IAM-Rollen und -Berechtigungen in Compute Engine

Wenn Sie ein neues Mitglied in Ihr Projekt aufnehmen, können Sie diesem Mitglied mithilfe einer Richtlinie für die Identitäts- und Zugriffsverwaltung (IAM) eine oder mehrere IAM-Rollen zuweisen. Jede IAM-Rolle enthält Berechtigungen, die dem Mitglied Zugriff auf bestimmte Ressourcen gewähren.

Compute Engine bietet eine Reihe vordefinierter IAM-Rollen. Diese werden auf dieser Seite beschrieben. Sie können auch benutzerdefinierte Rollen erstellen, die Teilmengen von Berechtigungen enthalten, die sich direkt Ihren Anforderungen zuordnen lassen.

Informationen zu den für die einzelnen Methoden erforderlichen Berechtigungen finden Sie in der Referenzdokumentation zur Compute Engine API:

Informationen zum Gewähren des Zugriffs finden Sie auf den folgenden Seiten.

Informationen zum Festlegen von IAM-Richtlinien auf Projektebene finden Sie in der IAM-Dokumentation unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Informationen zum Festlegen von Richtlinien für bestimmte Compute Engine-Ressourcen finden Sie unter Zugriff auf Compute Engine-Ressourcen gewähren.
Informationen zum Zuweisen von Rollen zu einem Compute Engine-Dienstkonto finden Sie unter Dienstkonten für Instanzen erstellen und aktivieren.

Vorbereitung

Lesen Sie die IAM-Dokumentation.

Was ist IAM?

Google Cloud bietet mit der Identitäts- und Zugriffsverwaltung, abgekürzt IAM (für Identity and Access Management), die Möglichkeit, den Zugriff auf einzelne Google Cloud-Ressourcen präzise zu steuern und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Durch IAM können Sie das Prinzip der geringsten Berechtigung anwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen gewähren.

Durch das Festlegen von IAM-Richtlinien können Sie steuern, wer (Identität) welche (Rollen) Berechtigungen für welche Ressourcen hat. Anhand von IAM-Richtlinien werden einem Projektmitglied bestimmte Rollen zugewiesen, mit denen wiederum bestimmte Berechtigungen verknüpft sind. Für eine bestimmte Ressource, z. B. ein Projekt, können Sie einem Google-Konto die Rolle roles/compute.networkAdmin zuweisen. Dieses Konto kann netzwerkbezogene Ressourcen im Projekt steuern, aber keine anderen Ressourcen wie Instanzen und Laufwerke verwalten. Mit IAM können Sie auch die Legacy-Rollen der Cloud Console verwalten, die Projektteammitgliedern gewährt wurden.

Rolle "serviceAccountUser"

Wird diese Rolle zusammen mit roles/compute.instanceAdmin.v1 erteilt, können Mitglieder durch roles/iam.serviceAccountUser Instanzen erstellen und verwalten, für die ein Dienstkonto verwendet wird. Wenn Sie die Rollen roles/iam.serviceAccountUser und roles/compute.instanceAdmin.v1 zusammen erteilen, erhalten die Mitglieder die folgenden Berechtigungen:

Instanz erstellen, die als Dienstkonto ausgeführt wird.
Nichtflüchtigen Speicher zu einer Instanz hinzufügen, die als Dienstkonto ausgeführt wird.
Instanzmetadaten für eine Instanz festlegen, die als Dienstkonto ausgeführt wird.
SSH verwenden, um eine Verbindung zu einer Instanz herzustellen, die als Dienstkonto ausgeführt wird.
Instanz neu konfigurieren, sodass sie als Dienstkonto ausgeführt wird.

roles/iam.serviceAccountUser kann auf zwei Arten zugewiesen werden:

Empfohlen. Weisen Sie einem Mitglied die Rolle für ein bestimmtes Dienstkonto zu. So erhält ein Mitglied Zugriff auf das Dienstkonto, für das er ein iam.serviceAccountUser ist. Der Zugriff auf andere Dienstkonten, für die das Mitglied kein iam.serviceAccountUser ist, wird hingegen verhindert.
Gewähren Sie einem Mitglied die Rolle auf Projektebene. Das Mitglied kann auf alle Dienstkonten in dem Projekt zugreifen, darunter auch Dienstkonten, die erst zukünftig erstellt werden.

Weitere Informationen zu Dienstkonten.

Berechtigung für die Google Cloud Console

Wenn Sie über die Google Cloud Console auf Compute Engine-Ressourcen zugreifen möchten, müssen Sie eine Rolle haben, die die folgende Berechtigung für das Projekt umfasst:

compute.projects.get

Als "instanceAdmin" eine Verbindung zu einer Instanz herstellen

Nachdem Sie einem Projektmitglied die Rolle roles/compute.instanceAdmin.v1 zugewiesen haben, kann es über standardmäßige Google Cloud-Tools wie das gcloud-Tool oder SSH über den Browser Verbindungen zu VM-Instanzen herstellen.

Wenn ein Mitglied das gcloud-Tool oder SSH über den Browser verwendet, generieren die Tools automatisch ein Paar aus öffentlichem und privatem Schlüssel und fügen den öffentlichen Schlüssel den Projektmetadaten hinzu. Wenn das Mitglied nicht berechtigt ist, Projektmetadaten zu bearbeiten, fügt das Tool stattdessen den öffentlichen Schlüssel des Mitglieds den Instanzmetadaten hinzu.

Verfügt das Mitglied bereits über ein Schlüsselpaar, das es verwenden möchte, kann es seinen öffentlichen Schlüssel manuell den Instanzmetadaten hinzufügen. Weitere Informationen zum Hinzufügen oder Entfernen von SSH-Schlüsseln aus einer Instanz

IAM mit Dienstkonten

Durch die Erstellung neuer benutzerdefinierter Dienstkonten und die Zuweisung von IAM-Rollen zu Dienstkonten haben Sie die Möglichkeit, den Zugriff auf Ihre Instanzen zu beschränken. Wenn Sie IAM-Rollen mit benutzerdefinierten Dienstkonten verwenden, können Sie Folgendes tun:

Mithilfe detaillierter IAM-Rollen den Zugriff Ihrer Instanzen auf Google Cloud APIs beschränken
Jeder Instanz oder jeder Gruppe von Instanzen eine eindeutige Identität verleihen
Den Zugriff auf Ihr Standarddienstkonto beschränken

Weitere Informationen zu Dienstkonten.

Verwaltete Instanzgruppen und IAM

Verwaltete Instanzgruppen sind Ressourcen, die ohne direkte Nutzerinteraktion Vorgänge in Ihrem Namen ausführen. Dies gilt insbesondere, wenn sie so konfiguriert sind, dass sie automatisch skaliert werden. Verwaltete Instanzgruppen verwenden eine Dienstkontoidentität, um Instanzen in der Instanzgruppe zu erstellen, zu löschen und zu verwalten. Weitere Informationen finden Sie in der Dokumentation zu verwalteten Instanzgruppen und IAM.

Nicht unterstützte Vorgänge

Sie können keinen Zugriff gewähren, um mit IAM-Rollen Rolling Updates für Instanzgruppen auszuführen.

Verwenden Sie die umfassenderen Rollen "Inhaber", "Bearbeiter" oder "Betrachter", um die Berechtigung zur Ausführung dieser Vorgänge zu gewähren.

