソースに対する完全な読み取り / 書き込みアクセス権

  • apigee.apiproductattributes.*
  • apigee.apiproducts.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.keyvaluemapentries.*
  • apigee.keyvaluemaps.list
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.*
  • apigee.proxyrevisions.*
  • apigee.sharedflowrevisions.*
  • apigee.sharedflows.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee API 読み取り
roles/apigee.apiReaderV2

Apigee リソースの読み取り

  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.keyvaluemapentries.*
  • apigee.keyvaluemaps.list
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.deploy
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.proxyrevisions.undeploy
  • apigee.sharedflowrevisions.deploy
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflowrevisions.undeploy
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee デベロッパー管理者
roles/apigee.developerAdmin

Apigee リソースのデベロッパー管理者

  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.appkeys.*
  • apigee.apps.*
  • apigee.datacollectors.*
  • apigee.developerappattributes.*
  • apigee.developerapps.*
  • apigee.developerattributes.*
  • apigee.developerbalances.*
  • apigee.developermonetizationconfigs.*
  • apigee.developers.*
  • apigee.developersubscriptions.*
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.hoststats.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.rateplans.get
  • apigee.rateplans.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list

Apigee 環境管理者
roles/apigee.environmentAdmin

デプロイメントを含む Apigee 環境リソースに対する完全な読み取り / 書き込みアクセス権。

  • apigee.archivedeployments.*
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.deployments.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getIamPolicy
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.environments.setIamPolicy
  • apigee.environments.update
  • apigee.flowhooks.*
  • apigee.ingressconfigs.*
  • apigee.keystorealiases.*
  • apigee.keystores.*
  • apigee.keyvaluemaps.*
  • apigee.maskconfigs.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.deploy
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.proxyrevisions.undeploy
  • apigee.references.*
  • apigee.resourcefiles.*
  • apigee.sharedflowrevisions.deploy
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflowrevisions.undeploy
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • apigee.targetservers.*
  • apigee.tracesessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list

Apigee Monetization 管理者
roles/apigee.monetizationAdmin

収益化に関連するすべての権限

  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.developerbalances.*
  • apigee.developermonetizationconfigs.*
  • apigee.developersubscriptions.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.rateplans.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee ポータル管理者
roles/apigee.portalAdmin

Apigee 組織のポータル管理者

  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.portals.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee 読み取り専用管理者
roles/apigee.readOnlyAdmin

すべての Apigee リソースの閲覧者

  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.appkeys.get
  • apigee.apps.*
  • apigee.archivedeployments.download
  • apigee.archivedeployments.get
  • apigee.archivedeployments.list
  • apigee.caches.list
  • apigee.canaryevaluations.get
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.datastores.get
  • apigee.datastores.list
  • apigee.deployments.get
  • apigee.deployments.list
  • apigee.developerappattributes.get
  • apigee.developerappattributes.list
  • apigee.developerapps.get
  • apigee.developerapps.list
  • apigee.developerattributes.get
  • apigee.developerattributes.list
  • apigee.developerbalances.get
  • apigee.developermonetizationconfigs.get
  • apigee.developers.get
  • apigee.developers.list
  • apigee.developersubscriptions.get
  • apigee.developersubscriptions.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getDataLocation
  • apigee.environments.getIamPolicy
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.get
  • apigee.exports.list
  • apigee.flowhooks.getSharedFlow
  • apigee.flowhooks.list
  • apigee.hostqueries.get
  • apigee.hostqueries.list
  • apigee.hostsecurityreports.get
  • apigee.hostsecurityreports.list
  • apigee.hoststats.*
  • apigee.ingressconfigs.*
  • apigee.instanceattachments.get
  • apigee.instanceattachments.list
  • apigee.instances.get
  • apigee.instances.list
  • apigee.keystorealiases.get
  • apigee.keystorealiases.list
  • apigee.keystores.get
  • apigee.keystores.list
  • apigee.keyvaluemapentries.*
  • apigee.keyvaluemaps.list
  • apigee.maskconfigs.get
  • apigee.operations.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.portals.get
  • apigee.portals.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.queries.get
  • apigee.queries.list
  • apigee.rateplans.get
  • apigee.rateplans.list
  • apigee.references.get
  • apigee.references.list
  • apigee.reports.get
  • apigee.reports.list
  • apigee.resourcefiles.get
  • apigee.resourcefiles.list
  • apigee.runtimeconfigs.*
  • apigee.securityreports.get
  • apigee.securityreports.list
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • apigee.targetservers.get
  • apigee.targetservers.list
  • apigee.tracesessions.get
  • apigee.tracesessions.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list

Apigee ランタイム エージェント
roles/apigee.runtimeAgent

ランタイム エージェントが Apigee 組織リソースにアクセスするための、キュレートされた権限セット

  • apigee.canaryevaluations.*
  • apigee.ingressconfigs.*
  • apigee.instances.reportStatus
  • apigee.operations.*
  • apigee.organizations.get
  • apigee.runtimeconfigs.*

Apigee セキュリティ管理者
roles/apigee.securityAdmin

Apigee 組織のセキュリティ管理者

  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.list
  • apigee.hostsecurityreports.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.securityreports.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee セキュリティ閲覧者
roles/apigee.securityViewer

Apigee 組織のセキュリティ閲覧者

  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.list
  • apigee.hostsecurityreports.get
  • apigee.hostsecurityreports.list
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.securityreports.get
  • apigee.securityreports.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee Synchronizer 管理者
roles/apigee.synchronizerManager

Synchronizer で Apigee 組織の環境を管理するための、キュレートされた権限セット

  • apigee.environments.get
  • apigee.environments.manageRuntime
  • apigee.ingressconfigs.*

Apigee Connect 管理者
roles/apigeeconnect.Admin

Apigee Connect の管理者

  • apigeeconnect.connections.*

Apigee Connect エージェント
roles/apigeeconnect.Agent

外部クラスタと Google の間の Apigee Connect エージェントを設定できます。

  • apigeeconnect.endpoints.*

Apigee Registry のロール

ロール 権限

Cloud Apigee Registry 管理者 ベータ版
roles/apigeeregistry.admin

Cloud Apigee Registry と Runtime のリソースに対する完全アクセス権。

  • apigeeregistry.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Apigee Registry 編集者 ベータ版
roles/apigeeregistry.editor

Cloud Apigee Registry リソースに対する編集アクセス権。

  • apigeeregistry.apis.create
  • apigeeregistry.apis.delete
  • apigeeregistry.apis.get
  • apigeeregistry.apis.getIamPolicy
  • apigeeregistry.apis.list
  • apigeeregistry.apis.update
  • apigeeregistry.artifacts.create
  • apigeeregistry.artifacts.delete
  • apigeeregistry.artifacts.get
  • apigeeregistry.artifacts.getIamPolicy
  • apigeeregistry.artifacts.list
  • apigeeregistry.artifacts.update
  • apigeeregistry.deployments.*
  • apigeeregistry.specs.create
  • apigeeregistry.specs.delete
  • apigeeregistry.specs.get
  • apigeeregistry.specs.getIamPolicy
  • apigeeregistry.specs.list
  • apigeeregistry.specs.update
  • apigeeregistry.versions.create
  • apigeeregistry.versions.delete
  • apigeeregistry.versions.get
  • apigeeregistry.versions.getIamPolicy
  • apigeeregistry.versions.list
  • apigeeregistry.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Apigee Registry 閲覧者 ベータ版
roles/apigeeregistry.viewer

Cloud Apigee Registry のリソースに対する読み取り専用アクセス権。

  • apigeeregistry.apis.get
  • apigeeregistry.apis.list
  • apigeeregistry.artifacts.get
  • apigeeregistry.artifacts.list
  • apigeeregistry.deployments.get
  • apigeeregistry.deployments.list
  • apigeeregistry.specs.get
  • apigeeregistry.specs.list
  • apigeeregistry.versions.get
  • apigeeregistry.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Apigee Registry ワーカー ベータ版
roles/apigeeregistry.worker

