Document AI 的 IAM 角色

预定义角色

下表介绍了与 Document AI 关联的 Identity and Access Management (IAM) 角色,并列出了每个角色中包含的权限。除非另有说明,否则这些角色既可以应用于整个项目,也可以应用于特定的处理器。

角色 说明 权限
Document AI 管理员 (roles/documentai.admin) 可授予对 Document AI 中所有资源的完整访问权限。 角色:roles/documentai.editor
Document AI Editor (roles/documentai.editor) 可授予对 Document AI 中所有资源的使用权限。 角色:roles/documentai.viewer
documentai.processors.create
documentai.processors.update
documentai.processors.delete
Document AI Viewer (roles/documentai.viewer) 可授予查看 Document AI 中所有资源和处理其中文档的权限 角色:roles/documentai.apiUser
权限:resourcemanager.projects.get
resourcemanager.projects.list
documentai.locations.get
documentai.locations.list
documentai.processorTypes.list
documentai.processors.get
documentai.processors.list
Document AI API User (roles/documentai.apiUser) 可授予处理 Document AI 中文档的权限 权限:documentai.operations.getLegacy
documentai.processors.processOnline
documentai.processors.processBatch

基本角色

基本角色指在引入 IAM 之前就已存在的角色。这些角色具有独特的特征:

  • 您只能针对整个项目授予基本角色,不能针对项目中的各存储分区。与您为项目授予的其他角色一样,基本角色适用于项目中的所有存储分区和对象。

  • 基本角色包含本部分中未介绍的其他 Google Cloud服务的额外权限。请参阅基本角色,了解基本角色授予的权限的一般性论述。

  • 某些情况下,您可以群组形式使用基本角色,这会导致具有基本角色的任何主账号获得某些资源的额外访问权限。

    • 授予存储分区角色时,您可以群组形式使用基本角色。

    • 在对象上设置 ACL 时,您可以群组形式使用基本角色。

    这种行为通常会导致具有基本角色的主账号获得额外的访问权限,如需了解这方面的探讨,请参阅可修改的行为

自定义角色

您可能想要定义自己的角色(包含您指定的一组权限)。为此,IAM 提供了自定义角色

后续步骤