Vordefinierte Compute Engine-Rollen

Bei IAM erfordert jede API-Methode in der Compute Engine API, dass die Identität, die die API-Anfrage stellt, die entsprechenden Berechtigungen zur Verwendung der Ressource hat. Berechtigungen werden durch Festlegen von Richtlinien erteilt, die einem Mitglied (Nutzer, Gruppe oder Dienstkonto) Ihres Projekts Rollen zuweisen.

Neben den einfachen Rollen (Betrachter, Bearbeiter und Inhaber) und benutzerdefinierten Rollen können Sie den Mitgliedern Ihres Projekts die unten beschriebenen vordefinierten Compute Engine-Rollen zuweisen.

Sie können einem Projektmitglied mehrere Rollen für dieselbe Ressource zuweisen. Wenn Ihr Netzwerkteam z. B. auch Firewallregeln verwaltet, können Sie der Google-Gruppe des Netzwerkteams sowohl roles/compute.networkAdmin als auch roles/compute.securityAdmin gewähren.

In den folgenden Tabellen werden die vordefinierten IAM-Rollen von Compute Engine sowie die in den einzelnen Rollen enthaltenen Berechtigungen beschrieben. Jede Rolle enthält eine Reihe von Berechtigungen, die für eine bestimmte Aufgabe geeignet sind. Durch die Instanzadministrator-Rollen werden beispielsweise Berechtigungen zum Verwalten von Instanzen gewährt, die netzwerkbezogenen Rollen gewähren Berechtigungen zum Verwalten von netzwerkbezogenen Ressourcen und die Sicherheitsrolle gewährt Berechtigungen zum Verwalten von sicherheitsbezogenen Ressourcen wie Firewalls und SSL-Zertifikaten.

Rolle "Compute-Administrator"

Name Beschreibung Berechtigungen

Name	Beschreibung	Berechtigungen
`roles/compute.admin`	Vollständige Kontrolle über alle Compute Engine-Ressourcen. Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle `roles/iam.serviceAccountUser` zuweisen.	`compute.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.admin

Vollständige Kontrolle über alle Compute Engine-Ressourcen.

Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle roles/iam.serviceAccountUser zuweisen.

compute.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Rolle "Compute Image-Nutzer"

Name	Beschreibung	Berechtigungen
`roles/compute.imageUser`	Berechtigung zum Auflisten und Lesen von Images ohne weitere Berechtigungen für das jeweilige Image. Wenn Sie diese Rolle auf Projektebene zuweisen, können Nutzer alle Images im Projekt auflisten sowie Ressourcen wie Instanzen und nichtflüchtige Speicher anhand der Images im Projekt erstellen.	`compute.images.get` `compute.images.getFromFamily` `compute.images.list` `compute.images.useReadOnly` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Rolle "Compute-Instanzadministrator" (Beta)

Name Beschreibung Berechtigungen

Name	Beschreibung	Berechtigungen
`roles/compute.instanceAdmin`	Berechtigungen zum Erstellen, Ändern und Löschen von VM-Instanzen. Dazu gehören auch Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken sowie zum Konfigurieren der Einstellungen für Shielded VM^BETA. Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle `roles/iam.serviceAccountUser` zuweisen. Wenn ein Mitarbeiter in Ihrem Unternehmen beispielsweise VM-Instanzgruppen, aber keine Netzwerk- oder Sicherheitseinstellungen und keine als Dienstkonto ausgeführten Instanzen verwaltet, können Sie diese Rolle der Organisation, dem Ordner oder dem Projekt mit den Instanzen oder den Instanzen selbst zuweisen.	`compute.acceleratorTypes.` `compute.addresses.get` `compute.addresses.list` `compute.addresses.use` `compute.autoscalers.` `compute.diskTypes.` `compute.disks.create` `compute.disks.createSnapshot` `compute.disks.delete` `compute.disks.get` `compute.disks.list` `compute.disks.resize` `compute.disks.setLabels` `compute.disks.update` `compute.disks.use` `compute.disks.useReadOnly` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalOperations.get` `compute.globalOperations.list` `compute.images.get` `compute.images.getFromFamily` `compute.images.list` `compute.images.useReadOnly` `compute.instanceGroupManagers.` `compute.instanceGroups.` `compute.instanceTemplates.` `compute.instances.` `compute.licenses.get` `compute.licenses.list` `compute.machineImages.` `compute.machineTypes.` `compute.networkEndpointGroups.` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.networks.useExternalIp` `compute.projects.get` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regions.` `compute.reservations.get` `compute.reservations.list` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.use` `compute.subnetworks.useExternalIp` `compute.targetPools.get` `compute.targetPools.list` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.instanceAdmin

Berechtigungen zum Erstellen, Ändern und Löschen von VM-Instanzen. Dazu gehören auch Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken sowie zum Konfigurieren der Einstellungen für Shielded VM^BETA.

Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle roles/iam.serviceAccountUser zuweisen.

Wenn ein Mitarbeiter in Ihrem Unternehmen beispielsweise VM-Instanzgruppen, aber keine Netzwerk- oder Sicherheitseinstellungen und keine als Dienstkonto ausgeführten Instanzen verwaltet, können Sie diese Rolle der Organisation, dem Ordner oder dem Projekt mit den Instanzen oder den Instanzen selbst zuweisen.

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.addresses.use
compute.autoscalers.*
compute.diskTypes.*
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.list
compute.disks.resize
compute.disks.setLabels
compute.disks.update
compute.disks.use
compute.disks.useReadOnly
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalOperations.get
compute.globalOperations.list
compute.images.get
compute.images.getFromFamily
compute.images.list
compute.images.useReadOnly
compute.instanceGroupManagers.*
compute.instanceGroups.*
compute.instanceTemplates.*
compute.instances.*
compute.licenses.get
compute.licenses.list
compute.machineImages.*
compute.machineTypes.*
compute.networkEndpointGroups.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.reservations.get
compute.reservations.list
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetPools.get
compute.targetPools.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Rolle "Compute-Instanzadministrator" (v1)

Name Beschreibung Berechtigungen

Name	Beschreibung	Berechtigungen
`roles/compute.instanceAdmin.v1`	Vollständige Kontrolle über Compute Engine-Instanzen, Instanzgruppen, Laufwerke, Snapshots und Images. Lesezugriff auf alle Compute Engine-Netzwerkressourcen. Wenn Sie diese Rolle einem Nutzer nur auf Instanzebene gewähren, kann er keine neuen Instanzen erstellen.	`compute.acceleratorTypes.` `compute.addresses.get` `compute.addresses.list` `compute.addresses.use` `compute.autoscalers.` `compute.backendBuckets.get` `compute.backendBuckets.list` `compute.backendServices.get` `compute.backendServices.list` `compute.diskTypes.` `compute.disks.` `compute.externalVpnGateways.get` `compute.externalVpnGateways.list` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.get` `compute.forwardingRules.list` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalAddresses.use` `compute.globalForwardingRules.get` `compute.globalForwardingRules.list` `compute.globalOperations.get` `compute.globalOperations.list` `compute.healthChecks.get` `compute.healthChecks.list` `compute.httpHealthChecks.get` `compute.httpHealthChecks.list` `compute.httpsHealthChecks.get` `compute.httpsHealthChecks.list` `compute.images.` `compute.instanceGroupManagers.` `compute.instanceGroups.` `compute.instanceTemplates.` `compute.instances.` `compute.interconnectAttachments.get` `compute.interconnectAttachments.list` `compute.interconnectLocations.` `compute.interconnects.get` `compute.interconnects.list` `compute.licenseCodes.` `compute.licenses.` `compute.machineImages.` `compute.machineTypes.` `compute.networkEndpointGroups.` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.networks.useExternalIp` `compute.projects.get` `compute.projects.setCommonInstanceMetadata` `compute.regionBackendServices.get` `compute.regionBackendServices.list` `compute.regionHealthCheckServices.get` `compute.regionHealthCheckServices.list` `compute.regionNotificationEndpoints.get` `compute.regionNotificationEndpoints.list` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regions.` `compute.reservations.get` `compute.reservations.list` `compute.resourcePolicies.` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.snapshots.` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.sslPolicies.get` `compute.sslPolicies.list` `compute.sslPolicies.listAvailableFeatures` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.use` `compute.subnetworks.useExternalIp` `compute.targetHttpProxies.get` `compute.targetHttpProxies.list` `compute.targetHttpsProxies.get` `compute.targetHttpsProxies.list` `compute.targetInstances.get` `compute.targetInstances.list` `compute.targetPools.get` `compute.targetPools.list` `compute.targetSslProxies.get` `compute.targetSslProxies.list` `compute.targetTcpProxies.get` `compute.targetTcpProxies.list` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.urlMaps.get` `compute.urlMaps.list` `compute.vpnGateways.get` `compute.vpnGateways.list` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.instanceAdmin.v1

