Informationen zu Rollen

Eine Rolle enthält eine Reihe von Berechtigungen, mit denen Sie bestimmte Aktionen für Google Cloud-Ressourcen vornehmen können. Sie können einem Mitglied mindestens eine Rolle zuweisen, um ihm Berechtigungen zu gewähren.

Auf dieser Seite werden die IAM-Rollen beschrieben, die Sie Identitäten für den Zugriff auf Google Cloud-Ressourcen zuweisen können.

Voraussetzungen für diese Anleitung

Rollentypen

Es gibt drei Arten von Rollen in IAM:

  • Einfache Rollen, zu denen die Rollen "Inhaber", "Bearbeiter" und "Betrachter" gehören und die es schon vor der Einführung von IAM gab.
  • Vordefinierte Rollen, die detaillierten Zugriff auf einen bestimmten Dienst bieten und von Google Cloud verwaltet werden.
  • Benutzerdefinierte Rollen, die detaillierten Zugriff gemäß einer vom Nutzer angegebenen Liste von Berechtigungen bieten.

Mit einer der folgenden Methoden können Sie ermitteln, ob eine oder mehrere Berechtigungen in einer einfachen, vordefinierten oder benutzerdefinierten Rolle enthalten sind:

In den folgenden Abschnitten werden die einzelnen Rollentypen beschrieben und Beispiele für deren Verwendung gegeben.

Einfache Rollen

Vor der Einführung von IAM gab es mehrere einfache Rollen: "Inhaber", "Bearbeiter" und "Betrachter". Diese Rollen sind konzentrisch, was bedeutet, dass die Inhaberrolle die Berechtigungen der Bearbeiterrolle und die Bearbeiterrolle die Berechtigungen der Betrachterrolle beinhaltet.

In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die die einfachen Rollen in allen Google Cloud-Diensten enthalten:

Definitionen für einfache Rollen

Name Titel Berechtigungen
roles/viewer Betrachter Berechtigungen für schreibgeschützte Aktionen, die sich nicht auf den Status auswirken, z. B. Anzeigen (aber nicht Ändern) vorhandener Ressourcen oder Daten
roles/editor Bearbeiter Alle Berechtigungen des Betrachters sowie Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. das Ändern vorhandener Ressourcen
Hinweis: Obwohl die Rolle roles/editor Berechtigungen zum Erstellen und Löschen von Ressourcen für die meisten Google Cloud-Dienste enthält, sind bei einigen Diensten diese Berechtigungen nicht enthalten. Weitere Informationen dazu, wie Sie prüfen können, ob eine Rolle die erforderlichen Berechtigungen hat, finden Sie im obigen Abschnitt.
roles/owner Inhaber Alle Berechtigungen des Bearbeiters und Berechtigungen für die folgenden Aktionen:
  • Rollen und Berechtigungen für ein Projekt und alle Ressourcen innerhalb des Projekts verwalten
  • Abrechnung für ein Projekt einrichten
Hinweis:
  • Durch das Zuweisen der Inhaberrolle auf Ressourcenebene, beispielsweise ein Pub/Sub-Thema, wird die Inhaberrolle im übergeordneten Projekt nicht zugewiesen.
  • Wenn Sie die Inhaberrolle auf Organisationsebene zuweisen, können Sie die Metadaten der Organisation nicht aktualisieren. Sie können damit jedoch Projekte und andere Ressourcen in dieser Organisation ändern.

Sie können einfache Rollen auf Projekt- oder Dienstressourcenebene mithilfe der Cloud Console, der API und des gcloud-Tools zuweisen. Eine Anleitung finden Sie unter Zugriff gewähren, ändern und widerrufen.

Einladungsablauf

Sie können einem Mitglied die Inhaberrolle für ein Projekt nicht mit der Identity and Access Management API oder dem gcloud-Befehlszeilentool zuweisen. Nur mit der Cloud Console können Sie Inhaber zu einem Projekt hinzufügen. Das Mitglied erhält per E-Mail eine Einladung und muss diese annehmen, um ein Inhaber des Projekts zu werden.

Beachten Sie, dass in den folgenden Fällen keine Einladungen per E-Mail gesendet werden:

  • Wenn Sie eine andere Rolle als die Inhaberrolle zuweisen.
  • Wenn ein Organisationsmitglied ein anderes Mitglied seiner Organisation als Inhaber eines Projekts innerhalb dieser Organisation hinzufügt.

Weitere Informationen zum Zuweisen von Rollen mit der Cloud Console finden Sie unter Zugriff gewähren, ändern und widerrufen.

Vordefinierte Rollen

Zusätzlich zu den einfachen Rollen bietet IAM weitere vordefinierte Rollen, die detaillierten Zugriff auf bestimmte Ressourcen von Google Cloud ermöglichen und unerwünschten Zugriff auf andere Ressourcen verhindern.

Die folgende Tabelle enthält diese Rollen, ihre Beschreibung und den Ressourcentyp der untersten Ebene, für den Rollen festgelegt werden. Eine bestimmte Rolle kann diesem Ressourcentyp oder in den meisten Fällen einem übergeordneten Typ in der Google Cloud-Hierarchie zugewiesen werden. Einem Nutzer können mehrere Rollen zugewiesen werden. Zum Beispiel kann ein Nutzer für ein Projekt die Rollen "Netzwerkadministrator" und "Log-Betrachter" und außerdem die Rolle "Publisher" für ein Pub/Sub-Thema in diesem Projekt haben. Eine Liste der in einer Rolle enthaltenen Berechtigungen finden Sie unter Rollenmetadaten abrufen.

Rollen zur Zugriffsgenehmigung

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/accessapproval.approver Genehmiger für Zugriffsgenehmigungen Beta Kann Anfragen für Zugriffsgenehmigungen ansehen und bearbeiten sowie Konfigurationen ansehen
  • accessapproval.requests.*
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accessapproval.configEditor Bearbeiter der Zugriffsgenehmigungskonfiguration Beta Kann die Zugriffsgenehmigungskonfiguration aktualisieren
  • accessapproval.settings.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accessapproval.viewer Betrachter von Zugriffsgenehmigungen Beta Kann Anfragen für Zugriffsgenehmigungen und Konfigurationen ansehen
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Context Manager-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/accesscontextmanager.gcpAccessAdmin Administrator für Cloud-Zugriffsbindungen Erstellen, bearbeiten und ändern von Cloud-Zugriffsbindungen
  • accesscontextmanager.gcpUserAccessBindings.*
roles/accesscontextmanager.gcpAccessReader Leser für Cloud-Zugriffsbindungen Lesezugriff auf Cloud-Zugriffsbindungen
  • accesscontextmanager.gcpUserAccessBindings.get
  • accesscontextmanager.gcpUserAccessBindings.list
roles/accesscontextmanager.policyAdmin Access Context Manager-Administrator Vollständiger Zugriff auf Richtlinien, Zugriffsebenen und Zugriffszonen
  • accesscontextmanager.accessLevels.*
  • accesscontextmanager.accessPolicies.*
  • accesscontextmanager.accessZones.*
  • accesscontextmanager.policies.*
  • accesscontextmanager.servicePerimeters.*
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accesscontextmanager.policyEditor Access Context Manager-Bearbeiter Schreibzugriff auf Richtlinien. Erstellen, bearbeiten und ändern Sie Zugriffsebenen und -zonen.
  • accesscontextmanager.accessLevels.*
  • accesscontextmanager.accessPolicies.create
  • accesscontextmanager.accessPolicies.delete
  • accesscontextmanager.accessPolicies.get
  • accesscontextmanager.accessPolicies.getIamPolicy
  • accesscontextmanager.accessPolicies.list
  • accesscontextmanager.accessPolicies.update
  • accesscontextmanager.accessZones.*
  • accesscontextmanager.policies.create
  • accesscontextmanager.policies.delete
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.policies.update
  • accesscontextmanager.servicePerimeters.*
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accesscontextmanager.policyReader Access Context Manager-Leser Lesezugriff auf Richtlinien, Zugriffsebenen und Zugriffszonen.
  • accesscontextmanager.accessLevels.get
  • accesscontextmanager.accessLevels.list
  • accesscontextmanager.accessPolicies.get
  • accesscontextmanager.accessPolicies.getIamPolicy
  • accesscontextmanager.accessPolicies.list
  • accesscontextmanager.accessZones.get
  • accesscontextmanager.accessZones.list
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.servicePerimeters.get
  • accesscontextmanager.servicePerimeters.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accesscontextmanager.vpcScTroubleshooterViewer Betrachter der VPC Service Controls-Fehlerbehebung
  • accesscontextmanager.accessLevels.get
  • accesscontextmanager.accessLevels.list
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.servicePerimeters.get
  • accesscontextmanager.servicePerimeters.list
  • logging.exclusions.get
  • logging.exclusions.list
  • logging.logEntries.list
  • logging.logMetrics.get
  • logging.logMetrics.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.sinks.get
  • logging.sinks.list
  • logging.usage.*
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Actions-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/actions.Admin Actions-Administrator Kann Aktionen bearbeiten und bereitstellen
  • actions.*
  • firebase.projects.get
  • firebase.projects.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use
roles/actions.Viewer Actions-Betrachter Kann Aktionen aufrufen
  • actions.agent.get
  • actions.agentVersions.get
  • actions.agentVersions.list
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

Android Management-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/androidmanagement.user Android Management-Nutzer Vollständiger Zugriff, um Geräte zu verwalten.
  • androidmanagement.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

API-Gateway-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/apigateway.admin ApiGateway-AdministratorBeta Vollständiger Zugriff auf ApiGateway und zugehörige Ressourcen.
  • apigateway.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigateway.viewer ApiGateway-BetrachterBeta Lesezugriff auf ApiGateway und zugehörige Ressourcen.
  • apigateway.apiconfigs.get
  • apigateway.apiconfigs.getIamPolicy
  • apigateway.apiconfigs.list
  • apigateway.apis.get
  • apigateway.apis.getIamPolicy
  • apigateway.apis.list
  • apigateway.gateways.get
  • apigateway.gateways.getIamPolicy
  • apigateway.gateways.list
  • apigateway.locations.*
  • apigateway.operations.get
  • apigateway.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/apigee.admin Apigee-Organisationsadministrator Vollständiger Zugriff auf alle Apigee-Ressourcen-Features
  • apigee.*
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.analyticsAgent Apigee Analytics-Agent Ausgewählte Reihe von Berechtigungen für Apigee Universal Data Collection Agent, um Analysen für eine Apigee-Organisation zu verwalten
  • apigee.environments.getDataLocation
roles/apigee.analyticsEditor Apigee Analytics-Bearbeiter Analytics-Editor für ein Apigee-Unternehmen
  • apigee.datacollectors.*
  • apigee.datastores.*
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.exports.*
  • apigee.hostqueries.*
  • apigee.hoststats.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.queries.*
  • apigee.reports.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.analyticsViewer Apigee Analytics-Betrachter Analytics-Betrachter für ein Apigee-Unternehmen
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.datastores.get
  • apigee.datastores.list
  • apigee.environments.getStats
  • apigee.exports.get
  • apigee.exports.list
  • apigee.hostqueries.get
  • apigee.hostqueries.list
  • apigee.hoststats.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.queries.get
  • apigee.queries.list
  • apigee.reports.get
  • apigee.reports.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.apiCreator Apigee API-Ersteller Ersteller von Apigee-Ressourcen
  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.apps.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.ingressconfigs.*
  • apigee.keyvaluemaps.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.*
  • apigee.proxyrevisions.delete
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.proxyrevisions.update
  • apigee.sharedflowrevisions.*
  • apigee.sharedflows.*
  • apigee.tracesessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.deployer Apigee-Bereitsteller Bereitsteller von Apigee-Ressourcen
  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.apps.*
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.deployments.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getIamPolicy
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.environments.setIamPolicy
  • apigee.flowhooks.*
  • apigee.ingressconfigs.*
  • apigee.keystorealiases.*
  • apigee.keystores.*
  • apigee.keyvaluemaps.*
  • apigee.maskconfigs.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.deploy
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.proxyrevisions.undeploy
  • apigee.references.*
  • apigee.resourcefiles.*
  • apigee.sharedflowrevisions.*
  • apigee.sharedflows.*
  • apigee.targetservers.*
  • apigee.tracesessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.developerAdmin Apigee-Entwickler/Administrator Entwickleradministrator von Apigee-Ressourcen
  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.appkeys.*
  • apigee.datacollectors.*
  • apigee.developerappattributes.*
  • apigee.developerapps.*
  • apigee.developerattributes.*
  • apigee.developers.*
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.hoststats.*
  • apigee.organizations.get
  • apigee.organizations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.readOnlyAdmin Schreibgeschützter Apigee-Admin Betrachter aller Apigee-Ressourcen
  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.appkeys.get
  • apigee.apps.*
  • apigee.caches.list
  • apigee.canaryevaluations.get
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.datastores.get
  • apigee.datastores.list
  • apigee.deployments.get
  • apigee.deployments.list
  • apigee.developerappattributes.get
  • apigee.developerappattributes.list
  • apigee.developerapps.get
  • apigee.developerapps.list
  • apigee.developerattributes.get
  • apigee.developerattributes.list
  • apigee.developers.get
  • apigee.developers.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getDataLocation
  • apigee.environments.getIamPolicy
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.get
  • apigee.exports.list
  • apigee.flowhooks.getSharedFlow
  • apigee.flowhooks.list
  • apigee.hostqueries.get
  • apigee.hostqueries.list
  • apigee.hoststats.*
  • apigee.ingressconfigs.*
  • apigee.instanceattachments.get
  • apigee.instanceattachments.list
  • apigee.instances.get
  • apigee.instances.list
  • apigee.keystorealiases.get
  • apigee.keystorealiases.list
  • apigee.keystores.get
  • apigee.keystores.list
  • apigee.keyvaluemaps.list
  • apigee.maskconfigs.get
  • apigee.operations.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.queries.get
  • apigee.queries.list
  • apigee.references.get
  • apigee.references.list
  • apigee.reports.get
  • apigee.reports.list
  • apigee.resourcefiles.get
  • apigee.resourcefiles.list
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • apigee.targetservers.get
  • apigee.targetservers.list
  • apigee.tracesessions.get
  • apigee.tracesessions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.runtimeAgent Apigee-Laufzeit-Agent Ein Gruppe ausgewählter Berechtigungen für einen Laufzeit-Agent zum Zugriff auf Apigee-Organisationsressourcen
  • apigee.canaryevaluations.*
  • apigee.ingressconfigs.*
  • apigee.instances.reportStatus
  • apigee.operations.*
roles/apigee.synchronizerManager Apigee Synchronizer Manager Ausgewählte Reihe von Berechtigungen für einen Synchronizer, um Umgebungen in einer Apigee-Organisation zu verwalten
  • apigee.environments.get
  • apigee.environments.manageRuntime
  • apigee.ingressconfigs.*
roles/apigeeconnect.Admin Apigee Connect-Administrator Administrator von Apigee Connect
  • apigeeconnect.connections.*
roles/apigeeconnect.Agent Apigee Connect Agent Kann einen Apigee Connect-Agent zwischen externen Clustern und Google einrichten.
  • apigeeconnect.endpoints.*

App Engine-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/appengine.appAdmin App Engine-Administrator

Berechtigung zum Lesen/Schreiben/Ändern für die gesamte Anwendungskonfiguration und die Einstellungen

Zum Bereitstellen neuer Versionen müssen Sie auch die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser) zuweisen.

