役割について

Cloud Identity and Access Management では、ある ID が Google Cloud Platform API を呼び出す場合、その ID はリソースを使用するための適切な権限を保持している必要があります。権限を付与するには、ユーザー、グループ、またはサービス アカウントに役割を付与します。

このページでは、Cloud Platform リソースにアクセスするために ID に付与することができる Cloud IAM の役割について説明します。

このガイドの前提条件

役割のタイプ

Cloud IAM では、次の 3 つのタイプの役割があります。

  • 基本の役割: Cloud IAM の導入前に存在していたオーナー、編集者、閲覧者の役割が含まれます
  • 事前定義された役割: 特定のサービスの詳細なアクセス権を提供し、GCP によって管理されます
  • カスタムの役割: ユーザー指定の権限のリストに従って、詳細なアクセス権を提供します

基本の役割、事前定義された役割、カスタムの役割に 1 つ以上の権限が含まれているかどうかを確認するには、次のいずれかの方法を使用します。

次のセクションでは、各役割のタイプについて説明し、それらの使用方法の例を示します。

基本の役割

Cloud IAM の導入前に存在していたオーナー、編集者、閲覧者の 3 つの役割があります。オーナー、編集者、閲覧者の各役割は入れ子構造になっています。つまり、オーナーの役割には編集者の役割の権限が含まれており、編集者の役割には閲覧者の役割の権限が含まれています。

次の表に、GCP のすべてのサービスで、基本の役割に含まれている権限を要約します。

基本の役割の定義

役割名 役割のタイトル 権限
roles/viewer 閲覧者 既存のリソースやデータの表示(ただし変更は不可能)など、状態に影響しない読み取り専用アクションに必要な権限。
roles/editor 編集者 すべての閲覧者権限に加えて状態を変更するアクション(既存のリソースの変更など)に必要な権限。
注: roles/editor の役割には GCP の大部分のサービスのリソースを作成および削除するための権限が含まれますが、(Cloud Source Repositories や Stackdriver などの)一部のサービスにはこれらの権限が含まれません。必要な権限が役割に含まれているかどうかを確認する方法については、上記のセクションをご覧ください。
roles/owner オーナー すべての編集者権限、および以下のアクションを実行するために必要な権限。
  • プロジェクトおよびプロジェクト内のすべてのリソースの権限と役割を管理する。
  • プロジェクトの課金情報を設定する。
注:
  • リソースレベル(Pub/Sub トピックなど)でオーナーの役割を付与しても、その親プロジェクトにオーナーの役割が付与されることはありません。
  • オーナーの役割には、組織リソースに対する権限は一切含まれていません。したがって、組織レベルでオーナーの役割を付与しても、その組織のメタデータを更新することはできません。ただし、その組織の下にあるプロジェクトを変更することはできます。

GCP ConsoleAPIgcloud コマンドライン ツールを使用することで、プロジェクトまたはサービスのリソースレベルで基本の役割を適用できます。

招待フロー

Cloud IAM API または gcloud コマンドライン ツールを使用して、プロジェクトのメンバーにオーナー役割を付与することはできません。オーナーは、GCP Console を使用することによってのみプロジェクトに追加できます。招待はメールでメンバーに送信されます。そのメンバーがプロジェクトのオーナーになるには、その招待を受け入れる必要があります。

以下の場合、招待メールは送信されないことに注意してください。

  • オーナー以外の役割を付与している場合。
  • 組織のメンバーが、その組織内のプロジェクトのオーナーとして組織の別のメンバーを追加した場合。

事前定義された役割

基本の役割に加えて、Cloud IAM は、特定の Google Cloud Platform リソースに対して、よりきめ細やかなアクセス権を付与し、他のリソースへの望ましくないアクセスを防ぐことができる事前定義済みの役割を提供します。

次の表に、定義された役割とその説明、およびそれらの役割を設定できる最低レベルのリソースタイプを示します。このリソースタイプまたはほとんどの場合に GCP 階層のそれ以上の任意のタイプに特定の役割を付与できます。1 人のユーザーに複数の役割を付与することができます。たとえば、特定のユーザーに、あるプロジェクトにおけるネットワーク管理者およびログ閲覧者の役割を付与し、なおかつ、そのプロジェクト内の Pub/Sub トピックに対するパブリッシャーの役割を付与することができます。役割に含まれる権限のリストについては、役割メタデータの取得をご覧ください。

プロジェクトの役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
browser
ベータ版
参照者 フォルダ、組織、IAM ポリシーなど、プロジェクトの階層を参照するための読み取りアクセス権。この役割には、プロジェクトのリソースを表示する権限は含まれていません。 プロジェクト
roles/
iam.serviceAccountActor
サービス アカウント アクター

この役割は廃止されました。サービス アカウントとして操作を実行する必要がある場合は、サービス アカウント ユーザーの役割を使用してください。さらに、実質的にサービス アカウント アクターと同じ権限を付与するには、サービス アカウント トークン作成者も付与する必要があります。

