役割について

Cloud Identity and Access Management では、ある ID が Google Cloud Platform API を呼び出す場合、その ID はリソースを使用するための適切な権限を保持している必要があります。権限を付与するには、ユーザー、グループ、またはサービス アカウントに役割を付与します。

このページでは、Cloud Platform リソースにアクセスするために ID に付与することができる Cloud IAM の役割について説明します。

このガイドの前提条件

役割のタイプ

Cloud IAM では、次の 3 つのタイプの役割があります。

  • 基本の役割: Cloud IAM の導入前に存在していたオーナー、編集者、閲覧者の役割が含まれます
  • 事前定義された役割: 特定のサービスの詳細なアクセス権を提供し、GCP によって管理されます
  • カスタムの役割: ユーザー指定の権限のリストに従って、詳細なアクセス権を提供します

基本の役割、事前定義された役割、カスタムの役割に 1 つ以上の権限が含まれているかどうかを確認するには、次のいずれかの方法を使用します。

次のセクションでは、各役割のタイプについて説明し、それらの使用方法の例を示します。

基本の役割

Cloud IAM の導入前に存在していたオーナー、編集者、閲覧者の 3 つの役割があります。オーナー、編集者、閲覧者の各役割は入れ子構造になっています。つまり、オーナーの役割には編集者の役割の権限が含まれており、編集者の役割には閲覧者の役割の権限が含まれています。

次の表に、GCP のすべてのサービスで、基本の役割に含まれている権限を要約します。

基本の役割の定義

氏名 役職 権限
roles/viewer 閲覧者 既存のリソースやデータの表示(ただし変更は不可能)など、状態に影響しない読み取り専用アクションに必要な権限。
roles/editor 編集者 すべての閲覧者権限に加えて状態を変更するアクション(既存のリソースの変更など)に必要な権限。
注: roles/editor の役割には、ほとんどの GCP サービスでリソースを作成および削除する権限が含まれますが、一部のサービス(Cloud Source Repositories や Stackdriver など)ではそれらの権限が含まれません。必要な権限が役割に含まれているかどうかを確認する方法については、上記のセクションをご覧ください。
roles/owner オーナー すべての編集者権限、および以下のアクションを実行するために必要な権限。
  • プロジェクトおよびプロジェクト内のすべてのリソースの権限と役割を管理する。
  • プロジェクトの課金情報を設定する。
注:
  • リソースレベル(Pub/Sub トピックなど)でオーナーの役割を付与しても、その親プロジェクトにオーナーの役割が付与されることはありません。
  • オーナーの役割には、組織リソースに対する権限は一切含まれていません。したがって、組織レベルでオーナーの役割を付与しても、その組織のメタデータを更新することはできません。ただし、その組織の下にあるプロジェクトを変更することはできます。

GCP ConsoleAPIgcloud コマンドライン ツールを使用して、プロジェクトまたはサービスのリソースレベルで基本の役割を適用できます。

招待フロー

Cloud IAM API または gcloud コマンドライン ツールを使用して、プロジェクトのメンバーにオーナー役割を付与することはできません。オーナーは、GCP Console を使用することによってのみプロジェクトに追加できます。招待はメールでメンバーに送信されます。そのメンバーがプロジェクトのオーナーになるには、その招待を受け入れる必要があります。

以下の場合、招待メールは送信されないことに注意してください。

  • オーナー以外の役割を付与している場合。
  • 組織のメンバーが、組織内のプロジェクトのオーナーとして組織の別のメンバーを追加した場合。

事前定義された役割

基本の役割に加えて、Cloud IAM は、特定の Google Cloud Platform リソースに対して、よりきめ細やかなアクセス権を付与し、他のリソースへの望ましくないアクセスを防ぐことができる事前定義済みの役割を提供します。

次の表に、定義された役割とその説明、およびそれらの役割を設定できる最低レベルのリソースタイプを示します。このリソースタイプまたはほとんどの場合に GCP 階層のそれ以上の任意のタイプに特定の役割を付与できます。1 人のユーザーに複数の役割を付与できます。たとえば、特定のユーザーに、あるプロジェクトにおけるネットワーク管理者およびログ閲覧者の役割を付与し、なおかつ、そのプロジェクト内の Pub/Sub トピックに対するパブリッシャーの役割を付与できます。役割に含まれる権限のリストについては、役割メタデータの取得をご覧ください。

App Engine の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
appengine.appAdmin
App Engine 管理者 すべてのアプリケーションの構成と設定に対する読み取り / 書き込み / 変更権限。 appengine.applications.get
appengine.applications.update
appengine.instances.*
appengine.operations.*
appengine.runtimes.*
appengine.services.*
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
appengine.versions.update
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
appengine.appViewer
App Engine 閲覧者 すべてのアプリケーションの構成と設定への読み取り専用アクセス権。 appengine.applications.get
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
appengine.codeViewer
App Engine コード閲覧者 すべてのアプリケーションの構成、設定、デプロイされたソースコードへの読み取り専用アクセス権。 appengine.applications.get
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.getFileContents
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
appengine.deployer
App Engine デプロイ担当者 すべてのアプリケーションの構成と設定への読み取り専用アクセス権。

新しいバージョンの作成のみに限定された書き込みアクセス権。既存のバージョンの変更はできませんが、トラフィックを受信していないバージョンの削除はできます。

注: App Engine デプロイ担当者(roles/appengine.deployer)の役割だけで、App Engine Admin API を使用してデプロイを行うのに十分な権限が付与されます。gcloud コマンドなどの他の App Engine ツールを使用するには、Compute ストレージ管理者(roles/compute.storageAdmin)と Cloud Build 編集者(cloudbuild.builds.editor)の役割も必要です。
appengine.applications.get
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.services.get
appengine.services.list
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
appengine.serviceAdmin
App Engine サービス管理者 すべてのアプリケーションの構成と設定への読み取り専用アクセス権。
モジュール レベルおよびバージョン レベルの設定への書き込みアクセス権。新しいバージョンのデプロイはできません。
appengine.applications.get
appengine.instances.*
appengine.operations.*
appengine.services.*
appengine.versions.delete
appengine.versions.get
appengine.versions.list
appengine.versions.update
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト

AutoML の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
automl.admin
AutoML 管理者 ベータ版 すべての AutoML リソースに対する完全アクセス権 automl.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list
roles/
automl.editor
AutoML 編集者 ベータ版 すべての AutoML リソースの編集者 automl.annotationSpecs.*
automl.annotations.*
automl.columnSpecs.*
automl.datasets.create
automl.datasets.delete
automl.datasets.export
automl.datasets.get
automl.datasets.import
automl.datasets.list
automl.datasets.update
automl.examples.*
automl.humanAnnotationTasks.*
automl.locations.get
automl.locations.list
automl.modelEvaluations.*
automl.models.create
automl.models.delete
automl.models.deploy
automl.models.export
automl.models.get
automl.models.list
automl.models.predict
automl.models.undeploy
automl.operations.*
automl.tableSpecs.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list
roles/
automl.predictor
AutoML 予測者 ベータ版 モデルを使用して予測します automl.models.predict
resourcemanager.projects.get
resourcemanager.projects.list
roles/
automl.viewer
AutoML 閲覧者 ベータ版 すべての AutoML リソースの閲覧者 automl.annotationSpecs.get
automl.annotationSpecs.list
automl.annotations.list
automl.columnSpecs.get
automl.columnSpecs.list
automl.datasets.get
automl.datasets.list
automl.examples.get
automl.examples.list
automl.humanAnnotationTasks.get
automl.humanAnnotationTasks.list
automl.locations.get
automl.locations.list
automl.modelEvaluations.get
automl.modelEvaluations.list
automl.models.get
automl.models.list
automl.operations.get
automl.operations.list
automl.tableSpecs.get
automl.tableSpecs.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list

BigQuery Roles

Role Title Description Permissions Lowest Resource
roles/
bigquery.admin
BigQuery Admin Provides permissions to manage all resources within the project. Can manage all data within the project, and can cancel jobs from other users running within the project. bigquery.*
resourcemanager.projects.get
resourcemanager.projects.list
Project
roles/
bigquery.dataEditor
BigQuery Data Editor

When applied to a dataset, dataEditor provides permissions to:

  • Read the dataset's metadata and to list tables in the dataset.
  • Create, update, get, and delete the dataset's tables.

When applied at the project or organization level, this role can also create new datasets.

bigquery.datasets.create
bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.tables.*
resourcemanager.projects.get
resourcemanager.projects.list
Dataset
roles/
bigquery.dataOwner
BigQuery Data Owner

When applied to a dataset, dataOwner provides permissions to:

  • Read, update, and delete the dataset.
  • Create, update, get, and delete the dataset's tables.

When applied at the project or organization level, this role can also create new datasets.

bigquery.datasets.*
bigquery.tables.*
resourcemanager.projects.get
resourcemanager.projects.list
Dataset
roles/
bigquery.dataViewer
BigQuery Data Viewer

When applied to a dataset, dataViewer provides permissions to:

  • Read the dataset's metadata and to list tables in the dataset.
  • Read data and metadata from the dataset's tables.

When applied at the project or organization level, this role can also enumerate all datasets in the project. Additional roles, however, are necessary to allow the running of jobs.

bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.list
resourcemanager.projects.get
resourcemanager.projects.list
Dataset
roles/
bigquery.jobUser
BigQuery Job User Provides permissions to run jobs, including queries, within the project. The jobUser role can enumerate their own jobs and cancel their own jobs. bigquery.jobs.create
resourcemanager.projects.get
resourcemanager.projects.list
Project
roles/
bigquery.metadataViewer
BigQuery Metadata Viewer

When applied at the project or organization level, metadataViewer provides permissions to:

  • List all datasets and read metadata for all datasets in the project.
  • List all tables and views and read metadata for all tables and views in the project.

Additional roles are necessary to allow the running of jobs.

bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.tables.get
bigquery.tables.list
resourcemanager.projects.get
resourcemanager.projects.list
Project
roles/
bigquery.readSessionUser
BigQuery Read Session User Beta Access to create and use read sessions bigquery.readsessions.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
bigquery.user
BigQuery User Provides permissions to run jobs, including queries, within the project. The user role can enumerate their own jobs, cancel their own jobs, and enumerate datasets within a project. Additionally, allows the creation of new datasets within the project; the creator is granted the bigquery.dataOwner role for these new datasets. bigquery.config.get
bigquery.datasets.create
bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.jobs.create
bigquery.jobs.list
bigquery.readsessions.*
bigquery.savedqueries.get
bigquery.savedqueries.list
bigquery.tables.list
bigquery.transfers.get
resourcemanager.projects.get
resourcemanager.projects.list
Project

請求の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
billing.admin
請求先アカウント管理者 請求先アカウントに関するすべての情報を閲覧および管理するためのアクセス権を付与します。 billing.accounts.close
billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.getPaymentInfo
billing.accounts.getSpendingInformation
billing.accounts.getUsageExportSpec
billing.accounts.list
billing.accounts.move
billing.accounts.redeemPromotion
billing.accounts.removeFromOrganization
billing.accounts.reopen
billing.accounts.setIamPolicy
billing.accounts.update
billing.accounts.updatePaymentInfo
billing.accounts.updateUsageExportSpec
billing.budgets.*
billing.credits.*
billing.resourceAssociations.*
billing.subscriptions.*
cloudnotifications.*
logging.logEntries.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.privateLogEntries.*
resourcemanager.projects.createBillingAssignment
resourcemanager.projects.deleteBillingAssignment
請求先アカウント
roles/
billing.creator
請求先アカウント作成者 請求先アカウントを作成するためのアクセス権を付与します。 billing.accounts.create
resourcemanager.organizations.get
プロジェクト
roles/
billing.projectManager
プロジェクトの支払い管理者 プロジェクトの請求先アカウントの割り当てと請求の無効化を行うためのアクセス権を付与します。 resourcemanager.projects.createBillingAssignment
resourcemanager.projects.deleteBillingAssignment
プロジェクト
roles/
billing.user
請求先アカウント ユーザー プロジェクトに請求先アカウントを関連付けるためのアクセス権を付与します。 billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.list
billing.accounts.redeemPromotion
billing.credits.*
billing.resourceAssociations.create
請求先アカウント
roles/
billing.viewer
請求先アカウント閲覧者 請求先アカウントのコスト情報とトランザクションを閲覧するためのアクセス権を付与します。 billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.getPaymentInfo
billing.accounts.getSpendingInformation
billing.accounts.getUsageExportSpec
billing.accounts.list
billing.budgets.get
billing.budgets.list
billing.credits.*
billing.resourceAssociations.list
billing.subscriptions.get
billing.subscriptions.list
組織
請求先アカウント

Binary Authorization の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
binaryauthorization.attestorsAdmin
Binary Authorization 認証者管理者 ベータ版 Binary Authorization 認証者の管理者 binaryauthorization.attestors.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.attestorsEditor
Binary Authorization 認証者編集者 ベータ版 Binary Authorization 認証者の編集者 binaryauthorization.attestors.create
binaryauthorization.attestors.delete
binaryauthorization.attestors.get
binaryauthorization.attestors.list
binaryauthorization.attestors.update
binaryauthorization.attestors.verifyImageAttested
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.attestorsVerifier
Binary Authorization 認証者イメージ検証者 ベータ版 Binary Authorization 認証者の VerifyImageAttested の呼び出し担当者 binaryauthorization.attestors.get
binaryauthorization.attestors.list
binaryauthorization.attestors.verifyImageAttested
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.attestorsViewer
Binary Authorization 認証者閲覧者 ベータ版 Binary Authorization 認証者の閲覧者 binaryauthorization.attestors.get
binaryauthorization.attestors.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.policyAdmin
Binary Authorization ポリシー管理者 ベータ版 Binary Authorization ポリシーの管理者 binaryauthorization.policy.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.policyEditor
Binary Authorization ポリシー編集者 ベータ版 Binary Authorization ポリシーの編集者 binaryauthorization.policy.get
binaryauthorization.policy.update
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.policyViewer
Binary Authorization ポリシー閲覧者 ベータ版 Binary Authorization ポリシーの閲覧者 binaryauthorization.policy.get
resourcemanager.projects.get
resourcemanager.projects.list

