Comprende las funciones

En esta página, se describen las funciones de IAM y se enumeran las funciones predefinidas que puedes otorgar a tus principales.

Una función contiene un conjunto de permisos que te permite realizar acciones específicas en los recursos de Google Cloud. A fin de que los permisos estén disponibles para las principales, incluidos los usuarios, los grupos y las cuentas de servicio, debes otorgar funciones a las principales.

Requisitos para esta guía

Tipos de funciones

Existen tres tipos de funciones en IAM:

  • Funciones básicas, que incluyen las funciones de propietario, editor y visualizador que existían antes de la introducción de IAM.
  • Funciones predefinidas, que proporcionan acceso detallado a un servicio específico y que Google Cloud administra.
  • Funciones personalizadas, que proporcionan acceso detallado en función de una lista de permisos especificada por el usuario.

Para determinar si un permiso se incluye en una función básica, predefinida o personalizada, puedes usar uno de estos métodos:

En las secciones a continuación, se describe cada tipo de función y se proporcionan ejemplos sobre cómo usarlas.

Funciones básicas

Existen varias funciones básicas que existían antes de la introducción de IAM: propietario, editor y visualizador. Estas funciones son concéntricas; es decir, la función de propietario incluye los permisos de la función de editor y, esta última, incluye los permisos de la función de visualizador. En un principio, se conocían como “funciones básicas”.

En la siguiente tabla, se resumen los permisos que incluyen las funciones básicas en todos los servicios de Google Cloud:

Definiciones de las funciones básicas

Nombre Cargo Permisos
roles/viewer Visualizador Permisos para acciones de solo lectura que no afectan el estado, como leer (pero no modificar) los recursos o datos existentes.
roles/editor Editor Todos los permisos de la función visualizador, además de los permisos adicionales para acciones que modifican el estado, como el cambio de recursos existentes.
Nota: La función de editor contiene permisos para crear y borrar recursos de la mayoría de los servicios de Google Cloud. Sin embargo, no contiene permisos para realizar todas las acciones de todos los servicios. Para obtener más información sobre cómo verificar si una función tiene los permisos que necesitas, consulta Tipos de funciones en esta página.
roles/owner Propietario Todos los permisos de la función de editor, además de permisos para realizar las siguientes acciones:
  • Administrar funciones y permisos de un proyecto y todos los recursos dentro de este
  • Configurar la facturación de un proyecto
Nota:
  • Otorgar la función de propietario a nivel de recurso, como un tema de Pub/Sub, no otorga la función de propietario en el proyecto superior.
  • Otorgar la función de propietario a nivel de la organización, no permite actualizar los metadatos de la organización. Sin embargo, te permite modificar todos los proyectos y otros recursos de esa organización.
  • Para otorgar el rol de propietario en un proyecto a un usuario fuera de tu organización, debes usar la consola de Google Cloud, no la CLI de gcloud. Si el proyecto no forma parte de una organización, debes usar la consola para otorgar el rol de propietario.

Puedes otorgar roles básicos con la consola, la API y la CLI de gcloud. Para otorgar roles básicos en un proyecto, una carpeta o una organización, consulta Administra el acceso a los proyectos, las carpetas y las organizaciones. Para otorgar roles básicos en otros recursos, consulta Administra el acceso a otros recursos.

Funciones predefinidas

Además de las funciones básicas, IAM proporciona funciones predefinidas adicionales que brindan acceso detallado a recursos específicos de Google Cloud y evitan el acceso no deseado a otros recursos. Google crea y mantiene las estas funciones. Google actualiza sus permisos automáticamente, según sea necesario, como cuando Google Cloud agrega funciones o servicios nuevos.

En la tabla siguiente, se enumeran estas funciones, sus descripciones y el tipo de recurso de nivel más bajo en el que se pueden establecer las funciones. Se puede otorgar una función específica a este tipo de recurso o, en la mayoría de los casos, a cualquier tipo superior en la jerarquía de recursos de Google Cloud.

Puedes otorgar varias funciones al mismo usuario en cualquier nivel de la jerarquía de recursos. Por ejemplo, el mismo usuario puede tener las funciones de administrador de red de Compute y visor de registros en un proyecto, y también tener la función de publicador de Pub/Sub en un tema de Pub/Sub dentro de ese proyecto. Para enumerar los permisos que contiene una función, consulta Obtén los metadatos de la función.

Si deseas obtener ayuda para elegir las funciones predefinidas más adecuadas, consulta Elige funciones predefinidas.

Funciones de aprobación de acceso

Función Permisos

Responsable de aprobación de acceso Beta
(roles/accessapproval.approver)

Puede ver o responder solicitudes de aprobación de acceso y ver la configuración.

  • accessapproval.requests.*
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Editor de configuración de aprobación de acceso Beta
(roles/accessapproval.configEditor)

Puede actualizar la configuración de la aprobación de acceso.

  • accessapproval.settings.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Invalidador de aprobación de acceso Beta
(roles/accessapproval.invalidator)

Otorga la capacidad para invalidar las solicitudes de aprobación existentes que ya están aprobadas

  • accessapproval.requests.invalidate
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de aprobación de acceso Beta
(roles/accessapproval.viewer)

Puede ver las solicitudes de aprobación de acceso y la configuración.

  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Funciones de Access Context Manager

Función Permisos

Administrador de vinculaciones de acceso a Cloud
(roles/accesscontextmanager.gcpAccessAdmin)

Crea, edita y modifica las vinculaciones de acceso de Cloud.

  • accesscontextmanager.gcpUserAccessBindings.*

Lector de vinculaciones de acceso a Cloud
(roles/accesscontextmanager.gcpAccessReader)

Acceso de lectura a las vinculaciones de acceso a Cloud.

  • accesscontextmanager.gcpUserAccessBindings.get
  • accesscontextmanager.gcpUserAccessBindings.list

Administrador de Access Context Manager
(roles/accesscontextmanager.policyAdmin)

Acceso total a las políticas, los niveles de acceso y las zonas de acceso

  • accesscontextmanager.accessLevels.*
  • accesscontextmanager.accessPolicies.*
  • accesscontextmanager.accessZones.*
  • accesscontextmanager.policies.*
  • accesscontextmanager.servicePerimeters.*
  • cloudasset.assets.searchAllResources
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Editor de Access Context Manager
(roles/accesscontextmanager.policyEditor)

Edita el acceso a las políticas. Crea, edita y cambia niveles y zonas de acceso.

  • accesscontextmanager.accessLevels.*
  • accesscontextmanager.accessPolicies.create
  • accesscontextmanager.accessPolicies.delete
  • accesscontextmanager.accessPolicies.get
  • accesscontextmanager.accessPolicies.getIamPolicy
  • accesscontextmanager.accessPolicies.list
  • accesscontextmanager.accessPolicies.update
  • accesscontextmanager.accessZones.*
  • accesscontextmanager.policies.create
  • accesscontextmanager.policies.delete
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.policies.update
  • accesscontextmanager.servicePerimeters.*
  • cloudasset.assets.searchAllResources
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Lector de Access Context Manager
(roles/accesscontextmanager.policyReader)

Acceso de lectura a las políticas, los niveles de acceso y las zonas de acceso

  • accesscontextmanager.accessLevels.get
  • accesscontextmanager.accessLevels.list
  • accesscontextmanager.accessPolicies.get
  • accesscontextmanager.accessPolicies.getIamPolicy
  • accesscontextmanager.accessPolicies.list
  • accesscontextmanager.accessZones.get
  • accesscontextmanager.accessZones.list
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.servicePerimeters.get
  • accesscontextmanager.servicePerimeters.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador del solucionador de problemas de los Controles del servicio de VPC
(roles/accesscontextmanager.vpcScTroubleshooterViewer)

  • accesscontextmanager.accessLevels.get
  • accesscontextmanager.accessLevels.list
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.servicePerimeters.get
  • accesscontextmanager.servicePerimeters.list
  • logging.exclusions.get
  • logging.exclusions.list
  • logging.logEntries.list
  • logging.logMetrics.get
  • logging.logMetrics.list
  • logging.logServiceIndexes.list
  • logging.logServices.list
  • logging.logs.list
  • logging.sinks.get
  • logging.sinks.list
  • logging.usage.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Funciones operativas

Función Permisos

Administrador de acciones
(roles/actions.Admin)

Tiene acceso para editar e implementar una acción.

  • actions.*
  • firebase.projects.get
  • firebase.projects.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

Visualizador de acciones
(roles/actions.Viewer)

Tiene acceso para ver una acción.

  • actions.agent.get
  • actions.agentVersions.get
  • actions.agentVersions.list
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

Funciones de notebooks de IA

Función Permisos

Administrador de notebooks
(roles/notebooks.admin)

Acceso completo para notebooks a todos los recursos

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Instancia
  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.instances.listTagBindings
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.getIamPolicy
  • compute.regionFirewallPolicies.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • notebooks.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Administrador heredado de notebooks
(roles/notebooks.legacyAdmin)

Tiene acceso completo a todos los recursos de notebooks mediante la API de Compute.

  • compute.*
  • notebooks.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Visualizador heredado de notebooks
(roles/notebooks.legacyViewer)

Tiene acceso de solo lectura a todos los recursos de notebooks mediante la API de Compute.

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.instances.listTagBindings
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.getIamPolicy
  • compute.regionFirewallPolicies.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • notebooks.environments.get
  • notebooks.environments.getIamPolicy
  • notebooks.environments.list
  • notebooks.executions.get
  • notebooks.executions.getIamPolicy
  • notebooks.executions.list
  • notebooks.instances.checkUpgradability
  • notebooks.instances.get
  • notebooks.instances.getHealth
  • notebooks.instances.getIamPolicy
  • notebooks.instances.list
  • notebooks.locations.*
  • notebooks.operations.get
  • notebooks.operations.list
  • notebooks.runtimes.get
  • notebooks.runtimes.getIamPolicy
  • notebooks.runtimes.list
  • notebooks.schedules.get
  • notebooks.schedules.getIamPolicy
  • notebooks.schedules.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Ejecutor de notebooks
(roles/notebooks.runner)

Tiene acceso restringido para ejecutar notebooks programados.