サービス アカウント

App Engine の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
appengine.appAdmin
App Engine 管理者 すべてのアプリケーションの設定に対する読み取り / 変更 / 書き込みアクセス権。 プロジェクト
roles/
appengine.serviceAdmin
App Engine サービス管理者 すべてのアプリケーション設定への読み取り専用アクセス権。
モジュール レベルおよびバージョン レベルの設定に対する書き込みアクセス権。新しいバージョンをデプロイすることはできません。
プロジェクト
roles/
appengine.deployer
App Engine デプロイ担当者 すべてのアプリケーション設定への読み取り専用アクセス権。
新しいバージョンの作成のみに限定された書き込みアクセス権。既存のバージョンを変更することはできません。ただし、トラフィックを受信していないバージョンを削除することはできます。
プロジェクト
roles/
appengine.appViewer
App Engine 閲覧者 すべてのアプリケーション設定への読み取り専用アクセス権。 プロジェクト
roles/
appengine.codeViewer
App Engine コード閲覧者 すべてのアプリケーション設定、デプロイされたソースコードへの読み取り専用アクセス権。 プロジェクト

BigQuery の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
bigquery.user
BigQuery ユーザー プロジェクト内でジョブ(クエリを含む)を実行する権限を付与します。ユーザーの役割は、自分が所有するジョブの列挙、自分が所有するジョブのキャンセル、プロジェクト内のデータセットの列挙ができます。また、プロジェクト内に新しいデータセットを作成することもできます。作成者には新しいデータセットの bigquery.dataOwner の役割が付与されます。 プロジェクト
roles/
bigquery.jobUser
BigQuery ジョブユーザー プロジェクト内でジョブ(クエリを含む)を実行する権限を付与します。jobUser 役割は、自分が所有するジョブの列挙とキャンセルを行うことができます。 プロジェクト
roles/
bigquery.dataViewer
BigQuery データ閲覧者

データセットに適用した場合、dataViewer には次の権限が与えられます。

  • データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。
  • データセットのテーブルからデータとメタデータを読み取る。

プロジェクトまたは組織レベルで適用した場合、この役割はプロジェクト内のすべてのデータセットを列挙することもできます。ただし、ジョブを実行するためには追加の役割が必要です。

データセット
roles/
bigquery.dataEditor
BigQuery データ編集者

データセットに適用した場合、dataEditor には次の権限が与えられます。

  • データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。
  • データセットのテーブルを作成、更新、取得、削除する。

プロジェクトまたは組織レベルで適用した場合、この役割は新しいデータセットを作成することもできます。

データセット
roles/
bigquery.dataOwner
BigQuery データオーナー

データセットに適用した場合、dataOwner には次の権限が与えられます。

  • データセットを読み取り、更新、削除する。
  • データセットのテーブルを作成、更新、取得、削除する。

プロジェクトまたは組織レベルで適用した場合、この役割は新しいデータセットを作成することもできます。

データセット
roles/
bigquery.admin
BigQuery 管理者 プロジェクト内のすべてのリソースを管理する権限を提供します。プロジェクト内のすべてのデータを管理でき、プロジェクト内で実行されている他のユーザーのジョブもキャンセルできます。 プロジェクト

Cloud Bigtable の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
bigtable.admin
Cloud Bigtable 管理者 テーブル内に保存されているデータなど、プロジェクト内のすべてのインスタンスを管理します。新しいインスタンスを作成できます。プロジェクト管理者向け。 インスタンス
roles/
bigtable.user
Cloud Bigtable ユーザー テーブル内に保存されたデータへの読み取り / 書き込みアクセス権を提供します。アプリケーション デベロッパーやサービス アカウント向け。 インスタンス
roles/
bigtable.reader
Cloud Bigtable 読み取り テーブル内に保存されたデータへの読み取りアクセス権を提供します。データ サイエンティスト、ダッシュボード生成ツール、その他のデータ分析シナリオ向け。 インスタンス
roles/
bigtable.viewer
Cloud Bigtable 閲覧者 データにアクセスすることはできません。Cloud Bigtable の GCP Console にアクセスするための最小権限セットとして使用されます。 インスタンス

クラウド課金の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
billing.admin
請求先アカウント管理者 請求先アカウントを全面的に表示、管理できるアクセス権を付与します。 請求先アカウント
roles/
billing.projectManager
プロジェクト支払い管理者 プロジェクトの請求先アカウントの割り当てと、請求の無効化を行うアクセス権を付与します。 プロジェクト
roles/
billing.user
請求先アカウント ユーザー 請求先アカウントとプロジェクトを関連付けるためのアクセス権を付与します。 請求先アカウント
roles/
billing.creator
請求先アカウント作成者 請求先アカウントを作成するためのアクセス権を付与します。 プロジェクト
roles/
billing.viewer
請求先アカウント閲覧者 請求先アカウントの費用情報とトランザクションを表示します。 組織
請求先アカウント

Cloud Composer の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/composer.admin Composer 管理者 Cloud Composer リソースのすべてを管理できます。 プロジェクト
roles/composer.user Composer ユーザー Cloud Composer 環境とオペレーションの一覧表示して取得するために必要な権限を付与します。 プロジェクト
roles/composer.worker Composer ワーカー Cloud Composer 環境 VM の実行に必要な権限を付与します(サービス アカウント向け)。 プロジェクト
roles/composer.environmentAndStorageObjectAdmin Composer とストレージ オブジェクトの管理者 Cloud Composer のリソースとすべてのプロジェクト バケットのオブジェクトを管理できる権限を付与します。 プロジェクト
roles/composer.environmentAndStorageObjectViewer Composer ユーザーとストレージ オブジェクト閲覧者 Cloud Composer 環境とオペレーションを一覧表示して取得するために必要な権限を付与します。 すべてのプロジェクト バケットのオブジェクトに対して読み取り専用アクセスを許可します。 プロジェクト

