Lorsque vous ajoutez un nouveau membre à votre projet, vous pouvez utiliser une stratégie de gestion de l'authentification et des accès (IAM, Identity and Access Management) pour attribuer à ce membre un ou plusieurs rôles IAM. Chaque rôle IAM contient des autorisations qui accordent au membre l'accès à des ressources spécifiques.
Compute Engine dispose d'un ensemble de rôles IAM prédéfinis décrits sur cette page. Vous pouvez également créer des rôles personnalisés contenant des sous-ensembles d'autorisations qui correspondent exactement à vos besoins.
Pour connaître les autorisations requises pour chaque méthode, consultez la documentation de référence de l'API Compute Engine :
Pour en savoir plus sur les autorisations d'accès, consultez les pages suivantes.
Avant de commencer
- Lisez la documentation IAM.
Qu'est-ce qu'IAM ?
Google Cloud propose IAM, qui vous permet d'attribuer un accès précis à des ressources spécifiques de Google Cloud et empêche tout accès non souhaité à d'autres ressources.
IAM vous permet d'adopter le principe de sécurité du moindre privilège afin de n'accorder que l'accès nécessaire à vos ressources.
En définissant des stratégies IAM, vous pouvez contrôler qui (identité) dispose de quelles autorisations d'accès (rôles) à quelles ressources. Ces stratégies permettent d'attribuer un ou plusieurs rôles spécifiques à un membre du projet, et ainsi d'accorder à cette identité certaines autorisations. Par exemple, pour une ressource donnée, vous pouvez attribuer le rôle roles/compute.networkAdmin à un compte Google. Celui-ci peut contrôler les ressources réseau du projet, mais pas les autres ressources, comme les instances et les disques. Vous pouvez également utiliser IAM pour gérer les anciens rôles Cloud Console accordés aux membres de l'équipe de projet.
Rôle serviceAccountUser
Lorsqu'il est associé à roles/compute.instanceAdmin.v1, le rôle roles/iam.serviceAccountUser permet aux membres de créer et de gérer des instances qui utilisent un compte de service. Plus précisément, l'attribution de roles/iam.serviceAccountUser et de roles/compute.instanceAdmin.v1 permet aux membres de :
- créer une instance qui s'exécute en tant que compte de service ;
- associer un disque persistant à une instance qui s'exécute en tant que compte de service ;
- définir des métadonnées sur une instance qui s'exécute en tant que compte de service ;
- se connecter via SSH à une instance qui s'exécute en tant que compte de service ;
- reconfigurer une instance à exécuter en tant que compte de service.
Vous pouvez accorder roles/iam.serviceAccountUser de deux façons différentes :
Recommandation. Accordez le rôle à un membre sur un compte de service spécifique.
Cela permet à un membre d'accéder au compte de service iam.serviceAccountUser, mais empêche l'accès à d'autres comptes de service pour lesquels le membre n'est pas un iam.serviceAccountUser.
Accordez le rôle à un membre au niveau du projet. Le membre a accès à tous les comptes de service du projet, y compris à ceux créés par la suite.
Si ce concept ne vous est pas familier, apprenez-en plus sur les comptes de service.
Autorisation d'accès à Google Cloud Console
Pour utiliser Google Cloud Console afin d'accéder aux ressources Compute Engine, vous devez disposer d'un rôle comportant l'autorisation suivante sur le projet :
compute.projects.get
Se connecter à une instance en tant qu'instanceAdmin
Une fois que vous avez accordé le rôle roles/compute.instanceAdmin.v1 à un membre du projet, celui-ci peut se connecter à des instances de machine virtuelle (VM) à l'aide des outils Google Cloud standards, tels que l'outil gcloud ou SSH depuis le navigateur.
Lorsqu'un membre utilise l'outil gcloud ou SSH depuis le navigateur, les outils génèrent automatiquement une paire de clés publique/privée et ajoutent la clé publique aux métadonnées du projet. Si le membre ne dispose pas des autorisations nécessaires pour modifier les métadonnées du projet, l'outil ajoute la clé publique du membre aux métadonnées de l'instance.
Si le membre souhaite utiliser une paire de clés existante, il peut ajouter manuellement sa clé publique aux métadonnées de l'instance.
En savoir plus sur l'ajout de clés SSH à une instance.
