役割について

Cloud IAM の Cloud API メソッドでは、API リクエストを行う ID がリソースを使用するための適切な権限を保持している必要があります。権限を付与するには、ユーザー、グループ、またはサービス アカウントに役割を付与します。

このページでは、Cloud Platform リソースにアクセスするために ID に付与することができる Cloud IAM の役割について説明します。

このガイドの前提条件

基本の役割

Cloud IAM、オーナー、編集者、閲覧者より前に存在していた役割は、引き続き以前と同様に機能します。オーナー、編集者、閲覧者の各役割は入れ子構造になっています。つまり、オーナーの役割には編集者の役割の権限が含まれており、編集者の役割には閲覧者の役割の権限が含まれています。

次の表に、Cloud Platform 内のすべてのサービスで、基本の役割に含まれている権限を要約します。

基本的な役割の定義

役割名 役割のタイトル 権限
roles/viewer 閲覧者 状態を保持する読み取り専用アクションに必要な権限。
roles/editor 編集者 すべての閲覧者権限、および状態を変更するアクションに必要な権限。
roles/owner オーナー すべての編集者権限、および以下のアクションを実行するために必要な権限。
  • プロジェクトおよびプロジェクト内のすべてのリソースの権限と役割を管理する。
  • プロジェクトの課金情報を設定する。
注:
  • リソースレベル(Pub/Sub トピックなど)でオーナーの役割を付与しても、その親プロジェクトにオーナーの役割が付与されることはありません。
  • オーナーの役割には、組織リソースに対する権限は一切含まれていません。したがって、組織レベルでオーナーの役割を付与しても、その組織のメタデータを更新することはできません。ただし、その組織の下にあるプロジェクトを変更することはできます。

プロジェクト レベルで基本的な役割を適用するには、GCP ConsoleAPIgcloud コマンドライン ツールを使用できます。

招待フロー

Cloud IAM API または gcloud コマンドライン ツールを使用して、プロジェクトのメンバーにオーナー役割を付与することはできません。プロジェクトのオーナーは、GCP Console を使用することによってのみ追加できます。電子メールでメンバーに招待が送信されます。そのメンバーがプロジェクトのオーナーになるには、その招待を受け入れる必要があります。

以下の場合、招待メールは送信されないことに注意してください。

  • オーナー以外の役割を付与している場合。
  • 組織オーナーが、別の組織メンバーをその組織内のプロジェクト オーナーとして追加した場合。

事前定義された役割

基本の役割に加えて、Cloud IAM は、特定の Google Cloud Platform リソースに対して、よりきめ細やかなアクセス権を付与し、他のリソースへの望ましくないアクセスを防ぐことができる事前定義済みの役割を提供します。

次の表に、定義された役割とその説明、およびそれらの役割を設定できるリソースタイプを示します。1 人のユーザーに複数の役割を付与することができます。たとえば、特定のユーザーに、あるプロジェクトにおけるネットワーク管理者およびログ閲覧者の役割を付与し、なおかつ、そのプロジェクト内の Pub/Sub トピックに対するパブリッシャーの役割を付与することができます。役割に含まれる権限のリストについては、役割メタデータの取得をご覧ください。

プロジェクトの役割

役割名 役割のタイトル 説明 リソースの種類
roles/
browser
ベータ版
閲覧者 フォルダ、組織、IAM ポリシーなど、プロジェクトの階層を参照するための読み取りアクセス権。この役割には、プロジェクトのリソースを表示する権限は含まれていません。 組織
プロジェクト
roles/
iam.serviceAccountActor
サービス アカウント アクター

この役割は廃止されました。サービス アカウントとして操作を実行する必要がある場合は、サービス アカウント ユーザーの役割を使用してください。さらに、実質的にサービス アカウント アクターと同じ権限を付与するには、サービス アカウント トークン作成者も付与する必要があります。