Cloud Dataflow の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
dataflow.viewer
Cloud Dataflow 閲覧者 すべての Dataflow 関連リソースに対する読み取り専用アクセス権を付与します。 プロジェクト
roles/
dataflow.developer
Cloud Dataflow デベロッパー Dataflow ジョブを実行、操作するために必要な権限を付与します。 プロジェクト
roles/
dataflow.worker
Cloud Dataflow ワーカー Compute Engine サービス アカウントが Dataflow パイプラインの作業単位を実行するために必要な権限を付与します。 プロジェクト

Cloud Dataproc の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
dataproc.editor
ベータ版
Cloud Dataproc 編集者 マシンタイプ、ネットワーク、プロジェクト、ゾーンなどの Dataproc を管理するために必要となるリソースの表示に必要な権限を付与します。 プロジェクト
roles/
dataproc.viewer
ベータ版
Cloud Dataproc 閲覧者 Dataproc リソースに対する読み取り専用アクセス権を付与します。 プロジェクト

Cloud Datastore の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
datastore.importExportAdmin
Cloud Datastore インポート / エクスポート管理者 インポートとエクスポートを管理できる完全アクセス権を付与します。 プロジェクト
roles/
datastore.indexAdmin
Cloud Datastore インデックス管理者 インデックス定義を管理できるフルアクセス権を付与します。 プロジェクト
roles/
datastore.owner
Cloud Datastore オーナー Cloud Datastore のリソースへの完全アクセス権を付与します。 プロジェクト
roles/
datastore.user
Cloud Datastore ユーザー Cloud Datastore データベース内のデータへの読み取り / 書き込みアクセス権を付与します。 プロジェクト
roles/
datastore.viewer
Cloud Datastore 閲覧者 Cloud Datastore リソースへの読み取りアクセス権を付与します。 プロジェクト

Cloud Endpoints の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
endpoints.portalAdmin
ベータ版
Endpoints Portal 管理者 GCP Console の [エンドポイント] > [デベロッパー ポータル] ページでカスタム ドメインを追加、表示、削除するために必要なすべての権限を付与します。API 用に作成されたポータルで、[設定] ページの [Site Wide] タブにアクセスして設定を変更できます。 プロジェクト

Dialogflow の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
dialogflow.admin
Dialogflow API 管理者 Dialogflow(API のみ)のリソースに対するフルアクセスを許可します。API と Dialogflow コンソールの両方にアクセスするには、基本の役割roles/owner または roles/editor を使用します(通常は、Dialogflow コンソールからエージェントを作成する場合に必要になります)。 プロジェクト
roles/
dialogflow.client
Dialogflow API クライアント Dialogflow(API のみ)のリソースに対するクライアント アクセスを許可します。インテントの検出とセッション プロパティ(コンテキスト、セッション エンティティ タイプなど)の読み取り / 書き込みを許可します。 プロジェクト
roles/
dialogflow.reader
Dialogflow API 読み取り Read access to Dialogflow(API のみ)のリソースに対する読み取りアクセスを許可します。インテントは検出できません。API と Dialogflow コンソール両方に対する同様のアクセスには、基本の役割roles/viewer を使用します。 プロジェクト

Cloud DNS の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
dns.admin
DNS 管理者 すべての DNS リソースへの読み取り / 書き込みアクセス権を付与します。 プロジェクト
roles/
dns.reader
DNS の読み取り すべての Cloud DNS リソースへの読み取り専用アクセス権を付与します。 プロジェクト

Cloud KMS の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
cloudkms.admin
Cloud KMS 管理者 暗号と復号を除く、Cloud KMS リソースに対する完全なアクセス権を付与します。 CryptoKey
roles/
cloudkms.cryptoKeyEncrypterDecrypter
Cloud KMS 暗号化 / 復号 暗号化と復号の場合のみ、Cloud KMS リソースの使用を許可します。 CryptoKey
roles/
cloudkms.cryptoKeyEncrypter
Cloud KMS 暗号化 暗号化の場合にのみ、Cloud KMS リソースの使用を許可します。 CryptoKey
roles/
cloudkms.cryptoKeyDecrypter
Cloud KMS 復号 復号の場合のみ、Cloud KMS リソースの使用を許可します。 CryptoKey