クラウド アセットの役割

役割 タイトル 説明 権限 最下位のリソース
roles/
cloudasset.viewer
クラウド アセット閲覧者 クラウド アセット メタデータへの読み取り専用アクセス権 cloudasset.*

Cloud Bigtable Roles

Role Title Description Permissions Lowest Resource
roles/
bigtable.admin
Bigtable Administrator Administers all instances within a project, including the data stored within tables. Can create new instances. Intended for project administrators. bigtable.*
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Instance
roles/
bigtable.reader
Bigtable Reader Provides read-only access to the data stored within tables. Intended for data scientists, dashboard generators, and other data-analysis scenarios. bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.tables.checkConsistency
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
bigtable.tables.readRows
bigtable.tables.sampleRowKeys
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Instance
roles/
bigtable.user
Bigtable User Provides read-write access to the data stored within tables. Intended for application developers or service accounts. bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.tables.checkConsistency
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
bigtable.tables.mutateRows
bigtable.tables.readRows
bigtable.tables.sampleRowKeys
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Instance
roles/
bigtable.viewer
Bigtable Viewer Provides no data access. Intended as a minimal set of permissions to access the GCP Console for Cloud Bigtable. bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.tables.checkConsistency
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Instance

Cloud Build の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
cloudbuild.builds.builder
Cloud Build サービス アカウント ビルドを実行できます。 cloudbuild.*
logging.logEntries.create
pubsub.topics.create
pubsub.topics.publish
resourcemanager.projects.get
resourcemanager.projects.list
source.repos.get
source.repos.list
storage.buckets.create
storage.buckets.get
storage.buckets.list
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.update
roles/
cloudbuild.builds.editor
Cloud Build 編集者 ビルドを作成、キャンセルするためのアクセス権を付与します。 cloudbuild.*
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
cloudbuild.builds.viewer
Cloud Build 閲覧者 ビルドを表示するためのアクセス権を付与します。 cloudbuild.builds.get
cloudbuild.builds.list
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト

Cloud Composer の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
composer.admin
Composer 管理者 Cloud Composer リソースを完全に制御する権限を付与します。 composer.*
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
プロジェクト
roles/
composer.environmentAndStorageObjectAdmin
環境とストレージ オブジェクトの管理者 Cloud Composer のリソースとすべてのプロジェクト バケット内のオブジェクトを完全に制御する権限を付与します。 composer.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.objects.*
プロジェクト
roles/
composer.environmentAndStorageObjectViewer
環境ユーザーとストレージ オブジェクトの閲覧者 Cloud Composer の環境とオペレーションを一覧表示および取得するために必要な権限を付与します。 すべてのプロジェクト バケット内のオブジェクトへの読み取り専用アクセス権を付与します。 composer.environments.get
composer.environments.list
composer.operations.get
composer.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.objects.get
storage.objects.list
プロジェクト
roles/
composer.user
Composer ユーザー Cloud Composer の環境とオペレーションを一覧表示および取得するために必要な権限を付与します。 composer.environments.get
composer.environments.list
composer.operations.get
composer.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
プロジェクト
roles/
composer.worker
Composer ワーカー Cloud Composer 環境 VM の実行に必要な権限を付与します(サービス アカウント向け)。 cloudbuild.*
container.*
logging.logEntries.create
monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.timeSeries.create
pubsub.snapshots.create
pubsub.snapshots.delete
pubsub.snapshots.get
pubsub.snapshots.list
pubsub.snapshots.seek
pubsub.snapshots.update
pubsub.subscriptions.consume
pubsub.subscriptions.create
pubsub.subscriptions.delete
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.subscriptions.update
pubsub.topics.attachSubscription
pubsub.topics.create
pubsub.topics.delete
pubsub.topics.get
pubsub.topics.list
pubsub.topics.publish
pubsub.topics.update
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
source.repos.get
source.repos.list
storage.buckets.create
storage.buckets.get
storage.buckets.list
storage.objects.*
プロジェクト

Cloud DLP Roles

Role Title Description Permissions Lowest Resource
roles/
dlp.admin
DLP Administrator Administer DLP including jobs and templates. dlp.*
serviceusage.services.use
roles/
dlp.analyzeRiskTemplatesEditor
DLP Analyze Risk Templates Editor Edit DLP analyze risk templates. dlp.analyzeRiskTemplates.*
roles/
dlp.analyzeRiskTemplatesReader
DLP Analyze Risk Templates Reader Read DLP analyze risk templates. dlp.analyzeRiskTemplates.get
dlp.analyzeRiskTemplates.list
roles/
dlp.deidentifyTemplatesEditor
DLP De-identify Templates Editor Edit DLP de-identify templates. dlp.deidentifyTemplates.*
roles/
dlp.deidentifyTemplatesReader
DLP De-identify Templates Reader Read DLP de-identify templates. dlp.deidentifyTemplates.get
dlp.deidentifyTemplates.list
roles/
dlp.inspectTemplatesEditor
DLP Inspect Templates Editor Edit DLP inspect templates. dlp.inspectTemplates.*
roles/
dlp.inspectTemplatesReader
DLP Inspect Templates Reader Read DLP inspect templates. dlp.inspectTemplates.get
dlp.inspectTemplates.list
roles/
dlp.jobTriggersEditor
DLP Job Triggers Editor Edit job triggers configurations. dlp.jobTriggers.*
roles/
dlp.jobTriggersReader
DLP Job Triggers Reader Read job triggers. dlp.jobTriggers.get
dlp.jobTriggers.list
roles/
dlp.jobsEditor
DLP Jobs Editor Edit and create jobs dlp.jobs.*
dlp.kms.*
roles/
dlp.jobsReader
DLP Jobs Reader Read jobs dlp.jobs.get
dlp.jobs.list
roles/
dlp.reader
DLP Reader Read DLP entities, such as jobs and templates. dlp.analyzeRiskTemplates.get
dlp.analyzeRiskTemplates.list
dlp.deidentifyTemplates.get
dlp.deidentifyTemplates.list
dlp.inspectTemplates.get
dlp.inspectTemplates.list
dlp.jobTriggers.get
dlp.jobTriggers.list
dlp.jobs.get
dlp.jobs.list
dlp.storedInfoTypes.get
dlp.storedInfoTypes.list
roles/
dlp.storedInfoTypesEditor
DLP Stored InfoTypes Editor Edit DLP stored info types. dlp.storedInfoTypes.*
roles/
dlp.storedInfoTypesReader
DLP Stored InfoTypes Reader Read DLP stored info types. dlp.storedInfoTypes.get
dlp.storedInfoTypes.list
roles/
dlp.user
DLP User Inspect, Redact, and De-identify Content dlp.kms.*
serviceusage.services.use

Cloud Filestore の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
file.editor
Cloud Filestore 編集者 ベータ版 Filestore インスタンスと関連リソースへの読み取り / 書き込みアクセス権。 file.*
roles/
file.viewer
Cloud Filestore 閲覧者 ベータ版 Filestore インスタンスと関連リソースへの読み取り専用アクセス権。 file.instances.get
file.instances.list
file.locations.*
file.operations.get
file.operations.list

Cloud KMS の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
cloudkms.admin
Cloud KMS 管理者 Cloud KMS リソースへの完全アクセス権(暗号化および復号オペレーションを除く)を付与します。 cloudkms.cryptoKeyVersions.create
cloudkms.cryptoKeyVersions.destroy
cloudkms.cryptoKeyVersions.get
cloudkms.cryptoKeyVersions.list
cloudkms.cryptoKeyVersions.restore
cloudkms.cryptoKeyVersions.update
cloudkms.cryptoKeys.*
cloudkms.keyRings.*
resourcemanager.projects.get
暗号鍵
roles/
cloudkms.cryptoKeyDecrypter
クラウド KMS 暗号鍵の復号 復号オペレーションに限り、Cloud KMS リソースを使用する権限を付与します。 cloudkms.cryptoKeyVersions.useToDecrypt
resourcemanager.projects.get
暗号鍵
roles/
cloudkms.cryptoKeyEncrypter
クラウド KMS 暗号鍵の暗号化 暗号化オペレーションに限り、Cloud KMS リソースを使用する権限を付与します。 cloudkms.cryptoKeyVersions.useToEncrypt
resourcemanager.projects.get
暗号鍵
roles/
cloudkms.cryptoKeyEncrypterDecrypter
クラウド KMS 暗号鍵の暗号化 / 復号 暗号化および復号オペレーションに限り、Cloud KMS リソースを使用する権限を付与します。 cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
resourcemanager.projects.get
暗号鍵
roles/
cloudkms.publicKeyViewer
Cloud KMS 暗号鍵の公開鍵閲覧者 ベータ版 GetPublicKey オペレーションを有効にします。 cloudkms.cryptoKeyVersions.viewPublicKey
resourcemanager.projects.get
roles/
cloudkms.signer
Cloud KMS 暗号鍵の署名者 ベータ版 AsymmetricSign オペレーションを有効にします。 cloudkms.cryptoKeyVersions.useToSign
resourcemanager.projects.get
roles/
cloudkms.signerVerifier
Cloud KMS 暗号鍵の署名者 / 検証者 ベータ版 AsymmetricSign および GetPublicKey オペレーションを有効にします。 cloudkms.cryptoKeyVersions.useToSign
cloudkms.cryptoKeyVersions.viewPublicKey
resourcemanager.projects.get

Cloud プライベート カタログの役割

役割 タイトル 説明 権限 最下位のリソース
roles/
cloudprivatecatalog.consumer
カタログ ユーザー ベータ版 ターゲット リソース コンテキストでカタログを参照できます。 cloudprivatecatalog.*
roles/
cloudprivatecatalogproducer.admin
カタログ管理者 ベータ版 カタログを管理し、カタログの関連付けを表示できます。 cloudprivatecatalogproducer.associations.*
cloudprivatecatalogproducer.catalogs.*
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get
roles/
cloudprivatecatalogproducer.manager
カタログ マネージャー ベータ版 カタログとターゲット リソース間の関連付けを管理できます。 cloudprivatecatalog.*
cloudprivatecatalogproducer.associations.*
cloudprivatecatalogproducer.catalogs.get
cloudprivatecatalogproducer.catalogs.list
cloudprivatecatalogproducer.targets.*
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get

Cloud SQL の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
cloudsql.admin
Cloud SQL 管理者 Cloud SQL リソースの完全に制御する権限を付与します。 cloudsql.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
プロジェクト
roles/
cloudsql.client
Cloud SQL クライアント Cloud SQL インスタンスへの接続アクセス権を付与します。 cloudsql.instances.connect
cloudsql.instances.get
プロジェクト
roles/
cloudsql.editor
Cloud SQL 編集者 既存の Cloud SQL インスタンスを完全に制御する権限(ユーザーと SSL 証明書の変更、リソースの削除を除く)を付与します。 cloudsql.backupRuns.create
cloudsql.backupRuns.get
cloudsql.backupRuns.list
cloudsql.databases.create
cloudsql.databases.get
cloudsql.databases.list
cloudsql.databases.update
cloudsql.instances.connect
cloudsql.instances.export
cloudsql.instances.failover
cloudsql.instances.get
cloudsql.instances.list
cloudsql.instances.restart
cloudsql.instances.truncateLog
cloudsql.instances.update
cloudsql.sslCerts.get
cloudsql.sslCerts.list
cloudsql.users.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
プロジェクト
roles/
cloudsql.viewer
Cloud SQL 閲覧者 Cloud SQL リソースへの読み取り専用アクセス権を付与します。 cloudsql.backupRuns.get
cloudsql.backupRuns.list
cloudsql.databases.get
cloudsql.databases.list
cloudsql.instances.export
cloudsql.instances.get
cloudsql.instances.list
cloudsql.sslCerts.get
cloudsql.sslCerts.list
cloudsql.users.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
プロジェクト

Cloud Security Scanner の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
cloudsecurityscanner.editor
Cloud Security Scanner 編集者 すべての Cloud Security Scanner リソースへの完全アクセス権 appengine.applications.get
cloudsecurityscanner.*
compute.addresses.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
cloudsecurityscanner.runner
Cloud Security Scanner 実行者 スキャンとスキャン実行への読み取りアクセス権、およびスキャンを開始する権限 cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.scanruns.get
cloudsecurityscanner.scanruns.list
cloudsecurityscanner.scanruns.stop
cloudsecurityscanner.scans.get
cloudsecurityscanner.scans.list
cloudsecurityscanner.scans.run
roles/
cloudsecurityscanner.viewer
Cloud Security Scanner 閲覧者 すべての Cloud Security Scanner リソースへの読み取りアクセス権 cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.results.*
cloudsecurityscanner.scanruns.get
cloudsecurityscanner.scanruns.getSummary
cloudsecurityscanner.scanruns.list
cloudsecurityscanner.scans.get
cloudsecurityscanner.scans.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Cloud Spanner Roles

Role Title Description Permissions Lowest Resource
roles/
spanner.admin
Cloud Spanner Admin Permission to grant and revoke permissions to other principals, allocate and delete chargeable resources, issue get/list/modify operations on resources, read from and write to databases, and fetch project metadata. monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.list
spanner.*
Project
roles/
spanner.databaseAdmin
Cloud Spanner Database Admin Permission to get/list all Cloud Spanner resources in a project, create/list/drop databases, grant/revoke access to project databases, and read from and write to all Cloud Spanner databases in the project. monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.list
spanner.databaseOperations.*
spanner.databases.*
spanner.instances.get
spanner.instances.getIamPolicy
spanner.instances.list
spanner.sessions.*
Project
roles/
spanner.databaseReader
Cloud Spanner Database Reader Permission to read from the Cloud Spanner database, execute SQL queries on the database, and view the schema. spanner.databases.beginReadOnlyTransaction
spanner.databases.getDdl
spanner.databases.read
spanner.databases.select
spanner.sessions.*
Database
roles/
spanner.databaseUser
Cloud Spanner Database User Permission to read from and write to the Cloud Spanner database, execute SQL queries on the database, and view and update the schema. spanner.databaseOperations.*
spanner.databases.beginOrRollbackReadWriteTransaction
spanner.databases.beginReadOnlyTransaction
spanner.databases.getDdl
spanner.databases.read
spanner.databases.select
spanner.databases.updateDdl
spanner.databases.write
spanner.sessions.*
Database
roles/
spanner.viewer
Cloud Spanner Viewer Permission to view all Cloud Spanner instances and databases, but not modify or read from them. monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.list
spanner.databases.list
spanner.instanceConfigs.*
spanner.instances.get
spanner.instances.list
Project