プロジェクト
サービス アカウント

App Engine の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
appengine.appAdmin
App Engine 管理者 すべてのアプリケーションの設定に対する読み取り / 変更 / 書き込みアクセス権。 組織
プロジェクト
roles/
appengine.serviceAdmin
App Engine サービス管理者 すべてのアプリケーション設定への読み取り専用アクセス権。
モジュール レベルおよびバージョン レベルの設定に対する書き込みアクセス権。新しいバージョンをデプロイすることはできません。
組織
プロジェクト
roles/
appengine.deployer
App Engine デプロイ担当者 すべてのアプリケーション設定への読み取り専用アクセス権。
新しいバージョンの作成のみに限定された書き込みアクセス権。既存のバージョンを変更することはできません。ただし、トラフィックを受信していないバージョンを削除することはできます。
組織
プロジェクト
roles/
appengine.appViewer
App Engine 閲覧者 すべてのアプリケーション設定への読み取り専用アクセス権。 組織
プロジェクト
roles/
appengine.codeViewer
App Engine コード閲覧者 すべてのアプリケーション設定、デプロイされたソースコードへの読み取り専用アクセス権。 組織
プロジェクト

BigQuery の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
bigquery.user
BigQuery ユーザー プロジェクト内でジョブ(クエリを含む)を実行する権限を付与します。ユーザーの役割は、自分が所有するジョブの列挙、自分が所有するジョブのキャンセル、プロジェクト内のデータセットの列挙ができます。また、プロジェクト内に新しいデータセットを作成することもできます。作成者には新しいデータセットの bigquery.dataOwner の役割が付与されます。 組織
プロジェクト
roles/
bigquery.jobUser
BigQuery ジョブユーザー プロジェクト内でジョブ(クエリを含む)を実行する権限を付与します。jobUser 役割は、自分が所有するジョブの列挙とキャンセルを行うことができます。 組織
プロジェクト
roles/
bigquery.dataViewer
BigQuery データ閲覧者

データセットに適用した場合、dataViewer には次の権限が与えられます。

  • データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。
  • データセットのテーブルからデータとメタデータを読み取る。

プロジェクトまたは組織レベルで適用した場合、この役割はプロジェクト内のすべてのデータセットを列挙することもできます。ただし、ジョブを実行するためには追加の役割が必要です。

組織
プロジェクト
データセット
roles/
bigquery.dataEditor
BigQuery データ編集者

データセットに適用した場合、dataEditor には次の権限が与えられます。

  • データセットのメタデータを読み取り、データセット内のテーブルを一覧表示する。
  • データセットのテーブルを作成、更新、取得、削除する。

プロジェクトまたは組織レベルで適用した場合、この役割は新しいデータセットを作成することもできます。

組織
プロジェクト
データセット
roles/
bigquery.dataOwner
BigQuery データオーナー

データセットに適用した場合、dataOwner には次の権限が与えられます。

  • データセットを読み取り、更新、削除する。
  • データセットのテーブルを作成、更新、取得、削除する。

プロジェクトまたは組織レベルで適用した場合、この役割は新しいデータセットを作成することもできます。

組織
プロジェクト
データセット
roles/
bigquery.admin
BigQuery 管理者 プロジェクト内のすべてのリソースを管理する権限を提供します。プロジェクト内のすべてのデータを管理でき、プロジェクト内で実行されている他のユーザーのジョブもキャンセルできます。 組織
プロジェクト

Cloud Bigtable の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
bigtable.admin
Cloud Bigtable 管理者 テーブル内に保存されているデータなど、プロジェクト内のすべてのインスタンスを管理します。新しいインスタンスを作成できます。プロジェクト管理者向け。 組織
プロジェクト
インスタンス
roles/
bigtable.user
Cloud Bigtable ユーザー テーブル内に保存されたデータへの読み取り / 書き込みアクセス権を提供します。アプリケーション デベロッパーやサービス アカウント向け。 組織
プロジェクト
インスタンス
roles/
bigtable.reader
Cloud Bigtable 読み取り テーブル内に保存されたデータへの読み取りアクセス権を提供します。データ サイエンティスト、ダッシュボード生成ツール、その他のデータ分析シナリオ向け。 組織
プロジェクト
インスタンス

クラウド課金の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
billing.admin
請求先アカウント管理者 請求先アカウントを全面的に表示、管理できるアクセス権を付与します。 組織
請求先アカウント
roles/
billing.projectManager
プロジェクト支払い管理者 プロジェクトの請求先アカウントの割り当てと、請求の無効化を行うアクセス権を付与します。 組織
プロジェクト
roles/
billing.user
請求先アカウント ユーザー 請求先アカウントとプロジェクトを関連付けるためのアクセス権を付与します。 組織
請求先アカウント
roles/
billing.creator
請求先アカウント作成者 請求先アカウントを作成するためのアクセス権を付与します。 組織
プロジェクト