Cloud Machine Learning Engine

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
ml.admin
ML Engine 管理者 Cloud ML Engine リソースと、そのジョブ、オペレーション、モデル、バージョンへの完全アクセス権を付与します。 プロジェクト
roles/
ml.developer
ML Engine デベロッパー モデル、バージョン、トレーニングと予測用のジョブを作成したり、オンライン予測リクエストを送信したりするために Cloud Machine Learning Engine のリソースを使用することを許可します。 プロジェクト
roles/
ml.viewer
ML Engine 閲覧者 Cloud Machine Learning Engine リソースに対する読み取り専用アクセス権を付与します。 プロジェクト
roles/
ml.modelOwner
ML Engine モデルオーナー モデルとそのバージョンへの完全アクセス権を付与します。この役割は、モデルを作成するユーザーに自動的に付与されます。 モデル
roles/
ml.modelUser
ML Engine モデルユーザー モデルとそのバージョンを読み取り、予測に使用するための権限を付与します。 モデル
roles/
ml.jobOwner
ML Engine ジョブオーナー 特定のジョブリソースに対するすべての権限への完全アクセス権を付与します。この役割はジョブを作成したユーザーに自動的に付与されます。 ジョブ
roles/
ml.operationOwner
ML Engine オペレーション オーナー 特定のオペレーション リソースに対するすべての権限への完全アクセス権を付与します。 オペレーション

Cloud Pub/Sub の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
pubsub.publisher
Pub/Sub パブリッシャー メッセージをトピックに送信するためのアクセス権を付与します。 トピック
roles/
pubsub.subscriber
Pub/Sub サブスクライバー サブスクリプションからメッセージを受信し、トピックにサブスクリプションを添付するためのアクセス権を付与します。 トピック
roles/
pubsub.viewer
Pub/Sub 閲覧者 トピックおよびサブスクリプションを閲覧するためのアクセス権を付与します。 トピック
roles/
pubsub.editor
Pub/Sub 編集者 トピックおよびサブスクリプションを変更するためのアクセス権、およびメッセージを送信および受信するためのアクセス権を付与します。 トピック
roles/
pubsub.admin
Pub/Sub 管理者 トピックとサブスクリプションに対する完全アクセス権を付与します。 トピック

Cloud Memorystore の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
redis.admin
Redis 管理者 Cloud Memorystore のすべてのリソースを管理できます。 インスタンス
roles/
redis.editor
Redis 編集者 Cloud Memorystore インスタンスを管理します。インスタンスの作成や削除はできません。 インスタンス
roles/
redis.viewer
Redis 閲覧者 すべての Cloud Memorystore リソースに対する読み取り専用アクセスを許可します。 インスタンス

Cloud Spanner の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
spanner.admin
Cloud Spanner 管理者 他のプリンシパルに対する権限の付与や取り消し、課金可能なリソースの割り当てと削除、リソースの取得 / 一覧表示 / 変更オペレーションの発行、データベースの読み書き、プロジェクト メタデータのフェッチを行う権限。 プロジェクト
roles/
spanner.databaseAdmin
Cloud Spanner データベース管理者 プロジェクト内のすべての Cloud Spanner リソースの取得 / 一覧表示、データベースの作成 / 一覧表示 / 削除、プロジェクト データベースへのアクセス権の付与 / 取り消し、プロジェクト内のすべての Cloud Spanner データベースへの読み書きを行う権限。 プロジェクト
roles/
spanner.databaseReader
Cloud Spanner データベース読み取り Cloud Spanner データベースからの読み取り、データベースでの SQL クエリの実行、スキーマの表示を行う権限。 データベース
roles/
spanner.databaseUser
Cloud Spanner データベース ユーザー Cloud Spanner データベースの読み取り / 書き込み、データベースでの SQL クエリの実行、スキーマの表示と更新を行う権限。 データベース
roles/
spanner.viewer
Cloud Spanner 閲覧者 すべての Cloud Spanner のインスタンスとデータベースを表示する権限。ただし、それらの変更または読み取りはできません。 プロジェクト

Cloud SQL の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
cloudsql.admin
Cloud SQL 管理者 Cloud SQL リソースのすべてを管理できます。 プロジェクト
roles/
cloudsql.editor
Cloud SQL 編集者 ユーザー、SSL 証明書の変更、またはリソースの削除を除いて、既存の Cloud SQL インスタンスのすべてを管理できます。 プロジェクト
roles/
cloudsql.viewer
Cloud SQL 閲覧者 Cloud SQL リソースに対する読み取り専用アクセス権を付与します。 プロジェクト
roles/
cloudsql.client
Cloud SQL クライアント Cloud SQL インスタンスに対する接続アクセス権を付与します。 プロジェクト

Cloud Storage の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
storage.objectCreator
ストレージのオブジェクト作成者 ユーザーによるオブジェクトの作成を許可します。オブジェクトを削除または上書きする権限は付与されません。 バケット
roles/
storage.objectViewer
ストレージ オブジェクト閲覧者 オブジェクトとそのメタデータ(ACL を除く)を閲覧するためのアクセス権を付与します。 バケット
roles/
storage.objectAdmin
ストレージのオブジェクト管理者 オブジェクトのすべてを管理できる権限を付与します。 バケット
roles/
storage.admin
ストレージ管理者 オブジェクトとバケットのすべてを管理する権限。 バケット
roles/
storage.legacyObjectReader
レガシー オブジェクト読み取り オブジェクトとそのメタデータを表示できます(ACL を除く)。 バケット
roles/
storage.legacyObjectOwner
レガシー オブジェクト オーナー storage.legacyObjectReader の役割。

IAM ポリシーとして返される ACL など、バケット内のオブジェクトのメタデータを表示し、編集することもできます。

バケット
roles/
storage.legacyBucketReader
レガシー バケット読み取り バケットのコンテンツを一覧表示し、バケットのメタデータを読み取ることができます(IAM ポリシーを除く)。オブジェクトを一覧表示するときに、オブジェクトのメタデータを読み取ることもできます(IAM ポリシーを除く)。