Cloud TPU の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
tpu.admin
TPU 管理者 TPU ノードと関連リソースへの完全アクセス権。 resourcemanager.projects.get
resourcemanager.projects.list
tpu.*
roles/
tpu.viewer
TPU 閲覧者 TPU ノードと関連リソースへの読み取り専用アクセス権。 resourcemanager.projects.get
resourcemanager.projects.list
tpu.acceleratortypes.*
tpu.locations.*
tpu.nodes.get
tpu.nodes.list
tpu.operations.*
tpu.tensorflowversions.*

Cloud Talent Solution の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
cloudjobdiscovery.admin
管理者 ベータ版 Cloud Job Discovery セルフサービス ツールへのアクセス権。 cloudjobdiscovery.tools.*
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudjobdiscovery.jobsEditor
ジョブ編集者 ベータ版 すべての Cloud Job Discovery データへの書き込みアクセス権。 cloudjobdiscovery.companies.*
cloudjobdiscovery.events.*
cloudjobdiscovery.jobs.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudjobdiscovery.jobsViewer
ジョブ閲覧者 ベータ版 すべての Cloud Job Discovery データへの読み取りアクセス権。 cloudjobdiscovery.companies.get
cloudjobdiscovery.companies.list
cloudjobdiscovery.jobs.get
cloudjobdiscovery.jobs.search
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudjobdiscovery.profilesEditor
プロファイル編集者 ベータ版 Cloud Talent Solution のすべてのプロファイル データに対する書き込み権限。 cloudjobdiscovery.companies.*
cloudjobdiscovery.events.*
cloudjobdiscovery.profiles.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudjobdiscovery.profilesViewer
プロファイル閲覧者 ベータ版 Cloud Talent Solution のすべてのプロファイル データに対する読み取り権限。 cloudjobdiscovery.companies.get
cloudjobdiscovery.companies.list
cloudjobdiscovery.profiles.get
cloudjobdiscovery.profiles.search
resourcemanager.projects.get
resourcemanager.projects.list

Cloud Tasks の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
cloudtasks.admin
Cloud Tasks 管理者 ベータ版 キューとタスクへの完全アクセス権。 cloudtasks.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.enqueuer
Cloud Tasks へのデータ追加 ベータ版 タスクを作成するためのアクセス権。 cloudtasks.tasks.create
cloudtasks.tasks.fullView
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.queueAdmin
Cloud Tasks のキュー管理者 ベータ版 キューへの管理者アクセス権。 cloudtasks.locations.*
cloudtasks.queues.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.taskDeleter
Cloud Tasks のタスク削除 ベータ版 タスクを削除するためのアクセス権。 cloudtasks.tasks.delete
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.taskRunner
Cloud Tasks のタスク実行者 ベータ版 タスクを実行するためのアクセス権。 cloudtasks.tasks.fullView
cloudtasks.tasks.run
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.viewer
Cloud Tasks 閲覧者 Beta タスク、キュー、位置の取得と一覧表示のためのアクセス権。 cloudtasks.locations.*
cloudtasks.queues.get
cloudtasks.queues.list
cloudtasks.tasks.fullView
cloudtasks.tasks.get
cloudtasks.tasks.list
resourcemanager.projects.get
resourcemanager.projects.list

Cloud Trace の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
cloudtrace.admin
Cloud Trace 管理者 Trace コンソールへの完全アクセス権とトレースへの読み取り / 書き込みアクセス権を付与します。 cloudtrace.*
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
cloudtrace.agent
Cloud Trace エージェント サービス アカウント向け。Stackdriver Trace にデータを送信してトレースを書き込む権限を付与します。 cloudtrace.traces.patch
プロジェクト
roles/
cloudtrace.user
Cloud Trace ユーザー Trace コンソールへの完全アクセス権とトレースへの読み取りアクセス権を付与します。 cloudtrace.insights.*
cloudtrace.stats.*
cloudtrace.tasks.*
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト

Codelab API キーの役割

役割 タイトル 説明 権限 最下位のリソース
roles/
codelabapikeys.admin
Codelab API キー管理者 Beta API キーへの完全アクセス権。 resourcemanager.projects.get
resourcemanager.projects.list
roles/
codelabapikeys.editor
Codelab API キー編集者 ベータ版 この役割は API キーのすべてのプロパティを表示および編集できます。 resourcemanager.projects.get
resourcemanager.projects.list
roles/
codelabapikeys.viewer
Codelab API キー閲覧者 ベータ版 この役割は API キーの変更履歴を除くすべてのプロパティを表示できます。 resourcemanager.projects.get
resourcemanager.projects.list

Compute Engine Roles

Role Title Description Permissions Lowest Resource
roles/
compute.admin
Compute Admin

Full control of all Compute Engine resources.

If the user will be managing virtual machine instances that are configured to run as a service account, you must also grant the roles/iam.serviceAccountUser role.

compute.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Disk, image, instance, instanceTemplate, nodeGroup, nodeTemplate, snapshot Beta
roles/
compute.imageUser
Compute Image User

Permission to list and read images without having other permissions on the image. Granting the compute.imageUser role at the project level gives users the ability to list all images in the project and create resources, such as instances and persistent disks, based on images in the project.

compute.images.get
compute.images.getFromFamily
compute.images.list
compute.images.useReadOnly
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
ImageBeta
roles/
compute.instanceAdmin
Compute Instance Admin (beta)

Permissions to create, modify, and delete virtual machine instances. This includes permissions to create, modify, and delete disks, and also to configure Shielded VM settings.

If the user will be managing virtual machine instances that are configured to run as a service account, you must also grant the roles/iam.serviceAccountUser role.

For example, if your company has someone who manages groups of virtual machine instances but does not manage network or security settings and does not manage instances that run as service accounts, you can grant this role on the organization, folder, or project that contains the instances, or you can grant it on individual instances.

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.addresses.use
compute.autoscalers.*
compute.diskTypes.*
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.list
compute.disks.resize
compute.disks.setLabels
compute.disks.update
compute.disks.use
compute.disks.useReadOnly
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalOperations.get
compute.globalOperations.list
compute.images.get
compute.images.getFromFamily
compute.images.list
compute.images.useReadOnly
compute.instanceGroupManagers.*
compute.instanceGroups.*
compute.instanceTemplates.*
compute.instances.*
compute.licenses.get
compute.licenses.list
compute.machineTypes.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetPools.get
compute.targetPools.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Disk, image, instance, instanceTemplate, snapshot Beta
roles/
compute.instanceAdmin.v1
Compute Instance Admin (v1) Full control of Compute Engine instances, instance groups, disks, snapshots, and images. Read access to all Compute Engine networking resources. compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.addresses.use
compute.autoscalers.*
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.diskTypes.*
compute.disks.*
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalOperations.get
compute.globalOperations.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.*
compute.instanceGroupManagers.*
compute.instanceGroups.*
compute.instanceTemplates.*
compute.instances.*
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.licenseCodes.*
compute.licenses.*
compute.machineTypes.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.projects.setCommonInstanceMetadata
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.resourcePolicies.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.snapshots.*
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
compute.loadBalancerAdmin
Compute Load Balancer Admin Beta

Permissions to create, modify, and delete load balancers and associate resources.

For example, if your company has a load balancing team that manages load balancers, SSL certificates for load balancers, SSL policies, and other load balancing resources, and a separate networking team that manages the rest of the networking resources, then grant the load balancing team's group the loadBalancerAdmin role.

compute.addresses.*
compute.backendBuckets.*
compute.backendServices.*
compute.forwardingRules.*
compute.globalAddresses.*
compute.globalForwardingRules.*
compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute.instanceGroups.*
compute.instances.get
compute.instances.list
compute.instances.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
compute.regionBackendServices.*
compute.securityPolicies.get
compute.securityPolicies.list
compute.securityPolicies.use
compute.sslCertificates.*
compute.sslPolicies.*
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.urlMaps.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
InstanceBeta
roles/
compute.networkAdmin
Compute Network Admin

Permissions to create, modify, and delete networking resources, except for firewall rules and SSL certificates. The network admin role allows read-only access to firewall rules, SSL certificates, and instances (to view their ephemeral IP addresses). The network admin role does not allow a user to create, start, stop, or delete instances.

For example, if your company has a security team that manages firewalls and SSL certificates and a networking team that manages the rest of the networking resources, then grant the networking team's group the networkAdmin role.

compute.addresses.*
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.*
compute.backendServices.*
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.*
compute.globalAddresses.*
compute.globalForwardingRules.*
compute.globalOperations.get
compute.globalOperations.list
compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroupManagers.update
compute.instanceGroupManagers.use
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceGroups.update
compute.instanceGroups.use
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.instances.use
compute.interconnectAttachments.*
compute.interconnectLocations.*
compute.interconnects.*
compute.networks.*
compute.projects.get
compute.regionBackendServices.*
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.routers.*
compute.routes.*
compute.securityPolicies.get
compute.securityPolicies.list
compute.securityPolicies.use
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.*
compute.subnetworks.*
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.targetVpnGateways.*
compute.urlMaps.*
compute.vpnTunnels.*
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
InstanceBeta
roles/
compute.networkUser
Compute Network User

Provides access to a shared VPC network

Once granted, service owners can use VPC networks and subnets that belong to the host project. For example, a network user can create a VM instance that belongs to a host project network but they cannot delete or create new networks in the host project.

compute.addresses.createInternal
compute.addresses.deleteInternal
compute.addresses.get
compute.addresses.list
compute.addresses.useInternal
compute.firewalls.get
compute.firewalls.list
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.interconnects.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Project
roles/
compute.networkViewer
Compute Network Viewer

Read-only access to all networking resources

For example, if you have software that inspects your network configuration, you could grant that software's service account the networkViewer role.

compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.networks.get
compute.networks.list
compute.projects.get
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
InstanceBeta
roles/
compute.osAdminLogin
Compute OS Admin Login

Access to log in to a Compute Engine instance as an administrator user.

compute.instances.get
compute.instances.list
compute.instances.osAdminLogin
compute.instances.osLogin
compute.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
InstanceBeta
roles/
compute.osLogin
Compute OS Login

Access to log in to a Compute Engine instance as a standard user.

compute.instances.get
compute.instances.list
compute.instances.osLogin
compute.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
InstanceBeta
roles/
compute.osLoginExternalUser
Compute OS Login External User

Available only at the organization level.

Access for an external user to set OS Login information associated with this organization. This role does not grant access to instances. External users must be granted one of the required OS Login roles in order to allow access to instances using SSH.

compute.oslogin.*
Organization
roles/
compute.securityAdmin
Compute Security Admin

Permissions to create, modify, and delete firewall rules and SSL certificates, and also to configure Shielded VM settings.

For example, if your company has a security team that manages firewalls and SSL certificates and a networking team that manages the rest of the networking resources, then grant the security team's group the securityAdmin role.

compute.firewalls.*
compute.globalOperations.get
compute.globalOperations.list
compute.instances.setShieldedVmIntegrityPolicy
compute.instances.updateShieldedVmConfig
compute.networks.get
compute.networks.list
compute.networks.updatePolicy
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.routes.get
compute.routes.list
compute.securityPolicies.*
compute.sslCertificates.*
compute.sslPolicies.*
compute.subnetworks.get
compute.subnetworks.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
InstanceBeta
roles/
compute.storageAdmin
Compute Storage Admin

Permissions to create, modify, and delete disks, images, and snapshots.

For example, if your company has someone who manages project images and you don't want them to have the editor role on the project, then grant their account the storageAdmin role on the project.

compute.diskTypes.*
compute.disks.*
compute.globalOperations.get
compute.globalOperations.list
compute.images.*
compute.licenseCodes.*
compute.licenses.*
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.resourcePolicies.*
compute.snapshots.*
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Disk, image, snapshot Beta
roles/
compute.viewer
Compute Viewer

Read-only access to get and list Compute Engine resources, without being able to read the data stored on them.

For example, an account with this role could inventory all of the disks in a project, but it could not read any of the data on those disks.

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.commitments.get
compute.commitments.list
compute.diskTypes.*
compute.disks.get
compute.disks.getIamPolicy
compute.disks.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.get
compute.images.getFromFamily
compute.images.getIamPolicy
compute.images.list
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceTemplates.get
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getIamPolicy
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.licenseCodes.get
compute.licenseCodes.getIamPolicy
compute.licenseCodes.list
compute.licenses.get
compute.licenses.getIamPolicy
compute.licenses.list
compute.machineTypes.*
compute.maintenancePolicies.get
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.networks.get
compute.networks.list
compute.nodeGroups.get
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTypes.*
compute.projects.get
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regionOperations.get
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regions.*
compute.resourcePolicies.get
compute.resourcePolicies.list
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.securityPolicies.get
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.snapshots.get
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.urlMaps.validate
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Disk, image, instance, instanceTemplate, nodeGroup, nodeTemplate, snapshot Beta
roles/
compute.xpnAdmin
Compute Shared VPC Admin

Permissions to administer shared VPC host projects, specifically enabling the host projects and associating shared VPC service projects to the host project's network.