Vollständige Kontrolle über Compute Engine-Instanzen, Instanzgruppen, Laufwerke, Snapshots und Images. Lesezugriff auf alle Compute Engine-Netzwerkressourcen.

Wenn Sie diese Rolle einem Nutzer nur auf Instanzebene gewähren, kann er keine neuen Instanzen erstellen.

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.addresses.use
compute.autoscalers.*
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.diskTypes.*
compute.disks.*
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalOperations.get
compute.globalOperations.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.*
compute.instanceGroupManagers.*
compute.instanceGroups.*
compute.instanceTemplates.*
compute.instances.*
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.licenseCodes.*
compute.licenses.*
compute.machineImages.*
compute.machineTypes.*
compute.networkEndpointGroups.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.projects.setCommonInstanceMetadata
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regionHealthCheckServices.get
compute.regionHealthCheckServices.list
compute.regionNotificationEndpoints.get
compute.regionNotificationEndpoints.list
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.reservations.get
compute.reservations.list
compute.resourcePolicies.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.snapshots.*
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Rolle "Administrator für Compute-Load-Balancer"

Name Beschreibung Berechtigungen

Name	Beschreibung	Berechtigungen
`roles/compute.loadBalancerAdmin` ^Beta	Berechtigungen zum Erstellen, Ändern und Löschen von Load-Balancern und zugehörigen Ressourcen. Wenn Ihr Unternehmen beispielsweise ein Load-Balancing-Team hat, das Load-Balancer, SSL-Zertifikate für Load-Balancer, SSL-Richtlinien und andere Load-Balancing-Ressourcen verwaltet, sowie ein separates Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie diese Rolle der Gruppe des Load-Balancing-Teams zu.	`compute.addresses.` `compute.backendBuckets.` `compute.backendServices.` `compute.forwardingRules.` `compute.globalAddresses.` `compute.globalForwardingRules.` `compute.healthChecks.` `compute.httpHealthChecks.` `compute.httpsHealthChecks.` `compute.instanceGroups.` `compute.instances.get` `compute.instances.list` `compute.instances.use` `compute.instances.useReadOnly` `compute.networkEndpointGroups.` `compute.networks.get` `compute.networks.list` `compute.networks.use` `compute.projects.get` `compute.regionBackendServices.` `compute.regionHealthCheckServices.` `compute.regionNotificationEndpoints.` `compute.securityPolicies.get` `compute.securityPolicies.list` `compute.securityPolicies.use` `compute.sslCertificates.` `compute.sslPolicies.` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.use` `compute.targetHttpProxies.` `compute.targetHttpsProxies.` `compute.targetInstances.` `compute.targetPools.` `compute.targetSslProxies.` `compute.targetTcpProxies.` `compute.urlMaps.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.loadBalancerAdmin ^Beta

Berechtigungen zum Erstellen, Ändern und Löschen von Load-Balancern und zugehörigen Ressourcen.

Wenn Ihr Unternehmen beispielsweise ein Load-Balancing-Team hat, das Load-Balancer, SSL-Zertifikate für Load-Balancer, SSL-Richtlinien und andere Load-Balancing-Ressourcen verwaltet, sowie ein separates Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie diese Rolle der Gruppe des Load-Balancing-Teams zu.

compute.addresses.*
compute.backendBuckets.*
compute.backendServices.*
compute.forwardingRules.*
compute.globalAddresses.*
compute.globalForwardingRules.*
compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute.instanceGroups.*
compute.instances.get
compute.instances.list
compute.instances.use
compute.instances.useReadOnly
compute.networkEndpointGroups.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
compute.regionBackendServices.*
compute.regionHealthCheckServices.*
compute.regionNotificationEndpoints.*
compute.securityPolicies.get
compute.securityPolicies.list
compute.securityPolicies.use
compute.sslCertificates.*
compute.sslPolicies.*
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.urlMaps.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Rolle "Compute-Netzwerkadministrator"

Name Beschreibung Berechtigungen

Name	Beschreibung	Berechtigungen
`roles/compute.networkAdmin`	Berechtigungen zum Erstellen, Ändern und Löschen von Netzwerkressourcen mit Ausnahme von Firewallregeln und SSL-Zertifikaten. Die Rolle "Netzwerkadministrator" gewährt Lesezugriff auf Firewallregeln, SSL-Zertifikate und Instanzen für den Aufruf der zugehörigen sitzungsspezifischen IP-Adressen. Mit der Rolle "Netzwerkadministrator" können Nutzer keine Instanzen erstellen, starten, beenden oder löschen. Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie dieser Gruppe die Rolle des Netzwerkteams zu.	`compute.acceleratorTypes.` `compute.addresses.` `compute.autoscalers.get` `compute.autoscalers.list` `compute.backendBuckets.` `compute.backendServices.` `compute.externalVpnGateways.` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.` `compute.globalAddresses.` `compute.globalForwardingRules.` `compute.globalOperations.get` `compute.globalOperations.list` `compute.globalPublicDelegatedPrefixes.delete` `compute.globalPublicDelegatedPrefixes.get` `compute.globalPublicDelegatedPrefixes.list` `compute.globalPublicDelegatedPrefixes.update` `compute.globalPublicDelegatedPrefixes.updatePolicy` `compute.healthChecks.` `compute.httpHealthChecks.` `compute.httpsHealthChecks.` `compute.instanceGroupManagers.get` `compute.instanceGroupManagers.list` `compute.instanceGroupManagers.update` `compute.instanceGroupManagers.use` `compute.instanceGroups.get` `compute.instanceGroups.list` `compute.instanceGroups.update` `compute.instanceGroups.use` `compute.instances.get` `compute.instances.getGuestAttributes` `compute.instances.getScreenshot` `compute.instances.getSerialPortOutput` `compute.instances.list` `compute.instances.listReferrers` `compute.instances.use` `compute.instances.useReadOnly` `compute.interconnectAttachments.` `compute.interconnectLocations.` `compute.interconnects.` `compute.machineTypes.` `compute.networkEndpointGroups.get` `compute.networkEndpointGroups.list` `compute.networkEndpointGroups.use` `compute.networks.` `compute.projects.get` `compute.publicDelegatedPrefixes.delete` `compute.publicDelegatedPrefixes.get` `compute.publicDelegatedPrefixes.list` `compute.publicDelegatedPrefixes.update` `compute.publicDelegatedPrefixes.updatePolicy` `compute.regionBackendServices.` `compute.regionHealthCheckServices.` `compute.regionNotificationEndpoints.` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regions.` `compute.routers.` `compute.routes.` `compute.securityPolicies.get` `compute.securityPolicies.list` `compute.securityPolicies.use` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.sslPolicies.` `compute.subnetworks.` `compute.targetHttpProxies.` `compute.targetHttpsProxies.` `compute.targetInstances.` `compute.targetPools.` `compute.targetSslProxies.` `compute.targetTcpProxies.` `compute.targetVpnGateways.` `compute.urlMaps.` `compute.vpnGateways.` `compute.vpnTunnels.` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.` `networksecurity.` `networkservices.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicenetworking.operations.get` `servicenetworking.services.addPeering` `servicenetworking.services.get` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.networkAdmin