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.instances.listTagBindings
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.getIamPolicy
  • compute.regionFirewallPolicies.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • notebooks.environments.get
  • notebooks.environments.getIamPolicy
  • notebooks.environments.list
  • notebooks.executions.create
  • notebooks.executions.get
  • notebooks.executions.getIamPolicy
  • notebooks.executions.list
  • notebooks.instances.checkUpgradability
  • notebooks.instances.create
  • notebooks.instances.get
  • notebooks.instances.getHealth
  • notebooks.instances.getIamPolicy
  • notebooks.instances.list
  • notebooks.locations.*
  • notebooks.operations.get
  • notebooks.operations.list
  • notebooks.runtimes.create
  • notebooks.runtimes.get
  • notebooks.runtimes.getIamPolicy
  • notebooks.runtimes.list
  • notebooks.schedules.create
  • notebooks.schedules.get
  • notebooks.schedules.getIamPolicy
  • notebooks.schedules.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Visualizador de notebooks
(roles/notebooks.viewer)

Acceso de solo lectura para notebooks a todos los recursos.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Instancia
  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.instances.listTagBindings
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.getIamPolicy
  • compute.regionFirewallPolicies.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • notebooks.environments.get
  • notebooks.environments.getIamPolicy
  • notebooks.environments.list
  • notebooks.executions.get
  • notebooks.executions.getIamPolicy
  • notebooks.executions.list
  • notebooks.instances.checkUpgradability
  • notebooks.instances.get
  • notebooks.instances.getHealth
  • notebooks.instances.getIamPolicy
  • notebooks.instances.list
  • notebooks.locations.*
  • notebooks.operations.get
  • notebooks.operations.list
  • notebooks.runtimes.get
  • notebooks.runtimes.getIamPolicy
  • notebooks.runtimes.list
  • notebooks.schedules.get
  • notebooks.schedules.getIamPolicy
  • notebooks.schedules.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Roles de AI Platform

Función Permisos

Administrador de AI Platform
(roles/ml.admin)

Proporciona acceso completo a los recursos de AI Platform y a sus trabajos, operaciones, modelos y versiones.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Proyecto
  • ml.*
  • resourcemanager.projects.get

Desarrollador de AI Platform
(roles/ml.developer)

Permite usar los recursos de AI Platform a fin de crear modelos, versiones y trabajos para capacitación y predicción, además de enviar solicitudes de predicción en línea.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Proyecto
  • ml.jobs.create
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.list
  • ml.locations.*
  • ml.models.create
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.list
  • ml.models.predict
  • ml.operations.get
  • ml.operations.list
  • ml.projects.getConfig
  • ml.studies.*
  • ml.trials.*
  • ml.versions.get
  • ml.versions.list
  • ml.versions.predict
  • resourcemanager.projects.get

Propietario del trabajo de AI Platform
(roles/ml.jobOwner)

Proporciona acceso total a todos los permisos para un recurso de trabajo en particular. Esta función se otorga de forma automática al usuario que crea el trabajo.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Trabajo
  • ml.jobs.*

Propietario del modelo de AI Platform
(roles/ml.modelOwner)

Proporciona acceso total al modelo y sus versiones. Esta función se otorga automáticamente al usuario que crea el modelo.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Modelo
  • ml.models.*
  • ml.versions.*

Usuario del modelo de AI Platform
(roles/ml.modelUser)

Proporciona permisos para leer el modelo y sus versiones, y usarlos en la predicción.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Modelo
  • ml.models.get
  • ml.models.predict
  • ml.versions.get
  • ml.versions.list
  • ml.versions.predict

Propietario de la operación de AI Platform
(roles/ml.operationOwner)

Proporciona acceso total a todos los permisos para un recurso de operación en particular.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Operación
  • ml.operations.*

Visualizador de AI Platform
(roles/ml.viewer)

Proporciona acceso de solo lectura a los recursos de AI Platform.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Proyecto
  • ml.jobs.get
  • ml.jobs.list
  • ml.locations.*
  • ml.models.get
  • ml.models.list
  • ml.operations.get
  • ml.operations.list
  • ml.projects.getConfig
  • ml.studies.get
  • ml.studies.getIamPolicy
  • ml.studies.list
  • ml.trials.get
  • ml.trials.list
  • ml.versions.get
  • ml.versions.list
  • resourcemanager.projects.get

Roles de Analytics Hub

Rol Permisos

Administrador de Analytics Hub Beta
(roles/analyticshub.admin)

Administra intercambios de datos y fichas.

  • analyticshub.dataExchanges.*
  • analyticshub.listings.create
  • analyticshub.listings.delete
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • analyticshub.listings.setIamPolicy
  • analyticshub.listings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de listas de Analytics Hub Beta
(roles/analyticshub.listingAdmin)

Otorga control total sobre la ficha, incluida la actualización, la eliminación y la configuración de las LCA.

  • analyticshub.dataExchanges.get
  • analyticshub.dataExchanges.getIamPolicy
  • analyticshub.dataExchanges.list
  • analyticshub.listings.delete
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • analyticshub.listings.setIamPolicy
  • analyticshub.listings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Publicador de Analytics Hub Beta
(roles/analyticshub.publisher)

Puede publicar en intercambios de datos para crear fichas

  • analyticshub.dataExchanges.get
  • analyticshub.dataExchanges.getIamPolicy
  • analyticshub.dataExchanges.list
  • analyticshub.listings.create
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Suscriptor de Analytics Hub Beta
(roles/analyticshub.subscriber)

Puede explorar intercambios de datos y suscribirse a fichas.

  • analyticshub.dataExchanges.get
  • analyticshub.dataExchanges.getIamPolicy
  • analyticshub.dataExchanges.list
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • analyticshub.listings.subscribe
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de Analytics Hub Beta
(roles/analyticshub.viewer)

Puede explorar intercambios de datos y fichas

  • analyticshub.dataExchanges.get
  • analyticshub.dataExchanges.getIamPolicy
  • analyticshub.dataExchanges.list
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Roles de administración de Android

Función Permisos

Usuario de administración de Android
(roles/androidmanagement.user)

Acceso total para administrar dispositivos.

  • androidmanagement.enterprises.manage
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Funciones de múltiples nubes de Anthos

Función Permisos

Administrador de múltiples nubes de Anthos
(roles/gkemulticloud.admin)

Acceso de administrador a los recursos de múltiples nubes de Anthos.

  • gkemulticloud.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Escritor de telemetría de múltiples nubes de Anthos
(roles/gkemulticloud.telemetryWriter)

Otorga acceso para escribir los datos de telemetría del clúster, como registros, métricas y metadatos de recursos.

  • logging.logEntries.create
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.timeSeries.create
  • opsconfigmonitoring.resourceMetadata.write

Visualizador de múltiples nubes de Anthos
(roles/gkemulticloud.viewer)

Acceso de visualizador a los recursos de múltiples nubes de Anthos.

  • gkemulticloud.awsClusters.generateAccessToken
  • gkemulticloud.awsClusters.get
  • gkemulticloud.awsClusters.list
  • gkemulticloud.awsNodePools.get
  • gkemulticloud.awsNodePools.list
  • gkemulticloud.awsServerConfigs.get
  • gkemulticloud.azureClients.get
  • gkemulticloud.azureClients.list
  • gkemulticloud.azureClusters.generateAccessToken
  • gkemulticloud.azureClusters.get
  • gkemulticloud.azureClusters.list
  • gkemulticloud.azureNodePools.get
  • gkemulticloud.azureNodePools.list
  • gkemulticloud.azureServerConfigs.get
  • gkemulticloud.operations.get
  • gkemulticloud.operations.list
  • gkemulticloud.operations.wait
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Funciones de la puerta de enlace de API

Función Permisos

Administrador de ApiGateway
(roles/apigateway.admin)

Tiene acceso completo a ApiGateway y otros recursos relacionados.

  • apigateway.*
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.services.get
  • serviceusage.services.list

Visualizador de ApiGateway
(roles/apigateway.viewer)

Tiene acceso de solo lectura a ApiGateway y a otros recursos relacionados.

  • apigateway.apiconfigs.get
  • apigateway.apiconfigs.getIamPolicy
  • apigateway.apiconfigs.list
  • apigateway.apis.get
  • apigateway.apis.getIamPolicy
  • apigateway.apis.list
  • apigateway.gateways.get
  • apigateway.gateways.getIamPolicy
  • apigateway.gateways.list
  • apigateway.locations.*
  • apigateway.operations.get
  • apigateway.operations.list
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.services.get
  • serviceusage.services.list

Funciones de Apigee

Función Permisos

Administrador de la organización de Apigee
(roles/apigee.admin)

Acceso total a todas las características de los recursos de Apigee

  • apigee.*
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list

Agente de estadísticas de Apigee
(roles/apigee.analyticsAgent)

Conjunto de permisos seleccionados para que Apigee Universal Data Collection Agent administre las estadísticas en una organización de Apigee

  • apigee.datalocation.get
  • apigee.environments.getDataLocation
  • apigee.runtimeconfigs.get

Editor de estadísticas de Apigee
(roles/apigee.analyticsEditor)

Editor de Analytics para una organización de Apigee

  • apigee.datacollectors.*
  • apigee.datastores.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.*
  • apigee.hostqueries.*
  • apigee.hoststats.get
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.queries.*
  • apigee.reports.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de estadísticas de Apigee
(roles/apigee.analyticsViewer)

Visualizador de Analytics para una organización de Apigee

  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.datastores.get
  • apigee.datastores.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.get
  • apigee.exports.list
  • apigee.hostqueries.get
  • apigee.hostqueries.list
  • apigee.hoststats.get
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.queries.get
  • apigee.queries.list
  • apigee.reports.get
  • apigee.reports.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de la API de Apigee
(roles/apigee.apiAdminV2)

Acceso completo de lectura y escritura a todos los recursos de la API de Apigee

  • apigee.apiproductattributes.*
  • apigee.apiproducts.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.keyvaluemapentries.*
  • apigee.keyvaluemaps.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.*
  • apigee.proxyrevisions.*
  • apigee.sharedflowrevisions.*
  • apigee.sharedflows.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Lector de API de Apigee
(roles/apigee.apiReaderV2)

Lector de recursos de Apigee

  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.keyvaluemapentries.get
  • apigee.keyvaluemapentries.list
  • apigee.keyvaluemaps.list
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.deploy
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.proxyrevisions.undeploy
  • apigee.sharedflowrevisions.deploy
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflowrevisions.undeploy
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de desarrollo de Apigee
(roles/apigee.developerAdmin)

Administrador de desarrollo de recursos de Apigee

  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.appkeys.*
  • apigee.apps.*
  • apigee.datacollectors.*
  • apigee.developerappattributes.*
  • apigee.developerapps.*
  • apigee.developerattributes.*
  • apigee.developerbalances.*
  • apigee.developermonetizationconfigs.*
  • apigee.developers.*
  • apigee.developersubscriptions.*
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.hoststats.get
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.rateplans.get
  • apigee.rateplans.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list

Administrador del entorno de Apigee
(roles/apigee.environmentAdmin)

Tiene acceso completo de lectura y escritura a los recursos del entorno de Apigee, incluidas las implementaciones.