IAM avec des comptes de service
Créez des comptes de service personnalisés, puis accordez-leur des rôles IAM pour limiter l'accès de vos instances. Utilisez les rôles IAM avec des comptes de service personnalisés pour :
- limiter l'accès de vos instances aux API Google Cloud à l'aide de rôles IAM précis ;
- attribuer à chaque instance ou ensemble d'instances une identité unique ;
- limiter l'accès à votre compte de service par défaut.
En savoir plus sur les comptes de service
Groupes d'instances gérés et IAM
Les groupes d'instances gérés, en particulier lorsqu'ils sont configurés pour l'autoscaling, sont des ressources qui effectuent des actions au nom de l'utilisateur sans qu'il n'ait à intervenir directement. Les groupes d'instances gérés créent, suppriment et gèrent des instances dans le groupe d'instances à l'aide d'une identité de compte de service. Pour plus d'informations, lisez la documentation sur les groupes d'instances gérés et IAM.
Opérations non acceptées
Vous ne pouvez pas accorder d'accès pour effectuer des mises à jour progressives sur des groupes d'instances à l'aide des rôles IAM.
Pour autoriser un utilisateur à effectuer ces opérations, servez-vous des rôles de propriétaire, de collaborateur ou de lecteur qui sont plus généraux.
Rôles IAM prédéfinis Compute Engine
Avec IAM, chaque méthode d'API Compute Engine nécessite que l'identité effectuant la requête API dispose des autorisations appropriées pour utiliser la ressource.
Pour accorder des autorisations, vous devez définir des stratégies qui attribuent des rôles à un membre (utilisateur, groupe ou compte de service) du projet.
En plus des rôles de base (lecteur, éditeur et propriétaire) et des rôles personnalisés, vous pouvez attribuer les rôles prédéfinis Compute Engine suivants aux membres du projet.
Vous avez la possibilité d'accorder plusieurs rôles à un membre du projet sur la même ressource. Par exemple, si votre équipe réseau gère également les règles de pare-feu, vous pouvez attribuer les rôles roles/compute.networkAdmin et roles/compute.securityAdmin au groupe Google de l'équipe réseau.
Les tableaux suivants décrivent les rôles IAM prédéfinis Compute Engine, ainsi que les autorisations qu'ils contiennent. Chaque rôle comporte un ensemble d'autorisations adaptées à une tâche spécifique. Par exemple, les rôles d'administrateur d'instances accordent des autorisations permettant de gérer les instances, les rôles réseau contiennent des autorisations permettant de gérer les ressources liées au réseau et les rôles de sécurité attribuent des autorisations permettant de gérer les ressources liées à la sécurité, telles que les pare-feu et les certificats SSL.
Compute Admin role
| Name |
Description |
Permissions |
roles/compute.admin
|
Full control of all Compute Engine resources.
If the user will be managing virtual machine instances that are configured
to run as a service account, you must also grant the
roles/iam.serviceAccountUser role.
|
compute.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Image User role
| Name |
Description |
Permissions |
roles/compute.imageUser
|
Permission to list and read images without having other permissions on the image. Granting this role
at the project level gives users the ability to list all images in the project and create resources,
such as instances and persistent disks, based on images in the project.
|
compute.images.getcompute.images.getFromFamilycompute.images.listcompute.images.useReadOnlyresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Instance Admin (beta) role
| Name |
Description |
Permissions |
roles/compute.instanceAdmin
|
Permissions to create, modify, and delete virtual machine instances.
This includes permissions to create, modify, and delete disks, and also to
configure Shielded VMBETA
settings.
If the user will be managing virtual machine instances that are configured
to run as a service account, you must also grant the
roles/iam.serviceAccountUser role.
For example, if your company has someone who manages groups of virtual
machine instances but does not manage network or security settings and
does not manage instances that run as service accounts, you can grant this
role on the organization, folder, or project that contains the instances,
or you can grant it on individual instances.