Apigee Registry アプリケーション ワーカーが Apigee Registry アーティファクトの読み取りと更新に使用するロール。

  • apigeeregistry.apis.get
  • apigeeregistry.apis.list
  • apigeeregistry.apis.update
  • apigeeregistry.artifacts.create
  • apigeeregistry.artifacts.delete
  • apigeeregistry.artifacts.get
  • apigeeregistry.artifacts.list
  • apigeeregistry.artifacts.update
  • apigeeregistry.deployments.get
  • apigeeregistry.deployments.list
  • apigeeregistry.deployments.update
  • apigeeregistry.specs.get
  • apigeeregistry.specs.list
  • apigeeregistry.specs.update
  • apigeeregistry.versions.get
  • apigeeregistry.versions.list
  • apigeeregistry.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

App Engine のロール

ロール 権限

App Engine 管理者
roles/appengine.appAdmin

すべてのアプリケーションの構成と設定に対する読み取り / 書き込み / 変更アクセス権。

新しいバージョンをデプロイするには、プリンシパルが App Engine デフォルト サービス アカウントに対するサービス アカウント ユーザーroles/iam.serviceAccountUser)ロール、プロジェクトに対する Cloud Build 編集者(roles/cloudbuild.builds.editor)ロールと Cloud ストレージ オブジェクト管理者(roles/storage.objectAdmin)ロールを持っている必要があります。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • appengine.applications.get
  • appengine.applications.update
  • appengine.instances.*
  • appengine.operations.*
  • appengine.runtimes.*
  • appengine.services.*
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

App Engine 作成者
roles/appengine.appCreator

プロジェクトの App Engine リソースを作成できます。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • appengine.applications.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list

App Engine 閲覧者
roles/appengine.appViewer

すべてのアプリケーションの構成と設定への読み取り専用アクセス権。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.get
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

App Engine コード閲覧者
roles/appengine.codeViewer

すべてのアプリケーションの構成と設定、デプロイされたソースコードに対する読み取り専用権限。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.get
  • appengine.versions.getFileContents
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

App Engine デプロイ担当者
roles/appengine.deployer

すべてのアプリケーションの構成と設定への読み取り専用アクセス権。

新しいバージョンをデプロイするには、App Engine デフォルト サービス アカウントに対するサービス アカウント ユーザーroles/iam.serviceAccountUser)ロール、プロジェクトに対する Cloud Build 編集者(roles/cloudbuild.builds.editor)ロールと Cloud Storage オブジェクト管理者(roles/storage.objectAdmin)ロールも必要です。

既存のバージョンに対しては、トラフィックを受信していないバージョンを削除する以外の変更は加えられません。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

App Engine サービス管理者
roles/appengine.serviceAdmin

すべてのアプリケーションの構成と設定への読み取り専用アクセス権。

モジュール レベルおよびバージョン レベルの設定に対する書き込み権限。新しいバージョンをデプロイすることはできません。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • appengine.applications.get
  • appengine.instances.*
  • appengine.operations.*
  • appengine.services.*
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Artifact Registry のロール

ロール 権限

Artifact Registry 管理者
roles/artifactregistry.admin

リポジトリを作成、管理するための管理者アクセス権。

  • artifactregistry.*

Artifact Registry 読み取り
roles/artifactregistry.reader

リポジトリ アイテムを読み取るためのアクセス権。

  • artifactregistry.dockerimages.*
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.listEffectiveTags
  • artifactregistry.repositories.listTagBindings
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.versions.get
  • artifactregistry.versions.list

Artifact Registry リポジトリ管理者
roles/artifactregistry.repoAdmin

リポジトリ内のアーティファクトを管理するためのアクセス権。

  • artifactregistry.aptartifacts.*
  • artifactregistry.dockerimages.*
  • artifactregistry.files.*
  • artifactregistry.packages.*
  • artifactregistry.repositories.deleteArtifacts
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.listEffectiveTags
  • artifactregistry.repositories.listTagBindings
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.*
  • artifactregistry.versions.*
  • artifactregistry.yumartifacts.*

Artifact Registry 書き込み
roles/artifactregistry.writer

リポジトリ アイテムの読み取りと書き込みを行うためのアクセス権。

  • artifactregistry.aptartifacts.*
  • artifactregistry.dockerimages.*
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.listEffectiveTags
  • artifactregistry.repositories.listTagBindings
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list
  • artifactregistry.yumartifacts.*

Assured Workloads のロール

ロール 権限

Assured Workloads 管理者
roles/assuredworkloads.admin

Assured Workloads リソース、CRM リソース(プロジェクト / フォルダ、組織ポリシーの管理)に対する完全アクセス権を付与します。

  • assuredworkloads.*
  • orgpolicy.policy.*
  • resourcemanager.folders.create
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Assured Workloads 編集者
roles/assuredworkloads.editor

Assured Workloads リソース、CRM リソース(プロジェクト / フォルダ、組織ポリシーの管理)に対する読み取り、書き込みアクセス権を付与します。

  • assuredworkloads.*
  • orgpolicy.policy.*
  • resourcemanager.folders.create
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Assured Workloads 閲覧者
roles/assuredworkloads.reader

すべての Assured Workloads リソースと CRM リソース(プロジェクト / フォルダ)に対する読み取りアクセス権を付与します。

  • assuredworkloads.operations.*
  • assuredworkloads.violations.*
  • assuredworkloads.workload.get
  • assuredworkloads.workload.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

AutoML のロール

ロール 権限

AutoML 管理者 ベータ版
roles/automl.admin

すべての AutoML リソースに対する完全アクセス権

このロールを付与できる最下位レベルのリソース:

  • データセット
  • モデル
  • automl.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

AutoML 編集者 ベータ版
roles/automl.editor

すべての AutoML リソースの編集者

このロールを付与できる最下位レベルのリソース:

  • データセット
  • モデル
  • automl.annotationSpecs.*
  • automl.annotations.*
  • automl.columnSpecs.*
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.update
  • automl.examples.*
  • automl.humanAnnotationTasks.*
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.*
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.list
  • automl.models.predict
  • automl.models.undeploy
  • automl.operations.*
  • automl.tableSpecs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

AutoML 予測者 ベータ版
roles/automl.predictor

モデルを使用して予測します

このロールを付与できる最下位レベルのリソース:

  • モデル
  • automl.models.predict
  • resourcemanager.projects.get
  • resourcemanager.projects.list

AutoML 閲覧者 ベータ版
roles/automl.viewer

すべての AutoML リソースの閲覧者

このロールを付与できる最下位レベルのリソース:

  • データセット
  • モデル
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

Backup for GKE のロール

ロール 権限

Backup for GKE 管理者 ベータ版
roles/gkebackup.admin

すべての Backup for GKE リソースに対する完全アクセス権。

  • gkebackup.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Backup for GKE バックアップ管理者 ベータ版
roles/gkebackup.backupAdmin

管理者に BackupPlan と Backup のすべてのリソースの管理を許可します。

  • gkebackup.backupPlans.*
  • gkebackup.backups.*
  • gkebackup.locations.*
  • gkebackup.operations.get
  • gkebackup.operations.list
  • gkebackup.volumeBackups.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Backup for GKE 代理バックアップ管理者 ベータ版
roles/gkebackup.delegatedBackupAdmin

管理者に特定の BackupPlan の Backup リソースの管理を許可します。

  • gkebackup.backupPlans.get
  • gkebackup.backups.*
  • gkebackup.volumeBackups.*