This role can only be granted on the organization by an organization admin.

compute.globalOperations.get
compute.globalOperations.list
compute.organizations.*
compute.projects.get
compute.subnetworks.getIamPolicy
compute.subnetworks.setIamPolicy
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
Organization

Dataproc の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
dataproc.editor
Dataproc 編集者 マシンタイプ、ネットワーク、プロジェクト、ゾーンなど、Cloud Dataproc を管理するために必要なリソースを表示する権限を付与します。 compute.machineTypes.*
compute.networks.get
compute.networks.list
compute.projects.get
compute.regions.*
compute.zones.*
dataproc.clusters.create
dataproc.clusters.delete
dataproc.clusters.get
dataproc.clusters.list
dataproc.clusters.update
dataproc.clusters.use
dataproc.jobs.cancel
dataproc.jobs.create
dataproc.jobs.delete
dataproc.jobs.get
dataproc.jobs.list
dataproc.jobs.update
dataproc.operations.delete
dataproc.operations.get
dataproc.operations.list
dataproc.workflowTemplates.create
dataproc.workflowTemplates.delete
dataproc.workflowTemplates.get
dataproc.workflowTemplates.instantiate
dataproc.workflowTemplates.instantiateInline
dataproc.workflowTemplates.list
dataproc.workflowTemplates.update
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
dataproc.viewer
Dataproc 閲覧者 Cloud Dataproc リソースへの読み取り専用アクセス権を付与します。 compute.machineTypes.get
compute.regions.*
compute.zones.get
dataproc.clusters.get
dataproc.clusters.list
dataproc.jobs.get
dataproc.jobs.list
dataproc.operations.get
dataproc.operations.list
dataproc.workflowTemplates.get
dataproc.workflowTemplates.list
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
dataproc.worker
Dataproc ワーカー Dataproc へのワーカー アクセス権。サービス アカウント向けです。 dataproc.agents.*
dataproc.tasks.*
logging.logEntries.create
monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.timeSeries.create
storage.buckets.get
storage.objects.*

Datastore の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
datastore.importExportAdmin
Cloud Datastore インポート / エクスポート管理者 インポートとエクスポートを管理するための完全アクセス権を付与します。 appengine.applications.get
datastore.databases.export
datastore.databases.import
datastore.operations.cancel
datastore.operations.get
datastore.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
datastore.indexAdmin
Cloud Datastore インデックス管理者 インデックス定義を管理するための完全アクセス権を付与します。 appengine.applications.get
datastore.indexes.*
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
datastore.owner
Cloud Datastore オーナー Cloud Datastore リソースへの完全アクセス権を付与します。 appengine.applications.get
datastore.*
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
datastore.user
Cloud Datastore ユーザー Cloud Datastore データベース内のデータへの読み取り / 書き込みアクセス権を付与します。 appengine.applications.get
datastore.databases.get
datastore.entities.*
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.list
datastore.statistics.*
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
datastore.viewer
Cloud Datastore 閲覧者 Cloud Datastore リソースへの読み取りアクセス権を付与します。 appengine.applications.get
datastore.databases.get
datastore.databases.list
datastore.entities.get
datastore.entities.list
datastore.indexes.get
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.list
datastore.statistics.*
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト

Deployment Manager Roles

Role Title Description Permissions Lowest Resource
roles/
deploymentmanager.editor
Deployment Manager Editor Provides the permissions necessary to create and manage deployments. deploymentmanager.compositeTypes.*
deploymentmanager.deployments.cancelPreview
deploymentmanager.deployments.create
deploymentmanager.deployments.delete
deploymentmanager.deployments.get
deploymentmanager.deployments.list
deploymentmanager.deployments.stop
deploymentmanager.deployments.update
deploymentmanager.manifests.*
deploymentmanager.operations.*
deploymentmanager.resources.*
deploymentmanager.typeProviders.*
deploymentmanager.types.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Project
roles/
deploymentmanager.typeEditor
Deployment Manager Type Editor Provides read and write access to all Type Registry resources. deploymentmanager.compositeTypes.*
deploymentmanager.operations.get
deploymentmanager.typeProviders.*
deploymentmanager.types.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
Project
roles/
deploymentmanager.typeViewer
Deployment Manager Type Viewer Provides read-only access to all Type Registry resources. deploymentmanager.compositeTypes.get
deploymentmanager.compositeTypes.list
deploymentmanager.typeProviders.get
deploymentmanager.typeProviders.getType
deploymentmanager.typeProviders.list
deploymentmanager.typeProviders.listTypes
deploymentmanager.types.get
deploymentmanager.types.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
Project
roles/
deploymentmanager.viewer
Deployment Manager Viewer Provides read-only access to all Cloud Deployment Manager-related resources. deploymentmanager.compositeTypes.get
deploymentmanager.compositeTypes.list
deploymentmanager.deployments.get
deploymentmanager.deployments.list
deploymentmanager.manifests.*
deploymentmanager.operations.*
deploymentmanager.resources.*
deploymentmanager.typeProviders.get
deploymentmanager.typeProviders.getType
deploymentmanager.typeProviders.list
deploymentmanager.typeProviders.listTypes
deploymentmanager.types.get
deploymentmanager.types.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Project

Dialogflow の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
dialogflow.admin
Dialogflow API 管理者 ベータ版 Dialogflow(API のみ)のリソースへの完全アクセス権。API と Dialogflow コンソールの両方にアクセスするには、基本の役割の roles/owner または roles/editor を使用します(通常は、Dialogflow コンソールからエージェントを作成する場合に必要です)。 dialogflow.*
resourcemanager.projects.get
プロジェクト
roles/
dialogflow.client
Dialogflow API クライアント ベータ版 Dialogflow(API のみ)リソースへのクライアント アクセス権。インテントの検出とセッション プロパティ(コンテキスト、セッション エンティティ タイプなど)への読み取り / 書き込み権限を付与します。 dialogflow.contexts.*
dialogflow.sessionEntityTypes.*
dialogflow.sessions.*
プロジェクト
roles/
dialogflow.consoleAgentEditor
Dialogflow コンソール エージェント編集者 ベータ版 Dialogflow コンソールでエージェントを編集できます。 dialogflow.*
resourcemanager.projects.get
roles/
dialogflow.reader
Dialogflow API 読み取り ベータ版 Dialogflow(API のみ)リソースへの読み取りアクセス権。インテントは検出できません。API と Dialogflow コンソールの両方に対して同様のアクセスを行うには、基本の役割の roles/viewer を使用します。 dialogflow.agents.export
dialogflow.agents.get
dialogflow.agents.search
dialogflow.contexts.get
dialogflow.contexts.list
dialogflow.entityTypes.get
dialogflow.entityTypes.list
dialogflow.intents.get
dialogflow.intents.list
dialogflow.operations.*
dialogflow.sessionEntityTypes.get
dialogflow.sessionEntityTypes.list
resourcemanager.projects.get
プロジェクト

Error Reporting の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
errorreporting.admin
Error Reporting 管理者 ベータ版 Error Reporting データへの完全アクセス権を付与します。 cloudnotifications.*
errorreporting.*
プロジェクト
roles/
errorreporting.user
Error Reporting ユーザー ベータ版 Error Reporting データを読み書きする権限(新しいエラーイベントの送信を除く)を付与します。 cloudnotifications.*
errorreporting.applications.*
errorreporting.errorEvents.delete
errorreporting.errorEvents.list
errorreporting.groupMetadata.*
errorreporting.groups.*
プロジェクト
roles/
errorreporting.viewer
Error Reporting 閲覧者 ベータ版 Error Reporting データへの読み取り専用アクセス権を付与します。 cloudnotifications.*
errorreporting.applications.*
errorreporting.errorEvents.list
errorreporting.groupMetadata.get
errorreporting.groups.*
プロジェクト
roles/
errorreporting.writer
エラー書き込み ベータ版 Error Reporting にエラーイベントを送信する権限を付与します。 errorreporting.errorEvents.create
サービス アカウント

Firebase の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
cloudtestservice.testAdmin
Firebase Test Lab 管理者 すべての Test Lab 機能に対する完全アクセス権 cloudtestservice.*
cloudtoolresults.*
firebase.billingPlans.get
resourcemanager.projects.get
resourcemanager.projects.list
storage.buckets.create
storage.buckets.get
storage.buckets.update
storage.objects.create
storage.objects.get
storage.objects.list
roles/
cloudtestservice.testViewer
Firebase Test Lab 閲覧者 Test Lab 機能への読み取りアクセス権 cloudtestservice.environmentcatalog.*
cloudtestservice.matrices.get
cloudtoolresults.executions.get
cloudtoolresults.executions.list
cloudtoolresults.histories.get
cloudtoolresults.histories.list
cloudtoolresults.settings.get
cloudtoolresults.steps.get
cloudtoolresults.steps.list
resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.get
storage.objects.list
roles/
firebase.admin
Firebase 管理者 ベータ版 Firebase プロダクトへの完全アクセス権。 appengine.applications.get
automl.*
clientauthconfig.brands.get
clientauthconfig.brands.list
clientauthconfig.brands.update
clientauthconfig.clients.create
clientauthconfig.clients.delete
clientauthconfig.clients.get
clientauthconfig.clients.list
clientauthconfig.clients.update
cloudconfig.*
cloudfunctions.*
cloudnotifications.*
cloudtestservice.*
cloudtoolresults.*
datastore.*
errorreporting.groups.*
firebase.*
firebaseabt.*
firebaseanalytics.*
firebaseauth.*
firebasecrash.*
firebasedatabase.*
firebasedynamiclinks.*
firebaseextensions.*
firebasehosting.*
firebaseinappmessaging.*
firebaseml.*
firebasenotifications.*
firebaseperformance.*
firebasepredictions.*
firebaserules.*
logging.logEntries.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
runtimeconfig.configs.create
runtimeconfig.configs.delete
runtimeconfig.configs.get
runtimeconfig.configs.list
runtimeconfig.configs.update
runtimeconfig.operations.*
runtimeconfig.variables.create
runtimeconfig.variables.delete
runtimeconfig.variables.get
runtimeconfig.variables.list
runtimeconfig.variables.update
runtimeconfig.variables.watch
runtimeconfig.waiters.create
runtimeconfig.waiters.delete
runtimeconfig.waiters.get
runtimeconfig.waiters.list
runtimeconfig.waiters.update
serviceusage.apiKeys.get
serviceusage.apiKeys.getProjectForKey
serviceusage.apiKeys.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.*
roles/
firebase.analyticsAdmin
Firebase 向け Google アナリティクス管理者 ベータ版 Firebase 向け Google アナリティクスに対する完全アクセス権。 cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.*
firebaseextensions.configs.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
roles/
firebase.analyticsViewer
Firebase 向け Google アナリティクス閲覧者 ベータ版 Firebase 向け Google アナリティクスに対する読み取りアクセス権。 cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebaseextensions.configs.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
roles/
firebase.developAdmin
Firebase Develop 管理者 ベータ版 Firebase Develop プロダクトとアナリティクスに対する完全アクセス権。 appengine.applications.get
automl.*
clientauthconfig.brands.get
clientauthconfig.brands.list
clientauthconfig.brands.update
clientauthconfig.clients.get
clientauthconfig.clients.list
cloudfunctions.*
cloudnotifications.*
datastore.*
errorreporting.groups.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.*
firebaseauth.*
firebasedatabase.*
firebaseextensions.configs.list
firebasehosting.*
firebaseml.*
firebaserules.*
logging.logEntries.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
runtimeconfig.configs.create
runtimeconfig.configs.delete
runtimeconfig.configs.get
runtimeconfig.configs.list
runtimeconfig.configs.update
runtimeconfig.operations.*
runtimeconfig.variables.create
runtimeconfig.variables.delete
runtimeconfig.variables.get
runtimeconfig.variables.list
runtimeconfig.variables.update
runtimeconfig.variables.watch
runtimeconfig.waiters.create
runtimeconfig.waiters.delete
runtimeconfig.waiters.get
runtimeconfig.waiters.list
runtimeconfig.waiters.update
serviceusage.apiKeys.get
serviceusage.apiKeys.getProjectForKey
serviceusage.apiKeys.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.*
roles/
firebase.developViewer
Firebase Develop 閲覧者 ベータ版 Firebase Develop プロダクトとアナリティクスに対する読み取りアクセス権。 automl.annotationSpecs.get
automl.annotationSpecs.list
automl.annotations.list
automl.columnSpecs.get
automl.columnSpecs.list
automl.datasets.get
automl.datasets.list
automl.examples.get
automl.examples.list
automl.humanAnnotationTasks.get
automl.humanAnnotationTasks.list
automl.locations.get
automl.locations.list
automl.modelEvaluations.get
automl.modelEvaluations.list
automl.models.get
automl.models.list
automl.operations.get
automl.operations.list
automl.tableSpecs.get
automl.tableSpecs.list
clientauthconfig.brands.get
clientauthconfig.brands.list
cloudfunctions.functions.get
cloudfunctions.functions.list
cloudfunctions.locations.*
cloudfunctions.operations.*
cloudnotifications.*
datastore.databases.get
datastore.databases.getIamPolicy
datastore.databases.list
datastore.entities.get
datastore.entities.list
datastore.indexes.get
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.getIamPolicy
datastore.namespaces.list
datastore.statistics.*
errorreporting.groups.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebaseauth.configs.get
firebaseauth.users.get
firebasedatabase.instances.get
firebasedatabase.instances.list
firebaseextensions.configs.list
firebasehosting.sites.get
firebasehosting.sites.list
firebaseml.compressionjobs.get
firebaseml.compressionjobs.list
firebaseml.models.get
firebaseml.models.list
firebaseml.modelversions.get
firebaseml.modelversions.list
firebaserules.releases.get
firebaserules.releases.list
firebaserules.rulesets.get
firebaserules.rulesets.list
logging.logEntries.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.list
storage.objects.get
storage.objects.getIamPolicy
storage.objects.list
roles/
firebase.growthAdmin
Firebase Grow 管理者 ベータ版 Firebase Grow プロダクトとアナリティクスに対する完全アクセス権。 clientauthconfig.clients.get
clientauthconfig.clients.list
cloudconfig.*
cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseabt.*
firebaseanalytics.*
firebasedynamiclinks.*
firebaseextensions.configs.list
firebaseinappmessaging.*
firebasenotifications.*
firebasepredictions.*
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
firebase.growthViewer
Firebase Grow 閲覧者 ベータ版 Firebase Grow プロダクトとアナリティクスに対する読み取りアクセス権。 cloudconfig.configs.get
cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseabt.experimentresults.*
firebaseabt.experiments.get
firebaseabt.experiments.list
firebaseabt.projectmetadata.*
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebasedynamiclinks.destinations.list
firebasedynamiclinks.domains.get
firebasedynamiclinks.domains.list
firebasedynamiclinks.links.get
firebasedynamiclinks.links.list
firebasedynamiclinks.stats.*
firebaseextensions.configs.list
firebaseinappmessaging.campaigns.get
firebaseinappmessaging.campaigns.list
firebasenotifications.messages.get
firebasenotifications.messages.list
firebasepredictions.predictions.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
firebase.qualityAdmin
Firebase Quality 管理者 ベータ版 Firebase Quality プロダクトとアナリティクスに対する完全アクセス権。 cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.*
firebasecrash.*
firebaseextensions.configs.list
firebaseperformance.*
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
firebase.qualityViewer
Firebase Quality 閲覧者 ベータ版 Firebase Quality プロダクトとアナリティクスに対する読み取りアクセス権。 cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebasecrash.reports.*
firebaseextensions.configs.list
firebaseperformance.data.*
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
firebase.viewer
Firebase 閲覧者 ベータ版 Firebase プロダクトへの読み取り専用権限。 automl.annotationSpecs.get
automl.annotationSpecs.list
automl.annotations.list
automl.columnSpecs.get
automl.columnSpecs.list
automl.datasets.get
automl.datasets.list
automl.examples.get
automl.examples.list
automl.humanAnnotationTasks.get
automl.humanAnnotationTasks.list
automl.locations.get
automl.locations.list
automl.modelEvaluations.get
automl.modelEvaluations.list
automl.models.get
automl.models.list
automl.operations.get
automl.operations.list
automl.tableSpecs.get
automl.tableSpecs.list
clientauthconfig.brands.get
clientauthconfig.brands.list
cloudconfig.configs.get
cloudfunctions.functions.get
cloudfunctions.functions.list
cloudfunctions.locations.*
cloudfunctions.operations.*
cloudnotifications.*
cloudtestservice.environmentcatalog.*
cloudtestservice.matrices.get
cloudtoolresults.executions.get
cloudtoolresults.executions.list
cloudtoolresults.histories.get
cloudtoolresults.histories.list
cloudtoolresults.settings.get
cloudtoolresults.steps.get
cloudtoolresults.steps.list
datastore.databases.get
datastore.databases.getIamPolicy
datastore.databases.list
datastore.entities.get
datastore.entities.list
datastore.indexes.get
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.getIamPolicy
datastore.namespaces.list
datastore.statistics.*
errorreporting.groups.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseabt.experimentresults.*
firebaseabt.experiments.get
firebaseabt.experiments.list
firebaseabt.projectmetadata.*
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebaseauth.configs.get
firebaseauth.users.get
firebasecrash.reports.*
firebasedatabase.instances.get
firebasedatabase.instances.list
firebasedynamiclinks.destinations.list
firebasedynamiclinks.domains.get
firebasedynamiclinks.domains.list
firebasedynamiclinks.links.get
firebasedynamiclinks.links.list
firebasedynamiclinks.stats.*
firebaseextensions.configs.list
firebasehosting.sites.get
firebasehosting.sites.list
firebaseinappmessaging.campaigns.get
firebaseinappmessaging.campaigns.list
firebaseml.compressionjobs.get
firebaseml.compressionjobs.list
firebaseml.models.get
firebaseml.models.list
firebaseml.modelversions.get
firebaseml.modelversions.list
firebasenotifications.messages.get
firebasenotifications.messages.list
firebaseperformance.data.*
firebasepredictions.predictions.list
firebaserules.releases.get
firebaserules.releases.list
firebaserules.rulesets.get
firebaserules.rulesets.list
logging.logEntries.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.list
storage.objects.get
storage.objects.getIamPolicy
storage.objects.list