|
compute.acceleratorTypes.*compute.addresses.createInternalcompute.addresses.deleteInternalcompute.addresses.getcompute.addresses.listcompute.addresses.usecompute.addresses.useInternalcompute.autoscalers.*compute.diskTypes.*compute.disks.createcompute.disks.createSnapshotcompute.disks.deletecompute.disks.getcompute.disks.listcompute.disks.resizecompute.disks.setLabelscompute.disks.updatecompute.disks.usecompute.disks.useReadOnlycompute.globalAddresses.getcompute.globalAddresses.listcompute.globalAddresses.usecompute.globalNetworkEndpointGroups.*compute.globalOperations.getcompute.globalOperations.listcompute.images.getcompute.images.getFromFamilycompute.images.listcompute.images.useReadOnlycompute.instanceGroupManagers.*compute.instanceGroups.*compute.instanceTemplates.*compute.instances.*compute.licenses.getcompute.licenses.listcompute.machineImages.*compute.machineTypes.*compute.networkEndpointGroups.*compute.networks.getcompute.networks.listcompute.networks.usecompute.networks.useExternalIpcompute.projects.getcompute.regionNetworkEndpointGroups.*compute.regionOperations.getcompute.regionOperations.listcompute.regions.*compute.reservations.getcompute.reservations.listcompute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.usecompute.subnetworks.useExternalIpcompute.targetPools.getcompute.targetPools.listcompute.zoneOperations.getcompute.zoneOperations.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Instance Admin (v1) role
Compute Load Balancer Admin role
| Name |
Description |
Permissions |
roles/compute.loadBalancerAdmin
Beta
|
Permissions to create, modify, and delete load balancers and associate
resources.
For example, if your company has a load balancing team that manages load
balancers, SSL certificates for load balancers, SSL policies, and other
load balancing resources, and a separate networking team that manages
the rest of the networking resources, then grant this role to the load
balancing team's group.
|
compute.addresses.*compute.backendBuckets.*compute.backendServices.*compute.disks.listTagBindingscompute.forwardingRules.*compute.globalAddresses.*compute.globalForwardingRules.*compute.globalNetworkEndpointGroups.*compute.healthChecks.*compute.httpHealthChecks.*compute.httpsHealthChecks.*compute.images.listTagBindingscompute.instanceGroups.*compute.instances.getcompute.instances.listcompute.instances.usecompute.instances.useReadOnlycompute.networkEndpointGroups.*compute.networks.getcompute.networks.listcompute.networks.usecompute.projects.getcompute.regionBackendServices.*compute.regionHealthCheckServices.*compute.regionHealthChecks.*compute.regionNetworkEndpointGroups.*compute.regionNotificationEndpoints.*compute.regionSslCertificates.*compute.regionTargetHttpProxies.*compute.regionTargetHttpsProxies.*compute.regionUrlMaps.*compute.securityPolicies.getcompute.securityPolicies.listcompute.securityPolicies.usecompute.snapshots.listTagBindingscompute.sslCertificates.*compute.sslPolicies.*compute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.usecompute.targetGrpcProxies.*compute.targetHttpProxies.*compute.targetHttpsProxies.*compute.targetInstances.*compute.targetPools.*compute.targetSslProxies.*compute.targetTcpProxies.*compute.urlMaps.*networksecurity.clientTlsPolicies.getnetworksecurity.clientTlsPolicies.listnetworksecurity.clientTlsPolicies.usenetworksecurity.serverTlsPolicies.getnetworksecurity.serverTlsPolicies.listnetworksecurity.serverTlsPolicies.useresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Load Balancer Services User role
| Name |
Description |
Permissions |
roles/compute.loadBalancerServiceUser
Beta
|
Permissions to use services from a load balancer in other projects.
|
compute.backendServices.getcompute.backendServices.listcompute.backendServices.usecompute.projects.getcompute.regionBackendServices.getcompute.regionBackendServices.listcompute.regionBackendServices.useresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Network Admin role
| Name |
Description |
Permissions |
roles/compute.networkAdmin
|
Permissions to create, modify, and delete networking resources,
except for firewall rules and SSL certificates. The network admin role
allows read-only access to firewall rules, SSL certificates, and instances
(to view their ephemeral IP addresses). The network admin role does not
allow a user to create, start, stop, or delete instances.
For example, if your company has a security team that manages firewalls
and SSL certificates and a networking team that manages the rest of the
networking resources, then grant this role to the networking team's group.
