GCP - Quel rôle une autorisation appartient?

Je ne peux pas comprendre pourquoi l'utilisation de IAM est si difficile à comprendre. Par exemple, j'essaie de créer un calendrier pour A VM instance. Quand j'ajoute une instance à un calendrier que j'ai obtenu:

Compute Engine System service account [email protected]
needs to have [compute.instances.start,compute.instances.stop] permissions applied in order to perform this operation

J'ai localisé le compte dans iam mais je ne sais pas quel rôle appartient ces choses. Quel rôle dois-je ajouter pour y parvenir.

Si j'essaie gcloud je reçois une erreur:

gcloud projects add-iam-policy-binding general-123456 \
    --member=user:[email protected] --role=roles/compute.instances.start

ERROR: (gcloud.projects.add-iam-policy-binding) User [xxxxxx] does not have permission to access projects instance [general-123456:getIamPolicy] (or it may not exist): The caller does not have permission

Je suis le propriétaire du compte et de tous les projets.

Que dois-je faire à ce sujet?

De manière générale, quelle est la procédure à traiter avec les autorisations de GCP quand elles ont exprimé comme someth.the.other.etc ou someThingsNotRight - Comment identifier le bon nom de rôle?