Berechtigungen zum Erstellen, Ändern und Löschen von Netzwerkressourcen mit Ausnahme von Firewallregeln und SSL-Zertifikaten. Die Rolle "Netzwerkadministrator" gewährt Lesezugriff auf Firewallregeln, SSL-Zertifikate und Instanzen für den Aufruf der zugehörigen sitzungsspezifischen IP-Adressen. Mit der Rolle "Netzwerkadministrator" können Nutzer keine Instanzen erstellen, starten, beenden oder löschen.

Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie dieser Gruppe die Rolle des Netzwerkteams zu.

compute.acceleratorTypes.*
compute.addresses.*
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.*
compute.backendServices.*
compute.externalVpnGateways.*
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.*
compute.globalAddresses.*
compute.globalForwardingRules.*
compute.globalOperations.get
compute.globalOperations.list
compute.globalPublicDelegatedPrefixes.delete
compute.globalPublicDelegatedPrefixes.get
compute.globalPublicDelegatedPrefixes.list
compute.globalPublicDelegatedPrefixes.update
compute.globalPublicDelegatedPrefixes.updatePolicy
compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroupManagers.update
compute.instanceGroupManagers.use
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceGroups.update
compute.instanceGroups.use
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getScreenshot
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.instances.use
compute.instances.useReadOnly
compute.interconnectAttachments.*
compute.interconnectLocations.*
compute.interconnects.*
compute.machineTypes.*
compute.networkEndpointGroups.get
compute.networkEndpointGroups.list
compute.networkEndpointGroups.use
compute.networks.*
compute.projects.get
compute.publicDelegatedPrefixes.delete
compute.publicDelegatedPrefixes.get
compute.publicDelegatedPrefixes.list
compute.publicDelegatedPrefixes.update
compute.publicDelegatedPrefixes.updatePolicy
compute.regionBackendServices.*
compute.regionHealthCheckServices.*
compute.regionNotificationEndpoints.*
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.routers.*
compute.routes.*
compute.securityPolicies.get
compute.securityPolicies.list
compute.securityPolicies.use
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.*
compute.subnetworks.*
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.targetVpnGateways.*
compute.urlMaps.*
compute.vpnGateways.*
compute.vpnTunnels.*
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
networksecurity.*
networkservices.*
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Rolle "Compute-Netzwerknutzer"

Name Beschreibung Berechtigungen

Name	Beschreibung	Berechtigungen
`roles/compute.networkUser`	Zugriff auf ein freigegebenes VPC-Netzwerk. Nach der Zugriffserteilung können Dienstinhaber VPC-Netzwerke und Subnetze verwenden, die zum Hostprojekt gehören. Beispielsweise hat ein Netzwerknutzer die Möglichkeit, eine VM-Instanz zu erstellen, die zu einem Netzwerk des Hostprojekts gehört. Er kann aber im Hostprojekt keine neuen Netzwerke löschen oder erstellen.	`compute.addresses.createInternal` `compute.addresses.deleteInternal` `compute.addresses.get` `compute.addresses.list` `compute.addresses.useInternal` `compute.externalVpnGateways.get` `compute.externalVpnGateways.list` `compute.externalVpnGateways.use` `compute.firewalls.get` `compute.firewalls.list` `compute.interconnectAttachments.get` `compute.interconnectAttachments.list` `compute.interconnectLocations.` `compute.interconnects.get` `compute.interconnects.list` `compute.interconnects.use` `compute.networks.access` `compute.networks.get` `compute.networks.getEffectiveFirewalls` `compute.networks.list` `compute.networks.listPeeringRoutes` `compute.networks.use` `compute.networks.useExternalIp` `compute.projects.get` `compute.regions.` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.subnetworks.get` `compute.subnetworks.list` `compute.subnetworks.use` `compute.subnetworks.useExternalIp` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.vpnGateways.get` `compute.vpnGateways.list` `compute.vpnGateways.use` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.zones.` `networksecurity.authorizationPolicies.get` `networksecurity.authorizationPolicies.list` `networksecurity.authorizationPolicies.use` `networksecurity.clientTlsPolicies.get` `networksecurity.clientTlsPolicies.list` `networksecurity.clientTlsPolicies.use` `networksecurity.locations.` `networksecurity.operations.get` `networksecurity.operations.list` `networksecurity.serverTlsPolicies.get` `networksecurity.serverTlsPolicies.list` `networksecurity.serverTlsPolicies.use` `networkservices.endpointConfigSelectors.get` `networkservices.endpointConfigSelectors.list` `networkservices.endpointConfigSelectors.use` `networkservices.httpFilters.get` `networkservices.httpFilters.list` `networkservices.httpFilters.use` `networkservices.httpfilters.get` `networkservices.httpfilters.list` `networkservices.httpfilters.use` `networkservices.locations.*` `networkservices.operations.get` `networkservices.operations.list` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicenetworking.services.get` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.networkUser

Zugriff auf ein freigegebenes VPC-Netzwerk.

Nach der Zugriffserteilung können Dienstinhaber VPC-Netzwerke und Subnetze verwenden, die zum Hostprojekt gehören. Beispielsweise hat ein Netzwerknutzer die Möglichkeit, eine VM-Instanz zu erstellen, die zu einem Netzwerk des Hostprojekts gehört. Er kann aber im Hostprojekt keine neuen Netzwerke löschen oder erstellen.

compute.addresses.createInternal
compute.addresses.deleteInternal
compute.addresses.get
compute.addresses.list
compute.addresses.useInternal
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.externalVpnGateways.use
compute.firewalls.get
compute.firewalls.list
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.interconnects.use
compute.networks.access
compute.networks.get
compute.networks.getEffectiveFirewalls
compute.networks.list
compute.networks.listPeeringRoutes
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnGateways.use
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zones.*
networksecurity.authorizationPolicies.get
networksecurity.authorizationPolicies.list
networksecurity.authorizationPolicies.use
networksecurity.clientTlsPolicies.get
networksecurity.clientTlsPolicies.list
networksecurity.clientTlsPolicies.use
networksecurity.locations.*
networksecurity.operations.get
networksecurity.operations.list
networksecurity.serverTlsPolicies.get
networksecurity.serverTlsPolicies.list
networksecurity.serverTlsPolicies.use
networkservices.endpointConfigSelectors.get
networkservices.endpointConfigSelectors.list
networkservices.endpointConfigSelectors.use
networkservices.httpFilters.get
networkservices.httpFilters.list
networkservices.httpFilters.use
networkservices.httpfilters.get
networkservices.httpfilters.list
networkservices.httpfilters.use
networkservices.locations.*
networkservices.operations.get
networkservices.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Rolle "Compute-Netzwerkbetrachter"