Backup for GKE 代理復元管理者 ベータ版
roles/gkebackup.delegatedRestoreAdmin

管理者に特定の RestorePlan の Restore リソースの管理を許可します。

  • gkebackup.restorePlans.get
  • gkebackup.restores.*
  • gkebackup.volumeRestores.*

Backup for GKE 復元管理者 ベータ版
roles/gkebackup.restoreAdmin

管理者に RestorePlan と Restore のすべてのリソースの管理を許可します。

  • gkebackup.backupPlans.get
  • gkebackup.backupPlans.list
  • gkebackup.backups.get
  • gkebackup.backups.list
  • gkebackup.locations.*
  • gkebackup.operations.get
  • gkebackup.operations.list
  • gkebackup.restorePlans.*
  • gkebackup.restores.*
  • gkebackup.volumeBackups.*
  • gkebackup.volumeRestores.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Backup for GKE 閲覧者 ベータ版
roles/gkebackup.viewer

すべての Backup for GKE リソースに対する読み取り専用アクセス権。

  • gkebackup.backupPlans.get
  • gkebackup.backupPlans.getIamPolicy
  • gkebackup.backupPlans.list
  • gkebackup.backups.get
  • gkebackup.backups.list
  • gkebackup.locations.*
  • gkebackup.operations.get
  • gkebackup.operations.list
  • gkebackup.restorePlans.get
  • gkebackup.restorePlans.getIamPolicy
  • gkebackup.restorePlans.list
  • gkebackup.restores.get
  • gkebackup.restores.list
  • gkebackup.volumeBackups.*
  • gkebackup.volumeRestores.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery のロール

ロール 権限

BigQuery 管理者
roles/bigquery.admin

プロジェクト内のすべてのリソースを管理する権限を提供します。プロジェクト内のすべてのデータを管理でき、プロジェクト内で実行されている他のユーザーのジョブもキャンセルできます。

このロールを付与できる最下位レベルのリソース:

  • データセット
  • 行アクセス ポリシー
  • テーブル
  • ビュー
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.config.*
  • bigquery.connections.*
  • bigquery.dataPolicies.create
  • bigquery.dataPolicies.delete
  • bigquery.dataPolicies.get
  • bigquery.dataPolicies.getIamPolicy
  • bigquery.dataPolicies.list
  • bigquery.dataPolicies.setIamPolicy
  • bigquery.dataPolicies.update
  • bigquery.datasets.*
  • bigquery.jobs.*
  • bigquery.models.*
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • bigquery.routines.*
  • bigquery.rowAccessPolicies.create
  • bigquery.rowAccessPolicies.delete
  • bigquery.rowAccessPolicies.getIamPolicy
  • bigquery.rowAccessPolicies.list
  • bigquery.rowAccessPolicies.overrideTimeTravelRestrictions
  • bigquery.rowAccessPolicies.setIamPolicy
  • bigquery.rowAccessPolicies.update
  • bigquery.savedqueries.*
  • bigquery.tables.*
  • bigquery.transfers.*
  • bigquerymigration.translation.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery Connection 管理者
roles/bigquery.connectionAdmin

  • bigquery.connections.*

BigQuery Connection ユーザー
roles/bigquery.connectionUser

  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use

BigQuery データ編集者
roles/bigquery.dataEditor

このロールをテーブルまたはビューに適用すると、次の権限が付与されます。

  • テーブルまたはビューのデータとメタデータを読み取り、更新する。
  • テーブルまたはビューを削除する。

このロールは、個々のモデルやルーティンに適用できません。

このロールをデータセットに適用すると、次の権限が付与されます。

  • データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。
  • データセットのテーブルを作成、更新、取得、削除する。

プロジェクトまたは組織レベルで適用した場合、このロールは新しいデータセットを作成することもできます。

このロールを付与できる最下位レベルのリソース:

  • テーブル
  • ビュー
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.createIndex
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.deleteIndex
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery データオーナー
roles/bigquery.dataOwner

このロールをテーブルまたはビューに適用すると、次の権限が付与されます。

  • テーブルまたはビューのデータとメタデータを読み取り、更新する。
  • テーブルまたはビューを共有する。
  • テーブルまたはビューを削除する。

このロールは、個々のモデルやルーティンに適用できません。

このロールをデータセットに適用すると、次の権限が付与されます。

  • データセットを読み取り、更新、削除する。
  • データセットのテーブルを作成、更新、取得、削除する。

プロジェクトまたは組織レベルで適用した場合、このロールは新しいデータセットを作成することもできます。

このロールを付与できる最下位レベルのリソース:

  • テーブル
  • ビュー
  • bigquery.config.get
  • bigquery.dataPolicies.create
  • bigquery.dataPolicies.delete
  • bigquery.dataPolicies.get
  • bigquery.dataPolicies.getIamPolicy
  • bigquery.dataPolicies.list
  • bigquery.dataPolicies.setIamPolicy
  • bigquery.dataPolicies.update
  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.rowAccessPolicies.create
  • bigquery.rowAccessPolicies.delete
  • bigquery.rowAccessPolicies.getIamPolicy
  • bigquery.rowAccessPolicies.list
  • bigquery.rowAccessPolicies.setIamPolicy
  • bigquery.rowAccessPolicies.update
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery データ閲覧者
roles/bigquery.dataViewer

このロールをテーブルまたはビューに適用すると、次の権限が付与されます。

  • テーブルまたはビューからデータとメタデータを読み取る。

このロールは、個々のモデルやルーティンに適用できません。

このロールをデータセットに適用すると、次の権限が付与されます。

  • データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。
  • データセットのテーブルからデータとメタデータを読み取る。

プロジェクトまたは組織レベルで適用した場合、このロールは、プロジェクト内のすべてのデータセットを列挙することもできます。ただし、ジョブを実行するためには追加の役割が必要です。

このロールを付与できる最下位レベルのリソース:

  • テーブル
  • ビュー
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.createSnapshot
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery フィルタ済みデータ閲覧者
roles/bigquery.filteredDataViewer

行アクセス ポリシーにより定義される、フィルタ済みテーブルデータを表示するためのアクセス権

  • bigquery.rowAccessPolicies.getFilteredData

BigQuery ジョブユーザー
roles/bigquery.jobUser

プロジェクト内でジョブ(クエリを含む)を実行する権限を付与します。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • bigquery.config.get
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery メタデータ閲覧者
roles/bigquery.metadataViewer

このロールをテーブルまたはビューに適用すると、次の権限が付与されます。

  • テーブルまたはビューからメタデータを読み取る。

このロールは、個々のモデルやルーティンに適用できません。

このロールをデータセットに適用すると、次の権限が付与されます。

  • データセット内のテーブルとビューを一覧表示する。
  • データセットのテーブルとビューからメタデータを読み取る。

このロールをプロジェクト レベルまたは組織レベルで適用すると、次の権限が付与されます。

  • プロジェクト内のすべてのデータセットを一覧表示し、すべてのデータセットのメタデータを読み込む。
  • プロジェクト内のすべてのテーブルとビューを一覧表示し、すべてのテーブルとビューのメタデータを読み込みます。

ジョブを実行する場合は追加の役割が必要です。

このロールを付与できる最下位レベルのリソース:

  • テーブル
  • ビュー
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery 読み取りセッション ユーザー
roles/bigquery.readSessionUser

読み取りセッションを作成および使用するためのアクセス権

  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery リソース管理者
roles/bigquery.resourceAdmin

BigQuery のすべてのリソースを管理します。

  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • recommender.bigqueryCapacityCommitmentsInsights.*
  • recommender.bigqueryCapacityCommitmentsRecommendations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery リソース編集者
roles/bigquery.resourceEditor

すべての BigQuery リソースを管理しますが、購入意思決定はできません。

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery リソース閲覧者
roles/bigquery.resourceViewer