Wenn Sie das gcloud-Tool zum Bereitstellen verwenden möchten, müssen Sie die Rollen „Storage-Administrator“ (roles/compute.storageAdmin) und „Cloud Build-Bearbeiter“ (roles/cloudbuild.builds.editor) hinzufügen.

  • appengine.applications.get
  • appengine.applications.update
  • appengine.instances.*
  • appengine.operations.*
  • appengine.runtimes.*
  • appengine.services.*
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/appengine.appCreator App Engine-Ersteller Fähigkeit zur Erstellung der App Engine-Ressource für das Projekt.
  • appengine.applications.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/appengine.appViewer App Engine-Betrachter Lesezugriff auf die gesamte Anwendungskonfiguration und die Einstellungen.
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.get
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/appengine.codeViewer Betrachter von App Engine-Code Lesezugriff auf die gesamte Anwendungskonfiguration, die Einstellungen und den bereitgestellten Quellcode.
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.get
  • appengine.versions.getFileContents
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/appengine.deployer App Engine-Bereitsteller

Lesezugriff auf die gesamte Anwendungskonfiguration und die Einstellungen

Zum Bereitstellen neuer Versionen müssen Sie auch die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser) zuweisen.

Wenn Sie das gcloud-Tool zum Bereitstellen verwenden möchten, müssen Sie die Rollen „Storage-Administrator“ (roles/compute.storageAdmin) und „Cloud Build-Bearbeiter“ (roles/cloudbuild.builds.editor) hinzufügen.

Sie können vorhandene Versionen nicht bearbeiten, sondern nur Versionen löschen, die keinen Traffic empfangen.

  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/appengine.serviceAdmin App Engine-Dienstadministrator

Lesezugriff auf die gesamte Anwendungskonfiguration und die Einstellungen

Schreibberechtigung für Einstellungen auf Modul- und Versionsebene Kann keine neue Version bereitstellen.

  • appengine.applications.get
  • appengine.instances.*
  • appengine.operations.*
  • appengine.services.*
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt

Artifact Registry-Rollen

Role Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/artifactregistry.admin Artifact Registry-AdministratorBeta Administratorzugriff zum Erstellen und Verwalten von Repositories.
  • artifactregistry.*
roles/artifactregistry.reader Artifact Registry-Leser Beta Lesezugriff auf Repositoryelemente.
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.versions.get
  • artifactregistry.versions.list
roles/artifactregistry.repoAdmin Artifact Registry-Repository-AdministratorBeta Zugriff zur Verwaltung von Artefakten in Repositories.
  • artifactregistry.files.*
  • artifactregistry.packages.*
  • artifactregistry.repositories.deleteArtifacts
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.*
  • artifactregistry.versions.*
roles/artifactregistry.writer Artifact Registry-Autor Beta Lese- und Schreibzugriff auf Repositoryelemente.
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list

Assured Workloads-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/assuredworkloads.admin Assured Workloads-Administrator Gewährt vollständigen Zugriff auf Assured Workloads-Ressourcen, einschließlich der Verwaltung von IAM-Richtlinien.
  • assuredworkloads.*
  • orgpolicy.*
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/assuredworkloads.editor Assured Workloads-Bearbeiter Gewährt Lese- und Schreibzugriff auf Assured Workloads-Ressourcen.
  • assuredworkloads.*
  • orgpolicy.*
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/assuredworkloads.reader Leser von Assured Workloads Gewährt Lesezugriff auf alle Assured Workloads-Ressourcen.
  • assuredworkloads.operations.*
  • assuredworkloads.workload.get
  • assuredworkloads.workload.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

AutoML-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/automl.admin AutoML-AdministratorBeta Voller Zugriff auf alle AutoML-Ressourcen
  • automl.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Dataset/Modell
roles/automl.editor AutoML-BearbeiterBeta Bearbeiter aller AutoML-Ressourcen
  • automl.annotationSpecs.*
  • automl.annotations.*
  • automl.columnSpecs.*
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.update
  • automl.examples.*
  • automl.humanAnnotationTasks.*
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.*
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.list
  • automl.models.predict
  • automl.models.undeploy
  • automl.operations.*
  • automl.tableSpecs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Dataset/Modell
roles/automl.predictor AutoML-ErkennungBeta Erkennen mit Modellen
  • automl.models.predict
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Model
roles/automl.viewer AutoML-BetrachterBeta Betrachter von allen AutoML-Ressourcen
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Dataset/Modell

BigQuery-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/bigquery.admin BigQuery-Administrator Berechtigungen zum Verwalten aller Ressourcen im Projekt. Kann damit alle Daten im Projekt verwalten und Jobs von anderen Nutzern abbrechen, die im Projekt ausgeführt werden.
  • bigquery.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/bigquery.connectionAdmin BigQuery-Verbindungsadministrator
  • bigquery.connections.*
roles/bigquery.connectionUser BigQuery-Verbindungsnutzer
  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use
roles/bigquery.dataEditor BigQuery-Datenbearbeiter

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren.
  • Die Tabelle oder Ansicht löschen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Metadaten des Datasets lesen und Tabellen im Dataset auflisten.
  • Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen.

Bei Anwendung auf Projekt- oder Organisationsebene können Sie durch diese Rolle zusätzlich neue Datasets erstellen.

  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.delete
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Tabelle oder Ansicht
roles/bigquery.dataOwner BigQuery-Dateninhaber

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren.
  • Tabelle oder Ansicht freigeben.
  • Die Tabelle oder Ansicht löschen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Das Lesen, Aktualisieren und Löschen des Datasets.
  • Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen.

Bei Anwendung auf Projekt- oder Organisationsebene können Sie durch diese Rolle zusätzlich neue Datasets erstellen.

  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Tabelle oder Ansicht
roles/bigquery.dataViewer BigQuery-Datenbetrachter

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten aus der Tabelle oder Ansicht lesen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Metadaten des Datasets lesen und Tabellen im Dataset auflisten.
  • Daten und Metadaten aus den Tabellen des Datasets lesen.

Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht diese Rolle die Aufzählung aller Datasets im Projekt. Für die Ausführung von Jobs sind jedoch weitere Rollen erforderlich.

  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Tabelle oder Ansicht
roles/bigquery.jobUser BigQuery-Jobnutzer Berechtigungen zum Ausführen von Jobs im Projekt, einschließlich Abfragen.
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/bigquery.metadataViewer BigQuery Metadata-Betrachter

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Metadaten aus der Tabelle oder Ansicht lesen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Tabellen und Ansichten im Dataset auflisten.
  • Metadaten aus den Tabellen und Ansichten des Datasets lesen.

Bei Anwendung auf Projekt- oder Organisationsebene gewährt diese Rolle Berechtigungen für:

  • Alle Datasets auflisten und Metadaten für alle Datasets im Projekt lesen.
  • Alle Tabellen und Ansichten auflisten sowie Metadaten für alle Tabellen und Ansichten im Projekt lesen

Für die Ausführung von Jobs sind weitere Rollen erforderlich.

  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Tabelle oder Ansicht
roles/bigquery.readSessionUser BigQuery Read Session-Nutzer Zugriff zum Erstellen und Verwenden von Lesesitzungen
  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceAdmin BigQuery-Ressourcen-Administrator Verwalten Sie alle BigQuery-Ressourcen.
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceEditor BigQuery-Ressourcenbearbeiter Kann alle BigQuery-Ressourcen verwalten, aber keine Kaufentscheidungen treffen.
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceViewer BigQuery-Ressourcenbetrachter Kann alle BigQuery-Ressourcen betrachten, aber keine Änderungen vornehmen oder Kaufentscheidungen treffen.
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.user BigQuery-Nutzer

Bei Anwendung auf ein Dataset ermöglicht diese Rolle das Lesen der Metadaten des Datasets und das Auflisten von Tabellen im Dataset.

Bei Anwendung auf ein Projekt bietet diese Rolle auch die Möglichkeit, Jobs, einschließlich Abfragen, innerhalb des Projekts auszuführen. Ein Mitglied mit dieser Rolle kann seine eigenen Jobs auflisten, seine eigenen Jobs abbrechen und Datasets innerhalb eines Projekts aufzählen. Darüber hinaus ermöglicht die Rolle das Erstellen neuer Datasets im Projekt. Dem Ersteller wird für diese neuen Datasets die Rolle "BigQuery Data-Inhaber" (roles/bigquery.dataOwner) zugewiesen.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Dataset

Cloud Bigtable-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/bigtable.admin Bigtable-Administrator Verwaltet alle Instanzen in einem Projekt, darunter auch die Daten, die in den Tabellen gespeichert sind. Kann neue Instanzen erstellen. Vorgesehen für Projektadministratoren.
  • bigtable.*
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
Instanz
roles/bigtable.reader Bigtable-Leser Erlaubt nur Lesezugriff auf die in den Tabellen gespeicherten Daten. Gedacht für Datenanalysten, Dashboard-Generatoren und anderen Datenanalyse-Szenarien.
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.keyvisualizer.*
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
Instanz
roles/bigtable.user Bigtable-Nutzer Erlaubt Lese- und Schreibzugriff auf die in den Tabellen gespeicherten Daten. Gedacht für Anwendungsentwickler oder Dienstkontos.
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.keyvisualizer.*
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.mutateRows
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
Instanz
roles/bigtable.viewer Bigtable-Betrachter Bietet keinen Datenzugriff. Diese Rolle beinhaltet einen Satz von Mindestberechtigungen für den Zugriff auf die Cloud Console für Cloud Bigtable.
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
Instanz

Abrechnungsrollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/billing.admin Rechnungskontoadministrator Berechtigung zum Aufrufen und Verwalten aller Aspekte von Abrechnungskonten
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.*
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.*
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
  • dataprocessing.groupcontrols.list
  • logging.logEntries.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • recommender.commitmentUtilizationInsights.*
  • recommender.usageCommitmentRecommendations.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
Rechnungskonto
roles/billing.creator Rechnungskonto-Ersteller Berechtigung zum Erstellen von Abrechnungskonten
  • billing.accounts.create
  • resourcemanager.organizations.get
Organisation
roles/billing.projectManager Administrator für die Projektabrechnung Berechtigung zum Zuweisen des Abrechnungskontos eines Projekts oder zum Deaktivieren seiner Abrechnung
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
Projekt
roles/billing.user Rechnungskontonutzer Berechtigung zum Verbinden von Projekten mit Abrechnungskonten
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.*
  • billing.resourceAssociations.create
Rechnungskonto
roles/billing.viewer Rechnungskonto-Betrachter Kontoinformationen und Transaktionen im Rechnungskonto aufrufen
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.*
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • dataprocessing.groupcontrols.list
  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
Rechnungskonto

Binärautorisierungsrollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/binaryauthorization.attestorsAdmin Administrator der Attestierer von BinärautorisierungenBeta Administrator der Attestierer von Binärautorisierungen
  • binaryauthorization.attestors.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.attestorsEditor Bearbeiter der Attestierer von BinärautorisierungenBeta Für Attestierungen von Binärautorisierungen verantwortlicher Bearbeiter
  • binaryauthorization.attestors.create
  • binaryauthorization.attestors.delete
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • binaryauthorization.attestors.update
  • binaryauthorization.attestors.verifyImageAttested
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.attestorsVerifier Verifizierer dern Attestierer-Images von BinärautorisierungenBeta Aufrufer der Attestierungen "VerifyImageAttested" von Binärautorisierungen
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • binaryauthorization.attestors.verifyImageAttested
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.attestorsViewer Betrachter der Attestierer von BinärautorisierungenBeta Für Attestierungen von Binärautorisierungen verantwortlicher Betrachter
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.policyAdmin Administrator der Richtlinien für BinärautorisierungenBeta Administrator der Richtlinien für Binärautorisierungen
  • binaryauthorization.policy.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.policyEditor Bearbeiter der Richtlinien für BinärautorisierungenBeta Bearbeiter der Richtlinien für Binärautorisierungen
  • binaryauthorization.policy.get
  • binaryauthorization.policy.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.policyViewer Betrachter der Richtlinien für BinärautorisierungenBeta Betrachter der Richtlinien für Binärautorisierungen
  • binaryauthorization.policy.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Hangouts Chat-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/chat.owner Chatbots-Inhaber Kann Bot-Konfigurationen aufrufen und ändern
  • chat.*
roles/chat.reader Chatbots-Betrachter Kann Bot-Konfigurationen aufrufen
  • chat.bots.get

Cloud-Asset-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudasset.owner Cloud Asset-Inhaber Kompletter Zugriff auf Cloud-Asset-Metadaten
  • cloudasset.*
roles/cloudasset.viewer Cloud-Asset-Betrachter Lesezugriff auf Cloud-Asset-Metadaten
  • cloudasset.assets.*

Cloud Build-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudbuild.builds.builder Cloud Build-Dienstkonto Berechtigung zum Ausführen von Builds
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list
  • cloudbuild.*
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • pubsub.topics.create
  • pubsub.topics.publish
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update
roles/cloudbuild.builds.editor Cloud Build-Bearbeiter Berechtigung zum Erstellen und Stornieren von Builds
  • cloudbuild.*
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/cloudbuild.builds.viewer Cloud Build-Betrachter Berechtigung zum Aufrufen von Builds
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt

Cloud Data Fusion-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/datafusion.admin Cloud Data Fusion-AdministratorBeta Vollständiger Zugriff auf Cloud Data Fusion-Instanzen und zugehörige Ressourcen.
  • datafusion.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/datafusion.runner Cloud Data Fusion-Runner Beta Zugriff auf Cloud Data Fusion-Laufzeitressourcen.
  • datafusion.instances.runtime
roles/datafusion.viewer Cloud Data Fusion-BetrachterBeta Schreibzugriff auf Cloud Data Fusion-Instanzen und zugehörige Ressourcen.
  • datafusion.instances.get
  • datafusion.instances.getIamPolicy
  • datafusion.instances.list
  • datafusion.instances.runtime
  • datafusion.locations.*
  • datafusion.operations.get
  • datafusion.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt

Cloud Debugger-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/clouddebugger.agent Cloud Debugger-AgentBeta Ermöglicht das Registrieren des Debug-Ziels, das Lesen aktiver Haltepunkte und das Melden von Haltepunktergebnissen.
  • clouddebugger.breakpoints.list
  • clouddebugger.breakpoints.listActive
  • clouddebugger.breakpoints.update
  • clouddebugger.debuggees.create
Dienstkonto
roles/clouddebugger.user Cloud Debugger-Nutzer Beta Ermöglicht das Erstellen, Aufrufen, Auflisten und Löschen von Haltepunkten (Snapshots und Logpoints) sowie das Auflisten von Debug-Zielen, d. h. von Komponenten, für die ein Debugging ausgeführt werden soll.
  • clouddebugger.breakpoints.create
  • clouddebugger.breakpoints.delete
  • clouddebugger.breakpoints.get
  • clouddebugger.breakpoints.list
  • clouddebugger.debuggees.list
Projekt

Cloud Functions-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudfunctions.admin Cloud Functions-Administrator Umfassender Zugriff auf Funktionen, Vorgänge und Speicherorte.
  • cloudfunctions.*
  • resourcemanager.projects.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudfunctions.developer Cloud Functions-Entwickler Lese- und Schreibzugriff auf alle funktionsbezogenen Ressourcen.
  • cloudfunctions.functions.call
  • cloudfunctions.functions.create
  • cloudfunctions.functions.delete
  • cloudfunctions.functions.get
  • cloudfunctions.functions.invoke
  • cloudfunctions.functions.list
  • cloudfunctions.functions.sourceCodeGet
  • cloudfunctions.functions.sourceCodeSet
  • cloudfunctions.functions.update
  • cloudfunctions.locations.*
  • cloudfunctions.operations.*
  • resourcemanager.projects.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudfunctions.invoker Cloud Functions-Invoker HTTP-Funktionen mit eingeschränktem Zugriff aufrufen.
  • cloudfunctions.functions.invoke
roles/cloudfunctions.viewer Cloud Functions-Betrachter Schreibgeschützter Zugriff auf Funktionen und Speicherorte.
  • cloudfunctions.functions.get
  • cloudfunctions.functions.list
  • cloudfunctions.locations.*
  • cloudfunctions.operations.*
  • resourcemanager.projects.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Cloud IAP-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/iap.admin IAP-Richtlinienadministrator Ermöglicht vollständigen Zugriff auf Ressourcen von Cloud Identity-Aware Proxy.
  • iap.tunnel.*
  • iap.tunnelInstances.getIamPolicy
  • iap.tunnelInstances.setIamPolicy
  • iap.tunnelZones.*
  • iap.web.getIamPolicy
  • iap.web.setIamPolicy
  • iap.webServiceVersions.getIamPolicy
  • iap.webServiceVersions.setIamPolicy
  • iap.webServices.getIamPolicy
  • iap.webServices.setIamPolicy
  • iap.webTypes.getIamPolicy
  • iap.webTypes.setIamPolicy
Projekt
roles/iap.httpsResourceAccessor Nutzer von IAP-gesicherten Web-Apps Ermöglicht Zugriff auf HTTPS-Ressourcen, die Cloud Identity-Aware Proxy verwenden.
  • iap.webServiceVersions.accessViaIAP
Projekt
roles/iap.settingsAdmin Administrator IAP-Einstellungen Administrator von IAP-Einstellungen.
  • iap.projects.*
  • iap.web.getSettings
  • iap.web.updateSettings
  • iap.webServiceVersions.getSettings
  • iap.webServiceVersions.updateSettings
  • iap.webServices.getSettings
  • iap.webServices.updateSettings
  • iap.webTypes.getSettings
  • iap.webTypes.updateSettings
roles/iap.tunnelResourceAccessor Nutzer IAP-gesicherter Tunnel Ermöglicht Zugriff auf Tunnelressourcen, die Identity-Aware Proxy verwenden.
  • iap.tunnelInstances.accessViaIAP

Cloud IdD-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudiot.admin Cloud IoT-Administrator Uneingeschränkte Kontrolle über alle Cloud IoT-Ressourcen und -Berechtigungen.
  • cloudiot.*
  • cloudiottoken.*
Gerät
roles/cloudiot.deviceController Cloud IoT-Gerätesteuerung Kann Gerätekonfigurationen aktualisieren, aber keine Geräte erstellen oder löschen.
  • cloudiot.devices.get
  • cloudiot.devices.list
  • cloudiot.devices.sendCommand
  • cloudiot.devices.updateConfig
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiottoken.tokensettings.get
Gerät
roles/cloudiot.editor Cloud IdD-Bearbeiter Lese-/Schreibzugriff auf alle Cloud IoT-Ressourcen.
  • cloudiot.devices.*
  • cloudiot.registries.create
  • cloudiot.registries.delete
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiot.registries.update
  • cloudiottoken.*
Gerät
roles/cloudiot.provisioner Cloud IoT-Bereitsteller Kann Geräte in Registrys erstellen und löschen, aber keine Registrys ändern.
  • cloudiot.devices.*
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiottoken.tokensettings.get
Gerät
roles/cloudiot.viewer Cloud IdD-Betrachter Schreibgeschützter Zugriff auf alle Cloud IdD-Ressourcen.
  • cloudiot.devices.get
  • cloudiot.devices.list
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiottoken.tokensettings.get
Gerät

Cloud Talent Solution-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudjobdiscovery.admin Administrator Zugriff auf Self-Service-Tools von Cloud Talent Solution.
  • cloudjobdiscovery.tools.*
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.jobsEditor Job-Editor Schreibzugriff auf alle Jobdaten in Cloud Talent Solution.
  • cloudjobdiscovery.companies.*
  • cloudjobdiscovery.events.*
  • cloudjobdiscovery.jobs.*
  • cloudjobdiscovery.tenants.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.jobsViewer Jobbetrachter Lesezugriff auf alle Jobdaten in Cloud Talent Solution.
  • cloudjobdiscovery.companies.get
  • cloudjobdiscovery.companies.list
  • cloudjobdiscovery.jobs.get
  • cloudjobdiscovery.jobs.search
  • cloudjobdiscovery.tenants.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.profilesEditor Profilbearbeiter Schreibzugriff auf alle Profildaten in Cloud Talent Solution.
  • cloudjobdiscovery.events.*
  • cloudjobdiscovery.profiles.*
  • cloudjobdiscovery.tenants.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.profilesViewer Profilbetrachter Lesezugriff auf alle Profildaten in Cloud Talent Solution.
  • cloudjobdiscovery.profiles.get
  • cloudjobdiscovery.profiles.search
  • cloudjobdiscovery.tenants.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud KMS-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudkms.admin Cloud KMS-Administrator Vollzugriff auf Cloud-KMS-Ressourcen mit Ausnahme von Verschlüsselungs- und Entschlüsselungsvorgängen
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.destroy
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.cryptoKeyVersions.restore
  • cloudkms.cryptoKeyVersions.update
  • cloudkms.cryptoKeys.*
  • cloudkms.importJobs.*
  • cloudkms.keyRings.*
  • resourcemanager.projects.get
CryptoKey
roles/cloudkms.cryptoKeyDecrypter Cloud KMS CryptoKey-Entschlüsseler Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Entschlüsseln zu verwenden.
  • cloudkms.cryptoKeyVersions.useToDecrypt
  • resourcemanager.projects.get
CryptoKey
roles/cloudkms.cryptoKeyEncrypter Cloud KMS CryptoKey-Verschlüsseler Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Verschlüsseln zu verwenden.
  • cloudkms.cryptoKeyVersions.useToEncrypt
  • resourcemanager.projects.get
CryptoKey
roles/cloudkms.cryptoKeyEncrypterDecrypter Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Verschlüsseln und Entschlüsseln zu verwenden.
  • cloudkms.cryptoKeyVersions.useToDecrypt
  • cloudkms.cryptoKeyVersions.useToEncrypt
  • resourcemanager.projects.get
CryptoKey
roles/cloudkms.importer Cloud KMS-Importeur Kann folgende Vorgänge ausführen: ImportCryptoKeyVersion, CreateImportJob, ListImportJobs und GetImportJob
  • cloudkms.importJobs.create
  • cloudkms.importJobs.get
  • cloudkms.importJobs.list
  • cloudkms.importJobs.useToImport
  • resourcemanager.projects.get
roles/cloudkms.publicKeyViewer PublicKey-Betrachter für Cloud KMS CryptoKeys Ermöglicht GetPublicKey-Vorgänge.
  • cloudkms.cryptoKeyVersions.viewPublicKey
  • resourcemanager.projects.get
roles/cloudkms.signer Cloud KMS CryptoKey-Signer Ermöglicht AsymmetricSign-Vorgänge.
  • cloudkms.cryptoKeyVersions.useToSign
  • resourcemanager.projects.get
roles/cloudkms.signerVerifier Cloud KMS CryptoKey-Signer/Prüffunktion Ermöglicht AsymmetricSign- und GetPublicKey-Vorgänge.
  • cloudkms.cryptoKeyVersions.useToSign
  • cloudkms.cryptoKeyVersions.viewPublicKey
  • resourcemanager.projects.get

Cloud Marketplace-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/consumerprocurement.entitlementManager Manager von Nutzer-Beschaffungsberechtigungen Beta Ermöglicht es, Berechtigungen zu verwalten sowie Dienststatus für ein Nutzerprojekt zu aktivieren, zu deaktivieren und zu prüfen.
  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.services.disable
  • serviceusage.services.enable
  • serviceusage.services.get
  • serviceusage.services.list
roles/consumerprocurement.entitlementViewer Betrachter von Nutzer-Beschaffungsberechtigungen Beta Ermöglicht es, Berechtigungen und Dienststatus für ein Nutzerprojekt zu prüfen.
  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.get
  • consumerprocurement.freeTrials.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/consumerprocurement.orderAdmin Administrator von Nutzer-Beschaffungsaufträgen Beta Ermöglicht es, Käufe zu verwalten.
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
roles/consumerprocurement.orderViewer Betrachter von Nutzer-Beschaffungsaufträgen Beta Ermöglicht es, Käufe zu prüfen.
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list

Rollen für die Cloud-Migration

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudmigration.inframanager Velostrata Manager Beta Compute-VMs zum Ausführen von Velostrata Infrastructure erstellen und verwalten
  • cloudmigration.*
  • compute.addresses.*
  • compute.diskTypes.*
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.list
  • compute.disks.setLabels
  • compute.disks.update
  • compute.disks.use
  • compute.disks.useReadOnly
  • compute.globalOperations.get
  • compute.images.get
  • compute.images.list
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.reset
  • compute.instances.setDiskAutoDelete
  • compute.instances.setLabels
  • compute.instances.setMachineType
  • compute.instances.setMetadata
  • compute.instances.setMinCpuPlatform
  • compute.instances.setScheduling
  • compute.instances.setServiceAccount
  • compute.instances.setTags
  • compute.instances.start
  • compute.instances.startWithEncryptionKey
  • compute.instances.stop
  • compute.instances.update
  • compute.instances.updateNetworkInterface
  • compute.instances.updateShieldedInstanceConfig
  • compute.instances.use
  • compute.licenseCodes.get
  • compute.licenseCodes.list
  • compute.licenseCodes.update
  • compute.licenseCodes.use
  • compute.licenses.get
  • compute.licenses.list
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.nodeGroups.get
  • compute.nodeGroups.list
  • compute.nodeTemplates.list
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regions.*
  • compute.snapshots.create
  • compute.snapshots.delete
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zoneOperations.get
  • compute.zones.*
  • gkehub.endpoints.*
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • storage.buckets.create
  • storage.buckets.delete
  • storage.buckets.get
  • storage.buckets.list
  • storage.buckets.update
roles/cloudmigration.storageaccess Zugriff auf Velostrata Storage Beta Hat Zugriff auf den Migrationsspeicher
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update
roles/cloudmigration.velostrataconnect Velostrata Manager-Verbindungs-Agent Beta Verbindung zwischen Velostrata Manager und Google herstellen
  • cloudmigration.*
  • gkehub.endpoints.*
roles/vmmigration.admin VM-Migrationsadministrator Beta Kann alle VM-Migrationsobjekte aufrufen und bearbeiten.
  • vmmigration.*
roles/vmmigration.viewer VM-Migrationsbetrachter Beta Alle VM-Migrationsobjekte ansehen
  • vmmigration.deployments.get
  • vmmigration.deployments.list

Rollen im privaten Katalog für Cloud

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudprivatecatalog.consumer Katalognutzer Beta Kann Kataloge im Zielressourcenkontext durchsuchen.
  • cloudprivatecatalog.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudprivatecatalogproducer.admin Katalogadministrator Beta Kann den Katalog verwalten und seine Verknüpfungen ansehen.
  • cloudprivatecatalog.*
  • cloudprivatecatalogproducer.*
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudprivatecatalogproducer.manager Katalogverwalter Beta Kann Verknüpfungen zwischen einem Katalog und einer Zielressource verwalten.
  • cloudprivatecatalog.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Profiler-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudprofiler.agent Cloud Profiler-Agent Cloud Profiler-Agents können sich registrieren und die Profiling-Daten angeben.
  • cloudprofiler.profiles.create
  • cloudprofiler.profiles.update
roles/cloudprofiler.user Cloud Profiler-Nutzer Cloud Profiler-Nutzer können die Profiling-Daten abfragen und anzeigen lassen.
  • cloudprofiler.profiles.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Cloud Scheduler-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudscheduler.admin Cloud Scheduler-Administrator Vollzugriff auf Jobs und Ausführungen.
  • appengine.applications.get
  • cloudscheduler.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudscheduler.jobRunner Cloud Scheduler-Jobinitiator Zugriff, um Jobs auszuführen.
  • appengine.applications.get
  • cloudscheduler.jobs.fullView
  • cloudscheduler.jobs.run
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudscheduler.viewer Cloud Scheduler-Betrachter Zugriffsrechte für das Abrufen und Auflisten von Jobs, Ausführungen und Orten.
  • appengine.applications.get
  • cloudscheduler.jobs.fullView
  • cloudscheduler.jobs.get
  • cloudscheduler.jobs.list
  • cloudscheduler.locations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list