Cloud Dataflow の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
dataflow.viewer
Cloud Dataflow 閲覧者 すべての Dataflow 関連リソースに対する読み取り専用アクセス権を付与します。 組織
プロジェクト
roles/
dataflow.developer
Cloud Dataflow デベロッパー Dataflow ジョブを実行、操作するために必要な権限を付与します。 組織
プロジェクト
roles/
dataflow.worker
Cloud Dataflow ワーカー Compute Engine サービス アカウントが Dataflow パイプラインの作業単位を実行するために必要な権限を付与します。 組織
プロジェクト

Cloud Dataproc の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
dataproc.editor
ベータ版
Cloud Dataproc 編集者 マシンタイプ、ネットワーク、プロジェクト、ゾーンなどの Dataproc を管理するために必要となるリソースの表示に必要な権限を付与します。 組織
プロジェクト
roles/
dataproc.viewer
ベータ版
Cloud Dataproc 閲覧者 Dataproc リソースに対する読み取り専用アクセス権を付与します。 組織
プロジェクト

Cloud Datastore の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
datastore.importExportAdmin
Cloud Datastore インポート / エクスポート管理者 インポートとエクスポートを管理できる完全アクセス権を付与します。 組織
プロジェクト
roles/
datastore.indexAdmin
Cloud Datastore インデックス管理者 インデックス定義を管理できるフルアクセス権を付与します。 組織
プロジェクト
roles/
datastore.owner
Cloud Datastore オーナー Cloud Datastore のリソースへの完全アクセス権を付与します。 組織
プロジェクト
roles/
datastore.user
Cloud Datastore ユーザー Cloud Datastore データベース内のデータへの読み取り / 書き込みアクセス権を付与します。 組織
プロジェクト
roles/
datastore.viewer
Cloud Datastore 閲覧者 Cloud Datastore リソースへの読み取りアクセス権を付与します。 組織
プロジェクト

Cloud DNS の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
dns.admin
DNS 管理者 すべての DNS リソースへの読み取り / 書き込みアクセス権を付与します。 プロジェクト
roles/
dns.reader
DNS の読み取り すべての Cloud DNS リソースへの読み取り専用アクセス権を付与します。 プロジェクト

Cloud KMS の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
cloudkms.admin
Cloud KMS 管理者 暗号と復号を除く、Cloud KMS リソースに対する完全なアクセス権を付与します。 プロジェクト
キーリング
暗号鍵
roles/
cloudkms.cryptoKeyEncrypterDecrypter
Cloud KMS 暗号化 / 復号化 暗号化と復号化の場合のみ、Cloud KMS リソースの使用を許可します。 プロジェクト
キーリング
暗号鍵
roles/
cloudkms.cryptoKeyEncrypter
Cloud KMS 暗号化 暗号化の場合にのみ、Cloud KMS リソースの使用を許可します。 プロジェクト
キーリング
暗号鍵
roles/
cloudkms.cryptoKeyDecrypter
Cloud KMS 復号化 復号化の場合のみ、Cloud KMS リソースの使用を許可します。 プロジェクト
キーリング
暗号鍵

Cloud ML Engine の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
ml.admin
ML Engine 管理者 Cloud ML Engine リソースと、そのジョブ、オペレーション、モデル、バージョンへの完全アクセス権を付与します。 組織
プロジェクト
roles/
ml.developer
ML Engine デベロッパー モデル、バージョン、トレーニングと予測用のジョブを作成したり、オンライン予測リクエストを送信したりするために Cloud ML Engine のリソースを使用することを許可します。 プロジェクト
roles/
ml.viewer
ML Engine 閲覧者 Cloud ML Engine リソースに対する読み取り専用アクセス権を付与します。 プロジェクト
roles/
ml.modelOwner
ML Engine モデルオーナー モデルとそのバージョンへの完全アクセス権を付与します。この役割は、モデルを作成するユーザーに自動的に付与されます。 モデル
roles/
ml.modelUser
ML Engine モデルユーザー モデルとそのバージョンを読み取り、予測に使用するための権限を付与します。 モデル
roles/
ml.jobOwner
ML Engine ジョブオーナー 特定のジョブリソースに対するすべての権限への完全アクセス権を付与します。この役割はジョブを作成したユーザーに自動的に付与されます。 ジョブ
roles/
ml.operationOwner
ML Engine オペレーション オーナー 特定のオペレーション リソースに対するすべての権限への完全アクセス権を付与します。 オペレーション