すべての BigQuery リソースを表示できますが、変更や購入意思決定はできません。

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery ユーザー
roles/bigquery.user

このロールをデータセットに適用すると、データセットのメタデータを読み取り、データセット内のテーブルを一覧表示できます。

プロジェクトに適用すると、プロジェクト内でクエリなどのジョブを実行することもできるようになります。このロールを持つプリンシパルは、所有するジョブの列挙、所有するジョブのキャンセル、プロジェクト内のデータセットの列挙を行えます。また、プロジェクト内に新しいデータセットを作成することもできます。作成者には新しいデータセットに対する BigQuery データオーナーのロール(roles/bigquery.dataOwner)が付与されます。

このロールを付与できる最下位レベルのリソース:

  • データセット
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • bigquerymigration.translation.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

マスクされた読み取り アルファ版
roles/bigquerydatapolicy.maskedReader

データポリシーに関連付けられたポリシータグでタグ付けされたサブリソース(BigQuery 列など)に対するマスクされた読み取りアクセス権

  • bigquery.dataPolicies.maskedGet

Billing のロール

ロール 権限

請求先アカウント管理者
roles/billing.admin

請求先アカウントを表示、管理できる権限を付与します。

このロールを付与できる最下位レベルのリソース:

  • 請求先アカウント
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getPricing
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.*
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.*
  • commerceoffercatalog.*
  • consumerprocurement.accounts.*
  • consumerprocurement.orderAttributions.*
  • consumerprocurement.orders.*
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • logging.logEntries.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • recommender.commitmentUtilizationInsights.*
  • recommender.usageCommitmentRecommendations.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment

請求先アカウントの費用管理者
roles/billing.costsManager

請求先アカウントの予算を管理し、請求先アカウントの費用情報を表示、分析、エクスポートします。

このロールを付与できる最下位レベルのリソース:

  • 請求先アカウント
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.resourceAssociations.list

請求先アカウント作成者
roles/billing.creator

請求先アカウントを作成するための権限を付与します。

このロールを付与できる最下位レベルのリソース:

  • 組織
  • billing.accounts.create
  • resourcemanager.organizations.get

プロジェクト支払い管理者
roles/billing.projectManager

請求先アカウント ユーザーのロールと組み合わせて付与する場合、プロジェクトの請求先アカウントの割り当てと、請求の無効化を行うアクセス権が付与されます。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment

請求先アカウント ユーザー
roles/billing.user

プロジェクト オーナーのロールまたはプロジェクト支払い管理者のロールと組み合わせて付与する場合、プロジェクトと請求先アカウントを関連付けるためのアクセス権が付与されます。

このロールを付与できる最下位レベルのリソース:

  • 請求先アカウント
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.*
  • billing.resourceAssociations.create

請求先アカウント閲覧者
roles/billing.viewer

請求先アカウントの費用と料金の情報、トランザクション、請求とコミットメントに関する推奨事項を表示します。

このロールを付与できる最下位レベルのリソース:

  • 請求先アカウント
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getPricing
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.*
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
  • commerceoffercatalog.*
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list

Binary Authorization のロール

ロール 権限

Binary Authorization 認証者管理者
roles/binaryauthorization.attestorsAdmin

Binary Authorization 認証者の管理者

  • binaryauthorization.attestors.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Binary Authorization 認証者編集者
roles/binaryauthorization.attestorsEditor

Binary Authorization 認証者の編集者

  • binaryauthorization.attestors.create
  • binaryauthorization.attestors.delete
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • binaryauthorization.attestors.update
  • binaryauthorization.attestors.verifyImageAttested
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Binary Authorization 認証者イメージ検証者
roles/binaryauthorization.attestorsVerifier

Binary Authorization 認証者の VerifyImageAttested の呼び出し担当者

  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • binaryauthorization.attestors.verifyImageAttested
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Binary Authorization 認証者閲覧者
roles/binaryauthorization.attestorsViewer

Binary Authorization 認証者の閲覧者

  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Binary Authorization ポリシー管理者
roles/binaryauthorization.policyAdmin

Binary Authorization ポリシーの管理者

  • binaryauthorization.continuousValidationConfig.*
  • binaryauthorization.platformPolicies.*
  • binaryauthorization.policy.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Binary Authorization ポリシー編集者
roles/binaryauthorization.policyEditor

Binary Authorization ポリシーの編集者

  • binaryauthorization.continuousValidationConfig.get
  • binaryauthorization.continuousValidationConfig.update
  • binaryauthorization.platformPolicies.*
  • binaryauthorization.policy.evaluatePolicy
  • binaryauthorization.policy.get
  • binaryauthorization.policy.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Binary Authorization ポリシー評価者 ベータ版
roles/binaryauthorization.policyEvaluator

Binary Authorization ポリシーの評価者

  • binaryauthorization.platformPolicies.evaluatePolicy
  • binaryauthorization.platformPolicies.get
  • binaryauthorization.platformPolicies.list
  • binaryauthorization.policy.evaluatePolicy
  • binaryauthorization.policy.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Binary Authorization ポリシー閲覧者
roles/binaryauthorization.policyViewer

Binary Authorization ポリシーの閲覧者

  • binaryauthorization.continuousValidationConfig.get
  • binaryauthorization.platformPolicies.get
  • binaryauthorization.platformPolicies.list
  • binaryauthorization.policy.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

CA Service のロール

ロール 権限

CA サービス管理者
roles/privateca.admin

すべての CA サービスのリソースへの完全アクセス権。

  • privateca.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.buckets.create

CA サービス監査者
roles/privateca.auditor

すべての CA サービスのリソースの読み取り専用アクセス権。

  • privateca.caPools.get
  • privateca.caPools.getIamPolicy
  • privateca.caPools.list
  • privateca.certificateAuthorities.get
  • privateca.certificateAuthorities.getIamPolicy
  • privateca.certificateAuthorities.list
  • privateca.certificateRevocationLists.get
  • privateca.certificateRevocationLists.getIamPolicy
  • privateca.certificateRevocationLists.list
  • privateca.certificateTemplates.get
  • privateca.certificateTemplates.getIamPolicy
  • privateca.certificateTemplates.list
  • privateca.certificates.get
  • privateca.certificates.getIamPolicy
  • privateca.certificates.list
  • privateca.locations.*
  • privateca.operations.get
  • privateca.operations.list
  • privateca.reusableConfigs.get
  • privateca.reusableConfigs.getIamPolicy
  • privateca.reusableConfigs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

CA サービス オペレーション マネージャー
roles/privateca.caManager

CA の作成と管理、証明書の失効、証明書テンプレートの作成、CA サービスのリソースの読み取り専用アクセス。

  • privateca.caPools.create
  • privateca.caPools.delete
  • privateca.caPools.get
  • privateca.caPools.getIamPolicy
  • privateca.caPools.list
  • privateca.caPools.update
  • privateca.certificateAuthorities.create
  • privateca.certificateAuthorities.delete
  • privateca.certificateAuthorities.get
  • privateca.certificateAuthorities.getIamPolicy
  • privateca.certificateAuthorities.list
  • privateca.certificateAuthorities.update
  • privateca.certificateRevocationLists.get
  • privateca.certificateRevocationLists.getIamPolicy
  • privateca.certificateRevocationLists.list
  • privateca.certificateRevocationLists.update
  • privateca.certificateTemplates.create
  • privateca.certificateTemplates.delete
  • privateca.certificateTemplates.get
  • privateca.certificateTemplates.getIamPolicy
  • privateca.certificateTemplates.list
  • privateca.certificateTemplates.update
  • privateca.certificates.get
  • privateca.certificates.getIamPolicy
  • privateca.certificates.list
  • privateca.certificates.update
  • privateca.locations.*
  • privateca.operations.get
  • privateca.operations.list
  • privateca.reusableConfigs.create
  • privateca.reusableConfigs.delete
  • privateca.reusableConfigs.get
  • privateca.reusableConfigs.getIamPolicy
  • privateca.reusableConfigs.list
  • privateca.reusableConfigs.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.buckets.create