Genomics の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
genomics.admin
Genomics 管理者 Genomics のデータセットとオペレーションへの完全アクセス権。 genomics.*
roles/
genomics.editor
Genomics 編集者 Genomics のデータセットとオペレーションへの読み取り / 編集アクセス権。 genomics.datasets.create
genomics.datasets.delete
genomics.datasets.get
genomics.datasets.list
genomics.datasets.update
genomics.operations.*
roles/
genomics.pipelinesRunner
Genomics パイプライン実行者 Genomics パイプラインを操作するための完全アクセス権。 genomics.operations.*
roles/
genomics.viewer
Genomics 閲覧者 Genomics のデータセットとオペレーションを表示するためのアクセス権。 genomics.datasets.get
genomics.datasets.list
genomics.operations.get
genomics.operations.list

IAM 役割

役割 タイトル 説明 権限 最下位のリソース
roles/
iam.securityReviewer
セキュリティ審査担当者 すべてのリソースとそれらに対する Cloud IAM ポリシーを一覧表示する権限を付与します。 accesscontextmanager.accessLevels.list
accesscontextmanager.accessPolicies.getIamPolicy
accesscontextmanager.accessPolicies.list
accesscontextmanager.accessZones.list
accesscontextmanager.policies.getIamPolicy
accesscontextmanager.policies.list
accesscontextmanager.servicePerimeters.list
appengine.instances.list
appengine.memcache.list
appengine.operations.list
appengine.services.list
appengine.versions.list
automl.annotationSpecs.list
automl.annotations.list
automl.columnSpecs.list
automl.datasets.getIamPolicy
automl.datasets.list
automl.examples.list
automl.humanAnnotationTasks.list
automl.locations.getIamPolicy
automl.locations.list
automl.modelEvaluations.list
automl.models.getIamPolicy
automl.models.list
automl.operations.list
automl.tableSpecs.list
bigquery.datasets.getIamPolicy
bigquery.jobs.list
bigquery.savedqueries.list
bigquery.tables.list
bigtable.appProfiles.list
bigtable.clusters.list
bigtable.instances.getIamPolicy
bigtable.instances.list
bigtable.tables.list
billing.accounts.getIamPolicy
billing.accounts.list
billing.budgets.list
billing.credits.*
billing.resourceAssociations.list
billing.subscriptions.list
binaryauthorization.attestors.getIamPolicy
binaryauthorization.attestors.list
binaryauthorization.policy.getIamPolicy
clientauthconfig.brands.list
clientauthconfig.clients.list
cloudbuild.builds.list
clouddebugger.breakpoints.list
clouddebugger.debuggees.list
cloudfunctions.functions.list
cloudfunctions.locations.*
cloudfunctions.operations.list
cloudiot.devices.list
cloudiot.registries.getIamPolicy
cloudiot.registries.list
cloudjobdiscovery.companies.list
cloudkms.cryptoKeyVersions.list
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.list
cloudkms.keyRings.getIamPolicy
cloudkms.keyRings.list
cloudnotifications.*
cloudprivatecatalogproducer.associations.list
cloudprivatecatalogproducer.catalogs.getIamPolicy
cloudprivatecatalogproducer.catalogs.list
cloudprofiler.profiles.list
cloudscheduler.jobs.list
cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.results.list
cloudsecurityscanner.scanruns.list
cloudsecurityscanner.scans.list
cloudsql.backupRuns.list
cloudsql.databases.list
cloudsql.instances.list
cloudsql.sslCerts.list
cloudsql.users.list
cloudsupport.accounts.getIamPolicy
cloudsupport.accounts.list
cloudtasks.locations.list
cloudtasks.queues.getIamPolicy
cloudtasks.queues.list
cloudtasks.tasks.list
cloudtoolresults.executions.list
cloudtoolresults.histories.list
cloudtoolresults.steps.list
cloudtrace.insights.list
cloudtrace.tasks.list
cloudtrace.traces.list
composer.environments.list
composer.operations.list
compute.acceleratorTypes.list
compute.addresses.list
compute.autoscalers.list
compute.backendBuckets.list
compute.backendServices.list
compute.commitments.list
compute.diskTypes.list
compute.disks.getIamPolicy
compute.disks.list
compute.firewalls.list
compute.forwardingRules.list
compute.globalAddresses.list
compute.globalForwardingRules.list
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.healthChecks.list
compute.httpHealthChecks.list
compute.httpsHealthChecks.list
compute.images.getIamPolicy
compute.images.list
compute.instanceGroupManagers.list
compute.instanceGroups.list
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instances.getIamPolicy
compute.instances.list
compute.interconnectAttachments.list
compute.interconnectLocations.list
compute.interconnects.list
compute.licenseCodes.getIamPolicy
compute.licenseCodes.list
compute.licenses.getIamPolicy
compute.licenses.list
compute.machineTypes.list
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.networks.list
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTypes.list
compute.regionBackendServices.list
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regions.list
compute.resourcePolicies.list
compute.routers.list
compute.routes.list
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.sslCertificates.list
compute.sslPolicies.list
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.targetHttpProxies.list
compute.targetHttpsProxies.list
compute.targetInstances.list
compute.targetPools.list
compute.targetSslProxies.list
compute.targetTcpProxies.list
compute.targetVpnGateways.list
compute.urlMaps.list
compute.vpnTunnels.list
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zones.list
container.apiServices.list
container.backendConfigs.list
container.bindings.list
container.certificateSigningRequests.list
container.clusterRoleBindings.list
container.clusterRoles.list
container.clusters.list
container.componentStatuses.list
container.configMaps.list
container.controllerRevisions.list
container.cronJobs.list
container.customResourceDefinitions.list
container.daemonSets.list
container.deployments.list
container.endpoints.list
container.events.list
container.horizontalPodAutoscalers.list
container.ingresses.list
container.initializerConfigurations.list
container.jobs.list
container.limitRanges.list
container.localSubjectAccessReviews.list
container.namespaces.list
container.networkPolicies.list
container.nodes.list
container.operations.list
container.persistentVolumeClaims.list
container.persistentVolumes.list
container.petSets.list
container.podDisruptionBudgets.list
container.podPresets.list
container.podSecurityPolicies.list
container.podTemplates.list
container.pods.list
container.replicaSets.list
container.replicationControllers.list
container.resourceQuotas.list
container.roleBindings.list
container.roles.list
container.scheduledJobs.list
container.secrets.list
container.selfSubjectAccessReviews.list
container.serviceAccounts.list
container.services.list
container.statefulSets.list
container.storageClasses.list
container.subjectAccessReviews.list
container.thirdPartyObjects.list
container.thirdPartyResources.list
dataflow.jobs.list
dataflow.messages.*
datalabeling.annotateddatasets.list
datalabeling.annotationspecsets.list
datalabeling.dataitems.list
datalabeling.datasets.list
datalabeling.examples.list
datalabeling.instructions.list
datalabeling.operations.list
dataproc.agents.list
dataproc.clusters.getIamPolicy
dataproc.clusters.list
dataproc.jobs.getIamPolicy
dataproc.jobs.list
dataproc.operations.getIamPolicy
dataproc.operations.list
dataproc.workflowTemplates.getIamPolicy
dataproc.workflowTemplates.list
datastore.databases.getIamPolicy
datastore.databases.list
datastore.entities.list
datastore.indexes.list
datastore.locations.list
datastore.namespaces.getIamPolicy
datastore.namespaces.list
datastore.operations.list
datastore.statistics.list
deploymentmanager.compositeTypes.list
deploymentmanager.deployments.getIamPolicy
deploymentmanager.deployments.list
deploymentmanager.manifests.list
deploymentmanager.operations.list
deploymentmanager.resources.list
deploymentmanager.typeProviders.list
deploymentmanager.types.list
dialogflow.contexts.list
dialogflow.entityTypes.list
dialogflow.intents.list
dialogflow.sessionEntityTypes.list
dlp.analyzeRiskTemplates.list
dlp.deidentifyTemplates.list
dlp.inspectTemplates.list
dlp.jobTriggers.list
dlp.jobs.list
dlp.storedInfoTypes.list
dns.changes.list
dns.dnsKeys.list
dns.managedZoneOperations.list
dns.managedZones.list
dns.policies.getIamPolicy
dns.policies.list
dns.resourceRecordSets.list
errorreporting.applications.*
errorreporting.errorEvents.list
errorreporting.groups.*
file.instances.list
file.locations.list
file.operations.list
firebase.links.list
firebaseabt.experiments.list
firebasedatabase.instances.list
firebasedynamiclinks.destinations.list
firebasedynamiclinks.domains.list
firebasedynamiclinks.links.list
firebaseextensions.configs.list
firebasehosting.sites.list
firebaseinappmessaging.campaigns.list
firebaseml.compressionjobs.list
firebaseml.models.list
firebaseml.modelversions.list
firebasenotifications.messages.list
firebasepredictions.predictions.list
firebaserules.releases.list
firebaserules.rulesets.list
genomics.datasets.getIamPolicy
genomics.datasets.list
genomics.operations.list
iam.roles.get
iam.roles.list
iam.serviceAccountKeys.list
iam.serviceAccounts.get
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.list
iap.tunnel.getIamPolicy
iap.tunnelInstances.getIamPolicy
iap.tunnelZones.getIamPolicy
iap.web.getIamPolicy
iap.webServiceVersions.getIamPolicy
iap.webServices.getIamPolicy
iap.webTypes.getIamPolicy
logging.exclusions.list
logging.logEntries.list
logging.logMetrics.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.privateLogEntries.*
logging.sinks.list
ml.jobs.getIamPolicy
ml.jobs.list
ml.locations.list
ml.models.getIamPolicy
ml.models.list
ml.operations.list
ml.versions.list
monitoring.alertPolicies.list
monitoring.dashboards.list
monitoring.groups.list
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.list
monitoring.publicWidgets.list
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.list
proximitybeacon.attachments.list
proximitybeacon.beacons.getIamPolicy
proximitybeacon.beacons.list
proximitybeacon.namespaces.getIamPolicy
proximitybeacon.namespaces.list
pubsub.snapshots.getIamPolicy
pubsub.snapshots.list
pubsub.subscriptions.getIamPolicy
pubsub.subscriptions.list
pubsub.topics.getIamPolicy
pubsub.topics.list
redis.instances.list
redis.locations.list
redis.operations.list
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.getIamPolicy
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
runtimeconfig.configs.getIamPolicy
runtimeconfig.configs.list
runtimeconfig.operations.list
runtimeconfig.variables.getIamPolicy
runtimeconfig.variables.list
runtimeconfig.waiters.getIamPolicy
runtimeconfig.waiters.list
securitycenter.assets.list
securitycenter.configs.getIamPolicy
securitycenter.findings.list
securitycenter.scans.list
securitycenter.sources.getIamPolicy
securitycenter.sources.list
servicebroker.bindingoperations.list
servicebroker.bindings.getIamPolicy
servicebroker.bindings.list
servicebroker.catalogs.getIamPolicy
servicebroker.catalogs.list
servicebroker.instanceoperations.list
servicebroker.instances.getIamPolicy
servicebroker.instances.list
serviceconsumermanagement.tenancyu.list
servicemanagement.consumerSettings.getIamPolicy
servicemanagement.consumerSettings.list
servicemanagement.services.getIamPolicy
servicemanagement.services.list
servicenetworking.operations.list
serviceusage.apiKeys.list
serviceusage.operations.list
serviceusage.services.list
source.repos.getIamPolicy
source.repos.list
spanner.databaseOperations.list
spanner.databases.getIamPolicy
spanner.databases.list
spanner.instanceConfigs.list
spanner.instanceOperations.list
spanner.instances.getIamPolicy
spanner.instances.list
spanner.sessions.list
storage.buckets.getIamPolicy
storage.buckets.list
storage.objects.getIamPolicy
storage.objects.list
tpu.acceleratortypes.list
tpu.locations.list
tpu.nodes.list
tpu.operations.list
tpu.tensorflowversions.list
ディスク、イメージ、インスタンス、インスタンス テンプレート、ノードグループ、ノード テンプレート、スナップショットベータ版