この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係を参照してください。

バケット
roles/
storage.legacyBucketWriter
レガシー バケット書き込み storage.legacyBucketReader の役割。

バケット内のオブジェクトを作成、上書き、削除できます。

この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係を参照してください。

バケット
roles/
storage.legacyBucketOwner
レガシー バケット オーナー storage.legacyBucketWriter の役割。

バケットの IAM ポリシーを読み取り、IAM ポリシーを含むバケットのメタデータを編集することもできます。

この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係を参照してください。

バケット

Cloud Support の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
cloudsupport.admin
ベータ版
サポート アカウント管理者 サポートケースへのアクセス権を付与しませんが、サポート アカウントの管理を許可します。詳細については、Cloud Support のドキュメントをご覧ください。 組織
roles/
cloudsupport.viewer
ベータ版
サポート アカウント閲覧者 サポート アカウントの詳細に対して読み取り専用アクセスを許可します。ケースは閲覧できません。 組織

Compute Engine の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
compute.instanceAdmin
Compute インスタンス管理者

仮想マシン インスタンスを作成、変更、および削除するための権限。ディスクの作成、変更、削除を行う権限が含まれます。Shielded VMベータ版の設定を構成する権限も含まれます。

サービス アカウントとして実行するように構成されている仮想マシン インスタンスをユーザーが管理する場合は、roles/iam.serviceAccountUser の役割も付与する必要があります。

たとえば、仮想マシン インスタンスのグループは管理しているが、ネットワークやセキュリティの設定の管理や、サービス アカウントとして実行するインスタンスの管理は行っていないというユーザーが社内にいる場合は、この役割をインスタンスが含まれている組織、フォルダ、プロジェクトに付与したり、個々のインスタンスに付与したりできます。

ディスク、イメージ、インスタンス、インスタンス テンプレート、スナップショットベータ版
roles/
compute.networkUser
Compute ネットワーク ユーザー

共有 VPC ネットワークへのアクセス権を付与します。

アクセス権を付与されたサービス オーナーは、ホスト プロジェクトに属する VPC ネットワークとサブネットを使用できます。たとえば、ネットワーク ユーザーは、XPN ホスト ネットワークに属する VM インスタンスを作成できますが、ホスト プロジェクトでネットワークを削除したり、新しいネットワークを追加したりすることはできません。

プロジェクト
roles/
compute.networkViewer
Compute ネットワーク閲覧者

すべてのネットワーク リソースへの読み取り専用アクセス権。

たとえば、ネットワーク構成を検査するソフトウェアがある場合は、そのソフトウェアのサービス アカウントに networkViewer の役割を付与します。

インスタンスベータ版
roles/
compute.networkAdmin
Compute ネットワーク管理者

ネットワーキング リソース(ファイアウォール ルールと SSL 証明書を除く)を作成、変更、削除するための権限。ネットワーク管理者の役割により、ファイアウォール ルール、SSL 証明書、インスタンス(それぞれのエフェメラル IP アドレスの表示用)への読み取り専用アクセスを付与できます。ユーザーは、ネットワーク管理者の役割では、インスタンスの作成、起動、停止、削除はできません。

たとえば、ファイアウォールと SSL 証明書を管理するセキュリティ チームと、残りのネットワーキング リソースを管理するネットワーキング チームが社内にいる場合は、ネットワーキング チームのグループに networkAdmin の役割を付与します。

インスタンスベータ版
roles/
compute.loadBalancerAdmin
ベータ版
Compute Load Balancer 管理者

ロードバランサを作成、変更、削除し、リソースを関連付ける権限。

たとえば、社内にロードバランサ、ロードバランサの SSL 証明書、SSL ポリシー、その他のロード バランシング リソースを管理するロード バランシング チームと、その他のネットワーク リソースを管理するネットワーク チームがある場合は、ロード バランシング チームのグループに loadBalancerAdmin の役割を付与します。

インスタンスベータ版
roles/
compute.securityAdmin
Compute セキュリティ管理者

ファイアウォール ルールと SSL 証明書を作成、変更、削除するための権限。Shielded VMベータ版の設定を構成する権限も含まれます。

たとえば、ファイアウォールと SSL 証明書を管理するセキュリティ チームと、残りのネットワーキング リソースを管理するネットワーキング チームが社内にいる場合は、セキュリティ チームのグループに securityAdmin の役割を付与します。

インスタンスベータ版
roles/
compute.imageUser
Compute イメージ ユーザー

イメージに対してその他の権限のない、イメージを一覧表示し、読み取る権限。プロジェクト レベルで compute.imageUser の役割が付与されると、ユーザーは、プロジェクト内のイメージの一覧を取得できます。また、プロジェクト内のイメージに基づいて、インスタンスや永続ディスクなどのリソースを作成できます。

イメージベータ版
roles/
compute.storageAdmin
ベータ版
Compute ストレージ管理者

ディスク、イメージ、スナップショットを作成、変更、および削除するための権限。

たとえば、自社のプロジェクト イメージ管理者にプロジェクトの編集者の役割を付与したくない場合は、そのアカウントにプロジェクト レベルで storageAdmin 役割を付与します。