Cloud Pub/Sub の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
pubsub.publisher
Pub/Sub パブリッシャー メッセージをトピックに送信するためのアクセス権を付与します。 プロジェクト
トピック
roles/
pubsub.subscriber
Pub/Sub サブスクライバー サブスクリプションからメッセージを受信し、トピックにサブスクリプションを添付するためのアクセス権を付与します。 プロジェクト
トピック
サブスクリプション
roles/
pubsub.viewer
Pub/Sub 閲覧者 トピックおよびサブスクリプションを閲覧するためのアクセス権を付与します。 プロジェクト
トピック
サブスクリプション
roles/
pubsub.editor
Pub/Sub 編集者 トピックおよびサブスクリプションを変更するためのアクセス権、およびメッセージを送信および受信するためのアクセス権を付与します。 プロジェクト
トピック
サブスクリプション
roles/
pubsub.admin
Pub/Sub 管理者 トピックとサブスクリプションに対する完全アクセス権を付与します。 プロジェクト
トピック
サブスクリプション

Cloud Spanner の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
spanner.admin
Cloud Spanner 管理者 他のプリンシパルに対する権限の付与や取り消し、課金可能なリソースの割り当てと削除、リソースの取得 / 一覧表示 / 変更オペレーションの発行、データベースの読み書き、プロジェクト メタデータのフェッチを行う権限。 プロジェクト
roles/
spanner.databaseAdmin
Cloud Spanner データベース管理者 プロジェクト内のすべての Cloud Spanner リソースの取得 / 一覧表示、データベースの作成 / 一覧表示 / 削除、プロジェクト データベースへのアクセス権の付与 / 取り消し、プロジェクト内のすべての Cloud Spanner データベースへの読み書きを行う権限。 プロジェクト
roles/
spanner.databaseReader
Cloud Spanner データベース読み取り Cloud Spanner データベースからの読み取り、データベースでの SQL クエリの実行、スキーマの表示を行う権限。 データベース
roles/
spanner.databaseUser
Cloud Spanner データベース ユーザー Cloud Spanner データベースの読み取り / 書き込み、データベースでの SQL クエリの実行、スキーマの表示と更新を行う権限。 データベース
roles/
spanner.viewer
Cloud Spanner 閲覧者 すべての Cloud Spanner のインスタンスとデータベースを表示する権限。ただし、それらの変更または読み取りはできません。 プロジェクト

Cloud SQL の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
cloudsql.admin
Cloud SQL 管理者 Cloud SQL リソースのすべてを管理できます。 組織
プロジェクト
roles/
cloudsql.editor
Cloud SQL 編集者 ユーザー、SSL 証明書の変更、またはリソースの削除を除いて、既存の Cloud SQL インスタンスのすべてを管理できます。 組織
プロジェクト
roles/
cloudsql.viewer
Cloud SQL 閲覧者 Cloud SQL リソースに対する読み取り専用アクセス権を付与します。 組織
プロジェクト
roles/
cloudsql.client
Cloud SQL クライアント Cloud SQL インスタンスに対する接続アクセス権を付与します。 組織
プロジェクト

Cloud Storage の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
storage.objectCreator
ストレージのオブジェクト作成者 ユーザーによるオブジェクトの作成を許可します。オブジェクトを削除または上書きする権限は付与されません。 組織
プロジェクト
バケット
roles/
storage.objectViewer
ストレージ オブジェクト閲覧者 オブジェクトとそのメタデータ(ACL を除く)を閲覧するためのアクセス権を付与します。 組織
プロジェクト
バケット
roles/
storage.objectAdmin
ストレージのオブジェクト管理者 オブジェクトのすべてを管理できる権限を付与します。 組織
プロジェクト
バケット
roles/
storage.admin
ストレージ管理者 オブジェクトとバケットのすべてを管理する権限。 組織
プロジェクト
バケット
roles/
storage.legacyObjectReader
レガシー オブジェクト読み取り オブジェクトとそのメタデータを表示できます(ACL を除く)。 バケット
roles/
storage.legacyObjectOwner
レガシー オブジェクト オーナー storage.legacyObjectReader の役割。