Kubernetes Engine の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
container.admin
Kubernetes Engine 管理者 コンテナ クラスタとその Kubernetes API オブジェクトを完全に管理するためのアクセス権を付与します。 container.*
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
container.clusterAdmin
Kubernetes Engine クラスタ管理者 コンテナ クラスタを管理するためのアクセス権を付与します。 container.clusters.create
container.clusters.delete
container.clusters.get
container.clusters.list
container.clusters.update
container.operations.*
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
container.clusterViewer
Kubernetes Engine クラスタ閲覧者 Kubernetes クラスタへの読み取り専用アクセス権。 container.clusters.get
container.clusters.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
container.developer
Kubernetes Engine 開発者 コンテナ クラスタ内の Kubernetes API オブジェクトへの完全アクセス権を付与します。 container.apiServices.*
container.backendConfigs.*
container.bindings.*
container.certificateSigningRequests.create
container.certificateSigningRequests.delete
container.certificateSigningRequests.get
container.certificateSigningRequests.list
container.certificateSigningRequests.update
container.certificateSigningRequests.updateStatus
container.clusterRoleBindings.get
container.clusterRoleBindings.list
container.clusterRoles.get
container.clusterRoles.list
container.clusters.get
container.clusters.list
container.componentStatuses.*
container.configMaps.*
container.controllerRevisions.get
container.controllerRevisions.list
container.cronJobs.*
container.customResourceDefinitions.*
container.daemonSets.*
container.deployments.*
container.endpoints.*
container.events.*
container.horizontalPodAutoscalers.*
container.ingresses.*
container.initializerConfigurations.*
container.jobs.*
container.limitRanges.*
container.localSubjectAccessReviews.*
container.namespaces.*
container.networkPolicies.*
container.nodes.*
container.persistentVolumeClaims.*
container.persistentVolumes.*
container.petSets.*
container.podDisruptionBudgets.*
container.podPresets.*
container.podSecurityPolicies.get
container.podSecurityPolicies.list
container.podTemplates.*
container.pods.*
container.replicaSets.*
container.replicationControllers.*
container.resourceQuotas.*
container.roleBindings.get
container.roleBindings.list
container.roles.get
container.roles.list
container.scheduledJobs.*
container.secrets.*
container.selfSubjectAccessReviews.*
container.serviceAccounts.*
container.services.*
container.statefulSets.*
container.storageClasses.*
container.subjectAccessReviews.*
container.thirdPartyObjects.*
container.thirdPartyResources.*
container.tokenReviews.*
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
container.hostServiceAgentUser
Kubernetes Engine Host サービス エージェント ユーザー Kubernetes Engine Host サービス エージェントの使用アクセス権。 compute.firewalls.get
container.hostServiceAgent.*
roles/
container.viewer
Kubernetes Engine 閲覧者 GKE リソースへの読み取り専用アクセス権を付与します。 container.apiServices.get
container.apiServices.list
container.backendConfigs.get
container.backendConfigs.list
container.bindings.get
container.bindings.list
container.certificateSigningRequests.get
container.certificateSigningRequests.list
container.clusterRoleBindings.get
container.clusterRoleBindings.list
container.clusterRoles.get
container.clusterRoles.list
container.clusters.get
container.clusters.list
container.componentStatuses.*
container.configMaps.get
container.configMaps.list
container.controllerRevisions.get
container.controllerRevisions.list
container.cronJobs.get
container.cronJobs.getStatus
container.cronJobs.list
container.customResourceDefinitions.get
container.customResourceDefinitions.list
container.daemonSets.get
container.daemonSets.getStatus
container.daemonSets.list
container.deployments.get
container.deployments.getStatus
container.deployments.list
container.endpoints.get
container.endpoints.list
container.events.get
container.events.list
container.horizontalPodAutoscalers.get
container.horizontalPodAutoscalers.getStatus
container.horizontalPodAutoscalers.list
container.ingresses.get
container.ingresses.getStatus
container.ingresses.list
container.initializerConfigurations.get
container.initializerConfigurations.list
container.jobs.get
container.jobs.getStatus
container.jobs.list
container.limitRanges.get
container.limitRanges.list
container.namespaces.get
container.namespaces.getStatus
container.namespaces.list
container.networkPolicies.get
container.networkPolicies.list
container.nodes.get
container.nodes.getStatus
container.nodes.list
container.operations.*
container.persistentVolumeClaims.get
container.persistentVolumeClaims.getStatus
container.persistentVolumeClaims.list
container.persistentVolumes.get
container.persistentVolumes.getStatus
container.persistentVolumes.list
container.petSets.get
container.petSets.list
container.podDisruptionBudgets.get
container.podDisruptionBudgets.getStatus
container.podDisruptionBudgets.list
container.podPresets.get
container.podPresets.list
container.podSecurityPolicies.get
container.podSecurityPolicies.list
container.podTemplates.get
container.podTemplates.list
container.pods.get
container.pods.getStatus
container.pods.list
container.replicaSets.get
container.replicaSets.getScale
container.replicaSets.getStatus
container.replicaSets.list
container.replicationControllers.get
container.replicationControllers.getScale
container.replicationControllers.getStatus
container.replicationControllers.list
container.resourceQuotas.get
container.resourceQuotas.getStatus
container.resourceQuotas.list
container.roleBindings.get
container.roleBindings.list
container.roles.get
container.roles.list
container.scheduledJobs.get
container.scheduledJobs.list
container.serviceAccounts.get
container.serviceAccounts.list
container.services.get
container.services.getStatus
container.services.list
container.statefulSets.get
container.statefulSets.getStatus
container.statefulSets.list
container.storageClasses.get
container.storageClasses.list
container.thirdPartyObjects.get
container.thirdPartyObjects.list
container.thirdPartyResources.get
container.thirdPartyResources.list
container.tokenReviews.*
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト

Logging の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
logging.admin
Logging 管理者 Stackdriver Logging のすべての機能を使用するために必要なすべての権限を付与します。 logging.*
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
logging.configWriter
ログ構成書き込み ログをエクスポートするために必要なログベースの指標とシンクの構成への読み取り / 書き込み権限を付与します。 logging.exclusions.*
logging.logMetrics.*
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.sinks.*
resourcemanager.projects.get
resourcemanager.projects.list
プロジェクト
roles/
logging.logWriter
ログ書き込み ログエントリを書き込む権限を付与します。 logging.logEntries.create
プロジェクト
roles/
logging.privateLogViewer
プライベート ログ閲覧者 ログ閲覧者の役割の権限に加えて、プライベート ログ内のエントリへの読み取り専用アクセス権を付与します。 logging.exclusions.get
logging.exclusions.list
logging.logEntries.list
logging.logMetrics.get
logging.logMetrics.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.privateLogEntries.*
logging.sinks.get
logging.sinks.list
logging.usage.*
resourcemanager.projects.get
プロジェクト
roles/
logging.viewer
ログ閲覧者 ログを表示するアクセス権を付与します。 logging.exclusions.get
logging.exclusions.list
logging.logEntries.list
logging.logMetrics.get
logging.logMetrics.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.sinks.get
logging.sinks.list
logging.usage.*
resourcemanager.projects.get
プロジェクト

Machine Learning Engine の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
ml.admin
ML Engine 管理者 Cloud ML Engine リソースと、そのジョブ、オペレーション、モデル、バージョンへの完全アクセス権を付与します。 ml.*
resourcemanager.projects.get
プロジェクト
roles/
ml.developer
ML Engine デベロッパー モデル、バージョン、トレーニングと予測用のジョブを作成したり、オンライン予測リクエストを送信したりするために Cloud ML Engine のリソースを使用することを許可します。 ml.jobs.create
ml.jobs.get
ml.jobs.getIamPolicy
ml.jobs.list
ml.locations.*
ml.models.create
ml.models.get
ml.models.getIamPolicy
ml.models.list
ml.models.predict
ml.operations.get
ml.operations.list
ml.projects.*
ml.versions.get
ml.versions.list
ml.versions.predict
resourcemanager.projects.get
プロジェクト
roles/
ml.jobOwner
ML Engine ジョブオーナー 特定のジョブリソースに対するすべての権限への完全アクセス権を付与します。この役割は、ジョブを作成したユーザーに自動的に付与されます。 ml.jobs.*
ジョブ
roles/
ml.modelOwner
ML Engine モデルオーナー モデルとそのバージョンへの完全アクセス権を付与します。この役割は、モデルを作成したユーザーに自動的に付与されます。 ml.models.*
ml.versions.*
モデル
roles/
ml.modelUser
ML Engine モデルユーザー モデルとそのバージョンを読み取って予測に使用する権限を付与します。 ml.models.get
ml.models.predict
ml.versions.get
ml.versions.list
ml.versions.predict
モデル
roles/
ml.operationOwner
ML Engine オペレーション オーナー 特定のオペレーション リソースに対するすべての権限への完全アクセス権を付与します。 ml.operations.*
オペレーション
roles/
ml.viewer
ML Engine 閲覧者 Cloud ML Engine リソースへの読み取り専用アクセス権を付与します。 ml.jobs.get
ml.jobs.list
ml.locations.*
ml.models.get
ml.models.list
ml.operations.get
ml.operations.list
ml.projects.*
ml.versions.get
ml.versions.list
resourcemanager.projects.get
プロジェクト

Memorystore Redis の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
redis.admin
Cloud Memorystore Redis 管理者 ベータ版 すべての Cloud Memorystore リソースを完全に制御します。 compute.networks.list
redis.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.use
インスタンス
roles/
redis.editor
Cloud Memorystore Redis 編集者 ベータ版 Cloud Memorystore インスタンスを管理します。インスタンスの作成や削除はできません。 compute.networks.list
redis.instances.get
redis.instances.list
redis.instances.update
redis.locations.*
redis.operations.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.use
インスタンス
roles/
redis.viewer
Cloud Memorystore Redis 閲覧者 ベータ版 すべての Cloud Memorystore リソースへの読み取り専用アクセス権。 redis.instances.get
redis.instances.list
redis.locations.*
redis.operations.get
redis.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.use
インスタンス

Monitoring の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
monitoring.admin
モニタリング管理者 roles/monitoring.editor と同じアクセス権を付与します。 cloudnotifications.*
monitoring.*
resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.*
プロジェクト
roles/
monitoring.alertPolicyEditor
Monitoring AlertPolicy 編集者 ベータ版 アラート ポリシーへの読み取り / 書き込みアクセス権。 monitoring.alertPolicies.*
roles/
monitoring.alertPolicyViewer
Monitoring AlertPolicy 閲覧者 ベータ版 アラート ポリシーへの読み取り専用アクセス権。 monitoring.alertPolicies.get
monitoring.alertPolicies.list
roles/
monitoring.editor
モニタリング編集者 モニタリングのデータと構成に関する情報への完全アクセス権を付与します。 cloudnotifications.*
monitoring.alertPolicies.*
monitoring.dashboards.*
monitoring.groups.*
monitoring.metricDescriptors.*
monitoring.monitoredResourceDescriptors.*
monitoring.notificationChannelDescriptors.*
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
monitoring.publicWidgets.*
monitoring.timeSeries.*
monitoring.uptimeCheckConfigs.*
resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.*
プロジェクト
roles/
monitoring.metricWriter
モニタリング指標の書き込み 指標への書き込み専用アクセス権を付与します。Stackdriver エージェントや、指標を送信するその他のシステムで必要な権限を厳密に付与します。 monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.timeSeries.create
プロジェクト
roles/
monitoring.notificationChannelEditor
モニタリング通知チャネルの編集者 ベータ版 通知チャネルへの読み取り / 書き込みアクセス権。 monitoring.notificationChannelDescriptors.*
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
roles/
monitoring.notificationChannelViewer
モニタリング通知チャネルの閲覧者 ベータ版 通知チャネルへの読み取り専用アクセス権。 monitoring.notificationChannelDescriptors.*
monitoring.notificationChannels.get
monitoring.notificationChannels.list
roles/
monitoring.uptimeCheckConfigEditor
稼働時間チェックのモニタリング構成の編集者 ベータ版 稼働時間チェック構成への読み取り / 書き込みアクセス権。 monitoring.uptimeCheckConfigs.*
roles/
monitoring.uptimeCheckConfigViewer
稼働時間チェックのモニタリング構成の閲覧者 ベータ版 稼働時間チェック構成への読み取り専用アクセス権。 monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
roles/
monitoring.viewer
モニタリング閲覧者 すべてのモニタリングのデータと構成に関する情報を取得して一覧表示する読み取り専用アクセス権を付与します。 cloudnotifications.*
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.groups.get
monitoring.groups.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.notificationChannelDescriptors.*
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.publicWidgets.get
monitoring.publicWidgets.list
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.projects.get
プロジェクト