Name Beschreibung Berechtigungen

Name	Beschreibung	Berechtigungen
`roles/compute.networkViewer`	Lesezugriff auf alle Netzwerkressourcen Wenn Sie beispielsweise Software haben, die Ihre Netzwerkkonfiguration überprüft, können Sie diese Rolle dem Dienstkonto dieser Software zuweisen.	`compute.acceleratorTypes.` `compute.addresses.get` `compute.addresses.list` `compute.autoscalers.get` `compute.autoscalers.list` `compute.backendBuckets.get` `compute.backendBuckets.list` `compute.backendServices.get` `compute.backendServices.list` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.get` `compute.forwardingRules.list` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalForwardingRules.get` `compute.globalForwardingRules.list` `compute.healthChecks.get` `compute.healthChecks.list` `compute.httpHealthChecks.get` `compute.httpHealthChecks.list` `compute.httpsHealthChecks.get` `compute.httpsHealthChecks.list` `compute.instanceGroupManagers.get` `compute.instanceGroupManagers.list` `compute.instanceGroups.get` `compute.instanceGroups.list` `compute.instances.get` `compute.instances.getGuestAttributes` `compute.instances.getScreenshot` `compute.instances.getSerialPortOutput` `compute.instances.list` `compute.instances.listReferrers` `compute.interconnectAttachments.get` `compute.interconnectAttachments.list` `compute.interconnectLocations.` `compute.interconnects.get` `compute.interconnects.list` `compute.machineTypes.` `compute.networks.get` `compute.networks.getEffectiveFirewalls` `compute.networks.list` `compute.networks.listPeeringRoutes` `compute.projects.get` `compute.regionBackendServices.get` `compute.regionBackendServices.list` `compute.regionHealthCheckServices.get` `compute.regionHealthCheckServices.list` `compute.regionNotificationEndpoints.get` `compute.regionNotificationEndpoints.list` `compute.regions.` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.sslPolicies.get` `compute.sslPolicies.list` `compute.sslPolicies.listAvailableFeatures` `compute.subnetworks.get` `compute.subnetworks.list` `compute.targetHttpProxies.get` `compute.targetHttpProxies.list` `compute.targetHttpsProxies.get` `compute.targetHttpsProxies.list` `compute.targetInstances.get` `compute.targetInstances.list` `compute.targetPools.get` `compute.targetPools.list` `compute.targetSslProxies.get` `compute.targetSslProxies.list` `compute.targetTcpProxies.get` `compute.targetTcpProxies.list` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.urlMaps.get` `compute.urlMaps.list` `compute.vpnGateways.get` `compute.vpnGateways.list` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.zones.` `networksecurity.authorizationPolicies.get` `networksecurity.authorizationPolicies.list` `networksecurity.clientTlsPolicies.get` `networksecurity.clientTlsPolicies.list` `networksecurity.locations.` `networksecurity.operations.get` `networksecurity.operations.list` `networksecurity.serverTlsPolicies.get` `networksecurity.serverTlsPolicies.list` `networkservices.endpointConfigSelectors.get` `networkservices.endpointConfigSelectors.list` `networkservices.httpFilters.get` `networkservices.httpFilters.list` `networkservices.httpfilters.get` `networkservices.httpfilters.list` `networkservices.locations.*` `networkservices.operations.get` `networkservices.operations.list` `resourcemanager.projects.get` `resourcemanager.projects.list` `servicenetworking.services.get` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.networkViewer

Lesezugriff auf alle Netzwerkressourcen

Wenn Sie beispielsweise Software haben, die Ihre Netzwerkkonfiguration überprüft, können Sie diese Rolle dem Dienstkonto dieser Software zuweisen.

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getScreenshot
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.machineTypes.*
compute.networks.get
compute.networks.getEffectiveFirewalls
compute.networks.list
compute.networks.listPeeringRoutes
compute.projects.get
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regionHealthCheckServices.get
compute.regionHealthCheckServices.list
compute.regionNotificationEndpoints.get
compute.regionNotificationEndpoints.list
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zones.*
networksecurity.authorizationPolicies.get
networksecurity.authorizationPolicies.list
networksecurity.clientTlsPolicies.get
networksecurity.clientTlsPolicies.list
networksecurity.locations.*
networksecurity.operations.get
networksecurity.operations.list
networksecurity.serverTlsPolicies.get
networksecurity.serverTlsPolicies.list
networkservices.endpointConfigSelectors.get
networkservices.endpointConfigSelectors.list
networkservices.httpFilters.get
networkservices.httpFilters.list
networkservices.httpfilters.get
networkservices.httpfilters.list
networkservices.locations.*
networkservices.operations.get
networkservices.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Rolle "Administrator von Compute-Sicherheitsrichtlinien für die Organisation"

Name	Beschreibung	Berechtigungen
`roles/compute.orgSecurityPolicyAdmin` ^Beta	Vollständige Kontrolle über Sicherheitsrichtlinien der Organisation in Compute Engine.	`compute.globalOperations.get` `compute.globalOperations.getIamPolicy` `compute.globalOperations.list` `compute.globalOperations.setIamPolicy` `compute.projects.get` `compute.securityPolicies.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Rolle "Nutzer von Compute-Sicherheitsrichtlinien für die Organisation"

Name	Beschreibung	Berechtigungen
`roles/compute.orgSecurityPolicyUser` ^Beta	Rufen Sie Compute Engine-Sicherheitsrichtlinien auf oder verwenden Sie sie zur Verknüpfung mit der Organisation oder Ordnern.	`compute.globalOperations.get` `compute.globalOperations.getIamPolicy` `compute.globalOperations.list` `compute.globalOperations.setIamPolicy` `compute.projects.get` `compute.securityPolicies.addAssociation` `compute.securityPolicies.get` `compute.securityPolicies.list` `compute.securityPolicies.removeAssociation` `compute.securityPolicies.use` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Rolle "Administrator für Compute-Organisationsressourcen"

Name	Beschreibung	Berechtigungen
`roles/compute.orgSecurityResourceAdmin` ^Beta	Vollständige Kontrolle über Verknüpfungen von Compute Engine-Sicherheitsrichtlinien mit der Organisation oder Ordnern.	`compute.globalOperations.get` `compute.globalOperations.getIamPolicy` `compute.globalOperations.list` `compute.globalOperations.setIamPolicy` `compute.organizations.listAssociations` `compute.organizations.setSecurityPolicy` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Rolle "Compute OS-Administrator-Login"

Name	Beschreibung	Berechtigungen
`roles/compute.osAdminLogin`	Berechtigung zur Anmeldung bei einer Compute Engine-Instanz als Administrator.	`compute.instances.get` `compute.instances.list` `compute.instances.osAdminLogin` `compute.instances.osLogin` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Rolle "Compute OS-Log-in"

Name	Beschreibung	Berechtigungen
`roles/compute.osLogin`	Berechtigung zur Anmeldung bei einer Compute Engine-Instanz als Standardnutzer.	`compute.instances.get` `compute.instances.list` `compute.instances.osLogin` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Rolle "Externer Nutzer von Compute OS-Log-in"

Name Beschreibung Berechtigungen

Name	Beschreibung	Berechtigungen
`roles/compute.osLoginExternalUser`	Nur auf Organisationsebene verfügbar. Ermöglicht den Zugriff für einen externen Nutzer, um die OS-Login-Informationen der Organisation festzulegen. Diese Rolle berechtigt nicht zum Zugriff auf Instanzen. Externen Nutzern muss eine der erforderlichen OS Login-Rollen zugewiesen werden, damit auf Instanzen mit SSH zugegriffen werden kann.	`compute.oslogin.*`

roles/compute.osLoginExternalUser

Nur auf Organisationsebene verfügbar.