CA サービス証明書管理者
roles/privateca.certificateManager

証明書の作成と CA サービスのリソースに対する読み取り専用アクセス権。

  • privateca.caPools.get
  • privateca.caPools.getIamPolicy
  • privateca.caPools.list
  • privateca.certificateAuthorities.get
  • privateca.certificateAuthorities.getIamPolicy
  • privateca.certificateAuthorities.list
  • privateca.certificateRevocationLists.get
  • privateca.certificateRevocationLists.getIamPolicy
  • privateca.certificateRevocationLists.list
  • privateca.certificateTemplates.get
  • privateca.certificateTemplates.getIamPolicy
  • privateca.certificateTemplates.list
  • privateca.certificates.create
  • privateca.certificates.get
  • privateca.certificates.getIamPolicy
  • privateca.certificates.list
  • privateca.locations.*
  • privateca.operations.get
  • privateca.operations.list
  • privateca.reusableConfigs.get
  • privateca.reusableConfigs.getIamPolicy
  • privateca.reusableConfigs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

CA サービス証明書リクエスト元
roles/privateca.certificateRequester

CA サービスから証明書をリクエストします。

  • privateca.certificates.create

CA サービス証明書テンプレート ユーザー
roles/privateca.templateUser

証明書テンプレートの読み取り、一覧表示、使用。

  • privateca.certificateTemplates.get
  • privateca.certificateTemplates.list
  • privateca.certificateTemplates.use

CA サービス ワークロード証明書リクエスト元
roles/privateca.workloadCertificateRequester

呼び出し元の ID を使用して CA サービスから証明書をリクエストします。

  • privateca.certificates.createForSelf

Certificate Manager のロール

ロール 権限

Certificate Manager 編集者 ベータ版
roles/certificatemanager.editor

すべての Certificate Manager リソースに対する編集アクセス権。

  • certificatemanager.certmapentries.create
  • certificatemanager.certmapentries.get
  • certificatemanager.certmapentries.getIamPolicy
  • certificatemanager.certmapentries.list
  • certificatemanager.certmapentries.update
  • certificatemanager.certmaps.create
  • certificatemanager.certmaps.get
  • certificatemanager.certmaps.getIamPolicy
  • certificatemanager.certmaps.list
  • certificatemanager.certmaps.update
  • certificatemanager.certmaps.use
  • certificatemanager.certs.create
  • certificatemanager.certs.get
  • certificatemanager.certs.getIamPolicy
  • certificatemanager.certs.list
  • certificatemanager.certs.update
  • certificatemanager.certs.use
  • certificatemanager.dnsauthorizations.create
  • certificatemanager.dnsauthorizations.get
  • certificatemanager.dnsauthorizations.getIamPolicy
  • certificatemanager.dnsauthorizations.list
  • certificatemanager.dnsauthorizations.update
  • certificatemanager.dnsauthorizations.use
  • certificatemanager.locations.*
  • certificatemanager.operations.get
  • certificatemanager.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Certificate Manager オーナー ベータ版
roles/certificatemanager.owner

すべての Certificate Manager リソースに対する完全アクセス権。

  • certificatemanager.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Certificate Manager 閲覧者 ベータ版
roles/certificatemanager.viewer

すべての Certificate Manager リソースに対する読み取り専用アクセス権。

  • certificatemanager.certmapentries.get
  • certificatemanager.certmapentries.getIamPolicy
  • certificatemanager.certmapentries.list
  • certificatemanager.certmaps.get
  • certificatemanager.certmaps.getIamPolicy
  • certificatemanager.certmaps.list
  • certificatemanager.certs.get
  • certificatemanager.certs.getIamPolicy
  • certificatemanager.certs.list
  • certificatemanager.dnsauthorizations.get
  • certificatemanager.dnsauthorizations.getIamPolicy
  • certificatemanager.dnsauthorizations.list
  • certificatemanager.locations.*
  • certificatemanager.operations.get
  • certificatemanager.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Asset のロール

ロール 権限

Cloud Asset オーナー
roles/cloudasset.owner

Cloud Asset メタデータへの完全アクセス権

  • cloudasset.*
  • recommender.cloudAssetInsights.*
  • recommender.locations.*

Cloud Asset 閲覧者
roles/cloudasset.viewer

Cloud Asset メタデータに対する読み取り権限

  • cloudasset.assets.*
  • recommender.cloudAssetInsights.get
  • recommender.cloudAssetInsights.list
  • recommender.locations.*

Cloud Bigtable のロール

ロール 権限

Bigtable 管理者
roles/bigtable.admin

テーブル内に保存されているデータなど、プロジェクト内のすべてのインスタンスを管理します。新しいインスタンスを作成できます。プロジェクト管理者向け。

このロールを付与できる最下位レベルのリソース:

  • テーブル
  • bigtable.*
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get

Bigtable Reader
roles/bigtable.reader

テーブル内に保存されたデータへの読み取りアクセス権を提供します。データ科学者、ダッシュボード生成ツール、その他のデータ分析シナリオ向け。

このロールを付与できる最下位レベルのリソース:

  • テーブル
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.keyvisualizer.*
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get

Bigtable ユーザー
roles/bigtable.user

テーブル内に保存されたデータへの読み取り / 書き込みアクセス権を提供します。アプリケーション デベロッパーやサービス アカウント向け。

このロールを付与できる最下位レベルのリソース:

  • テーブル
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.keyvisualizer.*
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.mutateRows
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get

Bigtable 閲覧者
roles/bigtable.viewer

データにはアクセスできません。Bigtable の Cloud Console にアクセスするための最小権限セットとして使用されます。

このロールを付与できる最下位レベルのリソース:

  • テーブル
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get

Cloud Build のロール

ロール 権限

Cloud Build 承認者
roles/cloudbuild.builds.approver

保留中のビルドを承認または却下できます。

  • cloudbuild.builds.approve
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Build サービス アカウント
roles/cloudbuild.builds.builder

ビルドを実行するためのアクセス権を提供します。

  • artifactregistry.aptartifacts.*
  • artifactregistry.dockerimages.*
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.listEffectiveTags
  • artifactregistry.repositories.listTagBindings
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list
  • artifactregistry.yumartifacts.*
  • cloudbuild.builds.create
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudbuild.builds.update
  • cloudbuild.workerpools.use
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • logging.logEntries.list
  • logging.privateLogEntries.*
  • logging.views.access
  • pubsub.topics.create
  • pubsub.topics.publish
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update

Cloud Build 編集者
roles/cloudbuild.builds.editor

ビルドを作成、キャンセルするためのアクセス権を付与します。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • cloudbuild.builds.create
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudbuild.builds.update
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Build 閲覧者
roles/cloudbuild.builds.viewer

ビルドを表示するための権限を付与します。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Build 統合編集者
roles/cloudbuild.integrationsEditor

統合を更新できます。

  • cloudbuild.integrations.get
  • cloudbuild.integrations.list
  • cloudbuild.integrations.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Build 統合オーナー
roles/cloudbuild.integrationsOwner

統合の作成と削除を行うことができます。

  • cloudbuild.integrations.*
  • compute.firewalls.create
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.networks.get
  • compute.networks.updatePolicy
  • compute.regions.get
  • compute.subnetworks.get
  • compute.subnetworks.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Build 統合閲覧者
roles/cloudbuild.integrationsViewer

統合を表示できます。

  • cloudbuild.integrations.get
  • cloudbuild.integrations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Build WorkerPool 編集者
roles/cloudbuild.workerPoolEditor