Cloud Security Scanner-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudsecurityscanner.editor Web Security Scanner-Bearbeiter Vollständiger Zugriff auf alle Web Security Scanner-Ressourcen
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt
roles/cloudsecurityscanner.runner Web Security Scanner-Runner Lesezugriff auf Scan und ScanRun sowie Möglichkeit zum Starten von Scans
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scanruns.stop
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • cloudsecurityscanner.scans.run
Projekt
roles/cloudsecurityscanner.viewer Web Security Scanner-Betrachter Lesezugriff auf alle Web Security Scanner-Ressourcen
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt

Cloud Services-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/servicebroker.admin Service Broker-Administrator Vollständiger Zugriff auf Service Broker-Ressourcen.
  • servicebroker.
roles/servicebroker.operator Service Broker-Operator Operativer Zugriff auf die ServiceBroker-Ressourcen
  • servicebroker.bindingoperations.*
  • servicebroker.bindings.create
  • servicebroker.bindings.delete
  • servicebroker.bindings.get
  • servicebroker.bindings.list
  • servicebroker.catalogs.create
  • servicebroker.catalogs.delete
  • servicebroker.catalogs.get
  • servicebroker.catalogs.list
  • servicebroker.instanceoperations.*
  • servicebroker.instances.create
  • servicebroker.instances.delete
  • servicebroker.instances.get
  • servicebroker.instances.list
  • servicebroker.instances.update

Cloud SQL-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudsql.admin Cloud SQL-Administrator Bietet uneingeschränkte Kontrolle über Cloud SQL-Ressourcen.
  • cloudsql.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt
roles/cloudsql.client Cloud SQL-Client Verbindungszugriff auf Cloud SQL-Instanzen
  • cloudsql.instances.connect
  • cloudsql.instances.get
Projekt
roles/cloudsql.editor Cloud SQL-Bearbeiter Uneingeschränkte Kontrolle über vorhandene Cloud SQL-Instanzen, mit Ausnahme der Bearbeitung von Nutzern und SSL-Zertifikaten oder dem Löschen von Ressourcen
  • cloudsql.backupRuns.create
  • cloudsql.backupRuns.get
  • cloudsql.backupRuns.list
  • cloudsql.databases.create
  • cloudsql.databases.get
  • cloudsql.databases.list
  • cloudsql.databases.update
  • cloudsql.instances.addServerCa
  • cloudsql.instances.connect
  • cloudsql.instances.export
  • cloudsql.instances.failover
  • cloudsql.instances.get
  • cloudsql.instances.list
  • cloudsql.instances.listServerCas
  • cloudsql.instances.restart
  • cloudsql.instances.rotateServerCa
  • cloudsql.instances.truncateLog
  • cloudsql.instances.update
  • cloudsql.sslCerts.get
  • cloudsql.sslCerts.list
  • cloudsql.users.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt
roles/cloudsql.instanceUser Cloud SQL-Instanznutzer Rolle für den Zugriff auf eine Cloud SQL-Instanz
  • cloudsql.instances.get
  • cloudsql.instances.login
roles/cloudsql.viewer Cloud SQL-Betrachter Lesezugriff auf Cloud SQL-Ressourcen
  • cloudsql.backupRuns.get
  • cloudsql.backupRuns.list
  • cloudsql.databases.get
  • cloudsql.databases.list
  • cloudsql.instances.export
  • cloudsql.instances.get
  • cloudsql.instances.list
  • cloudsql.instances.listServerCas
  • cloudsql.sslCerts.get
  • cloudsql.sslCerts.list
  • cloudsql.users.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt

Cloud Tasks-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudtasks.admin Cloud Tasks-AdministratorBeta Vollzugriff auf Warteschlangen und Aufgaben.
  • cloudtasks.*
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.enqueuer Ersteller für Cloud-AufgabenBeta Ermöglicht das Erstellen von Aufgaben.
  • cloudtasks.tasks.create
  • cloudtasks.tasks.fullView
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.queueAdmin Administrator für Cloud-AufgabenwarteschlangenBeta Administratorzugriff auf Warteschlangen.
  • cloudtasks.locations.*
  • cloudtasks.queues.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.taskDeleter Entferner für Cloud-AufgabenBeta Ermöglicht das Löschen von Aufgaben.
  • cloudtasks.tasks.delete
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.taskRunner Task-Runner von Cloud TasksBeta Ermöglicht das Ausführen von Aufgaben.
  • cloudtasks.tasks.fullView
  • cloudtasks.tasks.run
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.viewer Betrachter für Cloud-AufgabenBeta Kann Aufgaben, Warteschlangen und Standorte abrufen und auflisten.
  • cloudtasks.locations.*
  • cloudtasks.queues.get
  • cloudtasks.queues.list
  • cloudtasks.tasks.fullView
  • cloudtasks.tasks.get
  • cloudtasks.tasks.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Trace-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudtrace.admin Cloud Trace-Administrator Ermöglicht vollständigen Zugriff auf die Trace-Konsole und Lese-/Schreibzugriff auf Traces.
  • cloudtrace.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/cloudtrace.agent Cloud Trace-Agent Für Dienstkonten; bietet die Möglichkeit, Traces durch Senden von Daten an Stackdriver Trace zu schreiben.
  • cloudtrace.traces.patch
Projekt
roles/cloudtrace.user Cloud Trace-Nutzer Ermöglicht vollständigen Zugriff auf die Trace-Konsole und Lesezugriff auf Traces.
  • cloudtrace.insights.*
  • cloudtrace.stats.*
  • cloudtrace.tasks.*
  • cloudtrace.traces.get
  • cloudtrace.traces.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt

Cloud Translation-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudtranslate.admin Cloud Translation API-Administrator Vollzugriff auf alle Ressourcen von Cloud Translation
  • automl.models.get
  • automl.models.predict
  • cloudtranslate.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtranslate.editor Cloud Translation API-Bearbeiter Bearbeiter aller Ressourcen von Cloud Translation
  • automl.models.get
  • automl.models.predict
  • cloudtranslate.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtranslate.user Cloud Translation API-Nutzer Nutzer von Cloud Translation- und AutoML-Modellen
  • automl.models.get
  • automl.models.predict
  • cloudtranslate.generalModels.*
  • cloudtranslate.glossaries.batchPredict
  • cloudtranslate.glossaries.get
  • cloudtranslate.glossaries.list
  • cloudtranslate.glossaries.predict
  • cloudtranslate.languageDetectionModels.*
  • cloudtranslate.locations.*
  • cloudtranslate.operations.get
  • cloudtranslate.operations.list
  • cloudtranslate.operations.wait
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtranslate.viewer Cloud Translation API-Betrachter Betrachter aller Übersetzungsressourcen
  • automl.models.get
  • cloudtranslate.generalModels.get
  • cloudtranslate.glossaries.get
  • cloudtranslate.glossaries.list
  • cloudtranslate.locations.*
  • cloudtranslate.operations.get
  • cloudtranslate.operations.list
  • cloudtranslate.operations.wait
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Workflow-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/workflows.admin Workflow-AdministratorBeta Vollständiger Zugriff auf Workflows und zugehörige Ressourcen.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • workflows.*
roles/workflows.editor Workflow-BearbeiterBeta Lese- und Schreibzugriff auf Workflows und zugehörige Ressourcen.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • workflows.executions.*
  • workflows.locations.*
  • workflows.operations.*
  • workflows.workflows.create
  • workflows.workflows.delete
  • workflows.workflows.get
  • workflows.workflows.getIamPolicy
  • workflows.workflows.list
  • workflows.workflows.update
roles/workflows.invoker Workflow-AufruferBeta Berechtigung zum Ausführen von Workflows und zum Verwalten der Ausführungen.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • workflows.executions.*
roles/workflows.viewer Workflow-BetrachterBeta Lesezugriff auf Workflows und zugehörige Ressourcen.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • workflows.executions.get
  • workflows.executions.list
  • workflows.locations.*
  • workflows.operations.get
  • workflows.operations.list
  • workflows.workflows.get
  • workflows.workflows.getIamPolicy
  • workflows.workflows.list

Codelab-API-Schlüsselrollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/codelabapikeys.admin Administrator von Codelab-API-SchlüsselnBeta Vollständiger Zugriff auf API-Schlüssel
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/codelabapikeys.editor Bearbeiter von Codelab-API-SchlüsselnBeta Diese Rolle kann alle Attribute von API-Schlüsseln ansehen und bearbeiten.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/codelabapikeys.viewer Betrachter von Codelab-API-SchlüsselnBeta Diese Rolle kann alle Attribute ansehen außer dem Änderungsverlauf von API-Schlüsseln.
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Composer-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/composer.admin Composer-Administrator Bietet uneingeschränkte Kontrolle über Cloud Composer-Ressourcen.
  • composer.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt
roles/composer.environmentAndStorageObjectAdmin Administrator für Umgebung und Storage-Objekte Bietet uneingeschränkte Kontrolle über Cloud Composer-Ressourcen und die Objekte in allen Projekt-Buckets.
  • composer.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.*
Projekt
roles/composer.environmentAndStorageObjectViewer Umgebungsnutzer und Betrachter von Storage-Objekten Bietet die Berechtigung zum Auflisten und Abrufen von Cloud Composer-Umgebungen und -Vorgängen. Bietet Lesezugriff auf Objekte in allen Projekt-Buckets.
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.*
  • composer.operations.get
  • composer.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.get
  • storage.objects.list
Projekt
roles/composer.user Composer-Nutzer Berechtigung zum Auflisten und Abrufen von Cloud Composer-Umgebungen und -Vorgängen.
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.*
  • composer.operations.get
  • composer.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt
roles/composer.worker Composer-Worker Berechtigung zum Ausführen einer VM in einer Cloud Composer-Umgebung. Für Dienstkonten bestimmt.
  • artifactregistry.*
  • cloudbuild.*
  • container.*
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.timeSeries.*
  • pubsub.snapshots.create
  • pubsub.snapshots.delete
  • pubsub.snapshots.get
  • pubsub.snapshots.list
  • pubsub.snapshots.seek
  • pubsub.snapshots.update
  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.list
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.detachSubscription
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.topics.publish
  • pubsub.topics.update
  • pubsub.topics.updateTag
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.*
Projekt

Compute Engine-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/compute.admin Compute-Administrator

Vollständige Kontrolle über alle Compute Engine-Ressourcen.

Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle roles/iam.serviceAccountUser zuweisen.

  • compute.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Laufwerk, Image, Instanz, Instanzvorlage, Knotengruppe, Knotenvorlage, SnapshotBeta
roles/compute.imageUser Compute Image-Nutzer

Berechtigung zum Auflisten und Lesen von Images ohne weitere Berechtigungen für das jeweilige Image. Wenn Sie diese Rolle auf Projektebene zuweisen, können Nutzer alle Images im Projekt auflisten sowie Ressourcen wie Instanzen und nichtflüchtige Speicher anhand der Images im Projekt erstellen.

  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
ImageBeta
roles/compute.instanceAdmin Compute-Instanzadministrator (Beta)

Berechtigungen zum Erstellen, Ändern und Löschen von VM-Instanzen. Dazu gehören auch Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken sowie zum Konfigurieren der Einstellungen für Shielded VMBETA.

Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle roles/iam.serviceAccountUser zuweisen.

Wenn ein Mitarbeiter in Ihrem Unternehmen beispielsweise VM-Instanzgruppen, aber keine Netzwerk- oder Sicherheitseinstellungen und keine als Dienstkonten ausgeführten Instanzen verwalten muss, können Sie diese Rolle der Organisation, dem Ordner oder dem Projekt mit den Instanzen oder den Instanzen selbst zuweisen.

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers.*
  • compute.diskTypes.*
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.list
  • compute.disks.resize
  • compute.disks.setLabels
  • compute.disks.update
  • compute.disks.use
  • compute.disks.useReadOnly
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • compute.instanceGroupManagers.*
  • compute.instanceGroups.*
  • compute.instanceTemplates.*
  • compute.instances.*
  • compute.licenses.get
  • compute.licenses.list
  • compute.machineImages.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Laufwerk, Image, Instanz, Instanzvorlage, SnapshotBeta
roles/compute.instanceAdmin.v1 Compute-Instanzadministrator (Version 1)

Uneingeschränkte Kontrolle über Compute Engine-Instanzen, Instanzgruppen, Laufwerke, Snapshots und Images. Lesezugriff auf alle Compute Engine-Netzwerkressourcen.

Wenn Sie einem Nutzer diese Rolle nur auf Instanzebene gewähren, kann er keine neuen Instanzen erstellen.

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers.*
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.diskTypes.*
  • compute.disks.*
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.*
  • compute.instanceGroupManagers.*
  • compute.instanceGroups.*
  • compute.instanceTemplates.*
  • compute.instances.*
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.*
  • compute.licenses.*
  • compute.machineImages.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.projects.setCommonInstanceMetadata
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.snapshots.*
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.loadBalancerAdmin Administrator für Compute-Load-BalancerBeta

Berechtigungen zum Erstellen, Ändern und Löschen von Load-Balancern und zugehörigen Ressourcen.

Wenn Ihr Unternehmen beispielsweise ein Load-Balancing-Team hat, das Load-Balancer, SSL-Zertifikate für Load-Balancing-Module, SSL-Richtlinien und andere Load-Balancing-Ressourcen verwaltet, sowie ein separates Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie diese Rolle der Gruppe des Load-Balancing-Teams zu.

  • compute.addresses.*
  • compute.backendBuckets.*
  • compute.backendServices.*
  • compute.forwardingRules.*
  • compute.globalAddresses.*
  • compute.globalForwardingRules.*
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.instanceGroups.*
  • compute.instances.get
  • compute.instances.list
  • compute.instances.use
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.projects.get
  • compute.regionBackendServices.*
  • compute.regionHealthCheckServices.*
  • compute.regionNotificationEndpoints.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.sslCertificates.*
  • compute.sslPolicies.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.urlMaps.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
InstanzBeta
roles/compute.networkAdmin Compute-Netzwerkadministrator

Berechtigungen zum Erstellen, Ändern und Löschen von Netzwerkressourcen mit Ausnahme von Firewallregeln und SSL-Zertifikaten. Die Rolle "Netzwerkadministrator" gewährt Lesezugriff auf Firewallregeln, SSL-Zertifikate und Instanzen für den Aufruf der zugehörigen sitzungsspezifischen IP-Adressen. Mit der Rolle "Netzwerkadministrator" können Nutzer keine Instanzen erstellen, starten, beenden oder löschen.

Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie dieser Gruppe die Rolle des Netzwerkteams zu.

  • compute.acceleratorTypes.*
  • compute.addresses.*
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.*
  • compute.backendServices.*
  • compute.externalVpnGateways.*
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.*
  • compute.globalAddresses.*
  • compute.globalForwardingRules.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.delete
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.globalPublicDelegatedPrefixes.update
  • compute.globalPublicDelegatedPrefixes.updatePolicy
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroupManagers.update
  • compute.instanceGroupManagers.use
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceGroups.update
  • compute.instanceGroups.use
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.instances.use
  • compute.interconnectAttachments.*
  • compute.interconnectLocations.*
  • compute.interconnects.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.list
  • compute.networkEndpointGroups.use
  • compute.networks.*
  • compute.projects.get
  • compute.publicDelegatedPrefixes.delete
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.publicDelegatedPrefixes.update
  • compute.publicDelegatedPrefixes.updatePolicy
  • compute.regionBackendServices.*
  • compute.regionHealthCheckServices.*
  • compute.regionNotificationEndpoints.*
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.routers.*
  • compute.routes.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.*
  • compute.subnetworks.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.targetVpnGateways.*
  • compute.urlMaps.*
  • compute.vpnGateways.*
  • compute.vpnTunnels.*
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • networksecurity.*
  • networkservices.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.operations.get
  • servicenetworking.services.addPeering
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
InstanzBeta
roles/compute.networkUser Compute-Netzwerknutzer

Bietet Zugriff auf ein freigegebenes VPC-Netzwerk

Nach der Zugriffserteilung können Dienstinhaber VPC-Netzwerke und Subnetze verwenden, die zum Hostprojekt gehören. Beispielsweise kann ein Netzwerknutzer eine VM-Instanz erstellen, die zu einem Hostprojekt-Netzwerk gehört, ohne jedoch im Hostprojekt neue Netzwerke löschen oder erstellen zu können.

  • compute.addresses.createInternal
  • compute.addresses.deleteInternal
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.useInternal
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.externalVpnGateways.use
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.interconnects.use
  • compute.networks.access
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regions.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnGateways.use
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zones.*
  • networksecurity.authorizationPolicies.get
  • networksecurity.authorizationPolicies.list
  • networksecurity.authorizationPolicies.use
  • networksecurity.clientTlsPolicies.get
  • networksecurity.clientTlsPolicies.list
  • networksecurity.clientTlsPolicies.use
  • networksecurity.locations.*
  • networksecurity.operations.get
  • networksecurity.operations.list
  • networksecurity.serverTlsPolicies.get
  • networksecurity.serverTlsPolicies.list
  • networksecurity.serverTlsPolicies.use
  • networkservices.endpointConfigSelectors.get
  • networkservices.endpointConfigSelectors.list
  • networkservices.endpointConfigSelectors.use
  • networkservices.httpFilters.get
  • networkservices.httpFilters.list
  • networkservices.httpFilters.use
  • networkservices.httpfilters.get
  • networkservices.httpfilters.list
  • networkservices.httpfilters.use
  • networkservices.locations.*
  • networkservices.operations.get
  • networkservices.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt
roles/compute.networkViewer Compute-Netzwerkbetrachter

Lesezugriff auf alle Netzwerkressourcen

Wenn Sie beispielsweise Software haben, die Ihre Netzwerkkonfiguration überprüft, können Sie diese Rolle dem Dienstkonto dieser Software zuweisen.

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.projects.get
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regions.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zones.*
  • networksecurity.authorizationPolicies.get
  • networksecurity.authorizationPolicies.Liste
  • networksecurity.clientTlsPolicies.get
  • networksecurity.clientTlsPolicies.list
  • networksecurity.locations.*
  • networksecurity.operations.get
  • networksecurity.operations.list
  • networksecurity.serverTlsPolicies.get
  • networksecurity.serverTlsPolicies.list
  • networkservices.endpointConfigSelectors.get
  • networkservices.endpointConfigSelectors.list
  • networkservices.httpFilters.get
  • networkservices.httpFilters.list
  • networkservices.httpfilters.get
  • networkservices.httpfilters.list
  • networkservices.locations.*
  • networkservices.operations.get
  • networkservices.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
InstanzBeta
roles/compute.orgSecurityPolicyAdmin Administrator von Compute Engine-Sicherheitsrichtlinien für die OrganisationBeta Vollständige Kontrolle über Sicherheitsrichtlinien der Organisation in Compute Engine.
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setIamPolicy
  • compute.projects.get
  • compute.securityPolicies.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.orgSecurityPolicyUser Nutzer von Compute Engine-Sicherheitsrichtlinien für die OrganisationBeta Anzeige oder Nutzung von Compute Engine-Sicherheitsrichtlinien zur Verknüpfung mit der Organisation oder Ordnern.
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setIamPolicy
  • compute.projects.get
  • compute.securityPolicies.addAssociation
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.removeAssociation
  • compute.securityPolicies.use
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.orgSecurityResourceAdmin Administrator für Compute Engine-OrganisationsressourcenBeta Vollständige Kontrolle der Verknüpfungen von Compute Engine-Sicherheitsrichtlinien mit der Organisation oder mit Ordnern.
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setIamPolicy
  • compute.organizations.listAssociations
  • compute.organizations.setSecurityPolicy
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.osAdminLogin Compute OS-Administrator-Login Berechtigung zur Anmeldung bei einer Compute Engine-Instanz als Administrator.
  • compute.instances.get
  • compute.instances.list
  • compute.instances.osAdminLogin
  • compute.instances.osLogin
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
InstanzBeta
roles/compute.osLogin Compute OS-Log-in Kann sich in einer Compute Engine-Instanz als Standardnutzer anmelden.
  • compute.instances.get
  • compute.instances.list
  • compute.instances.osLogin
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
InstanzBeta
roles/compute.osLoginExternalUser Externer Nutzer von Compute OS-Log-in

Nur auf Organisationsebene verfügbar.

Ermöglicht den Zugriff für einen externen Nutzer, um die OS-Login-Informationen der Organisation festzulegen. Diese Rolle berechtigt nicht zum Zugriff auf Instanzen. Externen Nutzern muss eine der erforderlichen OS Login-Rollen zugewiesen werden, damit auf Instanzen mit SSH zugegriffen werden kann.

  • compute.oslogin.*
Organisation
roles/compute.packetMirroringAdmin Administrator der Compute-Paketspiegelung Gibt zu spiegelnde Ressourcen an.
  • compute.networks.mirror
  • compute.projects.get
  • compute.subnetworks.mirror
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.packetMirroringUser Nutzer der Compute-Paketspiegelung Verwendet Compute Engine-Paketspiegelungen.
  • compute.packetMirrorings.*
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.publicIpAdmin Compute Public-IP-Administrator Beta Vollständige Kontrolle der öffentlichen IP-Adressverwaltung für Compute Engine.
  • compute.addresses.*
  • compute.globalAddresses.*
  • compute.globalPublicDelegatedPrefixes.*
  • compute.publicAdvertisedPrefixes.*
  • compute.publicDelegatedPrefixes.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/compute.securityAdmin Compute-Sicherheitsadministrator

Berechtigungen zum Erstellen, Ändern und Löschen von Firewallregeln und SSL-Zertifikaten sowie zum Konfigurieren der Einstellungen von Shielded VMBETA.

Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie diese Rolle der Gruppe des Sicherheitsteams zu.

  • compute.firewalls.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.instances.getEffectiveFirewalls
  • compute.instances.setShieldedInstanceIntegrityPolicy
  • compute.instances.setShieldedVmIntegrityPolicy
  • compute.instances.updateShieldedInstanceConfig
  • compute.instances.updateShieldedVmConfig
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.updatePolicy
  • compute.packetMirrorings.*
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.*
  • compute.sslCertificates.*
  • compute.sslPolicies.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
InstanzBeta
roles/compute.storageAdmin Compute Storage-Administrator

Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken, Images und Snapshots.

Wenn in Ihrem Unternehmen beispielsweise ein Mitarbeiter Projekt-Images verwaltet und Sie nicht möchten, dass er die Bearbeiterrolle für das Projekt hat, weisen Sie diese Rolle seinem Konto für das Projekt zu.

  • compute.diskTypes.*
  • compute.disks.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.images.*
  • compute.licenseCodes.*
  • compute.licenses.*
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.resourcePolicies.*
  • compute.snapshots.*
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Laufwerk, Image, SnapshotBeta
roles/compute.viewer Compute-Betrachter

Lesezugriff zum Abrufen und Auflisten von Compute Engine-Ressourcen, aber ohne die Möglichkeit, die darin gespeicherten Daten zu lesen.

Ein Konto mit dieser Rolle kann beispielsweise zwar alle Laufwerke in einem Projekt inventarisieren, aber keine Daten auf diesen Laufwerken lesen.

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Laufwerk, Image, Instanz, Instanzvorlage, Knotengruppe, Knotenvorlage, SnapshotBeta
roles/compute.xpnAdmin Administrator für freigegebene Compute-VPC

Berechtigungen zum Verwalten freigegebener VPC-Hostprojekte, insbesondere für die Aktivierung der Hostprojekte und für die Verknüpfung freigegebener VPC-Dienstprojekte mit dem Netzwerk des Hostprojekts.

Auf Organisationsebene kann diese Rolle nur von einem Organisationsadministrator zugewiesen werden.

Google Cloud empfiehlt, dass der Administrator für freigegebene VPCs der Inhaber des Hostprojekts einer freigegebenen VPC ist. Der Administrator für freigegebene VPCs ist für die Zuweisung der Rolle "Compute-Netzwerknutzer" (roles/compute.networkUser) an Dienstinhaber zuständig und der Inhaber des Hostprojekts der freigegebenen VPC steuert das eigentliche Projekt. Die Verwaltung des Projekts ist einfacher, wenn ein Verantwortlicher (Einzelperson oder Gruppe) beide Rollen übernehmen kann.

  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.organizations.administerXpn
  • compute.organizations.disableXpnHost
  • compute.organizations.disableXpnResource
  • compute.organizations.enableXpnHost
  • compute.organizations.enableXpnResource
  • compute.projects.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.setIamPolicy
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
Ordner
roles/osconfig.assignmentAdmin Zuweisungsadministrator Vollständiger Administratorzugriff auf Zuweisungen
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.assignmentEditor Zuweisungsbearbeiter Bearbeiter von Zuweisungsressourcen
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.assignmentViewer Zuweisungsbetrachter Betrachter von Zuweisungsressourcen
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.guestPolicyAdmin GuestPolicy-AdministratorBeta Vollständiger Administratorzugriff auf GuestPolicies
  • osconfig.guestPolicies.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.guestPolicyEditor GuestPolicy-BearbeiterBeta Bearbeiter von GuestPolicy-Ressourcen
  • osconfig.guestPolicies.get
  • osconfig.guestPolicies.list
  • osconfig.guestPolicies.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.guestPolicyViewer GuestPolicy-BetrachterBeta Betrachter von GuestPolicy-Ressourcen
  • osconfig.guestPolicies.get
  • osconfig.guestPolicies.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.osConfigAdmin OsConfig-Administrator Vollständiger Administratorzugriff auf OsConfigs
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.osConfigEditor OsConfig-Bearbeiter Bearbeiter von OsConfig-Ressourcen
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.osConfigViewer OsConfig-Betrachter Betrachter von OsConfig-Ressourcen
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchDeploymentAdmin PatchDeployment-Administrator Vollständiger Administratorzugriff auf PatchDeployments
  • osconfig.patchDeployments.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchDeploymentViewer PatchDeployment-Betrachter Betrachter von PatchDeployment-Ressourcen
  • osconfig.patchDeployments.get
  • osconfig.patchDeployments.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchJobExecutor Patch-Job-Executor Zugriff zum Ausführen von Patch-Jobs
  • osconfig.patchJobs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchJobViewer Patch-Job-Betrachter Abrufen und Auflisten von Patch-Jobs
  • osconfig.patchJobs.get
  • osconfig.patchJobs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Kubernetes Engine-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/container.admin Kubernetes Engine-Administrator

Berechtigung zum vollständigen Verwalten von Clustern und den zugehörigen Kubernetes API-Objekten

Zum Festlegen eines Dienstkontos für Knoten müssen Sie auch die Rolle "Dienstkontonutzer" (roles/iam.serviceAccountUser) zuweisen.

  • container.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/container.clusterAdmin Administrator für Kubernetes Engine-Cluster

Berechtigung zum Verwalten von Clustern.

Zum Festlegen eines Dienstkontos für Knoten müssen Sie auch die Rolle "Dienstkontonutzer" (roles/iam.serviceAccountUser) zuweisen.