  • apigee.archivedeployments.*
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.deployments.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getIamPolicy
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.environments.setIamPolicy
  • apigee.environments.update
  • apigee.flowhooks.*
  • apigee.ingressconfigs.get
  • apigee.keystorealiases.*
  • apigee.keystores.*
  • apigee.keyvaluemaps.*
  • apigee.maskconfigs.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.deploy
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.proxyrevisions.undeploy
  • apigee.references.*
  • apigee.resourcefiles.*
  • apigee.sharedflowrevisions.deploy
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflowrevisions.undeploy
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • apigee.targetservers.*
  • apigee.tracesessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list

Administrador de monetización de Apigee
(roles/apigee.monetizationAdmin)

Todos los permisos relacionados con la monetización

  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.developerbalances.*
  • apigee.developermonetizationconfigs.*
  • apigee.developersubscriptions.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.rateplans.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador del portal de Apigee
(roles/apigee.portalAdmin)

Administrador de portal para una organización de Apigee

  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.portals.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de solo lectura de Apigee
(roles/apigee.readOnlyAdmin)

Visualizador de todos los recursos de Apigee

  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.appkeys.get
  • apigee.apps.*
  • apigee.archivedeployments.download
  • apigee.archivedeployments.get
  • apigee.archivedeployments.list
  • apigee.caches.list
  • apigee.canaryevaluations.get
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.datalocation.get
  • apigee.datastores.get
  • apigee.datastores.list
  • apigee.deployments.get
  • apigee.deployments.list
  • apigee.developerappattributes.get
  • apigee.developerappattributes.list
  • apigee.developerapps.get
  • apigee.developerapps.list
  • apigee.developerattributes.get
  • apigee.developerattributes.list
  • apigee.developerbalances.get
  • apigee.developermonetizationconfigs.get
  • apigee.developers.get
  • apigee.developers.list
  • apigee.developersubscriptions.get
  • apigee.developersubscriptions.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getDataLocation
  • apigee.environments.getIamPolicy
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.get
  • apigee.exports.list
  • apigee.flowhooks.getSharedFlow
  • apigee.flowhooks.list
  • apigee.hostqueries.get
  • apigee.hostqueries.list
  • apigee.hostsecurityreports.get
  • apigee.hostsecurityreports.list
  • apigee.hoststats.get
  • apigee.ingressconfigs.get
  • apigee.instanceattachments.get
  • apigee.instanceattachments.list
  • apigee.instances.get
  • apigee.instances.list
  • apigee.keystorealiases.get
  • apigee.keystorealiases.list
  • apigee.keystores.get
  • apigee.keystores.list
  • apigee.keyvaluemapentries.get
  • apigee.keyvaluemapentries.list
  • apigee.keyvaluemaps.list
  • apigee.maskconfigs.get
  • apigee.operations.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.portals.get
  • apigee.portals.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.queries.get
  • apigee.queries.list
  • apigee.rateplans.get
  • apigee.rateplans.list
  • apigee.references.get
  • apigee.references.list
  • apigee.reports.get
  • apigee.reports.list
  • apigee.resourcefiles.get
  • apigee.resourcefiles.list
  • apigee.runtimeconfigs.get
  • apigee.securityProfileEnvironments.computeScore
  • apigee.securityProfiles.*
  • apigee.securityStats.*
  • apigee.securityreports.get
  • apigee.securityreports.list
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • apigee.targetservers.get
  • apigee.targetservers.list
  • apigee.tracesessions.get
  • apigee.tracesessions.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list

Agente del entorno de ejecución de Apigee
(roles/apigee.runtimeAgent)

Conjunto de permisos seleccionados para que un agente de entorno de ejecución acceda a los recursos de la organización de Apigee.

  • apigee.canaryevaluations.*
  • apigee.ingressconfigs.get
  • apigee.instances.reportStatus
  • apigee.operations.*
  • apigee.organizations.get
  • apigee.runtimeconfigs.get

Administrador de seguridad de Apigee
(roles/apigee.securityAdmin)

Administrador de seguridad de una organización de Apigee

  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.list
  • apigee.hostsecurityreports.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.securityProfileEnvironments.*
  • apigee.securityProfiles.*
  • apigee.securityStats.*
  • apigee.securityreports.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de seguridad de Apigee
(roles/apigee.securityViewer)

Visualizador de seguridad de una organización de Apigee

  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.list
  • apigee.hostsecurityreports.get
  • apigee.hostsecurityreports.list
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.securityProfileEnvironments.computeScore
  • apigee.securityProfiles.*
  • apigee.securityStats.*
  • apigee.securityreports.get
  • apigee.securityreports.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de Synchronizer de Apigee
(roles/apigee.synchronizerManager)

Conjunto de permisos seleccionados para que Synchronizer administre entornos en una organización de Apigee

  • apigee.environments.get
  • apigee.environments.manageRuntime
  • apigee.ingressconfigs.get

Administrador de Apigee Connect
(roles/apigeeconnect.Admin)

Administrador de Apigee Connect

  • apigeeconnect.connections.list

Agente de Apigee Connect
(roles/apigeeconnect.Agent)

Puede configurar un agente de Apigee Connect entre los clústeres externos y Google.

  • apigeeconnect.endpoints.connect

Funciones de Apigee Registry

Rol Permisos

Administrador de Registro de Apigee de Cloud Beta
(roles/apigeeregistry.admin)

Acceso completo a los recursos de entorno de ejecución y registros de Cloud Apigee Registry.

  • apigeeregistry.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Editor de Apigee Registry de Cloud Beta
(roles/apigeeregistry.editor)

Tiene acceso de edición a los recursos de registro de Cloud Apigee Registry.

  • apigeeregistry.apis.create
  • apigeeregistry.apis.delete
  • apigeeregistry.apis.get
  • apigeeregistry.apis.getIamPolicy
  • apigeeregistry.apis.list
  • apigeeregistry.apis.update
  • apigeeregistry.artifacts.create
  • apigeeregistry.artifacts.delete
  • apigeeregistry.artifacts.get
  • apigeeregistry.artifacts.getIamPolicy
  • apigeeregistry.artifacts.list
  • apigeeregistry.artifacts.update
  • apigeeregistry.deployments.*
  • apigeeregistry.specs.create
  • apigeeregistry.specs.delete
  • apigeeregistry.specs.get
  • apigeeregistry.specs.getIamPolicy
  • apigeeregistry.specs.list
  • apigeeregistry.specs.update
  • apigeeregistry.versions.create
  • apigeeregistry.versions.delete
  • apigeeregistry.versions.get
  • apigeeregistry.versions.getIamPolicy
  • apigeeregistry.versions.list
  • apigeeregistry.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de Apigee Registry de Cloud Beta
(roles/apigeeregistry.viewer)

Tiene acceso de solo lectura a los recursos de registro de Cloud Apigee Registry.

  • apigeeregistry.apis.get
  • apigeeregistry.apis.list
  • apigeeregistry.artifacts.get
  • apigeeregistry.artifacts.list
  • apigeeregistry.deployments.get
  • apigeeregistry.deployments.list
  • apigeeregistry.specs.get
  • apigeeregistry.specs.list
  • apigeeregistry.versions.get
  • apigeeregistry.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Trabajador de Apigee Registry de Cloud Beta
(roles/apigeeregistry.worker)

Función que usan los trabajadores de aplicaciones de Apigee Registry para leer y actualizar artefactos de Apigee Registry.

  • apigeeregistry.apis.get
  • apigeeregistry.apis.list
  • apigeeregistry.apis.update
  • apigeeregistry.artifacts.create
  • apigeeregistry.artifacts.delete
  • apigeeregistry.artifacts.get
  • apigeeregistry.artifacts.list
  • apigeeregistry.artifacts.update
  • apigeeregistry.deployments.get
  • apigeeregistry.deployments.list
  • apigeeregistry.deployments.update
  • apigeeregistry.specs.get
  • apigeeregistry.specs.list
  • apigeeregistry.specs.update
  • apigeeregistry.versions.get
  • apigeeregistry.versions.list
  • apigeeregistry.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Funciones de App Engine

Función Permisos

Administrador de App Engine
(roles/appengine.appAdmin)

Acceso de lectura, escritura y modificación a toda la configuración y los ajustes de la aplicación.

Para implementar versiones nuevas, un principal debe tener la función de usuario de cuenta de servicio (roles/iam.serviceAccountUser) en la cuenta de servicio predeterminada de App Engine, y las funciones de editor de Cloud Build (roles/cloudbuild.builds.editor) y administrador de objetos de Cloud Storage (roles/storage.objectAdmin) en el proyecto.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Proyecto
  • appengine.applications.get
  • appengine.applications.update
  • appengine.instances.*
  • appengine.memcache.addKey
  • appengine.memcache.flush
  • appengine.memcache.get
  • appengine.memcache.update
  • appengine.operations.*
  • appengine.runtimes.actAsAdmin
  • appengine.services.*
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Creador de App Engine
(roles/appengine.appCreator)

Puede crear el recurso de App Engine para el proyecto.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Proyecto
  • appengine.applications.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de App Engine
(roles/appengine.appViewer)

Acceso de solo lectura a toda la configuración y los ajustes de la aplicación.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Proyecto
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.get
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de código de App Engine
(roles/appengine.codeViewer)

Acceso de solo lectura a toda la configuración de la aplicación, a los ajustes y al código fuente implementado.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Proyecto
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.get
  • appengine.versions.getFileContents
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Implementador de App Engine
(roles/appengine.deployer)

Acceso de solo lectura a toda la configuración y los ajustes de la aplicación.

Para implementar versiones nuevas, también debes tener la función de usuario de cuenta de servicio (roles/iam.serviceAccountUser) en la cuenta de servicio predeterminada de App Engine, y las funciones de editor de Cloud Build (roles/cloudbuild.builds.editor) y administrador de objetos de Cloud Storage (roles/storage.objectAdmin) en el proyecto.

No se pueden modificar las versiones existentes, salvo borrar versiones que no reciben tráfico.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Proyecto
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de servicios de App Engine
(roles/appengine.serviceAdmin)

Acceso de solo lectura a toda la configuración y los ajustes de la aplicación.

Acceso de escritura a la configuración de nivel de módulo y nivel de versión. No puede implementar una versión nueva.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Proyecto
  • appengine.applications.get
  • appengine.instances.*
  • appengine.operations.*
  • appengine.services.*
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Funciones de Artifact Registry

Función Permisos

Administrador de Artifact Registry
(roles/artifactregistry.admin)

Acceso de administrador para crear y administrar repositorios.

  • artifactregistry.*

Lector de Artifact Registry
(roles/artifactregistry.reader)

Acceso de lectura a los elementos del repositorio.

  • artifactregistry.dockerimages.*
  • artifactregistry.files.*
  • artifactregistry.locations.*
  • artifactregistry.mavenartifacts.*
  • artifactregistry.npmpackages.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.pythonpackages.*
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.listEffectiveTags
  • artifactregistry.repositories.listTagBindings
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.versions.get
  • artifactregistry.versions.list

Administrador del repositorio de Artifact Registry
(roles/artifactregistry.repoAdmin)

Acceso para administrar artefactos en repositorios.

  • artifactregistry.aptartifacts.create
  • artifactregistry.dockerimages.*
  • artifactregistry.files.*
  • artifactregistry.locations.*
  • artifactregistry.mavenartifacts.*
  • artifactregistry.npmpackages.*
  • artifactregistry.packages.*
  • artifactregistry.pythonpackages.*
  • artifactregistry.repositories.deleteArtifacts
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.listEffectiveTags
  • artifactregistry.repositories.listTagBindings
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.*
  • artifactregistry.versions.*
  • artifactregistry.yumartifacts.create

Escritor de Artifact Registry
(roles/artifactregistry.writer)

Acceso de lectura y escritura a los elementos de los repositorios.