Ermöglicht den Zugriff für einen externen Nutzer, um die OS-Login-Informationen der Organisation festzulegen. Diese Rolle berechtigt nicht zum Zugriff auf Instanzen. Externen Nutzern muss eine der erforderlichen OS Login-Rollen zugewiesen werden, damit auf Instanzen mit SSH zugegriffen werden kann.

compute.oslogin.*

Rolle "Administrator der Compute-Paketspiegelung"

Name	Beschreibung	Berechtigungen
`roles/compute.packetMirroringAdmin`	Geben Sie die zu spiegelnden Ressourcen an.	`compute.networks.mirror` `compute.projects.get` `compute.subnetworks.mirror` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Rolle "Nutzer der Compute-Paketspiegelung"

Name	Beschreibung	Berechtigungen
`roles/compute.packetMirroringUser`	Verwenden Sie Compute Engine-Paketspiegelungen.	`compute.packetMirrorings.*` `compute.projects.get` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

Rolle "Compute Public-IP-Administrator"

Name	Beschreibung	Berechtigungen
`roles/compute.publicIpAdmin` ^Beta	Vollständige Kontrolle über die Verwaltung öffentlicher IP-Adressen für Compute Engine.	`compute.addresses.` `compute.globalAddresses.` `compute.globalPublicDelegatedPrefixes.` `compute.publicAdvertisedPrefixes.` `compute.publicDelegatedPrefixes.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "Compute-Sicherheitsadministrator"

Name Beschreibung Berechtigungen

Name	Beschreibung	Berechtigungen
`roles/compute.securityAdmin`	Berechtigungen zum Erstellen, Ändern und Löschen von Firewallregeln und SSL-Zertifikaten sowie zum Konfigurieren der Einstellungen von Shielded VM^BETA. Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie der Gruppe des Sicherheitsteams diese Rolle zu.	`compute.firewalls.` `compute.globalOperations.get` `compute.globalOperations.list` `compute.instances.getEffectiveFirewalls` `compute.instances.setShieldedInstanceIntegrityPolicy` `compute.instances.setShieldedVmIntegrityPolicy` `compute.instances.updateShieldedInstanceConfig` `compute.instances.updateShieldedVmConfig` `compute.networks.get` `compute.networks.getEffectiveFirewalls` `compute.networks.list` `compute.networks.updatePolicy` `compute.packetMirrorings.` `compute.projects.get` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regions.` `compute.routes.get` `compute.routes.list` `compute.securityPolicies.` `compute.sslCertificates.` `compute.sslPolicies.` `compute.subnetworks.get` `compute.subnetworks.list` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.securityAdmin

Berechtigungen zum Erstellen, Ändern und Löschen von Firewallregeln und SSL-Zertifikaten sowie zum Konfigurieren der Einstellungen von Shielded VM^BETA.

compute.firewalls.*
compute.globalOperations.get
compute.globalOperations.list
compute.instances.getEffectiveFirewalls
compute.instances.setShieldedInstanceIntegrityPolicy
compute.instances.setShieldedVmIntegrityPolicy
compute.instances.updateShieldedInstanceConfig
compute.instances.updateShieldedVmConfig
compute.networks.get
compute.networks.getEffectiveFirewalls
compute.networks.list
compute.networks.updatePolicy
compute.packetMirrorings.*
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.routes.get
compute.routes.list
compute.securityPolicies.*
compute.sslCertificates.*
compute.sslPolicies.*
compute.subnetworks.get
compute.subnetworks.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Rolle "Compute Storage-Administrator"

Name Beschreibung Berechtigungen

Name	Beschreibung	Berechtigungen
`roles/compute.storageAdmin`	Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken, Images und Snapshots. Wenn in Ihrem Unternehmen beispielsweise ein Mitarbeiter Projekt-Images verwaltet, und Sie nicht möchten, dass diese Person die Bearbeiterrolle für das Projekt hat, weisen Sie diese Rolle ihrem Konto für das Projekt zu.	`compute.diskTypes.` `compute.disks.` `compute.globalOperations.get` `compute.globalOperations.list` `compute.images.` `compute.licenseCodes.` `compute.licenses.` `compute.projects.get` `compute.regionOperations.get` `compute.regionOperations.list` `compute.regions.` `compute.resourcePolicies.` `compute.snapshots.` `compute.zoneOperations.get` `compute.zoneOperations.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.storageAdmin

Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken, Images und Snapshots.

Wenn in Ihrem Unternehmen beispielsweise ein Mitarbeiter Projekt-Images verwaltet, und Sie nicht möchten, dass diese Person die Bearbeiterrolle für das Projekt hat, weisen Sie diese Rolle ihrem Konto für das Projekt zu.

compute.diskTypes.*
compute.disks.*
compute.globalOperations.get
compute.globalOperations.list
compute.images.*
compute.licenseCodes.*
compute.licenses.*
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.resourcePolicies.*
compute.snapshots.*
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Rolle "Compute-Betrachter"