  • container.clusters.create
  • container.clusters.delete
  • container.clusters.get
  • container.clusters.list
  • container.clusters.update
  • container.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/container.clusterViewer Kubernetes Engine-Clusterbetrachter Informationen zum Zugriff auf GKE-Cluster abrufen und auflisten.
  • container.clusters.get
  • container.clusters.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/container.developer Kubernetes Engine-Entwickler Zugriff auf Kubernetes API-Objekte in Clustern
  • container.apiServices.*
  • container.backendConfigs.*
  • container.bindings.*
  • container.certificateSigningRequests.create
  • container.certificateSigningRequests.delete
  • container.certificateSigningRequests.get
  • container.certificateSigningRequests.list
  • container.certificateSigningRequests.update
  • container.certificateSigningRequests.updateStatus
  • container.clusterRoleBindings.get
  • container.clusterRoleBindings.list
  • container.clusterRoles.get
  • container.clusterRoles.list
  • container.clusters.get
  • container.clusters.list
  • container.componentStatuses.*
  • container.configMaps.*
  • container.controllerRevisions.get
  • container.controllerRevisions.list
  • container.cronJobs.*
  • container.csiDrivers.*
  • container.csiNodes.*
  • container.customResourceDefinitions.*
  • container.daemonSets.*
  • container.deployments.*
  • container.endpoints.*
  • container.events.*
  • container.horizontalPodAutoscalers.*
  • container.ingresses.*
  • container.initializerConfigurations.*
  • container.jobs.*
  • container.limitRanges.*
  • container.localSubjectAccessReviews.*
  • container.namespaces.*
  • container.networkPolicies.*
  • container.nodes.*
  • container.persistentVolumeClaims.*
  • container.persistentVolumes.*
  • container.petSets.*
  • container.podDisruptionBudgets.*
  • container.podPresets.*
  • container.podSecurityPolicies.get
  • container.podSecurityPolicies.list
  • container.podTemplates.*
  • container.pods.*
  • container.replicaSets.*
  • container.replicationControllers.*
  • container.resourceQuotas.*
  • container.roleBindings.get
  • container.roleBindings.list
  • container.roles.get
  • container.roles.list
  • container.runtimeClasses.*
  • container.scheduledJobs.*
  • container.secrets.*
  • container.selfSubjectAccessReviews.*
  • container.serviceAccounts.*
  • container.services.*
  • container.statefulSets.*
  • container.storageClasses.*
  • container.subjectAccessReviews.*
  • container.thirdPartyObjects.*
  • container.thirdPartyResources.*
  • container.tokenReviews.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/container.hostServiceAgentUser Nutzer des Dienst-Agents für den Kubernetes Engine-Host Ermöglicht dem Kubernetes Engine-Dienstkonto im Hostprojekt, freigegebene Netzwerkressourcen für die Clusterverwaltung zu konfigurieren. Gewährt auch Zugriff zum Untersuchen der Firewallregeln im Hostprojekt
  • compute.firewalls.get
  • container.hostServiceAgent.*
roles/container.viewer Kubernetes Engine Viewer Lesezugriff auf GKE-Ressourcen
  • container.apiServices.get
  • container.apiServices.list
  • container.backendConfigs.get
  • container.backendConfigs.list
  • container.bindings.get
  • container.bindings.list
  • container.certificateSigningRequests.get
  • container.certificateSigningRequests.list
  • container.clusterRoleBindings.get
  • container.clusterRoleBindings.list
  • container.clusterRoles.get
  • container.clusterRoles.list
  • container.clusters.get
  • container.clusters.list
  • container.componentStatuses.*
  • container.configMaps.get
  • container.configMaps.list
  • container.controllerRevisions.get
  • container.controllerRevisions.list
  • container.cronJobs.get
  • container.cronJobs.getStatus
  • container.cronJobs.list
  • container.csiDrivers.get
  • container.csiDrivers.list
  • container.csiNodes.get
  • container.csiNodes.list
  • container.customResourceDefinitions.get
  • container.customResourceDefinitions.list
  • container.daemonSets.get
  • container.daemonSets.getStatus
  • container.daemonSets.list
  • container.deployments.get
  • container.deprovements.getStatus
  • container.deployments.list
  • container.endpoints.get
  • container.endpoints.list
  • container.events.get
  • container.events.list
  • container.horizontalPodAutoscalers.get
  • container.horizontalPodAutoscalers.getStatus
  • container.horizontalPodAutoscalers.list
  • container.ingresses.get
  • container.ingresses.getStatus
  • container.ingresses.list
  • container.initializerConfigurations.get
  • container.initializerConfigurations.list
  • container.jobs.get
  • container.jobs.getStatus
  • container.jobs.list
  • container.limitRanges.get
  • container.limitRanges.list
  • container.namespaces.get
  • container.namespaces.getStatus
  • container.namespaces.list
  • container.networkPolicies.get
  • container.networkPolicies.list
  • container.nodes.get
  • container.nodes.getStatus
  • container.nodes.list
  • container.operations.*
  • container.persistentVolumeClaims.get
  • container.persistentVolumeClaims.getStatus
  • container.persistentVolumeClaims.list
  • container.persistentVolumes.get
  • container.persistentVolumes.getStatus
  • container.persistentVolumes.list
  • container.petSets.get
  • container.petSets.list
  • container.podDisruptionBudgets.get
  • container.podDisruptionBudgets.getStatus
  • container.podDisruptionBudgets.list
  • container.podPresets.get
  • container.podPresets.list
  • container.podSecurityPolicies.get
  • container.podSecurityPolicies.list
  • container.podTemplates.get
  • container.podTemplates.list
  • container.pods.get
  • container.pods.getStatus
  • container.pods.list
  • container.replicaSets.get
  • container.replicaSets.getScale
  • container.replicaSets.getStatus
  • container.replicaSets.list
  • container.replicationControllers.get
  • container.replicationControllers.getScale
  • container.replicationControllers.getStatus
  • container.replicationControllers.list
  • container.resourceQuotas.get
  • container.resourceQuotas.getStatus
  • container.resourceQuotas.list
  • container.roleBindings.get
  • container.roleBindings.list
  • container.roles.get
  • container.roles.list
  • container.runtimeClasses.get
  • container.runtimeClasses.list
  • container.scheduledJobs.get
  • container.scheduledJobs.list
  • container.serviceAccounts.get
  • container.serviceAccounts.list
  • container.services.get
  • container.services.getStatus
  • container.services.list
  • container.statefulSets.get
  • container.statefulSets.getStatus
  • container.statefulSets.list
  • container.storageClasses.get
  • container.storageClasses.list
  • container.thirdPartyObjects.get
  • container.thirdPartyObjects.list
  • container.thirdPartyResources.get
  • container.thirdPartyResources.list
  • container.tokenReviews.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt

Container Analysis-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/containeranalysis.admin Container Analysis-Administrator Zugriff auf alle Container Analysis-Ressourcen.
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.create
  • containeranalysis.notes.delete
  • containeranalysis.notes.get
  • containeranalysis.notes.getIamPolicy
  • containeranalysis.notes.list
  • containeranalysis.notes.setIamPolicy
  • containeranalysis.notes.update
  • containeranalysis.occurrences.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.notes.attacher Hinzufüger von Container Analysis-Hinweisen Kann bei Ereignissen Container Analysis-Hinweise anhängen.
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.get
roles/containeranalysis.notes.editor Bearbeiter von Container Analysis-Hinweisen Kann Container Analysis-Hinweise bearbeiten.
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.create
  • containeranalysis.notes.delete
  • containeranalysis.notes.get
  • containeranalysis.notes.list
  • containeranalysis.notes.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.notes.occurrences.viewer Container Analysis-Ereignisse für Betrachter von Hinweisen
  • containeranalysis.notes.get
  • containeranalysis.notes.listOccurrences
roles/containeranalysis.notes.viewer Betrachter von Container Analysis-Hinweisen Kann Container Analysis-Hinweise aufrufen.
  • containeranalysis.notes.get
  • containeranalysis.notes.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.occurrences.editor Bearbeiter von Container Analysis-Ereignissen Kann Container Analysis-Ereignisse bearbeiten.
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.occurrences.viewer Betrachter von Container Analysis-Ereignissen Kann Container Analysis-Ereignisse aufrufen.
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Data Catalog-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/datacatalog.admin Data Catalog-Administrator Vollständiger Zugriff auf alle DataCatalog-Ressourcen
  • bigquery.datasets.get
  • bigquery.datasets.updateTag
  • bigquery.models.getMetadata
  • bigquery.models.updateTag
  • bigquery.tables.get
  • bigquery.tables.updateTag
  • datacatalog.categories.getIamPolicy
  • datacatalog.categories.setIamPolicy
  • datacatalog.entries.*
  • datacatalog.entryGroups.*
  • datacatalog.tagTemplates.*
  • datacatalog.taxonomies.*
  • pubsub.topics.get
  • pubsub.topics.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.categoryAdmin Richtlinien-Tag-AdministratorBeta Taxonomien verwalten
  • datacatalog.categories.getIamPolicy
  • datacatalog.categories.setIamPolicy
  • datacatalog.taxonomies.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.categoryFineGrainedReader Detaillierter LeserBeta Lesezugriff auf nach Richtlinie getaggte untergeordnete Ressourcen, z. B. BigQuery-Spalten
  • datacatalog.categories.fineGrainedGet
roles/datacatalog.entryGroupCreator Ersteller von DataCatalog-Eintragsgruppen Kann neue Eintragsgruppen erstellen
  • datacatalog.entryGroups.create
  • datacatalog.entryGroups.get
  • datacatalog.entryGroups.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.entryGroupOwner Inhaber von Datacatalog-Eintragsgruppen Vollständiger Zugriff auf Eintragsgruppen
  • datacatalog.entries.*
  • datacatalog.entryGroups.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.entryOwner Inhaber von DataCatalog-Einträgen Vollständiger Zugriff auf Einträge
  • datacatalog.entries.*
  • datacatalog.entryGroups.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.entryViewer Betrachter von DataCatalog-Einträgen Lesezugriff auf Einträge
  • datacatalog.entries.get
  • datacatalog.entries.list
  • datacatalog.entryGroups.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.tagEditor DataCatalog-Tag-Bearbeiter Bietet die Berechtigung zum Ändern von Tags in Google Cloud-Assets für BigQuery und Pub/Sub
  • bigquery.datasets.updateTag
  • bigquery.models.updateTag
  • bigquery.tables.updateTag
  • datacatalog.entries.updateTag
  • pubsub.topics.updateTag
roles/datacatalog.tagTemplateCreator Data Catalog-Tag-Vorlagen-Ersteller Zugriff zum Erstellen von neuen Tag-Vorlagen
  • datacatalog.tagTemplates.create
  • datacatalog.tagTemplates.get
roles/datacatalog.tagTemplateOwner Data Catalog-Tag-Vorlagen-Inhaber Vollständiger Zugriff auf Tag-Vorlagen
  • datacatalog.tagTemplates.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.tagTemplateUser Data Catalog-Tag-Vorlagen-Nutzer Zugriff auf Vorlagen, um Ressourcen zu taggen
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • datacatalog.tagTemplates.use
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.tagTemplateViewer Data Catalog-Tag-Vorlagen-Betrachter Lesezugriff auf Vorlagen und Tags, die mit den Vorlagen erstellt wurden
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.viewer Data Catalog-Betrachter Bietet Lesezugriff für Metadaten auf katalogisierte Google Cloud-Assets für BigQuery und Pub/Sub
  • bigquery.datasets.get
  • bigquery.models.getMetadata
  • bigquery.tables.get
  • datacatalog.entries.get
  • datacatalog.entries.list
  • datacatalog.entryGroups.get
  • datacatalog.entryGroups.list
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • datacatalog.taxonomies.get
  • datacatalog.taxonomies.list
  • pubsub.topics.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Dataflow-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/dataflow.admin Dataflow-Administrator Minimale Rolle zur Erstellung und Verwaltung von Dataflow-Jobs
  • compute.machineTypes.get
  • dataflow.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.buckets.get
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list
roles/dataflow.developer Dataflow-Entwickler Bietet das Ausführen und Bearbeiten von Dataflow-Jobs.
  • dataflow.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/dataflow.viewer Dataflow-Betrachter Bietet Lesezugriff auf alle Ressourcen in Verbindung mit Dataflow.
  • dataflow.jobs.get
  • dataflow.jobs.list
  • dataflow.messages.*
  • dataflow.metrics.*
  • dataflow.snapshots.get
  • dataflow.snapshots.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/dataflow.worker Dataflow-Worker Bietet die erforderlichen Berechtigungen für ein Compute Engine-Dienstkonto, um Arbeitseinheiten für eine Dataflow-Pipeline auszuführen.
  • compute.instanceGroupManagers.update
  • compute.instances.delete
  • compute.instances.setDiskAutoDelete
  • dataflow.jobs.get
  • logging.logEntries.create
  • storage.objects.create
  • storage.objects.get
Projekt

Cloud Data Labeling-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/datalabeling.admin DataLabeling-DienstadministratorBeta Voller Zugriff auf alle DataLabeling-Ressourcen
  • datalabeling.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datalabeling.editor DataLabeling-DienstbearbeiterBeta Bearbeiter aller DataLabeling-Ressourcen
  • datalabeling.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datalabeling.viewer DataLabeling-DienstbetrachterBeta Betrachter aller DataLabeling-Ressourcen
  • datalabeling.annotateddatasets.get
  • datalabeling.annotateddatasets.list
  • datalabeling.annotationspecsets.get
  • datalabeling.annotationspecsets.list
  • datalabeling.dataitems.*
  • datalabeling.datasets.get
  • datalabeling.datasets.list
  • datalabeling.examples.*
  • datalabeling.instructions.get
  • datalabeling.instructions.list
  • datalabeling.operations.get
  • datalabeling.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Dataprep-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/dataprep.projects.user Dataprep-NutzerBeta Verwendung von Dataprep
  • dataprep.*
  • resourcemanager.projects.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Dataproc-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/dataproc.admin Dataproc-Administrator Umfassende Kontrolle über Dataproc-Ressourcen.
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.list
  • compute.projects.get
  • compute.regions.*
  • compute.zones.*
  • dataproc.autoscalingPolicies.*
  • dataproc.clusters.*
  • dataproc.jobs.*
  • dataproc.operations.*
  • dataproc.workflowTemplates.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/dataproc.editor Dataproc-Bearbeiter Bietet Berechtigungen zum Aufrufen der Ressourcen, die zum Verwalten von Dataproc erforderlich sind, beispielsweise Maschinentypen, Netzwerke, Projekte und Zonen.
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.list
  • compute.projects.get
  • compute.regions.*
  • compute.zones.*
  • dataproc.autoscalingPolicies.create
  • dataproc.autoscalingPolicies.delete
  • dataproc.autoscalingPolicies.get
  • dataproc.autoscalingPolicies.list
  • dataproc.autoscalingPolicies.update
  • dataproc.autoscalingPolicies.use
  • dataproc.clusters.create
  • dataproc.clusters.delete
  • dataproc.clusters.get
  • dataproc.clusters.list
  • dataproc.clusters.update
  • dataproc.clusters.use
  • dataproc.jobs.cancel
  • dataproc.jobs.create
  • dataproc.jobs.delete
  • dataproc.jobs.get
  • dataproc.jobs.list
  • dataproc.jobs.update
  • dataproc.operations.delete
  • dataproc.operations.get
  • dataproc.operations.list
  • dataproc.workflowTemplates.create
  • dataproc.workflowTemplates.delete
  • dataproc.workflowTemplates.get
  • dataproc.workflowTemplates.instantiate
  • dataproc.workflowTemplates.instantiateInline
  • dataproc.workflowTemplates.list
  • dataproc.workflowTemplates.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/dataproc.viewer Dataproc-Betrachter Bietet Lesezugriff auf Dataproc-Ressourcen.
  • compute.machineTypes.get
  • compute.regions.*
  • compute.zones.*
  • dataproc.autoscalingPolicies.get
  • dataproc.autoscalingPolicies.list
  • dataproc.clusters.get
  • dataproc.clusters.list
  • dataproc.jobs.get
  • dataproc.jobs.list
  • dataproc.operations.get
  • dataproc.operations.list
  • dataproc.workflowTemplates.get
  • dataproc.workflowTemplates.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/dataproc.worker Dataproc-Worker Bietet Worker-Zugriff auf Dataproc-Ressourcen. Für Dienstkonten gedacht.
  • dataproc.agents.*
  • dataproc.tasks.*
  • logging.logEntries.create
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.timeSeries.create
  • storage.buckets.get
  • storage.objects.*