IAM ポリシーとして返される ACL など、バケット内のオブジェクトのメタデータを表示し、編集することもできます。

バケット
roles/
storage.legacyBucketReader
レガシー バケット読み取り バケットのコンテンツを一覧表示し、バケットのメタデータを読み取ることができます(IAM ポリシーを除く)。オブジェクトを一覧表示するときに、オブジェクトのメタデータを読み取ることもできます(IAM ポリシーを除く)。

この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係を参照してください。

バケット
roles/
storage.legacyBucketWriter
レガシー バケット書き込み storage.legacyBucketReader の役割。

バケット内のオブジェクトを作成、上書き、削除できます。

この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係を参照してください。

バケット
roles/
storage.legacyBucketOwner
レガシー バケット オーナー storage.legacyBucketWriter の役割。

バケットの IAM ポリシーを読み取り、IAM ポリシーを含むバケットのメタデータを編集することもできます。

この役割の使用はバケットの ACL にも反映されます。詳細については、Cloud IAM と ACL の関係を参照してください。

バケット

Compute Engine の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
compute.instanceAdmin
ベータ版
Compute インスタンス管理者

仮想マシン インスタンスを作成、変更、および削除するための権限。ディスクを作成、変更、削除するための権限が含まれます。

ユーザーがサービス アカウントとして走行するように設定されている仮想マシン インスタンスを管理する場合は、roles/iam.serviceAccountActor の役割も付与する必要があります。

たとえば、社内に、仮想マシン インスタンスのグループを管理しているが、ネットワークやセキュリティの設定の管理や、サービス アカウントとして実行するインスタンスの管理は行っていないユーザーがいる場合は、この役割を付与します。

組織
プロジェクト
roles/
compute.networkUser
Compute ネットワーク ユーザー

共有 VPC ネットワークへのアクセス権を付与します。

アクセス権を付与されたサービス オーナーは、ホスト プロジェクトに属する VPC ネットワークとサブネットを使用できます。たとえば、ネットワーク ユーザーは、XPN ホスト ネットワークに属する VM インスタンスを作成できますが、ホスト プロジェクトでネットワークを削除したり、新しいネットワークを追加したりすることはできません。

組織
プロジェクト
roles/
compute.networkViewer
Compute ネットワーク閲覧者

すべてのネットワーク リソースへの読み取り専用アクセス権。

たとえば、ネットワーク構成を検査するソフトウェアがある場合は、そのソフトウェアのサービス アカウントに networkViewer の役割を付与します。

組織
プロジェクト
roles/
compute.networkAdmin
Compute ネットワーク管理者

ネットワーキング リソース(ファイアウォール ルールと SSL 証明書を除く)を作成、変更、削除するための権限。ネットワーク管理者の役割により、ファイアウォール ルール、SSL 証明書、インスタンス(それぞれのエフェメラル IP アドレスの表示用)への読み取り専用アクセスを付与できます。ユーザーは、ネットワーク管理者の役割では、インスタンスの作成、起動、停止、削除はできません。

たとえば、ファイアウォールと SSL 証明書を管理するセキュリティ チームと、残りのネットワーキング リソースを管理するネットワーキング チームが社内にいる場合は、ネットワーキング チームのグループに networkAdmin の役割を付与します。

組織
プロジェクト
roles/
compute.securityAdmin
Compute セキュリティ管理者

ファイアウォール ルールと SSL 証明書を作成、変更、削除するための権限。

たとえば、ファイアウォールと SSL 証明書を管理するセキュリティ チームと、残りのネットワーキング リソースを管理するネットワーキング チームが社内にいる場合は、セキュリティ チームのグループに securityAdmin の役割を付与します。

組織
プロジェクト
roles/
compute.imageUser
画像処理ユーザー

プロジェクト内のリソースに対してその他の権限のない、イメージを一覧表示し、読み取る権限。compute.imageUser の役割が許可されると、ユーザーは、プロジェクト中でイメージをリストし、プロジェクト中のイメージに基づいて、インスタンスや永続ディスクなどのリソースを作成する能力が付与されます。

組織
プロジェクト
roles/
compute.storageAdmin
ベータ版
Compute ストレージ管理者

ディスク、イメージ、スナップショットを作成、変更、および削除するための権限。

たとえば、イメージを管理しているメンバーが社内にいて、彼らにプロジェクトに対する編集者の役割を付与したくない場合は、各メンバーのアカウントに storageAdmin の役割を付与します。