Name Beschreibung Berechtigungen

Name	Beschreibung	Berechtigungen
`roles/compute.viewer`	Lesezugriff zum Abrufen und Auflisten von Compute Engine-Ressourcen, aber ohne die Möglichkeit, die darin gespeicherten Daten zu lesen. Ein Konto mit dieser Rolle kann beispielsweise zwar alle Laufwerke in einem Projekt inventarisieren, aber keine Daten auf diesen Laufwerken lesen.	`compute.acceleratorTypes.` `compute.addresses.get` `compute.addresses.list` `compute.autoscalers.get` `compute.autoscalers.list` `compute.backendBuckets.get` `compute.backendBuckets.list` `compute.backendServices.get` `compute.backendServices.list` `compute.commitments.get` `compute.commitments.list` `compute.diskTypes.` `compute.disks.get` `compute.disks.getIamPolicy` `compute.disks.list` `compute.externalVpnGateways.get` `compute.externalVpnGateways.list` `compute.firewalls.get` `compute.firewalls.list` `compute.forwardingRules.get` `compute.forwardingRules.list` `compute.globalAddresses.get` `compute.globalAddresses.list` `compute.globalForwardingRules.get` `compute.globalForwardingRules.list` `compute.globalOperations.get` `compute.globalOperations.getIamPolicy` `compute.globalOperations.list` `compute.globalPublicDelegatedPrefixes.get` `compute.globalPublicDelegatedPrefixes.list` `compute.healthChecks.get` `compute.healthChecks.list` `compute.httpHealthChecks.get` `compute.httpHealthChecks.list` `compute.httpsHealthChecks.get` `compute.httpsHealthChecks.list` `compute.images.get` `compute.images.getFromFamily` `compute.images.getIamPolicy` `compute.images.list` `compute.instanceGroupManagers.get` `compute.instanceGroupManagers.list` `compute.instanceGroups.get` `compute.instanceGroups.list` `compute.instanceTemplates.get` `compute.instanceTemplates.getIamPolicy` `compute.instanceTemplates.list` `compute.instances.get` `compute.instances.getEffectiveFirewalls` `compute.instances.getGuestAttributes` `compute.instances.getIamPolicy` `compute.instances.getScreenshot` `compute.instances.getSerialPortOutput` `compute.instances.getShieldedInstanceIdentity` `compute.instances.getShieldedVmIdentity` `compute.instances.list` `compute.instances.listReferrers` `compute.interconnectAttachments.get` `compute.interconnectAttachments.list` `compute.interconnectLocations.` `compute.interconnects.get` `compute.interconnects.list` `compute.licenseCodes.get` `compute.licenseCodes.getIamPolicy` `compute.licenseCodes.list` `compute.licenses.get` `compute.licenses.getIamPolicy` `compute.licenses.list` `compute.machineImages.get` `compute.machineImages.getIamPolicy` `compute.machineImages.list` `compute.machineTypes.` `compute.maintenancePolicies.get` `compute.maintenancePolicies.getIamPolicy` `compute.maintenancePolicies.list` `compute.networkEndpointGroups.get` `compute.networkEndpointGroups.getIamPolicy` `compute.networkEndpointGroups.list` `compute.networks.get` `compute.networks.getEffectiveFirewalls` `compute.networks.list` `compute.networks.listPeeringRoutes` `compute.nodeGroups.get` `compute.nodeGroups.getIamPolicy` `compute.nodeGroups.list` `compute.nodeTemplates.get` `compute.nodeTemplates.getIamPolicy` `compute.nodeTemplates.list` `compute.nodeTypes.` `compute.organizations.listAssociations` `compute.projects.get` `compute.publicAdvertisedPrefixes.get` `compute.publicAdvertisedPrefixes.list` `compute.publicDelegatedPrefixes.get` `compute.publicDelegatedPrefixes.list` `compute.regionBackendServices.get` `compute.regionBackendServices.list` `compute.regionHealthCheckServices.get` `compute.regionHealthCheckServices.list` `compute.regionNotificationEndpoints.get` `compute.regionNotificationEndpoints.list` `compute.regionOperations.get` `compute.regionOperations.getIamPolicy` `compute.regionOperations.list` `compute.regions.` `compute.reservations.get` `compute.reservations.list` `compute.resourcePolicies.get` `compute.resourcePolicies.list` `compute.routers.get` `compute.routers.list` `compute.routes.get` `compute.routes.list` `compute.securityPolicies.get` `compute.securityPolicies.getIamPolicy` `compute.securityPolicies.list` `compute.snapshots.get` `compute.snapshots.getIamPolicy` `compute.snapshots.list` `compute.sslCertificates.get` `compute.sslCertificates.list` `compute.sslPolicies.get` `compute.sslPolicies.list` `compute.sslPolicies.listAvailableFeatures` `compute.subnetworks.get` `compute.subnetworks.getIamPolicy` `compute.subnetworks.list` `compute.targetHttpProxies.get` `compute.targetHttpProxies.list` `compute.targetHttpsProxies.get` `compute.targetHttpsProxies.list` `compute.targetInstances.get` `compute.targetInstances.list` `compute.targetPools.get` `compute.targetPools.list` `compute.targetSslProxies.get` `compute.targetSslProxies.list` `compute.targetTcpProxies.get` `compute.targetTcpProxies.list` `compute.targetVpnGateways.get` `compute.targetVpnGateways.list` `compute.urlMaps.get` `compute.urlMaps.list` `compute.urlMaps.validate` `compute.vpnGateways.get` `compute.vpnGateways.list` `compute.vpnTunnels.get` `compute.vpnTunnels.list` `compute.zoneOperations.get` `compute.zoneOperations.getIamPolicy` `compute.zoneOperations.list` `compute.zones.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.quotas.get` `serviceusage.services.get` `serviceusage.services.list`

roles/compute.viewer

Lesezugriff zum Abrufen und Auflisten von Compute Engine-Ressourcen, aber ohne die Möglichkeit, die darin gespeicherten Daten zu lesen.

Ein Konto mit dieser Rolle kann beispielsweise zwar alle Laufwerke in einem Projekt inventarisieren, aber keine Daten auf diesen Laufwerken lesen.

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.commitments.get
compute.commitments.list
compute.diskTypes.*
compute.disks.get
compute.disks.getIamPolicy
compute.disks.list
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalPublicDelegatedPrefixes.get
compute.globalPublicDelegatedPrefixes.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.get
compute.images.getFromFamily
compute.images.getIamPolicy
compute.images.list
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceTemplates.get
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instances.get
compute.instances.getEffectiveFirewalls
compute.instances.getGuestAttributes
compute.instances.getIamPolicy
compute.instances.getScreenshot
compute.instances.getSerialPortOutput
compute.instances.getShieldedInstanceIdentity
compute.instances.getShieldedVmIdentity
compute.instances.list
compute.instances.listReferrers
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.licenseCodes.get
compute.licenseCodes.getIamPolicy
compute.licenseCodes.list
compute.licenses.get
compute.licenses.getIamPolicy
compute.licenses.list
compute.machineImages.get
compute.machineImages.getIamPolicy
compute.machineImages.list
compute.machineTypes.*
compute.maintenancePolicies.get
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.networkEndpointGroups.get
compute.networkEndpointGroups.getIamPolicy
compute.networkEndpointGroups.list
compute.networks.get
compute.networks.getEffectiveFirewalls
compute.networks.list
compute.networks.listPeeringRoutes
compute.nodeGroups.get
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTypes.*
compute.organizations.listAssociations
compute.projects.get
compute.publicAdvertisedPrefixes.get
compute.publicAdvertisedPrefixes.list
compute.publicDelegatedPrefixes.get
compute.publicDelegatedPrefixes.list
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regionHealthCheckServices.get
compute.regionHealthCheckServices.list
compute.regionNotificationEndpoints.get
compute.regionNotificationEndpoints.list
compute.regionOperations.get
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regions.*
compute.reservations.get
compute.reservations.list
compute.resourcePolicies.get
compute.resourcePolicies.list
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.securityPolicies.get
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.snapshots.get
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.urlMaps.validate
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Rolle "Administrator für freigegebene Compute-VPC"

Name Beschreibung Berechtigungen

Name	Beschreibung	Berechtigungen
`roles/compute.xpnAdmin`	Berechtigungen zum Verwalten freigegebener VPC-Hostprojekte, insbesondere für die Aktivierung der Hostprojekte und für die Verknüpfung freigegebener VPC-Dienstprojekte mit dem Netzwerk des Hostprojekts. Auf Organisationsebene kann diese Rolle nur von einem Organisationsadministrator zugewiesen werden. Google Cloud empfiehlt, dass der Administrator für freigegebene VPCs der Inhaber des Hostprojekts einer freigegebenen VPC ist. Der Administrator für freigegebene VPCs ist für die Zuweisung der Rolle "Compute-Netzwerknutzer" (`roles/compute.networkUser`) an Dienstinhaber zuständig und der Inhaber des Hostprojekts der freigegebenen VPC steuert das eigentliche Projekt. Die Verwaltung des Projekts ist einfacher, wenn ein Verantwortlicher (Einzelperson oder Gruppe) beide Rollen übernehmen kann.	`compute.globalOperations.get` `compute.globalOperations.list` `compute.organizations.administerXpn` `compute.organizations.disableXpnHost` `compute.organizations.disableXpnResource` `compute.organizations.enableXpnHost` `compute.organizations.enableXpnResource` `compute.projects.get` `compute.subnetworks.getIamPolicy` `compute.subnetworks.setIamPolicy` `resourcemanager.organizations.get` `resourcemanager.projects.get` `resourcemanager.projects.getIamPolicy` `resourcemanager.projects.list`

roles/compute.xpnAdmin

Berechtigungen zum Verwalten freigegebener VPC-Hostprojekte, insbesondere für die Aktivierung der Hostprojekte und für die Verknüpfung freigegebener VPC-Dienstprojekte mit dem Netzwerk des Hostprojekts.

Auf Organisationsebene kann diese Rolle nur von einem Organisationsadministrator zugewiesen werden.