Datastore-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/datastore.importExportAdmin Cloud Datastore-Import-/Export-Administrator Vollzugriff für die Verwaltung von Importen und Exporten
  • appengine.applications.get
  • datastore.databases.export
  • datastore.databases.import
  • datastore.operations.cancel
  • datastore.operations.get
  • datastore.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/datastore.indexAdmin Cloud Datastore-Index-Administrator Vollzugriff zur Verwaltung von Indexdefinitionen
  • appengine.applications.get
  • datastore.indexes.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/datastore.owner Cloud Datastore-Inhaber Vollzugriff auf Cloud Datastore-Ressourcen
  • appengine.applications.get
  • datastore.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/datastore.user Cloud Datastore-Nutzer Lese-/Schreibzugriff auf Daten in einer Cloud Datastore-Datenbank
  • appengine.applications.get
  • datastore.databases.get
  • datastore.entities.*
  • datastore.indexes.list
  • datastore.namespaces.get
  • datastore.namespaces.list
  • datastore.statistics.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/datastore.viewer Cloud Datastore-Betrachter Lesezugriff auf Cloud Datastore-Ressourcen
  • appengine.applications.get
  • datastore.databases.get
  • datastore.databases.list
  • datastore.entities.get
  • datastore.entities.list
  • datastore.indexes.get
  • datastore.indexes.list
  • datastore.namespaces.get
  • datastore.namespaces.list
  • datastore.statistics.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt

Deployment Manager-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/deploymentmanager.editor Deployment Manager-Bearbeiter Bietet das Erstellen und Verwalten von Bereitstellungen.
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.deployments.cancelPreview
  • deploymentmanager.deployments.create
  • deploymentmanager.deployments.delete
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.deployments.stop
  • deploymentmanager.deployments.update
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt
roles/deploymentmanager.typeEditor Bearbeiter von Deployment Manager-Typ Bietet Lese- und Schreibzugriff auf alle Ressourcen zur Typregistrierung.
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.operations.get
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
Projekt
roles/deploymentmanager.typeViewer Betrachter von Deployment Manager-Typ Schreibgeschützter Zugriff auf alle Ressourcen zur Typregistrierung
  • deploymentmanager.compositeTypes.get
  • deploymentmanager.compositeTypes.list
  • deploymentmanager.typeProviders.get
  • deploymentmanager.typeProviders.getType
  • deploymentmanager.typeProviders.list
  • deploymentmanager.typeProviders.listTypes
  • deploymentmanager.types.get
  • deploymentmanager.types.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
Projekt
roles/deploymentmanager.viewer Deployment Manager-Betrachter Bietet Lesezugriff auf alle Deployment Manager-Ressourcen.
  • deploymentmanager.compositeTypes.get
  • deploymentmanager.compositeTypes.list
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.get
  • deploymentmanager.typeProviders.getType
  • deploymentmanager.typeProviders.list
  • deploymentmanager.typeProviders.listTypes
  • deploymentmanager.types.get
  • deploymentmanager.types.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt

Dialogflow-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/dialogflow.admin Dialogflow API-Administrator Gewähren Sie Zugriff für Dialogflow API-Administratoren, die vollen Zugriff auf Dialogflow-spezifische Ressourcen benötigen. Siehe auch Dialogflow-Zugriffssteuerung.
  • dialogflow.*
  • resourcemanager.projects.get
Projekt
roles/dialogflow.client Dialogflow API-Client Gewähren Sie Zugriff für Dialogflow API-Clients, die Dialogflow-spezifische Änderungen vornehmen und Intent-Aufrufe mit der API erkennen. Siehe auch Dialogflow-Zugriffssteuerung.
  • dialogflow.contexts.*
  • dialogflow.sessionEntityTypes.*
  • dialogflow.sessions.*
Projekt
roles/dialogflow.consoleAgentEditor Agent-Bearbeiter in Dialogflow-Konsole Gewähren Sie Zugriff für Bearbeiter der Dialogflow-Konsole, die vorhandene Agents bearbeiten. Siehe auch Dialogflow-Zugriffssteuerung.
  • actions.agentVersions.create
  • dialogflow.*
  • resourcemanager.projects.get
Projekt
roles/dialogflow.reader Dialogflow API-Leser Gewähren Sie Zugriff für Dialogflow API-Clients, die Dialogflow-spezifische schreibgeschützte Aufrufe über die API ausführen. Siehe auch Dialogflow-Zugriffssteuerung.
  • dialogflow.agents.export
  • dialogflow.agents.get
  • dialogflow.agents.list
  • dialogflow.agents.search
  • dialogflow.contexts.get
  • dialogflow.contexts.list
  • dialogflow.documents.get
  • dialogflow.documents.list
  • dialogflow.entityTypes.get
  • dialogflow.entityTypes.list
  • dialogflow.environments.get
  • dialogflow.environments.list
  • dialogflow.flows.get
  • dialogflow.flows.list
  • dialogflow.fulfillments.get
  • dialogflow.intents.get
  • dialogflow.intents.list
  • dialogflow.knowledgeBases.get
  • dialogflow.knowledgeBases.list
  • dialogflow.operations.*
  • dialogflow.pages.get
  • dialogflow.pages.list
  • dialogflow.sessionEntityTypes.get
  • dialogflow.sessionEntityTypes.list
  • dialogflow.transitionRouteGroups.get
  • dialogflow.transitionRouteGroups.list
  • dialogflow.versions.get
  • dialogflow.versions.list
  • dialogflow.webhooks.get
  • dialogflow.webhooks.list
  • resourcemanager.projects.get
Projekt

Cloud DLP-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/dlp.admin DLP-Administrator Verwalten Sie DLP einschließlich Jobs und Vorlagen.
  • dlp.*
  • serviceusage.services.use
roles/dlp.analyzeRiskTemplatesEditor Bearbeiter von DLP-Risikoanalysevorlagen DLP-Analyse-Risikovorlagen bearbeiten.
  • dlp.analyzeRiskTemplates.*
roles/dlp.analyzeRiskTemplatesReader Leser von DLP-Risikoanalysevorlagen DLP-Risikoanalysevorlagen lesen.
  • dlp.analyzeRiskTemplates.get
  • dlp.analyzeRiskTemplates.list
roles/dlp.deidentifyTemplatesEditor DLP-De-identify-Vorlageneditor DLP-DE-identify-Vorlagen bearbeiten.
  • dlp.deidentifyTemplates.*
roles/dlp.deidentifyTemplatesReader Leser von DLP-De-identify-Vorlagen DLP-de-identify-Vorlagen lesen.
  • dlp.deidentifyTemplates.get
  • dlp.deidentifyTemplates.list
roles/dlp.inspectFindingsReader Leser von DLP-Prüfungsergebnissen Gespeicherte DLP-Ergebnisse lesen.
  • dlp.inspectFindings.*
roles/dlp.inspectTemplatesEditor Mitbearbeiter von DLP-Prüfungsvorlagen DLP-Prüfungsvorlagen lesen.
  • dlp.inspectTemplates.*
roles/dlp.inspectTemplatesReader Leser von DLP-Prüfungsvorlagen DLP Prüfungsvorlagen lesen.
  • dlp.inspectTemplates.get
  • dlp.inspectTemplates.list
roles/dlp.jobTriggersEditor DLP-Job-Trigger-Bearbeiter Job-Trigger-Konfigurationen bearbeiten.
  • dlp.jobTriggers.*
roles/dlp.jobTriggersReader Leser von DLP-Job-Triggern Job-Trigger lesen.
  • dlp.jobTriggers.get
  • dlp.jobTriggers.list
roles/dlp.jobsEditor DLP-Jobs-Bearbeiter Jobs bearbeiten und erstellen
  • dlp.jobs.*
  • dlp.kms.*
roles/dlp.jobsReader Leser von DLP-Jobs Jobs lesen
  • dlp.jobs.get
  • dlp.jobs.list
roles/dlp.reader DLP-Leser Lesen von DLP-Entitäten wie Jobs oder Vorlagen.
  • dlp.analyzeRiskTemplates.get
  • dlp.analyzeRiskTemplates.list
  • dlp.deidentifyTemplates.get
  • dlp.deidentifyTemplates.list
  • dlp.inspectFindings.*
  • dlp.inspectTemplates.get
  • dlp.inspectTemplates.list
  • dlp.jobTriggers.get
  • dlp.jobTriggers.list
  • dlp.jobs.get
  • dlp.jobs.list
  • dlp.storedInfoTypes.get
  • dlp.storedInfoTypes.list
roles/dlp.storedInfoTypesEditor Bearbeiter von für DLP gespeicherten InfoTypes Für DLP gespeicherte InfoTypes bearbeiten.
  • dlp.storedInfoTypes.*
roles/dlp.storedInfoTypesReader Leser von für DLP gespeicherte InfoTypes Für DLP gespeicherte InfoTypes lesen.
  • dlp.storedInfoTypes.get
  • dlp.storedInfoTypes.list
roles/dlp.user DLP-Nutzer Inhalte prüfen, entfernen und ihre Identifizierung aufheben
  • dlp.kms.*
  • serviceusage.services.use

DNS-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/dns.admin DNS-Administrator Lese- und Schreibzugriff auf alle Cloud DNS-Ressourcen
  • compute.networks.get
  • compute.networks.list
  • dns.changes.*
  • dns.dnsKeys.*
  • dns.managedZoneOperations.*
  • dns.managedZones.*
  • dns.networks.*
  • dns.policies.create
  • dns.policies.delete
  • dns.policies.get
  • dns.policies.list
  • dns.policies.update
  • dns.projects.*
  • dns.resourceRecordSets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/dns.peer DNS-Peer Zugriff auf Zielnetzwerke mit DNS-Peering-Zonen
  • dns.networks.targetWithPeeringZone
roles/dns.reader DNS-Leser Lesezugriff auf alle Cloud DNS-Ressourcen
  • compute.networks.get
  • dns.changes.get
  • dns.changes.list
  • dns.dnsKeys.*
  • dns.managedZoneOperations.*
  • dns.managedZones.get
  • dns.managedZones.list
  • dns.policies.get
  • dns.policies.list
  • dns.projects.*
  • dns.resourceRecordSets.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt

Endpoints-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/endpoints.portalAdmin Endpoints-Portal-Administrator Beta Alle Berechtigungen zum Hinzufügen, Aufrufen und Löschen benutzerdefinierter Domains auf der Seite Endpoints > Entwicklerportal der Cloud Console. Ermöglicht in einem für eine API erstellten Portal das Ändern der Einstellungen auf dem Tab Gesamte Website der Seite Einstellungen.
  • endpoints.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.services.get
Projekt

Error Reporting-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/errorreporting.admin Error Reporting-AdministratorBeta Bietet uneingeschränkten Zugriff auf Error Reporting-Daten.
  • cloudnotifications.*
  • errorreporting.*
Projekt
roles/errorreporting.user Error Reporting-NutzerBeta Bietet die Berechtigung zum Lesen und Schreiben von Error Reporting-Daten, mit Ausnahme des Versandes neuer Fehlerereignisse.
  • cloudnotifications.*
  • errorreporting.applications.*
  • errorreporting.errorEvents.delete
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.*
  • errorreporting.groups.*
Projekt
roles/errorreporting.viewer Error Reporting-BetrachterBeta Bietet Lesezugriff auf Error Reporting-Daten.
  • cloudnotifications.*
  • errorreporting.applications.*
  • errorreporting.errorEvents.list
  • errorreporting.groupMetadata.get
  • errorreporting.groups.*
Projekt
roles/errorreporting.writer FehlerautorBeta Berechtigung zum Senden von Fehlerereignissen an Error Reporting
  • errorreporting.errorEvents.create
Dienstkonto

Eventarc-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/eventarc.admin Eventarc-Administrator Beta Vollständige Kontrolle über alle Eventarc-Ressourcen.
  • eventarc.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/eventarc.viewer Eventarc-Betrachter Beta Kann den Status aller Eventarc-Ressourcen aufrufen, einschließlich IAM-Richtlinien.
  • eventarc.locations.*
  • eventarc.operations.get
  • eventarc.operations.list
  • eventarc.triggers.get
  • eventarc.triggers.getIamPolicy
  • eventarc.triggers.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Filestore-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/file.editor Cloud Filestore-Bearbeiter Beta Lese- und Schreibzugriff auf Filestore-Instanzen und zugehörige Ressourcen.
  • file.*
roles/file.viewer Cloud Filestore-Betrachter Beta Schreibzugriff auf Filestore-Instanzen und zugehörige Ressourcen.
  • file.backups.get
  • file.backups.list
  • file.instances.get
  • file.instances.list
  • file.locations.*
  • file.operations.get
  • file.operations.list