組織
プロジェクト
roles/
compute.xpnAdmin
共有 VPC 管理者

共有 VPC ホスト プロジェクトを管理する権限。特にホスト プロジェクトを有効にし、共有 VPC サービス プロジェクトをホスト プロジェクトのネットワークに関連付ける権限。

この役割を組織に付与できるのは、組織管理者だけです。

組織
roles/
compute.admin
ベータ版
Compute 管理者

Compute Engine リソースのすべてを管理できる権限。

ユーザーがサービス アカウントとして走行するように設定されている仮想マシン インスタンスを管理する場合は、roles/iam.serviceAccountActor の役割も付与する必要があります。

組織
プロジェクト
roles/
compute.viewer
ベータ版
Compute 閲覧者

Compute Engine リソースを取得して表示するための読み取り専用アクセス権。そこに格納されたデータを読み取ることはできません。

たとえば、この役割を持つアカウントはプロジェクトのすべてのディスクの一覧を作成できますが、それらのディスク内のデータは読み取ることができません。

組織
プロジェクト

Container Builder の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
cloudbuild.builds.editor
Container Builder 編集者 ビルドを作成、キャンセルするためのアクセス権を付与します。 組織
プロジェクト
roles/
cloudbuild.builds.viewer
Container Builder 閲覧者 ビルドを表示するアクセス権を付与します。 組織
プロジェクト

Kubernetes Engine の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
container.admin
Kubernetes Engine 管理者 コンテナ クラスタと、それらの Kubernetes API オブジェクトのすべてを管理できるアクセス権を付与します。 組織
プロジェクト
roles/
container.clusterAdmin
Kubernetes Engine Cluster 管理者 コンテナ クラスタを管理できるアクセス権を付与します。 組織
プロジェクト
roles/
container.developer
Kubernetes Engine 開発者 コンテナ クラスタ内の Kubernetes API オブジェクトに対する完全アクセス権を付与します。 組織
プロジェクト
roles/
container.viewer
Kubernetes Engine 閲覧者 Kubernetes Engine リソースに対する読み取り専用アクセス権を付与します。 組織
プロジェクト

Deployment Manager の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
deploymentmanager.viewer
Deployment Manager 閲覧者 すべての Deployment Manager 関連リソースに対する読み取り専用アクセス権を付与します。 組織
プロジェクト
roles/
deploymentmanager.editor
Deployment Manager 編集者 デプロイの作成と管理に必要なアクセス権を付与します。 組織
プロジェクト
roles/
deploymentmanager.typeViewer
Deployment Manager タイプビューア すべてのタイプ レジストリ リソースに対する読み取り専用アクセス権を付与します。 プロジェクト
roles/
deploymentmanager.typeEditor
Deployment Manager タイプエディタ すべてのタイプ レジストリ リソースに対する読み取り / 書き込みアクセス権を付与します。 プロジェクト

Cloud IAM の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
iam.securityReviewer
セキュリティ審査担当者 すべてのリソースとその IAM ポリシーを一覧表示するためのアクセス権を付与します。 組織
プロジェクト

Cloud IAP の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
iap.httpsResourceAccessor
IAP で保護されたウェブアプリ ユーザー Cloud Identity-Aware Proxy を使用する HTTPS リソースへのアクセス権を付与します。 フォルダ
プロジェクト

リソース管理者の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
orgpolicy.policyAdmin
組織ポリシー管理者 組織ポリシーによるクラウド リソースの設定制限を定義する権限を付与します。 組織
roles/
resourcemanager.folderAdmin
フォルダ管理者 フォルダの操作に使用できるすべての権限を付与します。 組織
フォルダ
roles/
resourcemanager.folderCreator
フォルダ作成者 階層の参照とフォルダの作成に必要な権限を付与します。 組織
フォルダ
roles/
resourcemanager.folderEditor
フォルダ編集者 フォルダの変更と、フォルダの IAM ポリシーの表示ができる権限を付与します。 組織
フォルダ
roles/
resourcemanager.folderIamAdmin
フォルダ IAM 管理者 フォルダの IAM ポリシーを管理する権限を付与します。 組織
フォルダ
roles/
resourcemanager.folderMover
フォルダ移動 親の組織またはフォルダとの間でフォルダを移動する権限を付与します。 組織
フォルダ
roles/
resourcemanager.folderViewer
フォルダ閲覧者 フォルダの取得、リソース内のフォルダとプロジェクトの一覧表示ができる権限を付与します。 組織
フォルダ
roles/
resourcemanager.organizationViewer
組織閲覧者 組織を閲覧するためのアクセス権を付与します。 組織
roles/
resourcemanager.projectCreator
プロジェクト作成者 新しいプロジェクトを作成するためのアクセス権を付与します。プロジェクトを作成したユーザーには、そのプロジェクトのオーナーの役割が自動的に付与されます。 組織
roles/
resourcemanager.projectDeleter
プロジェクトの削除 GCP プロジェクトの削除権限を付与します。 組織
roles/
resourcemanager.lienModifier
プロジェクト リーエンの変更 プロジェクト リーエンの変更権限を付与します。 プロジェクト