|
compute.acceleratorTypes.*compute.addresses.*compute.autoscalers.getcompute.autoscalers.listcompute.backendBuckets.*compute.backendServices.*compute.disks.listTagBindingscompute.externalVpnGateways.*compute.firewallPolicies.getcompute.firewallPolicies.listcompute.firewallPolicies.usecompute.firewalls.getcompute.firewalls.listcompute.forwardingRules.*compute.globalAddresses.*compute.globalForwardingRules.*compute.globalNetworkEndpointGroups.getcompute.globalNetworkEndpointGroups.listcompute.globalNetworkEndpointGroups.usecompute.globalOperations.getcompute.globalOperations.listcompute.globalPublicDelegatedPrefixes.deletecompute.globalPublicDelegatedPrefixes.getcompute.globalPublicDelegatedPrefixes.listcompute.globalPublicDelegatedPrefixes.updatecompute.globalPublicDelegatedPrefixes.updatePolicycompute.healthChecks.*compute.httpHealthChecks.*compute.httpsHealthChecks.*compute.images.listTagBindingscompute.instanceGroupManagers.getcompute.instanceGroupManagers.listcompute.instanceGroupManagers.updatecompute.instanceGroupManagers.usecompute.instanceGroups.getcompute.instanceGroups.listcompute.instanceGroups.updatecompute.instanceGroups.usecompute.instances.getcompute.instances.getGuestAttributescompute.instances.getScreenshotcompute.instances.getSerialPortOutputcompute.instances.listcompute.instances.listReferrerscompute.instances.updateSecuritycompute.instances.usecompute.instances.useReadOnlycompute.interconnectAttachments.*compute.interconnectLocations.*compute.interconnects.*compute.machineTypes.*compute.networkEndpointGroups.getcompute.networkEndpointGroups.listcompute.networkEndpointGroups.usecompute.networks.*compute.projects.getcompute.publicDelegatedPrefixes.deletecompute.publicDelegatedPrefixes.getcompute.publicDelegatedPrefixes.listcompute.publicDelegatedPrefixes.updatecompute.publicDelegatedPrefixes.updatePolicycompute.regionBackendServices.*compute.regionHealthCheckServices.*compute.regionHealthChecks.*compute.regionNetworkEndpointGroups.getcompute.regionNetworkEndpointGroups.listcompute.regionNetworkEndpointGroups.usecompute.regionNotificationEndpoints.*compute.regionOperations.getcompute.regionOperations.listcompute.regionSslCertificates.getcompute.regionSslCertificates.listcompute.regionTargetHttpProxies.*compute.regionTargetHttpsProxies.*compute.regionUrlMaps.*compute.regions.*compute.routers.*compute.routes.*compute.securityPolicies.getcompute.securityPolicies.listcompute.securityPolicies.usecompute.serviceAttachments.*compute.snapshots.listTagBindingscompute.sslCertificates.getcompute.sslCertificates.listcompute.sslPolicies.*compute.subnetworks.*compute.targetGrpcProxies.*compute.targetHttpProxies.*compute.targetHttpsProxies.*compute.targetInstances.*compute.targetPools.*compute.targetSslProxies.*compute.targetTcpProxies.*compute.targetVpnGateways.*compute.urlMaps.*compute.vpnGateways.*compute.vpnTunnels.*compute.zoneOperations.getcompute.zoneOperations.listcompute.zones.*networkconnectivity.locations.*networkconnectivity.operations.*networksecurity.*networkservices.*resourcemanager.projects.getresourcemanager.projects.listservicedirectory.namespaces.createservicedirectory.namespaces.deleteservicedirectory.services.createservicedirectory.services.deleteservicenetworking.operations.getservicenetworking.services.addPeeringservicenetworking.services.getserviceusage.quotas.getserviceusage.services.getserviceusage.services.listtrafficdirector.*
|
Compute Network User role
| Name |
Description |
Permissions |
roles/compute.networkUser
|
Provides access to a shared VPC network
Once granted, service owners can use VPC networks and subnets that belong
to the host project. For example, a network user can create a VM instance
that belongs to a host project network but they cannot delete or create
new networks in the host project.