Firebase-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/firebase.admin Firebase-Administrator Vollständiger Zugriff auf Firebase-Produkte
  • apikeys.keys.get
  • apikeys.keys.list
  • apikeys.keys.lookup
  • appengine.applications.get
  • automl.*
  • clientauthconfig.brands.get
  • clientauthconfig.brands.list
  • clientauthconfig.brands.update
  • clientauthconfig.clients.create
  • clientauthconfig.clients.delete
  • clientauthconfig.clients.get
  • clientauthconfig.clients.list
  • clientauthconfig.clients.update
  • cloudconfig.*
  • cloudfunctions.*
  • cloudmessaging.*
  • cloudnotifications.*
  • cloudtestservice.*
  • cloudtoolresults.*
  • datastore.*
  • errorreporting.groups.*
  • firebase.*
  • firebaseabt.*
  • firebaseanalytics.*
  • firebaseappdistro.*
  • firebaseauth.*
  • firebasecrash.*
  • firebasecrashlytics.*
  • firebasedatabase.*
  • firebasedynamiclinks.*
  • firebaseextensions.*
  • firebasehosting.*
  • firebaseinappmessaging.*
  • firebaseml.*
  • firebasenotifications.*
  • firebaseperformance.*
  • firebasepredictions.*
  • firebaserules.*
  • logging.logEntries.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • runtimeconfig.configs.create
  • runtimeconfig.configs.delete
  • runtimeconfig.configs.get
  • runtimeconfig.configs.list
  • runtimeconfig.configs.update
  • runtimeconfig.operations.*
  • runtimeconfig.variables.create
  • runtimeconfig.variables.delete
  • runtimeconfig.variables.get
  • runtimeconfig.variables.list
  • runtimeconfig.variables.update
  • runtimeconfig.variables.watch
  • runtimeconfig.waiters.create
  • runtimeconfig.waiters.delete
  • runtimeconfig.waiters.get
  • runtimeconfig.waiters.list
  • runtimeconfig.waiters.update
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.buckets.*
  • storage.objects.*
roles/firebase.analyticsAdmin Firebase Analytics-Administrator Vollständiger Zugriff auf Google Analytics for Firebase.
  • cloudnotifications.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseanalytics.*
  • firebaseextensions.configs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/firebase.analyticsViewer Betrachter von Analytics for Firebase Lesezugriff auf Google Analytics for Firebase.
  • cloudnotifications.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
  • firebaseextensions.configs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/firebase.developAdmin Firebase Develop-Administrator Vollständiger Zugriff auf Firebase Develop-Produkte und Analytics
  • apikeys.keys.get
  • apikeys.keys.list
  • apikeys.keys.lookup
  • appengine.applications.get
  • automl.*
  • clientauthconfig.brands.get
  • clientauthconfig.brands.list
  • clientauthconfig.brands.update
  • clientauthconfig.clients.get
  • clientauthconfig.clients.list
  • cloudfunctions.*
  • cloudnotifications.*
  • datastore.*
  • errorreporting.groups.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseanalytics.*
  • firebaseauth.*
  • firebasedatabase.*
  • firebaseextensions.configs.list
  • firebasehosting.*
  • firebaseml.*
  • firebaserules.*
  • logging.logEntries.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • runtimeconfig.configs.create
  • runtimeconfig.configs.delete
  • runtimeconfig.configs.get
  • runtimeconfig.configs.list
  • runtimeconfig.configs.update
  • runtimeconfig.operations.*
  • runtimeconfig.variables.create
  • runtimeconfig.variables.delete
  • runtimeconfig.variables.get
  • runtimeconfig.variables.list
  • runtimeconfig.variables.update
  • runtimeconfig.variables.watch
  • runtimeconfig.waiters.create
  • runtimeconfig.waiters.delete
  • runtimeconfig.waiters.get
  • runtimeconfig.waiters.list
  • runtimeconfig.waiters.update
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.buckets.*
  • storage.objects.*
roles/firebase.developViewer Firebase Develop-Betrachter Lesezugriff auf Firebase Develop-Produkte und auf Analytics.
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • clientauthconfig.brands.get
  • clientauthconfig.brands.list
  • cloudfunctions.functions.get
  • cloudfunctions.functions.list
  • cloudfunctions.locations.*
  • cloudfunctions.operations.*
  • cloudnotifications.*
  • datastore.databases.get
  • datastore.databases.getIamPolicy
  • datastore.databases.list
  • datastore.entities.get
  • datastore.entities.list
  • datastore.indexes.get
  • datastore.indexes.list
  • datastore.namespaces.get
  • datastore.namespaces.getIamPolicy
  • datastore.namespaces.list
  • datastore.statistics.*
  • errorreporting.groups.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
  • firebaseauth.configs.get
  • firebaseauth.users.get
  • firebasedatabase.instances.get
  • firebasedatabase.instances.list
  • firebaseextensions.configs.list
  • firebasehosting.sites.get
  • firebasehosting.sites.list
  • firebaseml.compressionjobs.get
  • firebaseml.compressionjobs.list
  • firebaseml.models.get
  • firebaseml.models.list
  • firebaseml.modelversions.get
  • firebaseml.modelversions.list
  • firebaserules.releases.get
  • firebaserules.releases.list
  • firebaserules.rulesets.get
  • firebaserules.rulesets.list
  • logging.logEntries.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.buckets.get
  • storage.buckets.getIamPolicy
  • storage.buckets.list
  • storage.objects.get
  • storage.objects.getIamPolicy
  • storage.objects.list
roles/firebase.growthAdmin Firebase Grow-Administrator Vollständiger Zugriff auf Firebase Grow-Produkte und auf Analytics.
  • clientauthconfig.clients.get
  • clientauthconfig.clients.list
  • cloudconfig.*
  • cloudmessaging.*
  • cloudnotifications.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseabt.*
  • firebaseanalytics.*
  • firebasedynamiclinks.*
  • firebaseextensions.configs.list
  • firebaseinappmessaging.*
  • firebasenotifications.*
  • firebasepredictions.*
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/firebase.growthViewer Firebase Grow-Betrachter Lesezugriff auf Firebase Grow-Produkte und auf Analytics.
  • cloudconfig.configs.get
  • cloudnotifications.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseabt.experimentresults.*
  • firebaseabt.experiments.get
  • firebaseabt.experiments.list
  • firebaseabt.projectmetadata.*
  • firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
  • firebasedynamiclinks.destinations.list
  • firebasedynamiclinks.domains.get
  • firebasedynamiclinks.domains.list
  • firebasedynamiclinks.links.get
  • firebasedynamiclinks.links.list
  • firebasedynamiclinks.stats.*
  • firebaseextensions.configs.list
  • firebaseinappmessaging.campaigns.get
  • firebaseinappmessaging.campaigns.list
  • firebasenotifications.messages.get
  • firebasenotifications.messages.list
  • firebasepredictions.predictions.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/firebase.qualityAdmin Firebase Quality-Administrator Vollständiger Zugriff auf Firebase Quality-Produkte und auf Analytics.
  • cloudnotifications.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseanalytics.*
  • firebaseappdistro.*
  • firebasecrash.*
  • firebasecrashlytics.*
  • firebaseextensions.configs.list
  • firebaseperformance.*
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/firebase.qualityViewer Firebase Quality-Betrachter Lesezugriff auf Firebase Quality-Produkte und auf Analytics.
  • cloudnotifications.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
  • firebaseappdistro.groups.list
  • firebaseappdistro.releases.list
  • firebaseappdistro.testers.list
  • firebasecrash.reports.*
  • firebasecrashlytics.config.get
  • firebasecrashlytics.data.*
  • firebasecrashlytics.issues.get
  • firebasecrashlytics.issues.list
  • firebasecrashlytics.sessions.*
  • firebaseextensions.configs.list
  • firebaseperformance.data.*
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/firebase.viewer Firebase-Betrachter Lesezugriff auf Firebase-Produkte.
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • clientauthconfig.brands.get
  • clientauthconfig.brands.list
  • cloudconfig.configs.get
  • cloudfunctions.functions.get
  • cloudfunctions.functions.list
  • cloudfunctions.locations.*
  • cloudfunctions.operations.*
  • cloudnotifications.*
  • cloudtestservice.environmentcatalog.*
  • cloudtestservice.matrices.get
  • cloudtoolresults.executions.get
  • cloudtoolresults.executions.list
  • cloudtoolresults.histories.get
  • cloudtoolresults.histories.list
  • cloudtoolresults.settings.get
  • cloudtoolresults.steps.get
  • cloudtoolresults.steps.list
  • datastore.databases.get
  • datastore.databases.getIamPolicy
  • datastore.databases.list
  • datastore.entities.get
  • datastore.entities.list
  • datastore.indexes.get
  • datastore.indexes.list
  • datastore.namespaces.get
  • datastore.namespaces.getIamPolicy
  • datastore.namespaces.list
  • datastore.statistics.*
  • errorreporting.groups.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.links.list
  • firebase.projects.get
  • firebaseabt.experimentresults.*
  • firebaseabt.experiments.get
  • firebaseabt.experiments.list
  • firebaseabt.projectmetadata.*
  • firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
  • firebaseappdistro.groups.list
  • firebaseappdistro.releases.list
  • firebaseappdistro.testers.list
  • firebaseauth.configs.get
  • firebaseauth.users.get
  • firebasecrash.reports.*
  • firebasecrashlytics.config.get
  • firebasecrashlytics.data.*
  • firebasecrashlytics.issues.get
  • firebasecrashlytics.issues.list
  • firebasecrashlytics.sessions.*
  • firebasedatabase.instances.get
  • firebasedatabase.instances.list
  • firebasedynamiclinks.destinations.list
  • firebasedynamiclinks.domains.get
  • firebasedynamiclinks.domains.list
  • firebasedynamiclinks.links.get
  • firebasedynamiclinks.links.list
  • firebasedynamiclinks.stats.*
  • firebaseextensions.configs.list
  • firebasehosting.sites.get
  • firebasehosting.sites.list
  • firebaseinappmessaging.campaigns.get
  • firebaseinappmessaging.campaigns.list
  • firebaseml.compressionjobs.get
  • firebaseml.compressionjobs.list
  • firebaseml.models.get
  • firebaseml.models.list
  • firebaseml.modelversions.get
  • firebaseml.modelversions.list
  • firebasenotifications.messages.get
  • firebasenotifications.messages.list
  • firebaseperformance.data.*
  • firebasepredictions.predictions.list
  • firebaserules.releases.get
  • firebaserules.releases.list
  • firebaserules.rulesets.get
  • firebaserules.rulesets.list
  • logging.logEntries.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.buckets.get
  • storage.buckets.getIamPolicy
  • storage.buckets.list
  • storage.objects.get
  • storage.objects.getIamPolicy
  • storage.objects.list

Firebase-Produktrollen

Role Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudconfig.admin Firebase Remote Config-Administrator Vollständiger Zugriff auf Firebase Remote Config-Ressourcen
  • cloudconfig.*
  • firebase.clients.get
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudconfig.viewer Firebase Remote Config-Betrachter Lesezugriff auf Firebase Remote Config-Ressourcen
  • cloudconfig.configs.get
  • firebase.clients.get
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtestservice.testAdmin Firebase Test Lab-Administrator Vollständiger Zugriff auf alle Test Lab-Funktionen
  • cloudtestservice.*
  • cloudtoolresults.*
  • firebase.billingPlans.get
  • firebase.clients.get
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.update
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list
roles/cloudtestservice.testViewer Firebase Test Lab-Betrachter Lesezugriff auf Test Lab-Funktionen
  • cloudtestservice.environmentcatalog.*
  • cloudtestservice.matrices.get
  • cloudtoolresults.executions.get
  • cloudtoolresults.executions.list
  • cloudtoolresults.histories.get
  • cloudtoolresults.histories.list
  • cloudtoolresults.settings.get
  • cloudtoolresults.steps.get
  • cloudtoolresults.steps.list
  • firebase.clients.get
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.objects.get
  • storage.objects.list
roles/firebaseabt.admin Firebase A/B Testing-Administrator Beta Vollständiger Lese- und Schreibzugriff auf Firebase A/B Testing-Ressourcen
  • firebase.clients.get
  • firebase.projects.get
  • firebaseabt.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseabt.viewer Firebase A/B Testing-Betrachter Beta Lesezugriff auf Firebase A/B Testing-Ressourcen
  • firebase.clients.get
  • firebase.projects.get
  • firebaseabt.experimentresults.*
  • firebaseabt.experiments.get
  • firebaseabt.experiments.list
  • firebaseabt.projectmetadata.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseappdistro.admin Firebase App Distribution-Administrator Beta Vollständiger Lese- und Schreibzugriff auf Firebase App Distribution-Ressourcen
  • firebase.clients.get
  • firebase.projects.get
  • firebaseappdistro.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseappdistro.viewer Firebase App Distribution-Betrachter Beta Lesezugriff auf Ressourcen für Firebase App Distribution
  • firebase.clients.get
  • firebase.projects.get
  • firebaseappdistro.groups.list
  • firebaseappdistro.releases.list
  • firebaseappdistro.testers.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseauth.admin Firebase Authentication-Administrator Vollständiger Lese- und Schreibzugriff auf Firebase Authentification-Ressourcen
  • firebase.clients.get
  • firebase.projects.get
  • firebaseauth.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebaseauth.viewer Firebase Authentication-Betrachter Lesezugriff auf Firebase Authentication-Ressourcen
  • firebase.clients.get
  • firebase.projects.get
  • firebaseauth.configs.get
  • firebaseauth.users.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasecrashlytics.admin Firebase Crashlytics-Administrator Vollständiger Lese- und Schreibzugriff auf Firebase Crashlytics-Ressourcen
  • firebase.clients.get
  • firebase.projects.get
  • firebasecrashlytics.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasecrashlytics.viewer Firebase Crashlytics-Betrachter Lesezugriff auf Firebase Crashlytics-Ressourcen
  • firebase.clients.get
  • firebase.projects.get
  • firebasecrashlytics.config.get
  • firebasecrashlytics.data.*
  • firebasecrashlytics.issues.get
  • firebasecrashlytics.issues.list
  • firebasecrashlytics.sessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasedatabase.admin Firebase Realtime Database-Administrator Vollständiger Lese-/Schreibzugriff auf Firebase Realtime Database-Ressourcen
  • firebase.clients.get
  • firebase.projects.get
  • firebasedatabase.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasedatabase.viewer Firebase Realtime Database-Betrachter Lesezugriff auf Firebase Realtime Database-Ressourcen
  • firebase.clients.get
  • firebase.projects.get
  • firebasedatabase.instances.get
  • firebasedatabase.instances.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasedynamiclinks.admin Firebase Dynamic Links-Administrator Vollständiger Lese- und Schreibzugriff auf Firebase Dynamic Link-Ressourcen
  • firebase.clients.get
  • firebase.projects.get
  • firebasedynamiclinks.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasedynamiclinks.viewer Firebase Dynamic Links-Betrachter Lesezugriff auf Firebase Dynamic Links-Ressourcen
  • firebase.clients.get
  • firebase.projects.get
  • firebasedynamiclinks.destinations.list
  • firebasedynamiclinks.domains.get
  • firebasedynamiclinks.domains.list
  • firebasedynamiclinks.links.get
  • firebasedynamiclinks.links.list
  • firebasedynamiclinks.stats.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/firebasehosting.admin Firebase Hosting-Admininistrator Vollständiger Lese- und Schreibzugriff auf Firebase Hosting-Ressourcen
  • firebase.clients.get
  • firebase.projects.get
  • firebaseho