サービス アカウントの役割

役割名 役割のタイトル 説明 リソースの種類
roles/
iam.serviceAccountAdmin
サービス アカウント管理者 サービス アカウントを作成、管理します。 プロジェクト
サービス アカウント
roles/
iam.serviceAccountKeyAdmin
サービス アカウントキー管理者 サービス アカウントキーの作成と管理(ローテーション)を行います。 プロジェクト
サービス アカウント
roles/
iam.serviceAccountTokenCreator
サービス アカウント トークン作成者 サービス アカウント権限を使用できます(OAuth2 アクセス トークンを作成し、blob または JWT などに署名します)。 プロジェクト
サービス アカウント
roles/
iam.serviceAccountUser
サービス アカウント ユーザー 操作をサービス アカウントとして実行します。 プロジェクト
サービス アカウント

Service Management の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
servicemanagement.serviceController
サービス コントローラ サービスの使用状況のチェックと報告を行うランタイム コントロールの権限。 組織
プロジェクト
roles/
servicemanagement.quotaAdmin
割り当て管理者 サービス割り当てを管理するためのアクセス権を付与します。 組織
プロジェクト
roles/
servicemanagement.quotaViewer
割り当て閲覧者 サービス割り当てを表示するためのアクセス権を付与します。 組織
プロジェクト

Source Repository の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
source.admin
Source Repository 管理者 レポジトリの作成、更新、削除、一覧表示、クローニング、フェッチ、参照の権限を付与します。また、IAM ポリシーの読み取りと変更の権限も付与します。 組織
プロジェクト
roles/
source.reader
Source Repository 読み取り レポジトリの一覧表示、クローニング、フェッチ、参照の権限を付与します。 組織
プロジェクト
roles/
source.writer
Source Repository 書き込み レポジトリの一覧表示、クローニング、フェッチ、参照、更新の権限を付与します。 組織
プロジェクト

Stackdriver Debugger の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
clouddebugger.agent
デバッガ エージェント デバッグ ターゲットの登録、アクティブなブレークポイントの読み取り、ブレークポイントの結果の報告を行うアクセス権を付与します。 プロジェクト
サービス アカウント
roles/
clouddebugger.user
デバッガ ユーザー ブレークポイント(スナップショットとログポイント)の作成、表示、一覧表示、削除に加え、デバッグ ターゲット(デバッグ対象)の一覧表示を行うアクセス権を付与します。 プロジェクト

Stackdriver Error Reporting の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
errorreporting.viewer
Error Reporting 閲覧者 Error Reporting データへの読み取り専用アクセス権を提供します。 プロジェクト
roles/
errorreporting.user
Error Reporting ユーザー Error Reporting データを読み書きする権限(新しいエラーイベントの送信を除く)を提供します。 プロジェクト
roles/
errorreporting.writer
Error Reporting 書き込み Reporting にエラーイベントを送信する権限を提供します。 サービス アカウント
roles/
errorreporting.admin
Error Reporting 管理者 Error Reporting データへのフルアクセスを提供します。 プロジェクト

Stackdriver Logging の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
logging.viewer
ログ閲覧者 ログを閲覧するためのアクセス権を付与します。 組織
プロジェクト
roles/
logging.logWriter
ログ書き込み ログエントリを書き込むための権限を付与します。 組織
プロジェクト
roles/
logging.privateLogViewer
プライベート ログ閲覧者 ログ閲覧者の役割の権限、およびプライベート ログ内のエントリに対する読み取り専用アクセス権を付与します。 組織
プロジェクト
roles/
logging.configWriter
ログ設定書き込み ログをエクスポートするためのログベースの指標とシンクの設定に対する読み取りおよび書き込み権限を付与します。 組織
プロジェクト
roles/
logging.admin
ロギング管理者 Stackdriver Logging のすべての機能を使用するために必要なすべての権限を付与します。 組織
プロジェクト