|
compute.addresses.createInternalcompute.addresses.deleteInternalcompute.addresses.getcompute.addresses.listcompute.addresses.useInternalcompute.externalVpnGateways.getcompute.externalVpnGateways.listcompute.externalVpnGateways.usecompute.firewalls.getcompute.firewalls.listcompute.interconnectAttachments.getcompute.interconnectAttachments.listcompute.interconnectLocations.*compute.interconnects.getcompute.interconnects.listcompute.interconnects.usecompute.networks.accesscompute.networks.getcompute.networks.getEffectiveFirewallscompute.networks.listcompute.networks.listPeeringRoutescompute.networks.usecompute.networks.useExternalIpcompute.projects.getcompute.regions.*compute.routers.getcompute.routers.listcompute.routes.getcompute.routes.listcompute.serviceAttachments.getcompute.serviceAttachments.listcompute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.usecompute.subnetworks.useExternalIpcompute.targetVpnGateways.getcompute.targetVpnGateways.listcompute.vpnGateways.getcompute.vpnGateways.listcompute.vpnGateways.usecompute.vpnTunnels.getcompute.vpnTunnels.listcompute.zones.*networkconnectivity.locations.*networkconnectivity.operations.getnetworkconnectivity.operations.listnetworksecurity.authorizationPolicies.getnetworksecurity.authorizationPolicies.listnetworksecurity.authorizationPolicies.usenetworksecurity.clientTlsPolicies.getnetworksecurity.clientTlsPolicies.listnetworksecurity.clientTlsPolicies.usenetworksecurity.locations.*networksecurity.operations.getnetworksecurity.operations.listnetworksecurity.serverTlsPolicies.getnetworksecurity.serverTlsPolicies.listnetworksecurity.serverTlsPolicies.usenetworkservices.endpointConfigSelectors.getnetworkservices.endpointConfigSelectors.listnetworkservices.endpointConfigSelectors.usenetworkservices.endpointPolicies.getnetworkservices.endpointPolicies.listnetworkservices.endpointPolicies.usenetworkservices.httpFilters.getnetworkservices.httpFilters.listnetworkservices.httpFilters.usenetworkservices.httpfilters.getnetworkservices.httpfilters.listnetworkservices.httpfilters.usenetworkservices.locations.*networkservices.operations.getnetworkservices.operations.listresourcemanager.projects.getresourcemanager.projects.listservicenetworking.services.getserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Network Viewer role
Compute Organization Firewall Policy Admin role
| Name |
Description |
Permissions |
roles/compute.orgFirewallPolicyAdmin
|
Full control of Compute Engine Organization Firewall Policies.
|
compute.firewallPolicies.cloneRulescompute.firewallPolicies.createcompute.firewallPolicies.deletecompute.firewallPolicies.getcompute.firewallPolicies.getIamPolicycompute.firewallPolicies.listcompute.firewallPolicies.movecompute.firewallPolicies.setIamPolicycompute.firewallPolicies.updatecompute.firewallPolicies.usecompute.globalOperations.getcompute.globalOperations.getIamPolicycompute.globalOperations.listcompute.globalOperations.setIamPolicycompute.projects.getcompute.regionOperations.getcompute.regionOperations.getIamPolicycompute.regionOperations.listcompute.regionOperations.setIamPolicyresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Organization Firewall Policy User role
| Name |
Description |
Permissions |
roles/compute.orgFirewallPolicyUser
|
View or use Compute Engine Firewall Policies to associate with the organization or folders.
|
compute.firewallPolicies.getcompute.firewallPolicies.listcompute.firewallPolicies.usecompute.globalOperations.getcompute.globalOperations.getIamPolicycompute.globalOperations.listcompute.projects.getcompute.regionOperations.getcompute.regionOperations.getIamPolicycompute.regionOperations.listresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Organization Security Policy Admin role
| Name |
Description |
Permissions |
roles/compute.orgSecurityPolicyAdmin
|
Full control of Compute Engine Organization Security Policies.
|
compute.firewallPolicies.*compute.globalOperations.getcompute.globalOperations.getIamPolicycompute.globalOperations.listcompute.globalOperations.setIamPolicycompute.projects.getcompute.securityPolicies.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Organization Security Policy User role
| Name |
Description |
Permissions |
roles/compute.orgSecurityPolicyUser
|
View or use Compute Engine Security Policies to associate with the organization or folders.
|
compute.firewallPolicies.addAssociationcompute.firewallPolicies.getcompute.firewallPolicies.listcompute.firewallPolicies.removeAssociationcompute.firewallPolicies.usecompute.globalOperations.getcompute.globalOperations.getIamPolicycompute.globalOperations.listcompute.globalOperations.setIamPolicycompute.projects.getcompute.securityPolicies.addAssociationcompute.securityPolicies.getcompute.securityPolicies.listcompute.securityPolicies.removeAssociationcompute.securityPolicies.useresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Organization Resource Admin role
| Name |
Description |
Permissions |
roles/compute.orgSecurityResourceAdmin
|
Full control of Compute Engine Firewall Policy associations to the organization or folders.
|
compute.globalOperations.getcompute.globalOperations.getIamPolicycompute.globalOperations.listcompute.globalOperations.setIamPolicycompute.organizations.listAssociationscompute.organizations.setFirewallPolicycompute.organizations.setSecurityPolicycompute.projects.getresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute OS Admin Login role
| Name |
Description |
Permissions |
roles/compute.osAdminLogin
|
Access to log in to a Compute Engine instance as an administrator
user.