  • artifactregistry.aptartifacts.create
  • artifactregistry.dockerimages.*
  • artifactregistry.files.*
  • artifactregistry.locations.*
  • artifactregistry.mavenartifacts.*
  • artifactregistry.npmpackages.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.pythonpackages.*
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.listEffectiveTags
  • artifactregistry.repositories.listTagBindings
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list
  • artifactregistry.yumartifacts.create

Funciones de Assured Workloads

Función Permisos

Administrador de Assured Workloads
(roles/assuredworkloads.admin)

Otorga acceso completo a los recursos de Assured Workloads, recursos de CRM: administración de proyectos y carpetas y de políticas de la organización.

  • assuredworkloads.*
  • logging.cmekSettings.update
  • orgpolicy.policy.*
  • resourcemanager.folders.create
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Editor de Assured Workloads
(roles/assuredworkloads.editor)

Otorga acceso de lectura y escritura a los recursos de Assured Workloads y recursos de CRM: administración de políticas de la organización y proyectos o carpetas

  • assuredworkloads.*
  • orgpolicy.policy.*
  • resourcemanager.folders.create
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Lector de Assured Workloads
(roles/assuredworkloads.reader)

Otorga acceso de lectura a todos los recursos de Assured Workloads y recursos de CRM: proyectos o carpetas.

  • assuredworkloads.operations.*
  • assuredworkloads.violations.get
  • assuredworkloads.violations.list
  • assuredworkloads.workload.get
  • assuredworkloads.workload.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Funciones de AutoML

Función Permisos

Administrador de AutoML Beta
(roles/automl.admin)

Acceso total a todos los recursos de AutoML

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Conjunto de datos
  • Modelo
  • automl.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

Editor de AutoML Beta
(roles/automl.editor)

Edición de todos los recursos de AutoML

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Conjunto de datos
  • Modelo
  • automl.annotationSpecs.*
  • automl.annotations.*
  • automl.columnSpecs.*
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.update
  • automl.examples.*
  • automl.files.*
  • automl.humanAnnotationTasks.*
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.*
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.list
  • automl.models.predict
  • automl.models.undeploy
  • automl.operations.*
  • automl.tableSpecs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

Predictor de AutoML Beta
(roles/automl.predictor)

Predicción mediante modelos

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Modelo
  • automl.models.predict
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de AutoML Beta
(roles/automl.viewer)

Visualizador de todos los recursos de AutoML

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Conjunto de datos
  • Modelo
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.files.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

Funciones de copia de seguridad para GKE

Rol Permisos

Administrador de copias de seguridad de GKE Beta
(roles/gkebackup.admin)

Acceso completo a todos los recursos de Copia de seguridad de GKE.

  • gkebackup.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de copias de seguridad de GKE Beta
(roles/gkebackup.backupAdmin)

Permite que los administradores administren los recursos de copia de seguridad y BackupPlan.

  • gkebackup.backupPlans.*
  • gkebackup.backups.*
  • gkebackup.locations.*
  • gkebackup.operations.get
  • gkebackup.operations.list
  • gkebackup.volumeBackups.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador delegado de Copia de seguridad de GKE beta
(roles/gkebackup.delegatedBackupAdmin)

Permite que los administradores administren los recursos de copia de seguridad de BackupPlans específicos.

  • gkebackup.backupPlans.get
  • gkebackup.backups.*
  • gkebackup.volumeBackups.*

Administrador de restablecimientos delegado de Copia de seguridad de GKE beta
(roles/gkebackup.delegatedRestoreAdmin)

Permite que los administradores administren los recursos de restablecimiento de RestorePlans específicos

  • gkebackup.restorePlans.get
  • gkebackup.restores.*
  • gkebackup.volumeRestores.*

Administrador de restablecimiento de copias de seguridad de GKE Beta
(roles/gkebackup.restoreAdmin)

Permite que los administradores administren todos los recursos de restauración y RestorePlan.

  • gkebackup.backupPlans.get
  • gkebackup.backupPlans.list
  • gkebackup.backups.get
  • gkebackup.backups.list
  • gkebackup.locations.*
  • gkebackup.operations.get
  • gkebackup.operations.list
  • gkebackup.restorePlans.*
  • gkebackup.restores.*
  • gkebackup.volumeBackups.*
  • gkebackup.volumeRestores.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de copias de seguridad de GKE Beta
(roles/gkebackup.viewer)

Acceso de solo lectura a todos los recursos de Copia de seguridad de GKE.

  • gkebackup.backupPlans.get
  • gkebackup.backupPlans.getIamPolicy
  • gkebackup.backupPlans.list
  • gkebackup.backups.get
  • gkebackup.backups.list
  • gkebackup.locations.*
  • gkebackup.operations.get
  • gkebackup.operations.list
  • gkebackup.restorePlans.get
  • gkebackup.restorePlans.getIamPolicy
  • gkebackup.restorePlans.list
  • gkebackup.restores.get
  • gkebackup.restores.list
  • gkebackup.volumeBackups.*
  • gkebackup.volumeRestores.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Roles de BeyondCorp

Rol Permisos

Administrador de BeyondCorp de Cloud Beta
(roles/beyondcorp.admin)

Acceso completo a todos los recursos de Cloud BeyondCorp.

  • beyondcorp.appConnections.*
  • beyondcorp.appConnectors.*
  • beyondcorp.appGateways.*
  • beyondcorp.clientConnectorServices.create
  • beyondcorp.clientConnectorServices.delete
  • beyondcorp.clientConnectorServices.get
  • beyondcorp.clientConnectorServices.getIamPolicy
  • beyondcorp.clientConnectorServices.list
  • beyondcorp.clientConnectorServices.setIamPolicy
  • beyondcorp.clientConnectorServices.update
  • beyondcorp.clientGateways.*
  • beyondcorp.locations.*
  • beyondcorp.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud BeyondCorp Client Connector Admin Beta
(roles/beyondcorp.clientConnectorAdmin)

Tiene acceso completo a todos los recursos del Conector de clientes de BeyondCorp.

  • beyondcorp.clientConnectorServices.create
  • beyondcorp.clientConnectorServices.delete
  • beyondcorp.clientConnectorServices.get
  • beyondcorp.clientConnectorServices.getIamPolicy
  • beyondcorp.clientConnectorServices.list
  • beyondcorp.clientConnectorServices.setIamPolicy
  • beyondcorp.clientConnectorServices.update
  • beyondcorp.clientGateways.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud BeyondCorp Client Connector Service User Beta
(roles/beyondcorp.clientConnectorServiceUser)

Accede al servicio del Conector de clientes

  • beyondcorp.clientConnectorServices.access

Cloud BeyondCorp Client Connector Viewer Beta
(roles/beyondcorp.clientConnectorViewer)

Tiene acceso de solo lectura a todos los recursos del Conector de clientes de BeyondCorp.

  • beyondcorp.clientConnectorServices.get
  • beyondcorp.clientConnectorServices.getIamPolicy
  • beyondcorp.clientConnectorServices.list
  • beyondcorp.clientGateways.get
  • beyondcorp.clientGateways.getIamPolicy
  • beyondcorp.clientGateways.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud BeyondCorp Viewer Beta
(roles/beyondcorp.viewer)

Acceso de solo lectura a todos los recursos de Cloud BeyondCorp.

  • beyondcorp.appConnections.get
  • beyondcorp.appConnections.getIamPolicy
  • beyondcorp.appConnections.list
  • beyondcorp.appConnectors.get
  • beyondcorp.appConnectors.getIamPolicy
  • beyondcorp.appConnectors.list
  • beyondcorp.appGateways.get
  • beyondcorp.appGateways.getIamPolicy
  • beyondcorp.appGateways.list
  • beyondcorp.clientConnectorServices.get
  • beyondcorp.clientConnectorServices.getIamPolicy
  • beyondcorp.clientConnectorServices.list
  • beyondcorp.clientGateways.get
  • beyondcorp.clientGateways.getIamPolicy
  • beyondcorp.clientGateways.list
  • beyondcorp.locations.*
  • beyondcorp.operations.get
  • beyondcorp.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Funciones de BigQuery

Función Permisos

Administrador de BigQuery
(roles/bigquery.admin)

Proporciona permisos para administrar todos los recursos dentro del proyecto. Puede administrar todos los datos dentro del proyecto y cancelar trabajos de otros usuarios que se ejecutan dentro del proyecto.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Conjuntos de datos
  • Políticas de acceso de fila
  • Tablas
  • Vistas
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.config.*
  • bigquery.connections.*
  • bigquery.dataPolicies.create
  • bigquery.dataPolicies.delete
  • bigquery.dataPolicies.get
  • bigquery.dataPolicies.getIamPolicy
  • bigquery.dataPolicies.list
  • bigquery.dataPolicies.setIamPolicy
  • bigquery.dataPolicies.update
  • bigquery.datasets.*
  • bigquery.jobs.*
  • bigquery.models.*
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • bigquery.routines.*
  • bigquery.rowAccessPolicies.create
  • bigquery.rowAccessPolicies.delete
  • bigquery.rowAccessPolicies.getIamPolicy
  • bigquery.rowAccessPolicies.list
  • bigquery.rowAccessPolicies.overrideTimeTravelRestrictions
  • bigquery.rowAccessPolicies.setIamPolicy
  • bigquery.rowAccessPolicies.update
  • bigquery.savedqueries.*
  • bigquery.tables.*
  • bigquery.transfers.*
  • bigquerymigration.translation.translate
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de conexión de BigQuery
(roles/bigquery.connectionAdmin)

  • bigquery.connections.*

Usuario de conexión de BigQuery
(roles/bigquery.connectionUser)

  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use

Editor de datos de BigQuery
(roles/bigquery.dataEditor)

Cuando se aplica a una tabla o vista, esta función proporciona permisos para lo siguiente:

  • Leer y actualizar los datos y metadatos de la tabla o vista
  • Borrar la tabla o vista

Esta función no se puede aplicar a modelos ni rutinas individuales.

Cuando se aplica a un conjunto de datos, esta función proporciona permisos para lo siguiente:

  • Leer los metadatos del conjunto de datos y enumerar las tablas en el conjunto de datos
  • Crear, actualizar, obtener y borrar las tablas del conjunto de datos

Cuando se aplica a nivel del proyecto o de la organización, esta función también puede crear conjuntos de datos nuevos.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Tabla
  • Ver
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.createIndex
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.deleteIndex
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Propietario de datos de BigQuery
(roles/bigquery.dataOwner)

Cuando se aplica a una tabla o vista, esta función proporciona permisos para lo siguiente:

  • Leer y actualizar los datos y metadatos de la tabla o vista
  • Compartir la tabla o vista
  • Borrar la tabla o vista

Esta función no se puede aplicar a modelos ni rutinas individuales.