Stackdriver Monitoring の役割

役割名 役割のタイトル 説明 リソースの種類
roles/
monitoring.viewer
モニタリング閲覧者 すべてのモニタリング データや設定に関する情報を取得して一覧表示するための読み取り専用アクセス権を付与します。 プロジェクト
roles/
monitoring.metricWriter
モニタリング指標の書き込み 指標に対する書き込み専用アクセス権を付与します。Stackdriver エージェントや、指標を送信するその他のシステムでまさに必要となる権限が付与されます。 プロジェクト
roles/
monitoring.editor
モニタリング編集者 モニタリング データと設定に関する情報に対する完全アクセス権を付与します。 プロジェクト
roles/
monitoring.admin
モニタリング管理者 roles/monitoring.editor と同じアクセス権を付与します。 プロジェクト

カスタムの役割

事前定義済みの役割に加えて、Cloud IAM はカスタマイズされた Cloud IAM の役割を作成する機能も提供します。1 つ以上の権限を持つカスタムの Cloud IAM の役割を作成し、組織の一員であるユーザーにそのカスタムの役割を付与できます。カスタムの役割についてをご覧ください。

プロダクト固有の Cloud IAM ドキュメント

プロダクト固有の Cloud IAM ドキュメントは、各プロダクトが提供する事前定義済みの役割の詳細について説明しています。事前定義済みの役割の詳細については、以下のページをご覧ください。

ドキュメント 説明
App Engine 用 Cloud IAM App Engine 用 Cloud IAM の役割について説明します
BigQuery 用 Cloud IAM BigQuery 用 Cloud IAM の役割について説明します
Cloud Bigtable 用 Cloud IAM Cloud Bigtable 用 Cloud IAM の役割について説明します
Cloud Billing API 用 Cloud IAM Cloud Billing API 用 Cloud IAM の役割と権限について説明します
Cloud Dataflow 用 Cloud IAM Cloud Dataflow 用 Cloud IAM の役割と権限について説明します
Cloud Dataproc 用 Cloud IAM Cloud Dataproc 用 Cloud IAM の役割と権限について説明します
Cloud Datastore 用 Cloud IAM Cloud Datastore 用 Cloud IAM の役割と権限について説明します
Cloud DNS 用 Cloud IAM Cloud DNS 用 Cloud IAM の役割と権限について説明します
Cloud KMS 用 Cloud IAM Cloud KMS 用 Cloud IAM の役割と権限について説明します
Cloud ML Engine 用 Cloud IAM Cloud ML Engine 用 Cloud IAM の役割と権限について説明します
Cloud Pub/Sub 用 Cloud IAM Cloud Pub/Sub 用 Cloud IAM の役割について説明します
Cloud Spanner 用 Cloud IAM Cloud Spanner 用 Cloud IAM の役割と権限について説明します
Cloud SQL 用 Cloud IAM Cloud SQL 用 Cloud IAM の役割について説明します
Cloud Storage 用 Cloud IAM Cloud Storage 用 Cloud IAM の役割と権限について説明します
Compute Engine 用 Cloud IAM Compute Engine 用 Cloud IAM の役割について説明します
Kubernetes Engine 用 Cloud IAM Kubernetes Engine 用 Cloud IAM の役割と権限について説明します
Deployment Manager 用 Cloud IAM Deployment Manager 用 Cloud IAM の役割と権限について説明します
Genomics 用 Cloud IAM Genomics 用 Cloud IAM の役割と権限について説明します
組織用 Cloud IAM 組織用 Cloud IAM の役割について説明します。
プロジェクト用 Cloud IAM プロジェクト用 Cloud IAM の役割について説明します。
サービス管理用 Cloud IAM サービス管理用 Cloud IAM の役割と権限について説明します
Stackdriver Debugger 用 Cloud IAM Debugger 用 Cloud IAM の役割について説明します
Stackdriver Logging 用 Cloud IAM Logging 用 Cloud IAM の役割について説明します
Stackdriver Monitoring 用 Cloud IAM Monitoring 用 Cloud IAM の役割と権限について説明します
Stackdriver Trace 用 Cloud IAM Trace 用 Cloud IAM の役割と権限について説明します

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Cloud Identity and Access Management のドキュメント