|
compute.disks.listTagBindingscompute.images.listTagBindingscompute.instances.getcompute.instances.listcompute.instances.osAdminLogincompute.instances.osLogincompute.projects.getcompute.snapshots.listTagBindingsresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute OS Login role
| Name |
Description |
Permissions |
roles/compute.osLogin
|
Access to log in to a Compute Engine instance as a standard user.
|
compute.disks.listTagBindingscompute.images.listTagBindingscompute.instances.getcompute.instances.listcompute.instances.osLogincompute.projects.getcompute.snapshots.listTagBindingsresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute OS Login External User role
| Name |
Description |
Permissions |
roles/compute.osLoginExternalUser
|
Available only at the organization level.
Access for an external user to set OS Login information associated with
this organization. This role does not grant access to instances. External
users must be granted one of the required
OS Login roles
in order to allow access to instances using SSH.
|
|
Compute packet mirroring admin role
| Name |
Description |
Permissions |
roles/compute.packetMirroringAdmin
|
Specify resources to be mirrored.
|
compute.instances.updateSecuritycompute.networks.mirrorcompute.projects.getcompute.subnetworks.mirrorresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute packet mirroring user role
| Name |
Description |
Permissions |
roles/compute.packetMirroringUser
|
Use Compute Engine packet mirrorings.
|
compute.packetMirrorings.*compute.projects.getresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Public IP Admin role
| Name |
Description |
Permissions |
roles/compute.publicIpAdmin
|
Full control of public IP address management for Compute Engine.
|
compute.addresses.*compute.globalAddresses.*compute.globalPublicDelegatedPrefixes.*compute.publicAdvertisedPrefixes.*compute.publicDelegatedPrefixes.*resourcemanager.projects.getresourcemanager.projects.list
|
Compute Security Admin role
| Name |
Description |
Permissions |
roles/compute.securityAdmin
|
Permissions to create, modify, and delete firewall rules and SSL
certificates, and also to
configure Shielded VMBETA
settings.
For example, if your company has a security team that manages firewalls
and SSL certificates and a networking team that manages the rest of the
networking resources, then grant this role to the security team's group.
|
compute.firewallPolicies.*compute.firewalls.*compute.globalOperations.getcompute.globalOperations.listcompute.instances.getEffectiveFirewallscompute.instances.setShieldedInstanceIntegrityPolicycompute.instances.setShieldedVmIntegrityPolicycompute.instances.updateSecuritycompute.instances.updateShieldedInstanceConfigcompute.instances.updateShieldedVmConfigcompute.networks.getcompute.networks.getEffectiveFirewallscompute.networks.listcompute.networks.updatePolicycompute.packetMirrorings.*compute.projects.getcompute.regionOperations.getcompute.regionOperations.listcompute.regionSslCertificates.*compute.regions.*compute.routes.getcompute.routes.listcompute.securityPolicies.*compute.sslCertificates.*compute.sslPolicies.*compute.subnetworks.getcompute.subnetworks.listcompute.zoneOperations.getcompute.zoneOperations.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Storage Admin role
| Name |
Description |
Permissions |
roles/compute.storageAdmin
|
Permissions to create, modify, and delete disks, images, and snapshots.
For example, if your company has someone who manages project images and
you don't want them to have the editor role on the project, then grant
this role to their account on the project.
|
compute.diskTypes.*compute.disks.*compute.globalOperations.getcompute.globalOperations.listcompute.images.*compute.licenseCodes.*compute.licenses.*compute.projects.getcompute.regionOperations.getcompute.regionOperations.listcompute.regions.*compute.resourcePolicies.*compute.snapshots.*compute.zoneOperations.getcompute.zoneOperations.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Viewer role
Compute Shared VPC Admin role
| Name |
Description |
Permissions |
roles/compute.xpnAdmin
|
Permissions to administer shared VPC host projects,
specifically enabling the host projects and associating shared VPC service projects to the host
project's network.
At the organization level, this role can only be granted by an organization admin.