ディスク、イメージ、スナップショットベータ版
roles/
compute.xpnAdmin
共有 VPC 管理者

共有 VPC ホスト プロジェクトを管理する権限。特にホスト プロジェクトを有効にし、共有 VPC サービス プロジェクトをホスト プロジェクトのネットワークに関連付ける権限。

この役割を組織に付与できるのは、組織管理者だけです。

組織
roles/
compute.admin
ベータ版
Compute 管理者

Compute Engine リソースのすべてを管理できる権限。

サービス アカウントとして実行するように構成されている仮想マシン インスタンスをユーザーが管理する場合は、roles/iam.serviceAccountUser の役割も付与する必要があります。

ディスク、イメージ、インスタンス、インスタンス テンプレート、ノードグループ、ノード テンプレート、スナップショットベータ版
roles/
compute.viewer
ベータ版
Compute 閲覧者

Compute Engine リソースを取得して表示するための読み取り専用アクセス権。そこに格納されたデータを読み取ることはできません。

たとえば、この役割を持つアカウントはプロジェクトのすべてのディスクの一覧を作成できますが、それらのディスク内のデータは読み取ることができません。

ディスク、イメージ、インスタンス、インスタンス テンプレート、ノードグループ、ノード テンプレート、スナップショットベータ版

Cloud Build の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
cloudbuild.builds.editor
Cloud Build 編集者 ビルドを作成、キャンセルするためのアクセス権を付与します。 プロジェクト
roles/
cloudbuild.builds.viewer
Cloud Build 閲覧者 ビルドを表示するアクセス権を付与します。 プロジェクト

GKE の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
container.admin
GKE 管理者 コンテナ クラスタと、それらの Kubernetes API オブジェクトのすべてを管理できるアクセス権を付与します。 プロジェクト
roles/
container.clusterAdmin
GKE クラスタ管理者 コンテナ クラスタを管理できるアクセス権を付与します。 プロジェクト
roles/
container.developer
GKE デベロッパー コンテナ クラスタ内の Kubernetes API オブジェクトに対する完全アクセス権を付与します。 プロジェクト
roles/
container.viewer
GKE 閲覧者 GKE リソースに対する読み取り専用アクセス権を付与します。 プロジェクト

Cloud Deployment Manager の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
deploymentmanager.viewer
Cloud Deployment Manager 閲覧者 すべての Cloud Deployment Manager 関連リソースに対する読み取り専用アクセス権を付与します。 プロジェクト
roles/
deploymentmanager.editor
Cloud Deployment Manager 編集者 デプロイの作成と管理に必要なアクセス権を付与します。 プロジェクト
roles/
deploymentmanager.typeViewer
Cloud Deployment Manager タイプ閲覧者 すべてのタイプ レジストリ リソースに対する読み取り専用アクセス権を付与します。 プロジェクト
roles/
deploymentmanager.typeEditor
Cloud Deployment Manager タイプ編集者 すべてのタイプ レジストリ リソースに対する読み取り / 書き込みアクセス権を付与します。 プロジェクト

Cloud IAM の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
iam.organizationRoleAdmin
組織の役割の管理者 組織とその下のプロジェクト内のすべてのカスタム役割を管理するアクセス権を付与します。 組織
roles/
iam.roleAdmin
役割の管理者 プロジェクト内のすべてのカスタム役割に対するアクセス権を付与します。 プロジェクト
roles/
iam.organizationRoleViewer
組織の役割の閲覧者 組織とその下のプロジェクト内のすべてのカスタム役割に対する読み取りアクセス権を付与します。 プロジェクト
roles/
iam.roleViewer
役割の閲覧者 プロジェクト内のすべてのカスタム役割に対する読み取りアクセス権を付与します。 プロジェクト
roles/
iam.securityReviewer
セキュリティ審査担当者 すべてのリソースとその IAM ポリシーを一覧表示するためのアクセス権を付与します。 ディスク、イメージ、インスタンス、インスタンス テンプレート、ノードグループ、ノード テンプレート、スナップショットベータ版

Cloud IAP の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
iap.httpsResourceAccessor
IAP で保護されたウェブアプリ ユーザー Cloud Identity-Aware Proxy を使用する HTTPS リソースへのアクセス権を付与します。 プロジェクト

Cloud IoT の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/cloudiot.viewer 閲覧者 すべての Cloud IoT リソースに対する読み取り専用アクセス権。 端末
roles/cloudiot.deviceController Cloud IoT Device コントローラ 端末の構成を更新するためのアクセス権。端末の作成や削除はできません。 端末
roles/cloudiot.provisioner Cloud IoT プロビジョナー レジストリに対してデバイスを作成および削除する権限(レジストリを変更する権限は除く)。 端末
roles/cloudiot.editor 編集者 すべての Cloud IoT リソースに対する読み取り / 書き込みアクセス権。 端末
roles/cloudiot.admin Cloud IoT 管理者 すべての Cloud IoT リソースと権限に対するフル コントロール。 端末
roles/cloudiot.serviceAgent Pub/Sub パブリッシャー 関連する Cloud Pub/Sub トピックに対するパブリッシャーの権限を付与します。プロジェクトで Cloud Identity and Access Management API が有効になっている場合に作成されるサービス アカウントに自動的に割り当てられます。 トピック

