Workflows のロールと権限

このページでは、Workflows リソースへのアクセスを制御するための Identity and Access Management(IAM)のロールと権限について説明します。

概要

Workflows は IAM を使用してアクセス制御を行います。

IAM を使用してアクセス制御を行う方法について詳しくは、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

すべてのワークフローのメソッドでは、呼び出し元が必要な権限を持っている必要があります。ワークフローがサポートするロールとそれに対応する権限のリストについては、このドキュメントのワークフローのロールセクションをご覧ください。

Workflows の権限

次の表は、ワークフローで使用可能な権限を示したものです。

権限 定義
workflows.callbacks.list ワークフロー実行のコールバックを一覧表示します。
workflows.callbacks.send ワークフローの実行コールバックをトリガーします。
workflows.executions.cancel トレースを削除せずに、ワークフローの実行をキャンセルします。
workflows.executions.create ワークフローの実行をトリガーします。
workflows.executions.get ワークフロー実行オペレーションの最新状態を取得します。
workflows.executions.list ワークフローの実行オペレーションの一覧を取得します。
workflows.locations.get ワークフローのロケーションを取得します。
workflows.locations.list サービスが利用できるロケーションを一覧表示します。
workflows.operations.cancel 長時間実行オペレーションをキャンセルします。
workflows.operations.get 長時間実行オペレーションの詳細を取得します。
workflows.operations.list 長時間実行オペレーションのリストを取得します。
workflows.stepEntries.get ワークフロー実行のステップ エントリを取得します。
workflows.stepEntries.list ワークフロー実行のステップ エントリを一覧表示します。
workflows.workflows.create 新しいワークフローを作成してデプロイします。
workflows.workflows.delete 既存のワークフローを削除します。
workflows.workflows.get ソースコード、ラベル、説明など、ワークフローの設定を取得します。
workflows.workflows.list プロジェクト内のワークフローの一覧を取得します。
workflows.workflows.listRevision ワークフローのリビジョンを一覧表示します。
workflows.workflows.update ソースコード、ラベル、説明など、ワークフローの設定を更新します。

ワークフローのロール

次の表は、ワークフローの事前定義ロールとそのロールに含まれている権限を示したものです。

使用可能なロールは、一般的なユースケースのほとんどに対応しています。使用可能なロールがユースケースに対応していない場合は、IAM カスタムロールを作成できます。

Role Permissions

(roles/workflows.admin)

Full access to workflows and related resources.

Lowest-level resources where you can grant this role:

  • Project

resourcemanager.projects.get

resourcemanager.projects.list

workflows.*

  • workflows.callbacks.list
  • workflows.callbacks.send
  • workflows.executions.cancel
  • workflows.executions.create
  • workflows.executions.get
  • workflows.executions.list
  • workflows.locations.get
  • workflows.locations.list
  • workflows.operations.cancel
  • workflows.operations.get
  • workflows.operations.list
  • workflows.stepEntries.get
  • workflows.stepEntries.list
  • workflows.workflows.create
  • workflows.workflows.createTagBinding
  • workflows.workflows.delete
  • workflows.workflows.deleteTagBinding
  • workflows.workflows.get
  • workflows.workflows.list
  • workflows.workflows.listEffectiveTags
  • workflows.workflows.listRevision
  • workflows.workflows.listTagBindings
  • workflows.workflows.update

(roles/workflows.editor)

Read and write access to workflows and related resources, including development and debugging of workflows.

Lowest-level resources where you can grant this role:

  • Project

resourcemanager.projects.get

resourcemanager.projects.list

workflows.*

  • workflows.callbacks.list
  • workflows.callbacks.send
  • workflows.executions.cancel
  • workflows.executions.create
  • workflows.executions.get
  • workflows.executions.list
  • workflows.locations.get
  • workflows.locations.list
  • workflows.operations.cancel
  • workflows.operations.get
  • workflows.operations.list
  • workflows.stepEntries.get
  • workflows.stepEntries.list
  • workflows.workflows.create
  • workflows.workflows.createTagBinding
  • workflows.workflows.delete
  • workflows.workflows.deleteTagBinding
  • workflows.workflows.get
  • workflows.workflows.list
  • workflows.workflows.listEffectiveTags
  • workflows.workflows.listRevision
  • workflows.workflows.listTagBindings
  • workflows.workflows.update

(roles/workflows.invoker)

Access to execute workflows and manage the executions using the API. Does not provide access to develop and debug workflows.

Lowest-level resources where you can grant this role:

  • Project

resourcemanager.projects.get

resourcemanager.projects.list

workflows.callbacks.*

  • workflows.callbacks.list
  • workflows.callbacks.send

workflows.executions.*

  • workflows.executions.cancel
  • workflows.executions.create
  • workflows.executions.get
  • workflows.executions.list

workflows.stepEntries.*

  • workflows.stepEntries.get
  • workflows.stepEntries.list

(roles/workflows.serviceAgent)

Gives Cloud Workflows service account access to managed resources.

container.clusters.connect

iam.serviceAccounts.get

iam.serviceAccounts.getAccessToken

iam.serviceAccounts.getOpenIdToken

serviceusage.services.use

(roles/workflows.viewer)

Read-only access to workflows and related resources.

Lowest-level resources where you can grant this role:

  • Project

resourcemanager.projects.get

resourcemanager.projects.list

workflows.callbacks.list

workflows.executions.get

workflows.executions.list

workflows.locations.*

  • workflows.locations.get
  • workflows.locations.list

workflows.operations.get

workflows.operations.list

workflows.stepEntries.*

  • workflows.stepEntries.get
  • workflows.stepEntries.list

workflows.workflows.get

workflows.workflows.list

workflows.workflows.listEffectiveTags

workflows.workflows.listRevision

workflows.workflows.listTagBindings

次のステップ

カスタムロールを作成、管理する