Google Cloud recommends that the Shared VPC Admin be the owner of the shared VPC host project. The
Shared VPC Admin is responsible for granting the Compute Network User role
(roles/compute.networkUser) to service owners, and the shared VPC host project owner
controls the project itself. Managing the project is easier if a single principal (individual or
group) can fulfill both roles.
|
compute.globalOperations.getcompute.globalOperations.listcompute.organizations.administerXpncompute.organizations.disableXpnHostcompute.organizations.disableXpnResourcecompute.organizations.enableXpnHostcompute.organizations.enableXpnResourcecompute.projects.getcompute.subnetworks.getIamPolicycompute.subnetworks.setIamPolicyresourcemanager.organizations.getresourcemanager.projects.getresourcemanager.projects.getIamPolicyresourcemanager.projects.list
|
GuestPolicy Admin role
| Name |
Description |
Permissions |
roles/osconfig.guestPolicyAdmin
Beta
|
Full admin access to GuestPolicies
|
osconfig.guestPolicies.*resourcemanager.projects.getresourcemanager.projects.list
|
GuestPolicy Editor role
| Name |
Description |
Permissions |
roles/osconfig.guestPolicyEditor
Beta
|
Editor of GuestPolicy resources
|
osconfig.guestPolicies.getosconfig.guestPolicies.listosconfig.guestPolicies.updateresourcemanager.projects.getresourcemanager.projects.list
|
GuestPolicy Viewer role
| Name |
Description |
Permissions |
roles/osconfig.guestPolicyViewer
Beta
|
Viewer of GuestPolicy resources
|
osconfig.guestPolicies.getosconfig.guestPolicies.listresourcemanager.projects.getresourcemanager.projects.list
|
InstanceOSPoliciesCompliance Viewer role
| Name |
Description |
Permissions |
roles/osconfig.instanceOSPoliciesComplianceViewer
Beta
|
Viewer of OS Policies Compliance of VM instances
|
osconfig.instanceOSPoliciesCompliances.*resourcemanager.projects.getresourcemanager.projects.list
|
OS Inventory Viewer role
| Name |
Description |
Permissions |
roles/osconfig.inventoryViewer
|
Viewer of OS Inventories
|
osconfig.inventories.*resourcemanager.projects.getresourcemanager.projects.list
|
OSPolicyAssignment Admin role
| Name |
Description |
Permissions |
roles/osconfig.osPolicyAssignmentAdmin
Beta
|
Full admin access to OS Policy Assignments
|
osconfig.osPolicyAssignments.*resourcemanager.projects.getresourcemanager.projects.list
|
OSPolicyAssignment Editor role
| Name |
Description |
Permissions |
roles/osconfig.osPolicyAssignmentEditor
Beta
|
Editor of OS Policy Assignments
|
osconfig.osPolicyAssignments.getosconfig.osPolicyAssignments.listosconfig.osPolicyAssignments.updateresourcemanager.projects.getresourcemanager.projects.list
|
OSPolicyAssignmentReport Viewer role
| Name |
Description |
Permissions |
roles/osconfig.osPolicyAssignmentReportViewer
Beta
|
Viewer of OS policy assignment reports for VM instances
|
osconfig.osPolicyAssignmentReports.*resourcemanager.projects.getresourcemanager.projects.list
|
OSPolicyAssignment Viewer role
| Name |
Description |
Permissions |
roles/osconfig.osPolicyAssignmentViewer
Beta
|
Viewer of OS Policy Assignments
|
osconfig.osPolicyAssignments.getosconfig.osPolicyAssignments.listresourcemanager.projects.getresourcemanager.projects.list
|
PatchDeployment Admin role
| Name |
Description |
Permissions |
roles/osconfig.patchDeploymentAdmin
|
Full admin access to PatchDeployments
|
osconfig.patchDeployments.*resourcemanager.projects.getresourcemanager.projects.list
|
PatchDeployment Viewer role
| Name |
Description |
Permissions |
roles/osconfig.patchDeploymentViewer
|
Viewer of PatchDeployment resources
|
osconfig.patchDeployments.getosconfig.patchDeployments.listresourcemanager.projects.getresourcemanager.projects.list
|
Patch Job Executor role
| Name |
Description |
Permissions |
roles/osconfig.patchJobExecutor
|
Access to execute Patch Jobs.
|
osconfig.patchJobs.*resourcemanager.projects.getresourcemanager.projects.list
|
Patch Job Viewer role
| Name |
Description |
Permissions |
roles/osconfig.patchJobViewer
|
Get and list Patch Jobs.