Cuando se aplica a un conjunto de datos, esta función proporciona permisos para lo siguiente:

  • Leer, actualizar y borrar el conjunto de datos
  • Crear, actualizar, obtener y borrar las tablas del conjunto de datos

Cuando se aplica a nivel del proyecto o de la organización, esta función también puede crear conjuntos de datos nuevos.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Tabla
  • Ver
  • bigquery.config.get
  • bigquery.dataPolicies.create
  • bigquery.dataPolicies.delete
  • bigquery.dataPolicies.get
  • bigquery.dataPolicies.getIamPolicy
  • bigquery.dataPolicies.list
  • bigquery.dataPolicies.setIamPolicy
  • bigquery.dataPolicies.update
  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.rowAccessPolicies.create
  • bigquery.rowAccessPolicies.delete
  • bigquery.rowAccessPolicies.getIamPolicy
  • bigquery.rowAccessPolicies.list
  • bigquery.rowAccessPolicies.setIamPolicy
  • bigquery.rowAccessPolicies.update
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de datos de BigQuery
(roles/bigquery.dataViewer)

Cuando se aplica a una tabla o vista, esta función proporciona permisos para lo siguiente:

  • Leer datos y metadatos de la tabla o vista

Esta función no se puede aplicar a modelos ni rutinas individuales.

Cuando se aplica a un conjunto de datos, esta función proporciona permisos para lo siguiente:

  • Leer los metadatos del conjunto de datos y enumerar las tablas en el conjunto de datos
  • Leer datos y metadatos de las tablas del conjunto de datos

Cuando se aplica a nivel del proyecto o de la organización, esta función también puede enumerar todos los conjuntos de datos en el proyecto. Sin embargo, se requieren funciones adicionales para permitir la ejecución de los trabajos.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Tabla
  • Ver
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.createSnapshot
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de datos filtrados de BigQuery
(roles/bigquery.filteredDataViewer)

Acceso para ver los datos de tabla filtrados y definidos por una política de acceso de fila

  • bigquery.rowAccessPolicies.getFilteredData

Usuario de trabajo de BigQuery
(roles/bigquery.jobUser)

Proporciona permisos para ejecutar trabajos, incluidas las consultas, dentro del proyecto.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • bigquery.config.get
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de metadatos de BigQuery
(roles/bigquery.metadataViewer)

Cuando se aplica a una tabla o vista, esta función proporciona permisos para lo siguiente:

  • Leer metadatos de la tabla o vista

Esta función no se puede aplicar a modelos ni rutinas individuales.

Cuando se aplica a un conjunto de datos, esta función proporciona permisos para lo siguiente:

  • Enumerar tablas y vistas en el conjunto de datos
  • Leer los metadatos de las tablas y vistas del conjunto de datos

Cuando se aplica a nivel de proyecto o de organización, esta función proporciona permisos para lo siguiente:

  • Enumerar todos los conjuntos de datos y leer los metadatos de todos los conjuntos de datos del proyecto
  • Enumerar todas las tablas y vistas, y leer los metadatos de todas las tablas y vistas del proyecto

Se requieren funciones adicionales para permitir la ejecución de trabajos.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Tabla
  • Ver
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Usuario de sesión de lectura de BigQuery
(roles/bigquery.readSessionUser)

Otorga acceso para crear y usar sesiones de lectura.

  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de recursos de BigQuery
(roles/bigquery.resourceAdmin)

Administra todos los recursos de BigQuery.

  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • recommender.bigqueryCapacityCommitmentsInsights.*
  • recommender.bigqueryCapacityCommitmentsRecommendations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Editor de recursos de BigQuery
(roles/bigquery.resourceEditor)

Tiene permiso para administrar todos los recursos de BigQuery, pero no puede tomar decisiones de compra.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de recursos de BigQuery
(roles/bigquery.resourceViewer)

Tiene permiso para visualizar todos los recursos de BigQuery, pero no puede realizar cambios o tomar decisiones de compra.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Usuario de BigQuery
(roles/bigquery.user)

Cuando se aplica a un conjunto de datos, esta función permite leer los metadatos del conjunto de datos y enumerar las tablas en el conjunto de datos.

Cuando se aplica a un proyecto, esta función también permite ejecutar trabajos, incluidas las consultas, dentro del proyecto. Una principal con esta función puede enumerar y cancelar sus propios trabajos y enumerar conjuntos de datos dentro de un proyecto. Además, permite la creación de nuevos conjuntos de datos dentro del proyecto. Al creador se le otorga la función de propietario de datos de BigQuery (roles/bigquery.dataOwner) en estos conjuntos de datos nuevos.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Conjunto de datos
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • bigquerymigration.translation.translate
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Lector enmascarado Beta
(roles/bigquerydatapolicy.maskedReader)

Tiene acceso de lectura enmascarado a subrecursos con etiquetas de políticas asociadas con una política de datos (por ejemplo, columnas de BigQuery)

  • bigquery.dataPolicies.maskedGet

Funciones de facturación

Función Permisos

Administrador de cuentas de facturación
(roles/billing.admin)

Proporciona acceso para ver y administrar todos los aspectos de las cuentas de facturación.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Cuenta de facturación
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getCarbonInformation
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getPricing
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.list
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.activities.list
  • cloudsupport.properties.get
  • cloudsupport.techCases.*
  • commerceoffercatalog.offers.get
  • consumerprocurement.accounts.*
  • consumerprocurement.orderAttributions.*
  • consumerprocurement.orders.*
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • logging.logEntries.list
  • logging.logServiceIndexes.list
  • logging.logServices.list
  • logging.logs.list
  • logging.privateLogEntries.list
  • recommender.commitmentUtilizationInsights.*
  • recommender.costInsights.*
  • recommender.spendBasedCommitmentInsights.*
  • recommender.spendBasedCommitmentRecommendations.*
  • recommender.usageCommitmentRecommendations.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de costos de la cuenta de facturación
(roles/billing.costsManager)

Administra los presupuestos de una cuenta de facturación y visualiza, analiza y exporta la información de costos de una cuenta de facturación.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Cuenta de facturación
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.resourceAssociations.list
  • recommender.costInsights.*

Creador de cuentas de facturación
(roles/billing.creator)

Proporciona acceso para crear cuentas de facturación.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Organización
  • billing.accounts.create
  • resourcemanager.organizations.get

Administrador de facturación del proyecto
(roles/billing.projectManager)

Cuando se otorga junto con la función de usuario de la cuenta de facturación, proporciona acceso para asignar la cuenta de facturación de un proyecto o inhabilitar su facturación.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Proyecto
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment

Usuario de cuenta de facturación
(roles/billing.user)

Cuando se otorga junto con la función Propietario del proyecto o Administrador de facturación del proyecto, proporciona acceso para asociar proyectos con cuentas de facturación.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Cuenta de facturación
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.list
  • billing.resourceAssociations.create

Visualizador de cuentas de facturación
(roles/billing.viewer)

Visualiza la información de precios y transacciones de las cuentas de facturación, así como las recomendaciones de facturación y compromiso.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Cuenta de facturación
  • billing.accounts.get
  • billing.accounts.getCarbonInformation
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getPricing
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.list
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
  • commerceoffercatalog.offers.get
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.spendBasedCommitmentInsights.get
  • recommender.spendBasedCommitmentInsights.list
  • recommender.spendBasedCommitmentRecommendations.get
  • recommender.spendBasedCommitmentRecommendations.list
  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list

Funciones de autorización binaria

Función Permisos

Administrador de certificadores de autorización binaria
(roles/binaryauthorization.attestorsAdmin)

Administrador de certificadores de autorización binaria

  • binaryauthorization.attestors.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Editor de certificadores de autorización binaria
(roles/binaryauthorization.attestorsEditor)

Puede editar certificadores de autorización binaria.

  • binaryauthorization.attestors.create
  • binaryauthorization.attestors.delete
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • binaryauthorization.attestors.update
  • binaryauthorization.attestors.verifyImageAttested
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Verificador de imagen de certificadores de autorización binaria
(roles/binaryauthorization.attestorsVerifier)

Puede llamar al método VerifyImageAttested en los verificadores de autorización binaria.

  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • binaryauthorization.attestors.verifyImageAttested
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de certificadores de autorización binaria
(roles/binaryauthorization.attestorsViewer)

Puede ver los certificadores de autorización binaria.

  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de políticas de autorización binaria
(roles/binaryauthorization.policyAdmin)

Puede administrar políticas de autorización binaria.

  • binaryauthorization.continuousValidationConfig.*
  • binaryauthorization.platformPolicies.*
  • binaryauthorization.policy.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Editor de políticas de autorización binaria
(roles/binaryauthorization.policyEditor)

Puede editar políticas de autorización binaria.

  • binaryauthorization.continuousValidationConfig.get
  • binaryauthorization.continuousValidationConfig.update
  • binaryauthorization.platformPolicies.*
  • binaryauthorization.policy.evaluatePolicy
  • binaryauthorization.policy.get
  • binaryauthorization.policy.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Evaluador de políticas de autorización binaria Beta
(roles/binaryauthorization.policyEvaluator)

Puede evaluar políticas de autorización binaria.

  • binaryauthorization.platformPolicies.evaluatePolicy
  • binaryauthorization.platformPolicies.get
  • binaryauthorization.platformPolicies.list
  • binaryauthorization.policy.evaluatePolicy
  • binaryauthorization.policy.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de políticas de autorización binaria
(roles/binaryauthorization.policyViewer)

Puede ver políticas de autorización binaria.

  • binaryauthorization.continuousValidationConfig.get
  • binaryauthorization.platformPolicies.get
  • binaryauthorization.platformPolicies.list
  • binaryauthorization.policy.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Funciones del Servicio de CA

Función Permisos

Administrador del Servicio de CA
(roles/privateca.admin)

Tiene acceso completo a todos los recursos del servicio de CA.

  • privateca.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.buckets.create

Auditor del Servicio de CA
(roles/privateca.auditor)

Tiene acceso de solo lectura a todos los recursos del servicio de CA.

  • privateca.caPools.get
  • privateca.caPools.getIamPolicy
  • privateca.caPools.list
  • privateca.certificateAuthorities.get
  • privateca.certificateAuthorities.getIamPolicy
  • privateca.certificateAuthorities.list
  • privateca.certificateRevocationLists.get
  • privateca.certificateRevocationLists.getIamPolicy
  • privateca.certificateRevocationLists.list
  • privateca.certificateTemplates.get
  • privateca.certificateTemplates.getIamPolicy
  • privateca.certificateTemplates.list
  • privateca.certificates.get
  • privateca.certificates.getIamPolicy
  • privateca.certificates.list
  • privateca.locations.*
  • privateca.operations.get
  • privateca.operations.list
  • privateca.reusableConfigs.get
  • privateca.reusableConfigs.getIamPolicy
  • privateca.reusableConfigs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de operaciones del Servicio de CA
(roles/privateca.caManager)

Crea y administra las CA, revoca certificados, crea plantillas de certificados y tiene accesos de solo lectura para los recursos del Servicio de CA.