リソース管理者の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
orgpolicy.policyAdmin
組織ポリシー管理者 組織ポリシーによるクラウド リソースの設定制限を定義する権限を付与します。 組織
roles/
resourcemanager.folderAdmin
フォルダ管理者 フォルダの操作に使用できるすべての権限を付与します。 フォルダ
roles/
resourcemanager.folderCreator
フォルダ作成者 階層の参照とフォルダの作成に必要な権限を付与します。 フォルダ
roles/
resourcemanager.folderEditor
フォルダ編集者 フォルダの変更と、フォルダの IAM ポリシーの表示ができる権限を付与します。 フォルダ
roles/
resourcemanager.folderIamAdmin
フォルダ IAM 管理者 フォルダの IAM ポリシーを管理する権限を付与します。 フォルダ
roles/
resourcemanager.folderMover
フォルダ移動 親の組織またはフォルダとの間でフォルダを移動する権限を付与します。 フォルダ
roles/
resourcemanager.folderViewer
フォルダ閲覧者 フォルダの取得、リソース内のフォルダとプロジェクトの一覧表示ができる権限を付与します。 フォルダ
roles/
resourcemanager.organizationViewer
組織閲覧者 組織を閲覧するためのアクセス権を付与します。 組織
roles/
resourcemanager.projectCreator
プロジェクト作成者 新しいプロジェクトを作成するためのアクセス権を付与します。プロジェクトを作成したユーザーには、そのプロジェクトのオーナーの役割が自動的に付与されます。 フォルダ
roles/
resourcemanager.projectDeleter
プロジェクトの削除 GCP プロジェクトの削除権限を付与します。 フォルダ
roles/
resourcemanager.projectIamAdmin
Project IAM 管理者 プロジェクトの Cloud IAM ポリシーを管理する権限を付与します。 プロジェクト
roles/
resourcemanager.lienModifier
プロジェクト リーエンの変更 プロジェクト リーエンの変更権限を付与します。 プロジェクト
roles/
resourcemanager.projectMover
プロジェクト移動 プロジェクトを更新、移動するためのアクセス権を付与します。 プロジェクト

サービス アカウントの役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
iam.serviceAccountAdmin
サービス アカウント管理者 サービス アカウントを作成、管理します。 サービス アカウント
roles/
iam.serviceAccountKeyAdmin
サービス アカウントキー管理者 サービス アカウントキーの作成と管理(ローテーション)を行います。 サービス アカウント
roles/
iam.serviceAccountTokenCreator
サービス アカウント トークン作成者 サービス アカウント権限を使用できます(OAuth2 アクセス トークンを作成し、blob または JWT などに署名します)。 サービス アカウント
roles/
iam.serviceAccountUser
サービス アカウント ユーザー 操作をサービス アカウントとして実行します。 サービス アカウント

Service Management の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
servicemanagement.serviceController
サービス コントローラ サービスの使用状況のチェックと報告を行うランタイム コントロールの権限。 プロジェクト
roles/
servicemanagement.quotaAdmin
割り当て管理者 サービス割り当てを管理するためのアクセス権を付与します。 プロジェクト
roles/
servicemanagement.quotaViewer
割り当て閲覧者 サービス割り当てを表示するためのアクセス権を付与します。 プロジェクト

Source Repository の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
source.admin
Source Repository 管理者 レポジトリの作成、更新、削除、一覧表示、クローニング、フェッチ、参照の権限を付与します。また、IAM ポリシーの読み取りと変更の権限も付与します。 プロジェクト
roles/
source.reader
Source Repository 読み取り レポジトリの一覧表示、クローニング、フェッチ、参照の権限を付与します。 プロジェクト
roles/
source.writer
Source Repository 書き込み レポジトリの一覧表示、クローニング、フェッチ、参照、更新の権限を付与します。 プロジェクト

Stackdriver Debugger の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
clouddebugger.agent
デバッガ エージェント デバッグ ターゲットの登録、アクティブなブレークポイントの読み取り、ブレークポイントの結果の報告を行うアクセス権を付与します。 サービス アカウント
roles/
clouddebugger.user
デバッガ ユーザー ブレークポイント(スナップショットとログポイント)の作成、表示、一覧表示、削除に加え、デバッグ ターゲット(デバッグ対象)の一覧表示を行うアクセス権を付与します。 プロジェクト

Stackdriver Error Reporting の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
errorreporting.viewer
Error Reporting 閲覧者 Error Reporting データへの読み取り専用アクセス権を提供します。 プロジェクト
roles/
errorreporting.user
Error Reporting ユーザー Error Reporting データを読み書きする権限(新しいエラーイベントの送信を除く)を提供します。 プロジェクト
roles/
errorreporting.writer
Error Reporting 書き込み Reporting にエラーイベントを送信する権限を提供します。 サービス アカウント
roles/
errorreporting.admin
Error Reporting 管理者 Error Reporting データへのフルアクセスを提供します。 プロジェクト