組織ポリシーの役割

役割 タイトル 説明 権限 最下位のリソース
roles/
axt.admin
アクセスの透明性管理者 組織に対してアクセスの透明性を有効にします。 axt.*
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
roles/
orgpolicy.policyAdmin
組織ポリシー管理者 組織ポリシーによるクラウド リソースの構成の制限を定義する権限を付与します。 orgpolicy.*
組織
roles/
orgpolicy.policyViewer
組織ポリシー閲覧者 リソースに対する組織ポリシーを表示するアクセス権を付与します。 orgpolicy.policy.get
組織

その他の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
accesscontextmanager.policyAdmin
Access Context Manager 管理者 ポリシー、アクセスレベル、アクセスゾーンに対するフルアクセス。 accesscontextmanager.*
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
roles/
accesscontextmanager.policyEditor
Access Context Manager 編集者 ポリシーに対する編集権限。アクセスレベルとアクセスゾーンを作成、編集、変更します。 accesscontextmanager.accessLevels.*
accesscontextmanager.accessPolicies.create
accesscontextmanager.accessPolicies.delete
accesscontextmanager.accessPolicies.get
accesscontextmanager.accessPolicies.getIamPolicy
accesscontextmanager.accessPolicies.list
accesscontextmanager.accessPolicies.update
accesscontextmanager.accessZones.*
accesscontextmanager.policies.create
accesscontextmanager.policies.delete
accesscontextmanager.policies.get
accesscontextmanager.policies.getIamPolicy
accesscontextmanager.policies.list
accesscontextmanager.policies.update
accesscontextmanager.servicePerimeters.*
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
roles/
accesscontextmanager.policyReader
Access Context Manager 読み取り ポリシー、アクセスレベル、アクセスゾーンに対する読み取り権限。 accesscontextmanager.accessLevels.get
accesscontextmanager.accessLevels.list
accesscontextmanager.accessPolicies.get
accesscontextmanager.accessPolicies.getIamPolicy
accesscontextmanager.accessPolicies.list
accesscontextmanager.accessZones.get
accesscontextmanager.accessZones.list
accesscontextmanager.policies.get
accesscontextmanager.policies.getIamPolicy
accesscontextmanager.policies.list
accesscontextmanager.servicePerimeters.get
accesscontextmanager.servicePerimeters.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
roles/
dlpscanner.serviceAgent
DLP Scanner サービス エージェント DLP API に DLP Scanner へのアクセスを許可します。
roles/
indexstore.serviceAgent
Cloud Indexstore API サービス エージェント ユーザー プロジェクトのサービスと API に Cloud Indexstore へのアクセスを許可します。
roles/
mobilecrashreporting.symbolMappingsAdmin
Firebase Crash Symbol アップロード(非推奨) Firebase Crash Reporting のシンボル マッピング ファイル リソースへの完全な読み取り / 書き込みアクセス権。この役割は非推奨となり、代わりに firebasecrash.symbolMappingsAdmin が推奨されています。 firebase.clients.get
resourcemanager.projects.get
roles/
resourcemanager.organizationCreator
組織の作成者 組織の作成と一覧表示のためのアクセス権。
roles/
runtimeconfig.admin
Cloud RuntimeConfig 管理者 RuntimeConfig リソースへの完全アクセス権。 runtimeconfig.*
roles/
subscribewithgoogledeveloper.developer
「Google で購読」デベロッパー ベータ版 「Google で購読」用の DevTools へのアクセス権。 resourcemanager.projects.get
resourcemanager.projects.list
subscribewithgoogledeveloper.*

プロジェクトの役割

役割 タイトル 説明 権限 最下位のリソース
roles/
browser
参照者 フォルダ、組織、Cloud IAM ポリシーなど、プロジェクトの階層を参照するための読み取りアクセス権。この役割には、プロジェクト内のリソースを表示する権限は含まれていません。 resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
プロジェクト

Proximity Beacon の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
proximitybeacon.attachmentEditor
ビーコン添付ファイル編集者 添付ファイルの作成と削除、プロジェクトのビーコンの一覧表示と取得、プロジェクトの名前空間の一覧表示ができます。 proximitybeacon.attachments.*
proximitybeacon.beacons.get
proximitybeacon.beacons.list
proximitybeacon.namespaces.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
proximitybeacon.attachmentPublisher
ビーコン添付ファイルの公開元 ビーコンを使用してこのプロジェクトが所有していない名前空間に添付ファイルを作成するために必要な権限を付与します。 proximitybeacon.beacons.attach
proximitybeacon.beacons.get
proximitybeacon.beacons.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
proximitybeacon.attachmentViewer
ビーコン添付ファイル閲覧者 名前空間内のすべての添付ファイルを表示できます(ビーコンや名前空間に対する権限はありません)。 proximitybeacon.attachments.get
proximitybeacon.attachments.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
proximitybeacon.beaconEditor
ビーコン編集者 ビーコンの登録、変更、表示に必要なアクセス権(添付ファイルや名前空間に対する権限はありません)。 proximitybeacon.beacons.create
proximitybeacon.beacons.get
proximitybeacon.beacons.list
proximitybeacon.beacons.update
resourcemanager.projects.get
resourcemanager.projects.list

Pub/Sub Roles

Role Title Description Permissions Lowest Resource
roles/
pubsub.admin
Pub/Sub Admin Provides full access to topics and subscriptions. pubsub.*
resourcemanager.projects.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Topic
roles/
pubsub.editor
Pub/Sub Editor Provides access to modify topics and subscriptions, and access to publish and consume messages. pubsub.snapshots.create
pubsub.snapshots.delete
pubsub.snapshots.get
pubsub.snapshots.list
pubsub.snapshots.seek
pubsub.snapshots.update
pubsub.subscriptions.consume
pubsub.subscriptions.create
pubsub.subscriptions.delete
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.subscriptions.update
pubsub.topics.attachSubscription
pubsub.topics.create
pubsub.topics.delete
pubsub.topics.get
pubsub.topics.list
pubsub.topics.publish
pubsub.topics.update
resourcemanager.projects.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Topic
roles/
pubsub.publisher
Pub/Sub Publisher Provides access to publish messages to a topic. pubsub.topics.publish
Topic
roles/
pubsub.subscriber
Pub/Sub Subscriber Provides access to consume messages from a subscription and to attach subscriptions to a topic. pubsub.snapshots.seek
pubsub.subscriptions.consume
pubsub.topics.attachSubscription
Topic
roles/
pubsub.viewer
Pub/Sub Viewer Provides access to view topics and subscriptions. pubsub.snapshots.get
pubsub.snapshots.list
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.topics.get
pubsub.topics.list
resourcemanager.projects.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Topic

Resource Manager Roles

Role Title Description Permissions Lowest Resource
roles/
resourcemanager.folderAdmin
Folder Admin Provides all available permissions for working with folders. orgpolicy.policy.get
resourcemanager.folders.*
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
resourcemanager.projects.move
resourcemanager.projects.setIamPolicy
Folder
roles/
resourcemanager.folderCreator
Folder Creator Provides permissions needed to browse the hierarchy and create folders. orgpolicy.policy.get
resourcemanager.folders.create
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.projects.get
resourcemanager.projects.list
Folder
roles/
resourcemanager.folderEditor
Folder Editor Provides permission to modify folders as well as to view a folder's Cloud IAM policy. orgpolicy.policy.get
resourcemanager.folders.delete
resourcemanager.folders.get
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.folders.undelete
resourcemanager.folders.update
resourcemanager.projects.get
resourcemanager.projects.list
Folder
roles/
resourcemanager.folderIamAdmin
Folder IAM Admin Provides permissions to administer Cloud IAM policies on folders. resourcemanager.folders.get
resourcemanager.folders.getIamPolicy
resourcemanager.folders.setIamPolicy
Folder
roles/
resourcemanager.folderMover
Folder Mover Provides permission to move projects and folders into and out of a parent Organization or folder. resourcemanager.folders.move
resourcemanager.projects.move
Folder
roles/
resourcemanager.folderViewer
Folder Viewer Provides permission to get a folder and list the folders and projects below a resource. orgpolicy.policy.get
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.projects.get
resourcemanager.projects.list
Folder
roles/
resourcemanager.lienModifier
Project Lien Modifier Provides access to modify Liens on projects. resourcemanager.projects.updateLiens
Project
roles/
resourcemanager.organizationAdmin
Organization Administrator Access to administer all resources belonging to the organization. orgpolicy.policy.get
resourcemanager.folders.get
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.folders.setIamPolicy
resourcemanager.organizations.*
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
resourcemanager.projects.setIamPolicy
roles/
resourcemanager.organizationViewer
Organization Viewer Provides access to view an organization. resourcemanager.organizations.get
Organization
roles/
resourcemanager.projectCreator
Project Creator Provides access to create new projects. Once a user creates a project, they're automatically granted the owner role for that project. resourcemanager.organizations.get
resourcemanager.projects.create
Folder
roles/
resourcemanager.projectDeleter
Project Deleter Provides access to delete GCP projects. resourcemanager.projects.delete
Folder
roles/
resourcemanager.projectIamAdmin
Project IAM Admin Provides permissions to administer Cloud IAM policies on projects. resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
Project
roles/
resourcemanager.projectMover
Project Mover Provides access to update and move projects. resourcemanager.projects.get
resourcemanager.projects.update
Project

役割に関する役割

役割 タイトル 説明 権限 最下位のリソース
roles/
iam.organizationRoleAdmin
組織の役割の管理者 組織とその下のプロジェクト内のすべてのカスタム役割を管理するためのアクセス権を付与します。 iam.roles.*
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
組織
roles/
iam.organizationRoleViewer
組織の役割の閲覧者 組織とその下のプロジェクト内のすべてのカスタム役割への読み取りアクセス権を付与します。 iam.roles.get
iam.roles.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
プロジェクト
roles/
iam.roleAdmin
役割の管理者 プロジェクト内のすべてのカスタム役割へのアクセス権を付与します。 iam.roles.*
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
プロジェクト
roles/
iam.roleViewer
役割の閲覧者 プロジェクト内のすべてのカスタム役割への読み取りアクセス権を付与します。 iam.roles.get
iam.roles.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
プロジェクト

セキュリティ センターの役割

役割 タイトル 説明 権限 最下位のリソース
roles/
securitycenter.admin
セキュリティ センター管理者 ベータ版 セキュリティ センターに対する管理者(スーパー ユーザー)アクセス権 resourcemanager.organizations.get
securitycenter.assets.group
securitycenter.assets.list
securitycenter.assets.listAssetPropertyNames
securitycenter.assets.runDiscovery
securitycenter.assetsecuritymarks.*
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.findings.update
securitycenter.findingsecuritymarks.*
securitycenter.organizationsettings.*
securitycenter.sources.*
roles/
securitycenter.adminEditor
セキュリティ センター管理者の編集者 ベータ版 セキュリティ センターに対する管理者読み取り / 書き込みアクセス権 resourcemanager.organizations.get
securitycenter.assets.runDiscovery
securitycenter.assetsecuritymarks.*
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.findings.update
securitycenter.findingsecuritymarks.*
securitycenter.sources.get
securitycenter.sources.list
securitycenter.sources.update
roles/
securitycenter.adminViewer
セキュリティ センター管理者の閲覧者 ベータ版 セキュリティ センターに対する管理者読み取りアクセス権 resourcemanager.organizations.get
securitycenter.assets.group
securitycenter.assets.list
securitycenter.assets.listAssetPropertyNames
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.sources.get
securitycenter.sources.list
roles/
securitycenter.assetSecurityMarksWriter
セキュリティ センターのアセット セキュリティ マーク編集者 ベータ版 アセット セキュリティ マークに対する書き込みアクセス権 securitycenter.assetsecuritymarks.*
roles/
securitycenter.assetsDiscoveryRunner
セキュリティ センターのアセット ディスカバリ実行者 ベータ版 アセットに対するアセット ディスカバリ実行アクセス権 securitycenter.assets.runDiscovery
roles/
securitycenter.assetsViewer
セキュリティ センターのアセット閲覧者 ベータ版 アセットに対する読み取りアクセス権 resourcemanager.organizations.get
securitycenter.assets.group
securitycenter.assets.list
securitycenter.assets.listAssetPropertyNames
roles/
securitycenter.editor
セキュリティ センター編集者 ベータ版 アセット、構成、通知ストリーム、マークに対する読み取り / 書き込みアクセス権と、スキャンに対する読み取り専用アクセス権 resourcemanager.organizations.get
securitycenter.assets.get
securitycenter.assets.getFieldNames
securitycenter.assets.list
securitycenter.assets.triggerDiscovery
securitycenter.assets.update
securitycenter.configs.get
securitycenter.configs.getIamPolicy
securitycenter.configs.update
securitycenter.scans.*
roles/
securitycenter.findingSecurityMarksWriter
セキュリティ センターの検出セキュリティ マーク編集者 ベータ版 検出セキュリティ マークに対する書き込みアクセス権 securitycenter.findingsecuritymarks.*
roles/
securitycenter.findingsEditor
セキュリティ センターの検出編集者 ベータ版 検出に対する読み取り / 書き込みアクセス権 resourcemanager.organizations.get
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.findings.update
securitycenter.sources.get
securitycenter.sources.list
roles/
securitycenter.findingsStateSetter
セキュリティ センターの検出状態設定者 ベータ版 検出に対する状態設定アクセス権 securitycenter.findings.setState
roles/
securitycenter.findingsViewer
セキュリティ センターの検出閲覧者 ベータ版 検出に対する読み取りアクセス権 resourcemanager.organizations.get
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.sources.get
securitycenter.sources.list
roles/
securitycenter.sourcesAdmin
セキュリティ センターのソース管理者 ベータ版 ソースに対する管理者アクセス権 resourcemanager.organizations.get
securitycenter.sources.*
roles/
securitycenter.sourcesEditor
セキュリティ センターのソース編集者 ベータ版 ソースに対する読み取り / 書き込みアクセス権 resourcemanager.organizations.get
securitycenter.sources.get
securitycenter.sources.list
securitycenter.sources.update
roles/
securitycenter.sourcesViewer
セキュリティ センターのソース閲覧者 ベータ版 ソースに対する読み取りアクセス権 resourcemanager.organizations.get
securitycenter.sources.get
securitycenter.sources.list
roles/
securitycenter.viewer
セキュリティ センター閲覧者 ベータ版 アセット、構成、通知ストリーム、スキャン、マークへの読み取りアクセス権 resourcemanager.organizations.get
securitycenter.assets.get
securitycenter.assets.getFieldNames
securitycenter.assets.list
securitycenter.configs.get
securitycenter.configs.getIamPolicy
securitycenter.scans.*