  • privateca.caPools.create
  • privateca.caPools.delete
  • privateca.caPools.get
  • privateca.caPools.getIamPolicy
  • privateca.caPools.list
  • privateca.caPools.update
  • privateca.certificateAuthorities.create
  • privateca.certificateAuthorities.delete
  • privateca.certificateAuthorities.get
  • privateca.certificateAuthorities.getIamPolicy
  • privateca.certificateAuthorities.list
  • privateca.certificateAuthorities.update
  • privateca.certificateRevocationLists.get
  • privateca.certificateRevocationLists.getIamPolicy
  • privateca.certificateRevocationLists.list
  • privateca.certificateRevocationLists.update
  • privateca.certificateTemplates.create
  • privateca.certificateTemplates.delete
  • privateca.certificateTemplates.get
  • privateca.certificateTemplates.getIamPolicy
  • privateca.certificateTemplates.list
  • privateca.certificateTemplates.update
  • privateca.certificates.get
  • privateca.certificates.getIamPolicy
  • privateca.certificates.list
  • privateca.certificates.update
  • privateca.locations.*
  • privateca.operations.get
  • privateca.operations.list
  • privateca.reusableConfigs.create
  • privateca.reusableConfigs.delete
  • privateca.reusableConfigs.get
  • privateca.reusableConfigs.getIamPolicy
  • privateca.reusableConfigs.list
  • privateca.reusableConfigs.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.buckets.create

Administrador de certificados del Servicio de CA
(roles/privateca.certificateManager)

Puede crear certificados y tiene acceso de solo lectura a los recursos del servicio de CA.

  • privateca.caPools.get
  • privateca.caPools.getIamPolicy
  • privateca.caPools.list
  • privateca.certificateAuthorities.get
  • privateca.certificateAuthorities.getIamPolicy
  • privateca.certificateAuthorities.list
  • privateca.certificateRevocationLists.get
  • privateca.certificateRevocationLists.getIamPolicy
  • privateca.certificateRevocationLists.list
  • privateca.certificateTemplates.get
  • privateca.certificateTemplates.getIamPolicy
  • privateca.certificateTemplates.list
  • privateca.certificates.create
  • privateca.certificates.get
  • privateca.certificates.getIamPolicy
  • privateca.certificates.list
  • privateca.locations.*
  • privateca.operations.get
  • privateca.operations.list
  • privateca.reusableConfigs.get
  • privateca.reusableConfigs.getIamPolicy
  • privateca.reusableConfigs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Solicitante del certificado del Servicio de CA
(roles/privateca.certificateRequester)

Solicita certificados del servicio de CA.

  • privateca.certificates.create

Usuario de plantillas de certificados del Servicio de CA
(roles/privateca.templateUser)

Puede leer, enumerar y usar plantillas de certificados.

  • privateca.certificateTemplates.get
  • privateca.certificateTemplates.list
  • privateca.certificateTemplates.use

Solicitante de certificados de cargas de trabajo del Servicio de CA
(roles/privateca.workloadCertificateRequester)

Puede solicitar certificados del Servicio de CA con la identidad del emisor.

  • privateca.certificates.createForSelf

Funciones de administrador de certificados

Función Permisos

Editor del Administrador de certificado
(roles/certificatemanager.editor)

Acceso de edición a todos los recursos del Administrador de certificados.

  • certificatemanager.certmapentries.create
  • certificatemanager.certmapentries.get
  • certificatemanager.certmapentries.getIamPolicy
  • certificatemanager.certmapentries.list
  • certificatemanager.certmapentries.update
  • certificatemanager.certmaps.create
  • certificatemanager.certmaps.get
  • certificatemanager.certmaps.getIamPolicy
  • certificatemanager.certmaps.list
  • certificatemanager.certmaps.update
  • certificatemanager.certmaps.use
  • certificatemanager.certs.create
  • certificatemanager.certs.get
  • certificatemanager.certs.getIamPolicy
  • certificatemanager.certs.list
  • certificatemanager.certs.update
  • certificatemanager.certs.use
  • certificatemanager.dnsauthorizations.create
  • certificatemanager.dnsauthorizations.get
  • certificatemanager.dnsauthorizations.getIamPolicy
  • certificatemanager.dnsauthorizations.list
  • certificatemanager.dnsauthorizations.update
  • certificatemanager.dnsauthorizations.use
  • certificatemanager.locations.*
  • certificatemanager.operations.get
  • certificatemanager.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Propietario del Administrador de certificados
(roles/certificatemanager.owner)

Acceso completo a todos los recursos del Administrador de certificados.

  • certificatemanager.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador del administrador de certificados
(roles/certificatemanager.viewer)

Acceso de solo lectura a todos los recursos del administrador de certificados.

  • certificatemanager.certmapentries.get
  • certificatemanager.certmapentries.getIamPolicy
  • certificatemanager.certmapentries.list
  • certificatemanager.certmaps.get
  • certificatemanager.certmaps.getIamPolicy
  • certificatemanager.certmaps.list
  • certificatemanager.certs.get
  • certificatemanager.certs.getIamPolicy
  • certificatemanager.certs.list
  • certificatemanager.dnsauthorizations.get
  • certificatemanager.dnsauthorizations.getIamPolicy
  • certificatemanager.dnsauthorizations.list
  • certificatemanager.locations.*
  • certificatemanager.operations.get
  • certificatemanager.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Roles de Cloud AlloyDB

Rol Permisos

Administrador de Cloud AlloyDB Beta
(roles/alloydb.admin)

Tiene acceso completo a todos los recursos de Cloud AlloyDB.

  • alloydb.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cliente de Cloud AlloyDB Beta
(roles/alloydb.client)

Tiene acceso de conectividad a las instancias de Cloud AlloyDB.

  • alloydb.clusters.generateClientCertificate
  • alloydb.clusters.get
  • alloydb.instances.connect
  • alloydb.instances.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de Cloud AlloyDB Beta
(roles/alloydb.viewer)

Tiene acceso de solo lectura a todos los recursos de Cloud AlloyDB.

  • alloydb.backups.get
  • alloydb.backups.list
  • alloydb.clusters.get
  • alloydb.clusters.list
  • alloydb.instances.get
  • alloydb.instances.list
  • alloydb.locations.*
  • alloydb.operations.get
  • alloydb.operations.list
  • alloydb.supportedDatabaseFlags.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Funciones de Cloud Asset

Función Permisos

Propietario de Cloud Asset
(roles/cloudasset.owner)

Tiene acceso completo a los metadatos de Cloud Asset.

  • cloudasset.*
  • recommender.cloudAssetInsights.*
  • recommender.locations.*

Visualizador de recursos de Cloud
(roles/cloudasset.viewer)

Acceso de solo lectura a los metadatos de recursos de Cloud

  • cloudasset.assets.*
  • recommender.cloudAssetInsights.get
  • recommender.cloudAssetInsights.list
  • recommender.locations.*

Funciones de Cloud Bigtable

Función Permisos

Administrador de Bigtable
(roles/bigtable.admin)

Administra todas las instancias de Bigtable de un proyecto, incluidos los datos almacenados en las tablas. Puede crear instancias nuevas. Orientado a los administradores del proyecto.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Tabla
  • bigtable.*
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get

Lector de Bigtable
(roles/bigtable.reader)

Proporciona acceso de solo lectura a los datos almacenados en las tablas de Bigtable. Orientado a científicos de datos, generadores de paneles y situaciones de análisis de datos.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Tabla
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.keyvisualizer.*
  • bigtable.locations.list
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get

Usuario de Bigtable
(roles/bigtable.user)

Proporciona acceso de lectura y escritura a los datos almacenados en las tablas de Bigtable. Orientado a desarrolladores de aplicaciones o cuentas de servicio.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Tabla
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.keyvisualizer.*
  • bigtable.locations.list
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.mutateRows
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get

Usuario de Bigtable sin acceso a datos
(roles/bigtable.viewer)

No proporciona acceso a los datos. Diseñado como un conjunto mínimo de permisos a fin de acceder a la consola de Google Cloud para Bigtable.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Tabla
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.locations.list
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get

Funciones de Cloud Build

Función Permisos

Responsable de aprobación de Cloud Build
(roles/cloudbuild.builds.approver)

Puede aprobar o rechazar compilaciones pendientes.

  • cloudbuild.builds.approve
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cuenta de servicio de Cloud Build
(roles/cloudbuild.builds.builder)

Proporciona acceso para realizar compilaciones.

  • artifactregistry.aptartifacts.create
  • artifactregistry.dockerimages.*
  • artifactregistry.files.*
  • artifactregistry.locations.*
  • artifactregistry.mavenartifacts.*
  • artifactregistry.npmpackages.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.pythonpackages.*
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.listEffectiveTags
  • artifactregistry.repositories.listTagBindings
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list
  • artifactregistry.yumartifacts.create
  • cloudbuild.builds.create
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudbuild.builds.update
  • cloudbuild.workerpools.use
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • logging.logEntries.list
  • logging.privateLogEntries.list
  • logging.views.access
  • pubsub.topics.create
  • pubsub.topics.publish
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update

Editor de Cloud Build
(roles/cloudbuild.builds.editor)

Proporciona acceso para crear y cancelar compilaciones.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • cloudbuild.builds.create
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudbuild.builds.update
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de Cloud Build
(roles/cloudbuild.builds.viewer)

Proporciona acceso para ver las compilaciones.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Editor de integraciones de Cloud Build
(roles/cloudbuild.integrationsEditor)

Puede actualizar integraciones

  • cloudbuild.integrations.get
  • cloudbuild.integrations.list
  • cloudbuild.integrations.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Propietario de integraciones de Cloud Build
(roles/cloudbuild.integrationsOwner)

Puede crear o borrar integraciones

  • cloudbuild.integrations.*
  • compute.firewalls.create
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.networks.get
  • compute.networks.updatePolicy
  • compute.regions.get
  • compute.subnetworks.get
  • compute.subnetworks.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de integraciones de Cloud Build
(roles/cloudbuild.integrationsViewer)

Puede ver integraciones

  • cloudbuild.integrations.get
  • cloudbuild.integrations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Editor de grupo de trabajadores de Cloud Build
(roles/cloudbuild.workerPoolEditor)

Puede actualizar y ver grupos de trabajadores.

  • cloudbuild.workerpools.get
  • cloudbuild.workerpools.list
  • cloudbuild.workerpools.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Propietario de grupo de trabajadores de Cloud Build
(roles/cloudbuild.workerPoolOwner)

Puede crear, borrar, actualizar y ver grupos de trabajadores

  • cloudbuild.workerpools.create
  • cloudbuild.workerpools.delete
  • cloudbuild.workerpools.get
  • cloudbuild.workerpools.list
  • cloudbuild.workerpools.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Usuario de grupo de trabajadores de Cloud Build
(roles/cloudbuild.workerPoolUser)

Puede ejecutar compilaciones en el grupo de trabajadores

  • cloudbuild.workerpools.use

Visualizador del grupo de trabajadores de Cloud Build
(roles/cloudbuild.workerPoolViewer)

Puede ver los grupos de trabajadores

  • cloudbuild.workerpools.get
  • cloudbuild.workerpools.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Funciones de Cloud Composer

Función Permisos

Extensión de agente de servicio de la API de Cloud Composer v2
(roles/composer.ServiceAgentV2Ext)

La extensión de agente de servicio de la API de Cloud Composer v2 es una función complementaria que se requiere para administrar entornos de Composer v2.