Stackdriver Logging の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
logging.viewer
ログ閲覧者 ログを閲覧するためのアクセス権を付与します。 プロジェクト
roles/
logging.logWriter
ログ書き込み ログエントリを書き込むための権限を付与します。 プロジェクト
roles/
logging.privateLogViewer
プライベート ログ閲覧者 ログ閲覧者の役割の権限、およびプライベート ログ内のエントリに対する読み取り専用アクセス権を付与します。 プロジェクト
roles/
logging.configWriter
ログ設定書き込み ログをエクスポートするためのログベースの指標とシンクの設定に対する読み取りおよび書き込み権限を付与します。 プロジェクト
roles/
logging.admin
ロギング管理者 Stackdriver Logging のすべての機能を使用するために必要なすべての権限を付与します。 プロジェクト

Stackdriver Monitoring の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
monitoring.viewer
モニタリング閲覧者 すべてのモニタリング データや設定に関する情報を取得して一覧表示するための読み取り専用アクセス権を付与します。 プロジェクト
roles/
monitoring.metricWriter
モニタリング指標の書き込み 指標に対する書き込み専用アクセス権を付与します。Stackdriver エージェントや、指標を送信するその他のシステムでまさに必要となる権限が付与されます。 プロジェクト
roles/
monitoring.editor
モニタリング編集者 モニタリング データと設定に関する情報に対する完全アクセス権を付与します。 プロジェクト
roles/
monitoring.admin
モニタリング管理者 roles/monitoring.editor と同じアクセス権を付与します。 プロジェクト

Stackdriver Trace の役割

役割名 役割のタイトル 説明 最下位のリソースタイプ
roles/
cloudtrace.agent
Cloud Trace エージェント サービス アカウントの場合。Stackdriver Trace にデータを送信してトレースを書き込む機能を付与します。 プロジェクト
roles/
cloudtrace.user
Cloud Trace ユーザー Trace コンソールへのフルアクセス権とトレースへの読み取りアクセス権を付与します。 プロジェクト
roles/
cloudtrace.admin
Cloud Trace 管理者 Trace コンソールへのフルアクセス権とトレースへの読み取り / 書き込みアクセス権を付与します。 プロジェクト

カスタムの役割

事前定義済みの役割に加えて、Cloud IAM はカスタマイズされた Cloud IAM の役割を作成する機能も提供します。1 つ以上の権限を持つカスタムの Cloud IAM の役割を作成し、組織の一員であるユーザーにそのカスタムの役割を付与できます。詳しくは、カスタムの役割についてカスタムの役割の作成と管理をご覧ください。

プロダクト固有の Cloud IAM ドキュメント

プロダクト固有の Cloud IAM ドキュメントは、各プロダクトが提供する事前定義済みの役割の詳細について説明しています。事前定義済みの役割の詳細については、以下のページをご覧ください。

ドキュメント 説明
App Engine 用 Cloud IAM App Engine 用 Cloud IAM の役割について説明します
BigQuery 用 Cloud IAM BigQuery 用 Cloud IAM の役割について説明します
Cloud Bigtable 用 Cloud IAM Cloud Bigtable 用 Cloud IAM の役割について説明します
Cloud Billing API 用 Cloud IAM Cloud Billing API 用 Cloud IAM の役割と権限について説明します
Cloud Dataflow 用 Cloud IAM Cloud Dataflow 用 Cloud IAM の役割と権限について説明します
Cloud Dataproc 用 Cloud IAM Cloud Dataproc 用 Cloud IAM の役割と権限について説明します
Cloud Datastore 用 Cloud IAM Cloud Datastore 用 Cloud IAM の役割と権限について説明します
Cloud DNS 用 Cloud IAM Cloud DNS 用 Cloud IAM の役割と権限について説明します
Cloud KMS 用 Cloud IAM Cloud KMS 用 Cloud IAM の役割と権限について説明します
Cloud Machine Learning Engine 用 Cloud IAM Cloud Machine Learning Engine 用 Cloud IAM の役割と権限について説明します
Cloud Pub/Sub 用 Cloud IAM Cloud Pub/Sub 用 Cloud IAM の役割について説明します
Cloud Spanner 用 Cloud IAM Cloud Spanner 用 Cloud IAM の役割と権限について説明します
Cloud SQL 用 Cloud IAM Cloud SQL 用 Cloud IAM の役割について説明します
Cloud Storage 用 Cloud IAM Cloud Storage 用 Cloud IAM の役割と権限について説明します
Compute Engine 用 Cloud IAM Compute Engine 用 Cloud IAM の役割について説明します
GKE 用 Cloud IAM GKE 用 Cloud IAM の役割と権限について説明します
Cloud Deployment Manager 用 Cloud IAM Cloud Deployment Manager 用 Cloud IAM の役割と権限について説明します。
組織用 Cloud IAM 組織用 Cloud IAM の役割について説明します。
プロジェクト用 Cloud IAM プロジェクト用 Cloud IAM の役割について説明します。
サービス管理用 Cloud IAM サービス管理用 Cloud IAM の役割と権限について説明します
Stackdriver Debugger 用 Cloud IAM Debugger 用 Cloud IAM の役割について説明します
Stackdriver Logging 用 Cloud IAM Logging 用 Cloud IAM の役割について説明します
Stackdriver Monitoring 用 Cloud IAM Monitoring 用 Cloud IAM の役割と権限について説明します
Stackdriver Trace 用 Cloud IAM Trace 用 Cloud IAM の役割と権限について説明します

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Cloud Identity and Access Management のドキュメント