|
osconfig.patchJobs.getosconfig.patchJobs.listresourcemanager.projects.getresourcemanager.projects.list
|
OS VulnerabilityReport Viewer role
| Name |
Description |
Permissions |
roles/osconfig.vulnerabilityReportViewer
|
Viewer of OS VulnerabilityReports
|
osconfig.vulnerabilityReports.*resourcemanager.projects.getresourcemanager.projects.list
|
DNS Administrator role
| Name |
Description |
Permissions |
roles/dns.admin
|
Provides read-write access to all Cloud DNS resources.
|
compute.networks.getcompute.networks.listdns.changes.*dns.dnsKeys.*dns.managedZoneOperations.*dns.managedZones.*dns.networks.*dns.policies.createdns.policies.deletedns.policies.getdns.policies.listdns.policies.updatedns.projects.*dns.resourceRecordSets.*dns.responsePolicies.*dns.responsePolicyRules.*resourcemanager.projects.getresourcemanager.projects.list
|
DNS Peer role
| Name |
Description |
Permissions |
roles/dns.peer
|
Access to target networks with DNS peering zones
|
dns.networks.targetWithPeeringZone
|
DNS Reader role
| Name |
Description |
Permissions |
roles/dns.reader
|
Provides read-only access to all Cloud DNS resources.
|
compute.networks.getdns.changes.getdns.changes.listdns.dnsKeys.*dns.managedZoneOperations.*dns.managedZones.getdns.managedZones.listdns.policies.getdns.policies.listdns.projects.*dns.resourceRecordSets.getdns.resourceRecordSets.listdns.responsePolicies.getdns.responsePolicies.listdns.responsePolicyRules.getdns.responsePolicyRules.listresourcemanager.projects.getresourcemanager.projects.list
|
Rôle Administrateur de compte de service
| Nom |
Description |
Autorisations |
roles/iam.serviceAccountAdmin
|
Créer et gérer des comptes de service. |
iam.serviceAccounts.createiam.serviceAccounts.deleteiam.serviceAccounts.disableiam.serviceAccounts.enableiam.serviceAccounts.getiam.serviceAccounts.getIamPolicyiam.serviceAccounts.listiam.serviceAccounts.setIamPolicyiam.serviceAccounts.undeleteiam.serviceAccounts.updateresourcemanager.projects.getresourcemanager.projects.list
|
Rôle permettant de créer des comptes de service
| Nom |
Description |
Autorisations |
roles/iam.serviceAccountCreator
|
Accès permettant de créer des comptes de service. |
iam.serviceAccounts.createiam.serviceAccounts.getiam.serviceAccounts.listresourcemanager.projects.getresourcemanager.projects.list
|
Rôle permettant de supprimer des comptes de service
| Nom |
Description |
Autorisations |
roles/iam.serviceAccountDeleter
|
Accès permettant de supprimer des comptes de service. |
iam.serviceAccounts.deleteiam.serviceAccounts.getiam.serviceAccounts.listresourcemanager.projects.getresourcemanager.projects.list
|
Rôle d'administrateur de clé de compte de service
| Nom |
Description |
Autorisations |
roles/iam.serviceAccountKeyAdmin
|
Créer et gérer (et faire tourner) les clés du compte de service. |
iam.serviceAccountKeys.*iam.serviceAccounts.getiam.serviceAccounts.listresourcemanager.projects.getresourcemanager.projects.list
|
Rôle permettant la création de jetons de compte de service
| Nom |
Description |
Autorisations |
roles/iam.serviceAccountTokenCreator
|
Emprunter l'identité des comptes de service (créer des jetons d'accès OAuth2, signer des blobs ou JWT, etc.). |
iam.serviceAccounts.getiam.serviceAccounts.getAccessTokeniam.serviceAccounts.getOpenIdTokeniam.serviceAccounts.implicitDelegationiam.serviceAccounts.listiam.serviceAccounts.signBlobiam.serviceAccounts.signJwtresourcemanager.projects.getresourcemanager.projects.list
|
Rôle Utilisateur du compte de service
| Nom |
Description |
Autorisations |
roles/iam.serviceAccountUser
|
Exécute les opérations en tant que compte de service. |
iam.serviceAccounts.actAsiam.serviceAccounts.getiam.serviceAccounts.listresourcemanager.projects.getresourcemanager.projects.list
|
Rôle d'utilisateur Workload Identity
| Nom |
Description |
Autorisations |
roles/iam.workloadIdentityUser
|
Emprunter l'identité des comptes de service des charges de travail GKE |
iam.serviceAccounts.getiam.serviceAccounts.getAccessTokeniam.serviceAccounts.getOpenIdTokeniam.serviceAccounts.list
|
Étape suivante