  • iam.serviceAccounts.getIamPolicy
  • iam.serviceAccounts.setIamPolicy

Administrador de Composer
(roles/composer.admin)

Proporciona control total de los recursos de Cloud Composer.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • composer.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Administrador de objetos de almacenamiento y entorno
(roles/composer.environmentAndStorageObjectAdmin)

Proporciona control total de los recursos de Cloud Composer y de los objetos en todos los depósitos de proyectos.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • composer.*
  • orgpolicy.policy.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.multipartUploads.*
  • storage.objects.*

Visualizador de objetos de almacenamiento y de usuario del entorno
(roles/composer.environmentAndStorageObjectViewer)

Proporciona los permisos necesarios para enumerar y obtener entornos y operaciones de Cloud Composer. Proporciona acceso de solo lectura a objetos en todos los depósitos de proyectos.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • composer.dags.*
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.list
  • composer.operations.get
  • composer.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.get
  • storage.objects.list

Agente de VPC compartida de Composer
(roles/composer.sharedVpcAgent)

La función que se debe asignar a la cuenta de servicio de Composer Agent en el proyecto host de la VPC compartida

  • compute.networks.access
  • compute.networks.addPeering
  • compute.networks.get
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.networks.removePeering
  • compute.networks.updatePeering
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regions.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zones.*

Usuario de Composer
(roles/composer.user)

Proporciona los permisos necesarios para enumerar y obtener entornos y operaciones de Cloud Composer.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • composer.dags.*
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.list
  • composer.operations.get
  • composer.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Trabajador de Composer
(roles/composer.worker)

Proporciona los permisos necesarios para ejecutar una VM de entorno de Cloud Composer. Se otorga para cuentas de servicio.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • artifactregistry.*
  • cloudbuild.builds.create
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudbuild.builds.update
  • cloudbuild.workerpools.use
  • composer.environments.get
  • container.*
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • logging.logEntries.list
  • logging.privateLogEntries.list
  • logging.views.access
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.timeSeries.*
  • orgpolicy.policy.get
  • pubsub.schemas.attach
  • pubsub.schemas.create
  • pubsub.schemas.delete
  • pubsub.schemas.get
  • pubsub.schemas.list
  • pubsub.schemas.validate
  • pubsub.snapshots.create
  • pubsub.snapshots.delete
  • pubsub.snapshots.get
  • pubsub.snapshots.list
  • pubsub.snapshots.seek
  • pubsub.snapshots.update
  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.list
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.detachSubscription
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.topics.publish
  • pubsub.topics.update
  • pubsub.topics.updateTag
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.multipartUploads.*
  • storage.objects.*

Funciones de Cloud Connectors

Función Permisos

Administrador del conector
(roles/connectors.admin)

Tiene acceso completo a todos los recursos del servicio de conectores.

  • Conectores.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de conectores
(roles/connectors.viewer)

Tiene acceso de solo lectura a todos los recursos de los conectores.

  • connectors.connections.get
  • connectors.connections.getConnectionSchemaMetadata
  • connectors.connections.getIamPolicy
  • connectors.connections.getRuntimeActionSchema
  • connectors.connections.getRuntimeEntitySchema
  • connectors.connections.list
  • connectors.connectors.*
  • connectors.locations.*
  • connectors.operations.get
  • connectors.operations.list
  • connectors.providers.*
  • connectors.runtimeconfig.get
  • connectors.versions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Funciones de Cloud Data Fusion

Función Permisos

Administrador de Cloud Data Fusion Beta
(roles/datafusion.admin)

Otorga acceso total a las instancias de Cloud Data Fusion, los espacios de nombres y otros recursos relacionados.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • datafusion.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Ejecutor de Cloud Data Fusion Beta
(roles/datafusion.runner)

Brinda acceso a los recursos del entorno de ejecución de Cloud Data Fusion.

  • datafusion.instances.runtime

Visualizador de Cloud Data Fusion Beta
(roles/datafusion.viewer)

Otorga acceso de solo lectura a las instancias de Cloud Data Fusion, los espacios de nombres y otros recursos relacionados.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • datafusion.instances.get
  • datafusion.instances.getIamPolicy
  • datafusion.instances.list
  • datafusion.instances.runtime
  • datafusion.locations.*
  • datafusion.operations.get
  • datafusion.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Funciones de etiquetado de datos en la nube

Función Permisos

Administrador del Servicio de etiquetado de datos Beta
(roles/datalabeling.admin)

Tiene acceso completo a todos los recursos de Etiquetado de datos

  • datalabeling.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Servicio de etiquetado de datos Beta
(roles/datalabeling.editor)

Puede editar todos los recursos de Etiquetado de datos

  • datalabeling.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador del Servicio de etiquetado de datos Beta
(roles/datalabeling.viewer)

Puede ver todos los recursos de Etiquetado de datos.

  • datalabeling.annotateddatasets.get
  • datalabeling.annotateddatasets.list
  • datalabeling.annotationspecsets.get
  • datalabeling.annotationspecsets.list
  • datalabeling.dataitems.*
  • datalabeling.datasets.get
  • datalabeling.datasets.list
  • datalabeling.examples.*
  • datalabeling.instructions.get
  • datalabeling.instructions.list
  • datalabeling.operations.get
  • datalabeling.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Roles de Cloud Dataplex

Rol Permisos

Administrador de Dataplex
(roles/dataplex.admin)

Acceso completo a todos los recursos de Dataplex.

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
  • dataplex.assetActions.list
  • dataplex.assets.create
  • dataplex.assets.delete
  • dataplex.assets.get
  • dataplex.assets.getIamPolicy
  • dataplex.assets.list
  • dataplex.assets.setIamPolicy
  • dataplex.assets.update
  • dataplex.content.*
  • dataplex.entities.*
  • dataplex.environments.*
  • dataplex.lakeActions.list
  • dataplex.lakes.*
  • dataplex.locations.*
  • dataplex.operations.*
  • dataplex.partitions.*
  • dataplex.tasks.*
  • dataplex.zoneActions.list
  • dataplex.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Propietario de datos de Dataplex
(roles/dataplex.dataOwner)

Tiene acceso de propietario a los datos. Se otorgará solo a recursos de Dataplex, como Lake, Zone o Asset.

  • dataplex.assets.ownData
  • dataplex.assets.readData
  • dataplex.assets.writeData

Lector de datos de Dataplex
(roles/dataplex.dataReader)

Acceso de solo lectura a los datos. Se otorgará solo a recursos de Dataplex, como Lake, Zone o Asset.

  • dataplex.assets.readData

Escritor de datos de Dataplex
(roles/dataplex.dataWriter)

Tiene acceso de escritura a los datos. Se otorgará solo a recursos de Dataplex, como Lake, Zone o Asset.

  • dataplex.assets.writeData

Desarrollador de Dataplex
(roles/dataplex.developer)

Permite la ejecución de cargas de trabajo de análisis de datos en un lake.

  • dataplex.content.*
  • dataplex.environments.execute
  • dataplex.environments.get
  • dataplex.environments.list
  • dataplex.tasks.cancel
  • dataplex.tasks.create
  • dataplex.tasks.delete
  • dataplex.tasks.get
  • dataplex.tasks.list
  • dataplex.tasks.update

Editor de Dataplex
(roles/dataplex.editor)

Tiene acceso de escritura a los recursos de Dataplex.

  • cloudasset.assets.analyzeIamPolicy
  • dataplex.assetActions.list
  • dataplex.assets.create
  • dataplex.assets.delete
  • dataplex.assets.get
  • dataplex.assets.getIamPolicy
  • dataplex.assets.list
  • dataplex.assets.update
  • dataplex.content.delete
  • dataplex.content.get
  • dataplex.content.getIamPolicy
  • dataplex.content.list
  • dataplex.environments.create
  • dataplex.environments.delete
  • dataplex.environments.get
  • dataplex.environments.getIamPolicy
  • dataplex.environments.list
  • dataplex.environments.update
  • dataplex.lakeActions.list
  • dataplex.lakes.create
  • dataplex.lakes.delete
  • dataplex.lakes.get
  • dataplex.lakes.getIamPolicy
  • dataplex.lakes.list
  • dataplex.lakes.update
  • dataplex.operations.*
  • dataplex.tasks.cancel
  • dataplex.tasks.create
  • dataplex.tasks.delete
  • dataplex.tasks.get
  • dataplex.tasks.getIamPolicy
  • dataplex.tasks.list
  • dataplex.tasks.update
  • dataplex.zoneActions.list
  • dataplex.zones.create
  • dataplex.zones.delete
  • dataplex.zones.get
  • dataplex.zones.getIamPolicy
  • dataplex.zones.list
  • dataplex.zones.update

Lector de metadatos de Dataplex
(roles/dataplex.metadataReader)

Acceso de solo lectura a los metadatos.

  • dataplex.assets.get
  • dataplex.assets.list
  • dataplex.entities.get
  • dataplex.entities.list
  • dataplex.partitions.get
  • dataplex.partitions.list
  • dataplex.zones.get
  • dataplex.zones.list

Escritor de metadatos de Dataplex
(roles/dataplex.metadataWriter)

Tiene acceso de lectura y escritura a los metadatos.

  • dataplex.assets.get
  • dataplex.assets.list
  • dataplex.entities.*
  • dataplex.partitions.*
  • dataplex.zones.get
  • dataplex.zones.list

Propietario de datos de almacenamiento de Dataplex
(roles/dataplex.storageDataOwner)

Tiene acceso de propietario a los datos. No debe usarse directamente. Dataplex otorga este rol a recursos administrados, como buckets de Cloud Storage, conjuntos de datos de BigQuery, etcétera.

  • bigquery.datasets.get
  • bigquery.models.create
  • bigquery.models.delete
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.models.updateData
  • bigquery.models.updateMetadata
  • bigquery.routines.create
  • bigquery.routines.delete
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.routines.update
  • bigquery.tables.create
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.deleteSnapshot
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.update
  • bigquery.tables.updateData
  • storage.buckets.get
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update

Lector de datos de almacenamiento de Dataplex
(roles/dataplex.storageDataReader)

Acceso de solo lectura a los datos. No debe usarse directamente. Dataplex otorga este rol a recursos administrados, como buckets de Cloud Storage, conjuntos de datos de BigQuery, etcétera.

  • bigquery.datasets.get
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.list
  • storage.buckets.get
  • storage.objects.get
  • storage.objects.list

Escritor de datos de almacenamiento de Dataplex
(roles/dataplex.storageDataWriter)

Tiene acceso de escritura a los datos. No debe usarse directamente. Dataplex otorga este rol a recursos administrados, como buckets de Cloud Storage, conjuntos de datos de BigQuery, etcétera.