Google Cloud empfiehlt, dass der Administrator für freigegebene VPCs der Inhaber des Hostprojekts einer freigegebenen VPC ist. Der Administrator für freigegebene VPCs ist für die Zuweisung der Rolle "Compute-Netzwerknutzer" (roles/compute.networkUser) an Dienstinhaber zuständig und der Inhaber des Hostprojekts der freigegebenen VPC steuert das eigentliche Projekt. Die Verwaltung des Projekts ist einfacher, wenn ein Verantwortlicher (Einzelperson oder Gruppe) beide Rollen übernehmen kann.

compute.globalOperations.get
compute.globalOperations.list
compute.organizations.administerXpn
compute.organizations.disableXpnHost
compute.organizations.disableXpnResource
compute.organizations.enableXpnHost
compute.organizations.enableXpnResource
compute.projects.get
compute.subnetworks.getIamPolicy
compute.subnetworks.setIamPolicy
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list

Rolle "Zuweisungsadministrator"

Name	Beschreibung	Berechtigungen
`roles/osconfig.assignmentAdmin`	Vollständiger Administratorzugriff auf Zuweisungen	`resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "Zuweisungsmitbearbeiter"

Name	Beschreibung	Berechtigungen
`roles/osconfig.assignmentEditor`	Bearbeiter von Zuweisungsressourcen	`resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "Zuweisungsbetrachter"

Name	Beschreibung	Berechtigungen
`roles/osconfig.assignmentViewer`	Betrachter von Zuweisungsressourcen	`resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "GuestPolicy-Administrator"

Name	Beschreibung	Berechtigungen
`roles/osconfig.guestPolicyAdmin` ^Beta	Vollständiger Administratorzugriff auf GuestPolicies	`osconfig.guestPolicies.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "GuestPolicy-Bearbeiter"

Name	Beschreibung	Berechtigungen
`roles/osconfig.guestPolicyEditor` ^Beta	Mitbearbeiter von GuestPolicy-Ressourcen	`osconfig.guestPolicies.get` `osconfig.guestPolicies.list` `osconfig.guestPolicies.update` `resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "GuestPolicy-Betrachter"

Name	Beschreibung	Berechtigungen
`roles/osconfig.guestPolicyViewer` ^Beta	Betrachter von GuestPolicy-Ressourcen	`osconfig.guestPolicies.get` `osconfig.guestPolicies.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "OsConfig-Administrator"

Name	Beschreibung	Berechtigungen
`roles/osconfig.osConfigAdmin`	Vollständiger Administratorzugriff auf OsConfigs	`resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "OsConfig-Mitbearbeiter"

Name	Beschreibung	Berechtigungen
`roles/osconfig.osConfigEditor`	Bearbeiter von OsConfig-Ressourcen	`resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "OsConfig-Betrachter"

Name	Beschreibung	Berechtigungen
`roles/osconfig.osConfigViewer`	Betrachter von OsConfig-Ressourcen	`resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "PatchDeployment-Administrator"

Name	Beschreibung	Berechtigungen
`roles/osconfig.patchDeploymentAdmin`	Vollständiger Administratorzugriff auf PatchDeployments	`osconfig.patchDeployments.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "PatchDeployment-Betrachter"

Name	Beschreibung	Berechtigungen
`roles/osconfig.patchDeploymentViewer`	Betrachter von PatchDeployment-Ressourcen	`osconfig.patchDeployments.get` `osconfig.patchDeployments.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "Patch-Job-Ausführer"

Name	Beschreibung	Berechtigungen
`roles/osconfig.patchJobExecutor`	Zugriff zum Ausführen von Patch-Jobs.	`osconfig.patchJobs.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "Patch-Job-Betrachter"

Name	Beschreibung	Berechtigungen
`roles/osconfig.patchJobViewer`	Abrufen und Auflisten von Patch-Jobs.	`osconfig.patchJobs.get` `osconfig.patchJobs.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

DNS-Administrator-Rolle

Name	Beschreibung	Berechtigungen
`roles/dns.admin`	Lese- und Schreibzugriff auf alle Cloud DNS-Ressourcen	`compute.networks.get` `compute.networks.list` `dns.changes.` `dns.dnsKeys.` `dns.managedZoneOperations.` `dns.managedZones.` `dns.networks.` `dns.policies.create` `dns.policies.delete` `dns.policies.get` `dns.policies.list` `dns.policies.update` `dns.projects.` `dns.resourceRecordSets.*` `resourcemanager.projects.get` `resourcemanager.projects.list`

DNS-Peer-Rolle

Name	Beschreibung	Berechtigungen
`roles/dns.peer`	Zugriff auf Zielnetzwerke mit DNS-Peering-Zonen	`dns.networks.targetWithPeeringZone`

DNS-Leser-Rolle

Name	Beschreibung	Berechtigungen
`roles/dns.reader`	Lesezugriff auf alle Cloud DNS-Ressourcen	`compute.networks.get` `dns.changes.get` `dns.changes.list` `dns.dnsKeys.` `dns.managedZoneOperations.` `dns.managedZones.get` `dns.managedZones.list` `dns.policies.get` `dns.policies.list` `dns.projects.*` `dns.resourceRecordSets.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "Dienstkonto-Administrator"

Name	Beschreibung	Berechtigungen
`roles/iam.serviceAccountAdmin`	Dienstkonten erstellen und verwalten	`iam.serviceAccounts.create` `iam.serviceAccounts.delete` `iam.serviceAccounts.disable` `iam.serviceAccounts.enable` `iam.serviceAccounts.get` `iam.serviceAccounts.getIamPolicy` `iam.serviceAccounts.list` `iam.serviceAccounts.setIamPolicy` `iam.serviceAccounts.undelete` `iam.serviceAccounts.update` `resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "Dienstkonten erstellen"

Name	Beschreibung	Berechtigungen
`roles/iam.serviceAccountCreator`	Kann Dienstkonten erstellen.	`iam.serviceAccounts.create` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "Dienstkonten löschen"

Name	Beschreibung	Berechtigungen
`roles/iam.serviceAccountDeleter`	Zugriff zum Löschen von Dienstkonten.	`iam.serviceAccounts.delete` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "Dienstkontoschlüssel-Administrator"

Name	Beschreibung	Berechtigungen
`roles/iam.serviceAccountKeyAdmin`	Dienstkontoschlüssel erstellen und verwalten (und rotieren)	`iam.serviceAccountKeys.*` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "Dienstkonto-Token-Ersteller"

Name	Beschreibung	Berechtigungen
`roles/iam.serviceAccountTokenCreator`	Übernahme der Identität von Dienstkonten (OAuth2-Zugriffstoken erstellen, Blobs oder JWTs signieren usw.).	`iam.serviceAccounts.get` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.implicitDelegation` `iam.serviceAccounts.list` `iam.serviceAccounts.signBlob` `iam.serviceAccounts.signJwt` `resourcemanager.projects.get` `resourcemanager.projects.list`

Rolle "Dienstkontonutzer"

Name	Beschreibung	Berechtigungen
`roles/iam.serviceAccountUser`	Vorgänge als Dienstkonto ausführen	`iam.serviceAccounts.actAs` `iam.serviceAccounts.get` `iam.serviceAccounts.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

Workload Identity-Nutzerrolle

Name	Beschreibung	Berechtigungen
`roles/iam.workloadIdentityUser`	Identität von Dienstkonten von GKE-Arbeitslasten übernehmen	`iam.serviceAccounts.get` `iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `iam.serviceAccounts.list`