WorkerPool の更新と表示を行うことができます。

  • cloudbuild.workerpools.get
  • cloudbuild.workerpools.list
  • cloudbuild.workerpools.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Build WorkerPool オーナー
roles/cloudbuild.workerPoolOwner

WorkerPool を作成、削除、更新、表示できます。

  • cloudbuild.workerpools.create
  • cloudbuild.workerpools.delete
  • cloudbuild.workerpools.get
  • cloudbuild.workerpools.list
  • cloudbuild.workerpools.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Build WorkerPool ユーザー
roles/cloudbuild.workerPoolUser

WorkerPool 内でビルドを実行できます。

  • cloudbuild.workerpools.use

Cloud Build WorkerPool 閲覧者
roles/cloudbuild.workerPoolViewer

WorkerPool を表示できます。

  • cloudbuild.workerpools.get
  • cloudbuild.workerpools.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Composer の役割

ロール 権限

Cloud Composer v2 API サービス エージェント拡張機能
roles/composer.ServiceAgentV2Ext

Cloud Composer v2 API サービス エージェント拡張機能は、Composer v2 環境を管理するために必要な補助的ロールです。

  • iam.serviceAccounts.getIamPolicy
  • iam.serviceAccounts.setIamPolicy

Composer 管理者
roles/composer.admin

Cloud Composer リソースのすべてを管理できます。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • composer.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

環境とストレージ オブジェクトの管理者
roles/composer.environmentAndStorageObjectAdmin

Cloud Composer のリソースとすべてのプロジェクト バケットのオブジェクトを管理できる権限を付与します。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • composer.*
  • orgpolicy.policy.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.multipartUploads.*
  • storage.objects.*

環境ユーザーとストレージ オブジェクトの閲覧者
roles/composer.environmentAndStorageObjectViewer

Cloud Composer 環境とオペレーションを一覧表示して取得するために必要な権限を付与します。すべてのプロジェクト バケットのオブジェクトに対して読み取り専用アクセスを許可します。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • composer.dags.*
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.*
  • composer.operations.get
  • composer.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.get
  • storage.objects.list

Composer の共有 VPC エージェント
roles/composer.sharedVpcAgent

共有 VPC ホスト プロジェクトで Composer Agent のサービス アカウントに割り当てる必要があるロール

  • compute.networks.access
  • compute.networks.addPeering
  • compute.networks.get
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.networks.removePeering
  • compute.networks.updatePeering
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regions.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zones.*

Composer ユーザー
roles/composer.user

Cloud Composer 環境とオペレーションを一覧表示して取得するために必要な権限を付与します。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • composer.dags.*
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.*
  • composer.operations.get
  • composer.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Composer ワーカー
roles/composer.worker

Cloud Composer 環境 VM の実行に必要な権限を付与します(サービス アカウント向け)。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • artifactregistry.*
  • cloudbuild.builds.create
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudbuild.builds.update
  • cloudbuild.workerpools.use
  • composer.environments.get
  • container.*
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • logging.logEntries.list
  • logging.privateLogEntries.*
  • logging.views.access
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.timeSeries.*
  • orgpolicy.policy.get
  • pubsub.schemas.attach
  • pubsub.schemas.create
  • pubsub.schemas.delete
  • pubsub.schemas.get
  • pubsub.schemas.list
  • pubsub.schemas.validate
  • pubsub.snapshots.create
  • pubsub.snapshots.delete
  • pubsub.snapshots.get
  • pubsub.snapshots.list
  • pubsub.snapshots.seek
  • pubsub.snapshots.update
  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.list
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.detachSubscription
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.topics.publish
  • pubsub.topics.update
  • pubsub.topics.updateTag
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.multipartUploads.*
  • storage.objects.*

Cloud Connectors のロール

ロール 権限

Connectors 管理者
roles/connectors.admin

Connectors サービスのすべてのリソースに対する完全アクセス権。

  • connectors.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Connectors 閲覧者
roles/connectors.viewer

Connectors のすべてのリソースに対する読み取り専用アクセス権。

  • connectors.connections.get
  • connectors.connections.getConnectionSchemaMetadata
  • connectors.connections.getIamPolicy
  • connectors.connections.getRuntimeActionSchema
  • connectors.connections.getRuntimeEntitySchema
  • connectors.connections.list
  • connectors.connectors.*
  • connectors.locations.*
  • connectors.operations.get
  • connectors.operations.list
  • connectors.providers.*
  • connectors.runtimeconfig.*
  • connectors.versions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Data Fusion の役割

ロール 権限

Cloud Data Fusion 管理者 ベータ版
roles/datafusion.admin

Cloud Data Fusion インスタンス、名前空間、関連リソースに対する完全アクセス権。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • datafusion.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Data Fusion ランナー ベータ版
roles/datafusion.runner

Cloud Data Fusion ランタイム リソースに対するアクセス権。

  • datafusion.instances.runtime

Cloud Data Fusion 閲覧者 ベータ版
roles/datafusion.viewer

Cloud Data Fusion インスタンス、名前空間、関連リソースに対する読み取り専用アクセス権。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • datafusion.instances.get
  • datafusion.instances.getIamPolicy
  • datafusion.instances.list
  • datafusion.instances.runtime
  • datafusion.locations.*
  • datafusion.operations.get
  • datafusion.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Data Labeling のロール

ロール 権限

Data Labeling Service 管理者 ベータ版
roles/datalabeling.admin

すべての Data Labeling リソースに対する完全アクセス権

  • datalabeling.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Data Labeling Service 編集者 ベータ版
roles/datalabeling.editor

すべての Data Labeling リソースの編集者

  • datalabeling.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Data Labeling Service 閲覧者 ベータ版
roles/datalabeling.viewer

すべての Data Labeling リソースの閲覧者

  • datalabeling.annotateddatasets.get
  • datalabeling.annotateddatasets.list
  • datalabeling.annotationspecsets.get
  • datalabeling.annotationspecsets.list
  • datalabeling.dataitems.*
  • datalabeling.datasets.get
  • datalabeling.datasets.list
  • datalabeling.examples.*
  • datalabeling.instructions.get
  • datalabeling.instructions.list
  • datalabeling.operations.get
  • datalabeling.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Dataplex のロール

ロール 権限

Dataplex 管理者
roles/dataplex.admin

すべての Dataplex リソースに対する完全アクセス権。

  • dataplex.assetActions.*
  • dataplex.assets.create
  • dataplex.assets.delete
  • dataplex.assets.get
  • dataplex.assets.getIamPolicy
  • dataplex.assets.list
  • dataplex.assets.setIamPolicy
  • dataplex.assets.update
  • dataplex.content.*
  • dataplex.entities.*
  • dataplex.environments.*
  • dataplex.lakeActions.*
  • dataplex.lakes.*
  • dataplex.locations.*
  • dataplex.operations.*
  • dataplex.partitions.*
  • dataplex.tasks.*
  • dataplex.zoneActions.*
  • dataplex.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Dataplex データオーナー
roles/dataplex.dataOwner

データに対するオーナー アクセス権。Dataplex リソース(Lake、Zone、Asset)のみに付与されます。

  • dataplex.assets.ownData
  • dataplex.assets.readData
  • dataplex.assets.writeData

Dataplex データリーダー
roles/dataplex.dataReader

データに対する読み取り専用アクセス権。Dataplex リソース(Lake、Zone、Asset)のみに付与されます。

  • dataplex.assets.readData

Dataplex データライター
roles/dataplex.dataWriter

データへの書き込みアクセス権。Dataplex リソース(Lake、Zone、Asset)のみに付与されます。

  • dataplex.assets.writeData

Dataplex デベロッパー
roles/dataplex.developer

レイクでデータ分析ワークロードを実行できます。

  • dataplex.content.*
  • dataplex.environments.execute
  • dataplex.environments.get
  • dataplex.environments.list
  • dataplex.tasks.cancel
  • dataplex.tasks.create
  • dataplex.tasks.delete
  • dataplex.tasks.get
  • dataplex.tasks.list
  • dataplex.tasks.update