  • bigquery.tables.updateData
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.update

Visualizador de Dataplex
(roles/dataplex.viewer)

Tiene acceso de lectura a los recursos de Dataplex.

  • cloudasset.assets.analyzeIamPolicy
  • dataplex.assetActions.list
  • dataplex.assets.get
  • dataplex.assets.getIamPolicy
  • dataplex.assets.list
  • dataplex.content.get
  • dataplex.content.getIamPolicy
  • dataplex.content.list
  • dataplex.environments.get
  • dataplex.environments.getIamPolicy
  • dataplex.environments.list
  • dataplex.lakeActions.list
  • dataplex.lakes.get
  • dataplex.lakes.getIamPolicy
  • dataplex.lakes.list
  • dataplex.operations.get
  • dataplex.operations.list
  • dataplex.tasks.get
  • dataplex.tasks.getIamPolicy
  • dataplex.tasks.list
  • dataplex.zoneActions.list
  • dataplex.zones.get
  • dataplex.zones.getIamPolicy
  • dataplex.zones.list

Funciones de Cloud Debugger

Función Permisos

Agente de Cloud Debugger Beta
(roles/clouddebugger.agent)

Proporciona permisos para registrar el destino de depuración, leer interrupciones activas y, también, informar resultados de interrupciones.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Cuenta de servicio
  • clouddebugger.breakpoints.list
  • clouddebugger.breakpoints.listActive
  • clouddebugger.breakpoints.update
  • clouddebugger.debuggees.create

Usuario de Cloud Debugger Beta
(roles/clouddebugger.user)

Proporciona permisos para crear, ver, generar listas y borrar interrupciones (instantáneas y puntos de registro), así como enumerar destinos de depuración (elementos depurados).

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Proyecto
  • clouddebugger.breakpoints.create
  • clouddebugger.breakpoints.delete
  • clouddebugger.breakpoints.get
  • clouddebugger.breakpoints.list
  • clouddebugger.debuggees.list

Funciones de Cloud Deploy

Función Permisos

Administrador de Cloud Deploy Beta
(roles/clouddeploy.admin)

Tiene control completo sobre los recursos de Cloud Deploy.

  • clouddeploy.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Responsable de aprobación de Cloud Deploy Beta
(roles/clouddeploy.approver)

Tiene permiso para aprobar o rechazar lanzamientos.

  • clouddeploy.locations.*
  • clouddeploy.operations.*
  • clouddeploy.rollouts.approve
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Desarrollador de Cloud Deploy Beta
(roles/clouddeploy.developer)

Tiene permiso para administrar la configuración de implementación sin permiso de acceso a los recursos operativos, como los objetivos.

  • clouddeploy.deliveryPipelines.create
  • clouddeploy.deliveryPipelines.get
  • clouddeploy.deliveryPipelines.getIamPolicy
  • clouddeploy.deliveryPipelines.list
  • clouddeploy.deliveryPipelines.update
  • clouddeploy.locations.*
  • clouddeploy.operations.*
  • clouddeploy.releases.*
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Ejecutor de Cloud Deploy Beta
(roles/clouddeploy.jobRunner)

Permiso para ejecutar el trabajo de Cloud Deploy sin permiso para entregarlo a un destino.

  • logging.logEntries.create
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list

Operador de Cloud Deploy Beta
(roles/clouddeploy.operator)

Tiene permiso para administrar la configuración de implementación.

  • clouddeploy.deliveryPipelines.create
  • clouddeploy.deliveryPipelines.get
  • clouddeploy.deliveryPipelines.getIamPolicy
  • clouddeploy.deliveryPipelines.list
  • clouddeploy.deliveryPipelines.update
  • clouddeploy.locations.*
  • clouddeploy.operations.*
  • clouddeploy.releases.*
  • clouddeploy.rollouts.create
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • clouddeploy.targets.create
  • clouddeploy.targets.get
  • clouddeploy.targets.getIamPolicy
  • clouddeploy.targets.list
  • clouddeploy.targets.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Actualizador de Cloud Deploy Beta
(roles/clouddeploy.releaser)

Tiene permiso para crear versiones y lanzamientos de Cloud Deploy.

  • clouddeploy.deliveryPipelines.get
  • clouddeploy.locations.*
  • clouddeploy.operations.*
  • clouddeploy.releases.create
  • clouddeploy.releases.get
  • clouddeploy.releases.list
  • clouddeploy.rollouts.create
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • clouddeploy.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de Cloud Deploy Beta
(roles/clouddeploy.viewer)

Puede ver recursos de Cloud Deploy.

  • clouddeploy.config.get
  • clouddeploy.deliveryPipelines.get
  • clouddeploy.deliveryPipelines.getIamPolicy
  • clouddeploy.deliveryPipelines.list
  • clouddeploy.locations.*
  • clouddeploy.operations.get
  • clouddeploy.operations.list
  • clouddeploy.releases.get
  • clouddeploy.releases.list
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • clouddeploy.targets.get
  • clouddeploy.targets.getIamPolicy
  • clouddeploy.targets.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Funciones de Cloud DLP

Función Permisos

Administrador de DLP
(roles/dlp.admin)

Administra DLP, incluidos trabajos y plantillas.

  • dlp.*
  • serviceusage.services.use

Editor de plantillas de análisis de riesgo de DLP
(roles/dlp.analyzeRiskTemplatesEditor)

Edita las plantillas de análisis de riesgo de DLP.

  • dlp.analyzeRiskTemplates.*

Lector de plantillas de análisis de riesgo de DLP
(roles/dlp.analyzeRiskTemplatesReader)

Lee las plantillas de riesgo del análisis de DLP.

  • dlp.analyzeRiskTemplates.get
  • dlp.analyzeRiskTemplates.list

Lector de perfiles de datos de la columna de DLP
(roles/dlp.columnDataProfilesReader)

Puede leer perfiles de columna de DLP.

  • dlp.columnDataProfiles.*

Lector de perfiles de datos de DLP
(roles/dlp.dataProfilesReader)

Puede leer perfiles de DLP.

  • dlp.columnDataProfiles.*
  • dlp.projectDataProfiles.*
  • dlp.tableDataProfiles.*

Editor de plantillas de desidentificación de DLP
(roles/dlp.deidentifyTemplatesEditor)

Edita las plantillas de desidentificación de DLP.

  • dlp.deidentifyTemplates.*

Lector de plantillas de desidentificación para DLP
(roles/dlp.deidentifyTemplatesReader)

Lee las plantillas de desidentificación de DLP.

  • dlp.deidentifyTemplates.get
  • dlp.deidentifyTemplates.list

Estimación de costo de DLP
(roles/dlp.estimatesAdmin)

Administra las estimaciones de costo de DLP.

  • dlp.estimates.*

Lector de hallazgos de inspección de DLP
(roles/dlp.inspectFindingsReader)

Lee los resultados almacenados en DLP.

  • dlp.inspectFindings.list

Editor de plantillas de inspección de DLP
(roles/dlp.inspectTemplatesEditor)

Edita las plantillas de inspección de DLP.

  • dlp.inspectTemplates.*

Lector de plantillas de inspección de DLP
(roles/dlp.inspectTemplatesReader)

Lee las plantillas de inspección de DLP.

  • dlp.inspectTemplates.get
  • dlp.inspectTemplates.list

Editor de activadores de trabajo de DLP
(roles/dlp.jobTriggersEditor)

Edita configuraciones de activadores de trabajo.

  • dlp.jobTriggers.*

Lector de activadores de trabajo de DLP
(roles/dlp.jobTriggersReader)

Lee activadores de trabajo.

  • dlp.jobTriggers.get
  • dlp.jobTriggers.list

Editor de trabajos de DLP
(roles/dlp.jobsEditor)

Edita y crea trabajos

  • dlp.jobs.*
  • dlp.kms.encrypt

Lector de trabajos de DLP
(roles/dlp.jobsReader)

Lee trabajos

  • dlp.jobs.get
  • dlp.jobs.list

Controlador de perfiles de datos de la organización de DLP
(roles/dlp.orgdriver)

Permisos necesarios para la cuenta de servicio de DLP a fin de generar perfiles de datos dentro de una organización o carpeta.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.connections.updateTag
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.jobs.create
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.models.*
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.*
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.create
  • bigquery.tables.createIndex
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.deleteIndex
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • bigquery.transfers.get
  • bigquerymigration.translation.translate
  • cloudasset.assets.*
  • datacatalog.categories.fineGrainedGet
  • datacatalog.entries.updateTag
  • datacatalog.tagTemplates.create
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • datacatalog.tagTemplates.use
  • dlp.*
  • pubsub.topics.updateTag
  • recommender.cloudAssetInsights.get
  • recommender.cloudAssetInsights.list
  • recommender.locations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

Lector de perfiles de datos de proyectos de DLP
(roles/dlp.projectDataProfilesReader)

Puede leer perfiles de proyectos de DLP.

  • dlp.projectDataProfiles.*

Controlador de perfiles de datos de proyectos de DLP
(roles/dlp.projectdriver)

Permisos necesarios para la cuenta de servicio de DLP a fin de generar perfiles de datos dentro de un proyecto.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.connections.updateTag
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.jobs.create
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.models.*
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.*
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.create
  • bigquery.tables.createIndex
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.deleteIndex
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • bigquery.transfers.get
  • bigquerymigration.translation.translate
  • cloudasset.assets.*
  • datacatalog.categories.fineGrainedGet
  • datacatalog.entries.updateTag
  • datacatalog.tagTemplates.create
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • datacatalog.tagTemplates.use
  • dlp.*
  • pubsub.topics.updateTag
  • recommender.cloudAssetInsights.get
  • recommender.cloudAssetInsights.list
  • recommender.locations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

Lector de DLP
(roles/dlp.reader)

Lee entidades de DLP, como trabajos y plantillas.

  • dlp.analyzeRiskTemplates.get
  • dlp.analyzeRiskTemplates.list
  • dlp.deidentifyTemplates.get
  • dlp.deidentifyTemplates.list
  • dlp.inspectFindings.list
  • dlp.inspectTemplates.get
  • dlp.inspectTemplates.list
  • dlp.jobTriggers.get
  • dlp.jobTriggers.list
  • dlp.jobs.get
  • dlp.jobs.list
  • dlp.locations.*
  • dlp.storedInfoTypes.get
  • dlp.storedInfoTypes.list

Editor de infotipos almacenados en DLP
(roles/dlp.storedInfoTypesEditor)

Edita infotipos almacenados en DLP.

  • dlp.storedInfoTypes.*

Lector de infotipos almacenados en DLP
(roles/dlp.storedInfoTypesReader)

Lee infotipos almacenados en DLP.

  • dlp.storedInfoTypes.get
  • dlp.storedInfoTypes.list

Lector de perfiles de datos de tablas de DLP
(roles/dlp.tableDataProfilesReader)

Puede leer perfiles de tabla de DLP.

  • dlp.tableDataProfiles.*