サービス アカウントの役割

役割 タイトル 説明 権限 最下位のリソース
roles/
iam.serviceAccountAdmin
サービス アカウント管理者 サービス アカウントを作成、管理します。 iam.serviceAccounts.create
iam.serviceAccounts.delete
iam.serviceAccounts.get
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.list
iam.serviceAccounts.setIamPolicy
iam.serviceAccounts.update
resourcemanager.projects.get
resourcemanager.projects.list
サービス アカウント
roles/
iam.serviceAccountCreator
サービス アカウントの作成 サービス アカウントを作成するための権限。 iam.serviceAccounts.create
iam.serviceAccounts.get
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
iam.serviceAccountDeleter
サービス アカウントの削除 サービス アカウントを削除するためのアクセス権。 iam.serviceAccounts.delete
iam.serviceAccounts.get
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
iam.serviceAccountKeyAdmin
サービス アカウント キー管理者 サービス アカウント キーの作成と管理(ローテーション)を行います。 iam.serviceAccountKeys.*
iam.serviceAccounts.get
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
サービス アカウント
roles/
iam.serviceAccountTokenCreator
サービス アカウント トークン作成者 サービス アカウント権限を使用できます(OAuth2 アクセス トークンを作成し、blob または JWT などに署名します)。 iam.serviceAccounts.get
iam.serviceAccounts.getAccessToken
iam.serviceAccounts.implicitDelegation
iam.serviceAccounts.list
iam.serviceAccounts.signBlob
iam.serviceAccounts.signJwt
resourcemanager.projects.get
resourcemanager.projects.list
サービス アカウント
roles/
iam.serviceAccountUser
サービス アカウント ユーザー 操作をサービス アカウントとして実行します。 iam.serviceAccounts.actAs
iam.serviceAccounts.get
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
サービス アカウント

Service Management Roles

Role Title Description Permissions Lowest Resource
roles/
servicemanagement.admin
Service Management Administrator Full control of Google Service Management resources. monitoring.timeSeries.list
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceconsumermanagement.*
servicemanagement.services.*
serviceusage.quotas.get
serviceusage.services.get
roles/
servicemanagement.configEditor
Service Config Editor Access to update the service config and create rollouts. servicemanagement.services.get
servicemanagement.services.update
roles/
servicemanagement.quotaAdmin
Quota Administrator Beta Provides access to administer service quotas. monitoring.timeSeries.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.consumerSettings.*
serviceusage.quotas.*
serviceusage.services.disable
serviceusage.services.enable
serviceusage.services.get
serviceusage.services.list
Project
roles/
servicemanagement.quotaViewer
Quota Viewer Beta Provides access to view service quotas. monitoring.timeSeries.list
servicemanagement.consumerSettings.get
servicemanagement.consumerSettings.getIamPolicy
servicemanagement.consumerSettings.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Project
roles/
servicemanagement.serviceConsumer
Service Consumer Can enable the service. servicemanagement.services.bind
roles/
servicemanagement.serviceController
Service Controller Runtime control of checking and reporting usage of a service. servicemanagement.services.check
servicemanagement.services.get
servicemanagement.services.quota
servicemanagement.services.report
Project

Service Networking の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
servicenetworking.networksAdmin
サービス ネットワーキング管理者 ベータ版 プロジェクトでのサービス ネットワーキングを完全に制御します。 servicenetworking.*

Service Usage の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
serviceusage.apiKeysAdmin
API キー管理者 ベータ版 プロジェクトの API キーを作成、削除、更新、取得、一覧表示できます。 serviceusage.apiKeys.*
roles/
serviceusage.apiKeysViewer
API キー閲覧者 Beta プロジェクトの API キーを取得し、一覧表示できます。 serviceusage.apiKeys.get
serviceusage.apiKeys.getProjectForKey
serviceusage.apiKeys.list
roles/
serviceusage.serviceUsageAdmin
Service Usage 管理者 ベータ版 サービス状態の有効化 / 無効化 / 検査を行い、オペレーションを検査し、ユーザー プロジェクトの割り当てと請求を利用できます。 monitoring.timeSeries.list
serviceusage.operations.*
serviceusage.quotas.*
serviceusage.services.*
roles/
serviceusage.serviceUsageConsumer
Service Usage ユーザー ベータ版 サービス状態とオペレーションを検査し、ユーザー プロジェクトの割り当てと請求を利用できます。 monitoring.timeSeries.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
serviceusage.services.use
roles/
serviceusage.serviceUsageViewer
Service Usage 閲覧者 ベータ版 ユーザー プロジェクトのサービス状態とオペレーションを検査できます。 monitoring.timeSeries.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

ソースの役割

役割 タイトル 説明 権限 最下位のリソース
roles/
source.admin
Source Repository 管理者 リポジトリを作成、更新、削除、一覧表示、クローニング、フェッチ、参照する権限を付与します。また、IAM ポリシーの読み取りと変更を行う権限も付与します。 source.*
プロジェクト
roles/
source.reader
Source Repository 読み取り リポジトリを一覧表示、クローニング、フェッチ、参照する権限を付与します。 source.repos.get
source.repos.list
プロジェクト
roles/
source.writer
Source Repository 書き込み リポジトリを一覧表示、クローニング、フェッチ、参照、更新する権限を付与します。 source.repos.get
source.repos.list
source.repos.update
プロジェクト

Stackdriver の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
stackdriver.accounts.editor
Stackdriver アカウント編集者 アカウント構造を管理するための読み取り / 書き込み権限。 resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.projects.*
roles/
stackdriver.accounts.viewer
Stackdriver アカウント閲覧者 アカウント構造に関する情報を取得および一覧表示するための読み取り専用権限。 resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.projects.get
roles/
stackdriver.resourceMaintenanceWindow.editor
Stackdriver リソース メンテナンス時間枠の編集者 Stackdriver リソースのメンテナンス時間枠を管理するための読み取り / 書き込みアクセス権。
roles/
stackdriver.resourceMaintenanceWindow.viewer
Stackdriver リソース メンテナンス時間枠の閲覧者 Stackdriver リソース メンテナンス時間枠に関する情報への読み取り専用アクセス権。
roles/
stackdriver.resourceMetadata.writer
Stackdriver リソース メタデータ書き込み ベータ版 リソース メタデータへの書き込み専用アクセス権。Stackdriver メタデータ エージェントやメタデータを送信するその他のシステムが必要とする権限を厳密に付与します。 stackdriver.resourceMetadata.*

Stackdriver Profiler の役割

役割 タイトル 説明 権限 最下位のリソース
roles/
cloudprofiler.agent
Stackdriver Profiler エージェント ベータ版 Stackdriver Profiler エージェントは、プロファイリング データの登録と出力を実行できます。 cloudprofiler.profiles.create
cloudprofiler.profiles.update
roles/
cloudprofiler.user
Stackdriver Profiler ユーザー ベータ版 Stackdriver Profiler ユーザーは、プロファイリング データのクエリと表示を実行できます。 cloudprofiler.profiles.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Storage Legacy Roles

Role Title Description Permissions Lowest Resource
roles/
storage.legacyBucketOwner
Storage Legacy Bucket Owner Grants permission to create, overwrite, and delete objects; list objects in a bucket and read object metadata, excluding Cloud IAM policies, when listing; and read and edit bucket metadata, including Cloud IAM policies.

Use of this role is also reflected in the bucket's ACLs. For more information, see Cloud IAM relation to ACLs.

storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
storage.objects.create
storage.objects.delete
storage.objects.list
Bucket
roles/
storage.legacyBucketReader
Storage Legacy Bucket Reader Grants permission to list a bucket's contents and read bucket metadata, excluding Cloud IAM policies. Also grants permission to read object metadata, excluding Cloud IAM policies, when listing objects.

Use of this role is also reflected in the bucket's ACLs. For more information, see Cloud IAM relation to ACLs.

storage.buckets.get
storage.objects.list
Bucket
roles/
storage.legacyBucketWriter
Storage Legacy Bucket Writer Grants permission to create, overwrite, and delete objects; list objects in a bucket and read object metadata, excluding Cloud IAM policies, when listing; and read bucket metadata, excluding Cloud IAM policies.

Use of this role is also reflected in the bucket's ACLs. For more information, see Cloud IAM relation to ACLs.

storage.buckets.get
storage.objects.create
storage.objects.delete
storage.objects.list
Bucket
roles/
storage.legacyObjectOwner
Storage Legacy Object Owner Grants permission to view and edit objects and their metadata, including ACLs. storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
Bucket
roles/
storage.legacyObjectReader
Storage Legacy Object Reader Grants permission to view objects and their metadata, excluding ACLs. storage.objects.get
Bucket

サポートの役割

役割 タイトル 説明 権限 最下位のリソース
roles/
cloudsupport.admin
サポート アカウント管理者 サポート アカウントを管理する権限(サポートケースへのアクセス権を除く)を付与します。詳細については、Cloud サポートのドキュメントをご覧ください。 cloudsupport.*
組織
roles/
cloudsupport.viewer
サポート アカウント閲覧者 サポート アカウントの詳細情報への読み取り専用アクセス権。ケースは閲覧できません。 cloudsupport.accounts.get
cloudsupport.accounts.getUserRoles
cloudsupport.accounts.list
組織

カスタムの役割

事前定義済みの役割に加えて、Cloud IAM はカスタマイズされた Cloud IAM の役割を作成する機能も提供します。1 つ以上の権限を持つカスタムの Cloud IAM の役割を作成し、組織の一員であるユーザーにそのカスタムの役割を付与できます。詳細については、カスタムの役割についてカスタムの役割の作成と管理をご覧ください。

プロダクト固有の Cloud IAM ドキュメント

プロダクト固有の Cloud IAM ドキュメントは、各プロダクトが提供する事前定義済みの役割の詳細について説明しています。事前定義済みの役割の詳細については、以下のページをご覧ください。

ドキュメント 説明
App Engine 用 Cloud IAM App Engine 用 Cloud IAM の役割について説明します
BigQuery 用 Cloud IAM BigQuery 用 Cloud IAM の役割について説明します
Cloud Bigtable 用 Cloud IAM Cloud Bigtable 用 Cloud IAM の役割について説明します
Cloud Billing API 用 Cloud IAM Cloud Billing API 用 Cloud IAM の役割と権限について説明します
Cloud Dataflow 用 Cloud IAM Cloud Dataflow 用 Cloud IAM の役割と権限について説明します
Cloud Dataproc 用 Cloud IAM Cloud Dataproc 用 Cloud IAM の役割と権限について説明します
Cloud Datastore 用 Cloud IAM Cloud Datastore 用 Cloud IAM の役割と権限について説明します
Cloud DNS 用 Cloud IAM Cloud DNS 用 Cloud IAM の役割と権限について説明します
Cloud KMS 用 Cloud IAM Cloud KMS 用 Cloud IAM の役割と権限について説明します
Cloud ML Engine 用 Cloud IAM Cloud ML Engine 用 Cloud IAM の役割と権限について説明します
Cloud Pub/Sub 用 Cloud IAM Cloud Pub/Sub 用 Cloud IAM の役割について説明します
Cloud Spanner 用 Cloud IAM Cloud Spanner 用 Cloud IAM の役割と権限について説明します
Cloud SQL 用 Cloud IAM Cloud SQL 用 Cloud IAM の役割について説明します
Cloud Storage 用 Cloud IAM Cloud Storage 用 Cloud IAM の役割と権限について説明します
Compute Engine 用 Cloud IAM Compute Engine 用 Cloud IAM の役割について説明します
GKE 用 Cloud IAM GKE 用 Cloud IAM の役割と権限について説明します
Cloud Deployment Manager 用 Cloud IAM Cloud Deployment Manager 用 Cloud IAM の役割と権限について説明します。
組織用 Cloud IAM 組織用 Cloud IAM の役割について説明します。
フォルダ用 Cloud IAM フォルダ用 Cloud IAM の役割について説明します。
プロジェクト用 Cloud IAM プロジェクト用 Cloud IAM の役割について説明します。
サービス管理用 Cloud IAM サービス管理用 Cloud IAM の役割と権限について説明します
Stackdriver Debugger 用 Cloud IAM Debugger 用 Cloud IAM の役割について説明します
Stackdriver Logging 用 Cloud IAM Logging 用 Cloud IAM の役割について説明します
Stackdriver Monitoring 用 Cloud IAM Monitoring 用 Cloud IAM の役割と権限について説明します
Stackdriver Trace 用 Cloud IAM Trace 用 Cloud IAM の役割と権限について説明します

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Cloud Identity and Access Management のドキュメント