Dataplex 編集者
roles/dataplex.editor

Dataplex リソースに対する書き込みアクセス権。

  • dataplex.assetActions.*
  • dataplex.assets.create
  • dataplex.assets.delete
  • dataplex.assets.get
  • dataplex.assets.getIamPolicy
  • dataplex.assets.list
  • dataplex.assets.update
  • dataplex.content.delete
  • dataplex.content.get
  • dataplex.content.getIamPolicy
  • dataplex.content.list
  • dataplex.environments.create
  • dataplex.environments.delete
  • dataplex.environments.get
  • dataplex.environments.getIamPolicy
  • dataplex.environments.list
  • dataplex.environments.update
  • dataplex.lakeActions.*
  • dataplex.lakes.create
  • dataplex.lakes.delete
  • dataplex.lakes.get
  • dataplex.lakes.getIamPolicy
  • dataplex.lakes.list
  • dataplex.lakes.update
  • dataplex.operations.*
  • dataplex.tasks.cancel
  • dataplex.tasks.create
  • dataplex.tasks.delete
  • dataplex.tasks.get
  • dataplex.tasks.getIamPolicy
  • dataplex.tasks.list
  • dataplex.tasks.update
  • dataplex.zoneActions.*
  • dataplex.zones.create
  • dataplex.zones.delete
  • dataplex.zones.get
  • dataplex.zones.getIamPolicy
  • dataplex.zones.list
  • dataplex.zones.update

Dataplex メタデータ読み取り
roles/dataplex.metadataReader

メタデータに対する読み取り専用アクセス権。

  • dataplex.assets.get
  • dataplex.assets.list
  • dataplex.entities.get
  • dataplex.entities.list
  • dataplex.partitions.get
  • dataplex.partitions.list
  • dataplex.zones.get
  • dataplex.zones.list

Dataplex メタデータ ライター
roles/dataplex.metadataWriter

メタデータに対する読み取りおよび書き込みアクセス権。

  • dataplex.assets.get
  • dataplex.assets.list
  • dataplex.entities.*
  • dataplex.partitions.*
  • dataplex.zones.get
  • dataplex.zones.list

Dataplex ストレージ データオーナー
roles/dataplex.storageDataOwner

データに対するオーナー アクセス権。直接使用しないでください。このロールは、Dataplex によって Cloud Storage バケット、BigQuery データセットなどのマネージド リソースに付与されます。

  • bigquery.datasets.get
  • bigquery.models.create
  • bigquery.models.delete
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.models.updateData
  • bigquery.models.updateMetadata
  • bigquery.routines.create
  • bigquery.routines.delete
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.routines.update
  • bigquery.tables.create
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.deleteSnapshot
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.update
  • bigquery.tables.updateData
  • storage.buckets.get
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update

Dataplex ストレージ データ リーダー
roles/dataplex.storageDataReader

データに対する読み取り専用アクセス権。直接使用しないでください。このロールは、Dataplex によって Cloud Storage バケット、BigQuery データセットなどのマネージド リソースに付与されます。

  • bigquery.datasets.get
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.list
  • storage.buckets.get
  • storage.objects.get
  • storage.objects.list

Dataplex ストレージ データライター
roles/dataplex.storageDataWriter

データへの書き込みアクセス権。直接使用しないでください。このロールは、Dataplex によって Cloud Storage バケット、BigQuery データセットなどのマネージド リソースに付与されます。

  • bigquery.tables.updateData
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.update

Dataplex 閲覧者
roles/dataplex.viewer

Dataplex リソースに対する読み取りアクセス権。

  • dataplex.assetActions.*
  • dataplex.assets.get
  • dataplex.assets.getIamPolicy
  • dataplex.assets.list
  • dataplex.content.get
  • dataplex.content.getIamPolicy
  • dataplex.content.list
  • dataplex.environments.get
  • dataplex.environments.getIamPolicy
  • dataplex.environments.list
  • dataplex.lakeActions.*
  • dataplex.lakes.get
  • dataplex.lakes.getIamPolicy
  • dataplex.lakes.list
  • dataplex.operations.get
  • dataplex.operations.list
  • dataplex.tasks.get
  • dataplex.tasks.getIamPolicy
  • dataplex.tasks.list
  • dataplex.zoneActions.*
  • dataplex.zones.get
  • dataplex.zones.getIamPolicy
  • dataplex.zones.list

Cloud デバッガのロール

ロール 権限

Cloud デバッガ エージェント ベータ版
roles/clouddebugger.agent

デバッグ ターゲットの登録、アクティブなブレーク ポイントの読み取り、ブレーク ポイントの結果の報告を行うアクセス権を付与します。

このロールを付与できる最下位レベルのリソース:

  • サービス アカウント
  • clouddebugger.breakpoints.list
  • clouddebugger.breakpoints.listActive
  • clouddebugger.breakpoints.update
  • clouddebugger.debuggees.create

Cloud デバッガ ユーザー ベータ版
roles/clouddebugger.user

ブレークポイント(スナップショットとログポイント)の作成、表示、一覧表示、削除に加え、デバッグ ターゲット(デバッグ対象)の一覧表示を行うアクセス権を付与します。

このロールを付与できる最下位レベルのリソース:

  • プロジェクト
  • clouddebugger.breakpoints.create
  • clouddebugger.breakpoints.delete
  • clouddebugger.breakpoints.get
  • clouddebugger.breakpoints.list
  • clouddebugger.debuggees.list

Cloud Deploy のロール

ロール 権限

Cloud Deploy 管理者 ベータ版
roles/clouddeploy.admin

Cloud Deploy のリソースをすべて管理できる権限。

  • clouddeploy.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Deploy 承認者 ベータ版
roles/clouddeploy.approver

ロールアウトを承認または拒否する権限。

  • clouddeploy.locations.*
  • clouddeploy.operations.*
  • clouddeploy.rollouts.approve
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Deploy デベロッパー ベータ版
roles/clouddeploy.developer

デプロイ構成を管理する権限。ターゲットなどの運用リソースにアクセスする権限はありません。

  • clouddeploy.deliveryPipelines.create
  • clouddeploy.deliveryPipelines.get
  • clouddeploy.deliveryPipelines.getIamPolicy
  • clouddeploy.deliveryPipelines.list
  • clouddeploy.deliveryPipelines.update
  • clouddeploy.locations.*
  • clouddeploy.operations.*
  • clouddeploy.releases.*
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Deploy ランナー ベータ版
roles/clouddeploy.jobRunner

Cloud Deploy の作業を実行する権限です。ターゲットに提供する権限はありません。

  • logging.logEntries.create
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list

Cloud Deploy オペレータ ベータ版
roles/clouddeploy.operator

デプロイ構成を管理する権限。

  • clouddeploy.deliveryPipelines.create
  • clouddeploy.deliveryPipelines.get
  • clouddeploy.deliveryPipelines.getIamPolicy
  • clouddeploy.deliveryPipelines.list
  • clouddeploy.deliveryPipelines.update
  • clouddeploy.locations.*
  • clouddeploy.operations.*
  • clouddeploy.releases.*
  • clouddeploy.rollouts.create
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • clouddeploy.targets.create
  • clouddeploy.targets.get
  • clouddeploy.targets.getIamPolicy
  • clouddeploy.targets.list
  • clouddeploy.targets.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Deploy リリース担当者 ベータ版
roles/clouddeploy.releaser

Cloud Deploy のリリースとロールアウトを作成する権限。

  • clouddeploy.deliveryPipelines.get
  • clouddeploy.locations.*
  • clouddeploy.operations.*
  • clouddeploy.releases.create
  • clouddeploy.releases.get
  • clouddeploy.releases.list
  • clouddeploy.rollouts.create
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • clouddeploy.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Deploy 閲覧者 ベータ版
roles/clouddeploy.viewer

Cloud Deploy リソースを閲覧できます。

  • clouddeploy.config.*
  • clouddeploy.deliveryPipelines.get
  • clouddeploy.deliveryPipelines.getIamPolicy
  • clouddeploy.deliveryPipelines.list
  • clouddeploy.locations.*
  • clouddeploy.operations.get
  • clouddeploy.operations.list
  • clouddeploy.releases.get
  • clouddeploy.releases.list
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • clouddeploy.targets.get
  • clouddeploy.targets.getIamPolicy
  • clouddeploy.targets.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud DLP の役割

ロール 権限

DLP 管理者
roles/dlp.admin

ジョブやテンプレートを含む DLP の管理権限。

  • dlp.*
  • serviceusage.services.use

DLP 分析リスク テンプレート編集者
roles/dlp.analyzeRiskTemplatesEditor

DLP 分析リスク テンプレートの編集権限。

  • dlp.analyzeRiskTemplates.*

DLP 分析リスク テンプレート読み取り
roles/dlp.analyzeRiskTemplatesReader

DLP 分析リスク テンプレートの読み取り権限。

  • dlp.analyzeRiskTemplates.get
  • dlp.analyzeRiskTemplates.list

DLP 列データ プロファイル読み取り
roles/dlp.columnDataProfilesReader

DLP 列プロファイルを読み取ります。

  • dlp.columnDataProfiles.*

DLP データ プロファイル読み取り
roles/dlp.dataProfilesReader

DLP プロファイルを読み取ります。

  • dlp.columnDataProfiles.*
  • dlp.projectDataProfiles.*
  • dlp.tableDataProfiles.*

DLP 匿名化テンプレート編集者
roles/dlp.deidentifyTemplatesEditor

DLP 匿名化テンプレートの編集。

  • dlp.deidentifyTemplates.*

DLP 匿名化テンプレート読み取り
roles/dlp.deidentifyTemplatesReader

DLP 匿名化テンプレートの読み取り権限。

  • dlp.deidentifyTemplates.get
  • dlp.deidentifyTemplates.list

DLP 費用の見積もり
roles/dlp.estimatesAdmin

DLP 費用の見積もりを管理します。

  • dlp.estimates.*

DLP 検査結果読み取り
roles/dlp.inspectFindingsReader

DLP 保存済み検査結果の読み取り権限。

  • dlp.inspectFindings.*

DLP 検査テンプレート編集者
roles/dlp.inspectTemplatesEditor

DLP 検査テンプレートの編集権限。

  • dlp.inspectTemplates.*

DLP 検査テンプレート読み取り
roles/dlp.inspectTemplatesReader

DLP 検査テンプレートの読み取り。

  • dlp.inspectTemplates.get
  • dlp.inspectTemplates.list

DLP ジョブトリガー編集者
roles/dlp.jobTriggersEditor

ジョブトリガー構成の編集。

  • dlp.jobTriggers.*

DLP ジョブトリガー読み取り
roles/dlp.jobTriggersReader

ジョブトリガーの読み取り権限。

  • dlp.jobTriggers.get
  • dlp.jobTriggers.list

DLP ジョブ編集者
roles/dlp.jobsEditor

ジョブを編集および作成する権限

  • dlp.jobs.*
  • dlp.kms.*

DLP ジョブ読み取り
roles/dlp.jobsReader

ジョブの読み取り権限

  • dlp.jobs.get
  • dlp.jobs.list

DLP 組織データ プロファイル ドライバ
roles/dlp.orgdriver

DLP サービス アカウントが組織またはフォルダ内でデータ プロファイルを生成するために必要な権限。

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.connections.updateTag
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.jobs.create
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.models.*
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.*
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.create
  • bigquery.tables.createIndex
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.deleteIndex
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • bigquery.transfers.get
  • bigquerymigration.translation.*
  • cloudasset.assets.*
  • datacatalog.categories.fineGrainedGet
  • datacatalog.entries.updateTag
  • datacatalog.tagTemplates.create
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • datacatalog.tagTemplates.use
  • dlp.*
  • pubsub.topics.updateTag
  • recommender.cloudAssetInsights.get
  • recommender.cloudAssetInsights.list
  • recommender.locations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

DLP プロジェクト データ プロファイル読み取り
roles/dlp.projectDataProfilesReader

DLP プロジェクト プロファイルを読み取ります。

  • dlp.projectDataProfiles.*

DLP プロジェクト データ プロファイル ドライバ
roles/dlp.projectdriver

DLP サービス アカウントがプロジェクト内でデータ プロファイルを生成するために必要な権限。

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.connections.updateTag
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.jobs.create
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.models.*
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.*
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.create
  • bigquery.tables.createIndex
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.deleteIndex
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • bigquery.transfers.get
  • bigquerymigration.translation.*
  • cloudasset.assets.*
  • datacatalog.categories.fineGrainedGet
  • datacatalog.entries.updateTag
  • datacatalog.tagTemplates.create
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • datacatalog.tagTemplates.use
  • dlp.*
  • pubsub.topics.updateTag
  • recommender.cloudAssetInsights.get
  • recommender.cloudAssetInsights.list
  • recommender.locations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

DLP 読み取り
roles/dlp.reader

ジョブやテンプレートなどの DLP エンティティを読み取ります。

  • dlp.analyzeRiskTemplates.get
  • dlp.analyzeRiskTemplates.list
  • dlp.deidentifyTemplates.get
  • dlp.deidentifyTemplates.list
  • dlp.inspectFindings.*
  • dlp.inspectTemplates.get
  • dlp.inspectTemplates.list
  • dlp.jobTriggers.get
  • dlp.jobTriggers.list
  • dlp.jobs.get
  • dlp.jobs.list
  • dlp.locations.*
  • dlp.storedInfoTypes.get
  • dlp.storedInfoTypes.list

DLP Stored InfoTypes 編集者
roles/dlp.storedInfoTypesEditor

DLP に格納された情報タイプの編集権限。

  • dlp.storedInfoTypes.*

DLP Stored InfoTypes 読み取り
roles/dlp.storedInfoTypesReader

DLP に格納された情報タイプの読み取り権限。

  • dlp.storedInfoTypes.get
  • dlp.storedInfoTypes.list

DLP テーブルデータ プロファイル読み取り
roles/dlp.tableDataProfilesReader

DLP テーブル プロファイルを読み取ります。

  • dlp.tableDataProfiles.*

DLP ユーザー
roles/dlp.user

コンテンツの検索、削除、匿名化

  • dlp.kms.*
  • dlp.locations.*
  • serviceusage.services.use

Cloud Domains のロール

ロール 権限

Cloud Domains 管理者
roles/domains.admin

Cloud Domains レジストリと関連リソースに対する完全アクセス権。

  • domains.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Domains 閲覧者
roles/domains.viewer

Cloud Domains レジストリと関連リソースに対する読み取り専用アクセス権。

  • domains.locations.*
  • domains.operations.get
  • domains.operations.list
  • domains.registrations.get
  • domains.registrations.getIamPolicy
  • domains.registrations.list
  • domains.registrations.listEffectiveTags
  • domains.registrations.listTagBindings
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Filestore のロール

ロール 権限

Cloud Filestore 編集者 ベータ版
roles/file.editor

Filestore インスタンスと関連リソースに対する読み取り / 書き込み権限。

  • file.*

Cloud Filestore 閲覧者