Weitere Informationen zu Rollen

Wenn eine Identität eine Google Cloud Platform-API aufruft, erfordert Cloud Identity and Access Management, dass die Identität über die entsprechenden Berechtigungen zur Verwendung der Ressource verfügt. Sie können Berechtigungen gewähren, indem Sie einem Nutzer, einer Gruppe oder einem Dienstkonto Rollen zuweisen.

Auf dieser Seite werden die Cloud IAM-Rollen beschrieben, die Sie Identitäten für den Zugriff auf Cloud Platfom-Ressourcen zuweisen können.

Voraussetzungen für diese Anleitung

Rollentypen

In Cloud IAM gibt es drei Typen von Rollen:

  • Einfache Rollen, zu denen die Rollen "Inhaber", "Bearbeiter" und "Betrachter" gehören, die es schon vor der Einführung von Cloud IAM gab
  • Vordefinierte Rollen, die einen genau definierten Zugriff auf einen bestimmten Dienst ermöglichen und von der GCP verwaltet werden
  • Benutzerdefinierte Rollen, die einen genau definierten Zugriff gemäß einer vom Nutzer angegebenen Liste von Berechtigungen ermöglichen

Um zu ermitteln, ob eine oder mehrere Berechtigungen in einer einfachen, vordefinierten oder benutzerdefinierten Rolle enthalten sind, können Sie eine der folgenden Methoden verwenden:

In den folgenden Abschnitten werden die einzelnen Rollentypen beschrieben und Beispiele für deren Verwendung gegeben.

Einfache Rollen

Vor der Einführung von Cloud IAM gab es drei Rollen: "Eigentümer", "Bearbeiter" und "Betrachter". Diese Rollen sind konzentrisch, was bedeutet, dass die Inhaberrolle die Berechtigungen der Bearbeiterrolle und die Bearbeiterrolle die Berechtigungen der Betrachterrolle beinhaltet.

In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die die einfachen Rollen für alle GCP-Dienste enthalten:

Definitionen für einfache Rollen

Name Titel Berechtigungen
roles/viewer Betrachter Berechtigungen für schreibgeschützte Aktionen, die sich nicht auf den Status auswirken, z. B. Anzeigen (aber nicht Ändern) vorhandener Ressourcen oder Daten
roles/editor Bearbeiter Alle Berechtigungen des Betrachters sowie Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. das Ändern vorhandener Ressourcen
Hinweis: Die Rolle roles/editor enthält Berechtigungen zum Erstellen und Löschen von Ressourcen für die meisten GCP-Dienste. Für einige Dienste wie Cloud Source Repositories und Stackdriver gelten diese Berechtigungen aber nicht. Weitere Informationen dazu, wie Sie überprüfen können, ob eine Rolle über die erforderlichen Berechtigungen verfügt, finden Sie im obigen Abschnitt.
roles/owner Inhaber Alle Berechtigungen des Bearbeiters und Berechtigungen für die folgenden Aktionen:
  • Rollen und Berechtigungen für ein Projekt und alle Ressourcen innerhalb des Projekts verwalten
  • Abrechnung für ein Projekt einrichten
Hinweis:
  • Durch das Zuweisen der Inhaberrolle auf Ressourcenebene (zum Beispiel ein Cloud Pub/Sub-Thema) wird die Inhaberrolle nicht für das übergeordnete Projekt zugewiesen.
  • Die Inhaberrolle enthält keine Berechtigung für die Organisationsressource. Daher erhalten Sie durch Zuweisen der Inhaberrolle auf Organisationsebene nicht die Berechtigung, die Metadaten der Organisation zu aktualisieren. Sie können jedoch Projekte unter dieser Organisation ändern.

Sie können einfache Rollen auf Projekt- oder Dienstressourcenebene mithilfe der GCP Console, der API und des gcloud-Befehlszeilentools zuweisen.

Einladungsablauf

Mit der Cloud IAM API oder dem Befehlszeilentool gcloud können Sie Nutzern keine Inhaberrolle zuweisen. Das Hinzufügen von Inhabern zu einem Projekt ist nur über die GCP Console möglich. Das Mitglied erhält per E-Mail eine Einladung und muss diese annehmen, um ein Inhaber des Projekts zu werden.

Beachten Sie, dass in den folgenden Fällen keine Einladungen per E-Mail gesendet werden:

  • Wenn Sie eine andere Rolle als die Inhaberrolle zuweisen
  • Wenn ein Organisationsmitglied ein anderes Mitglied seiner Organisation als Inhaber eines Projekts innerhalb dieser Organisation hinzufügt

Vordefinierte Rollen

Zusätzlich zu den einfachen Rollen bietet Cloud IAM weitere vordefinierte Rollen, die detaillierten Zugriff auf bestimmte Ressourcen der Google Cloud Platform ermöglichen und unerwünschten Zugriff auf andere Ressourcen verhindern.

Die folgende Tabelle enthält diese Rollen, ihre Beschreibung und den Ressourcentyp der untersten Ebene, für den Rollen festgelegt werden. Eine bestimmte Rolle kann diesem Ressourcentyp oder in den meisten Fällen einem übergeordneten Typ in der GCP-Hierarchie zugewiesen werden. Einem Nutzer können mehrere Rollen zugewiesen werden. Zum Beispiel kann ein Nutzer für ein Projekt die Rollen "Netzwerkadministrator" und "Log-Betrachter" und außerdem die Rolle "Publisher" für ein Pub/Sub-Thema in diesem Projekt haben. Eine Liste der in einer Rolle enthaltenen Berechtigungen finden Sie unter Rollenmetadaten abrufen.

App Engine-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
appengine.appAdmin
App Engine Admin Berechtigung zum Lesen/Schreiben/Ändern für die gesamte Anwendungskonfiguration und die Einstellungen. appengine.applications.*
appengine.instances.*
appengine.operations.*
appengine.runtimes.*
appengine.services.*
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
appengine.versions.update
resourcemanager.projects.get
resourcemanager.projects.list
Projekt
roles/
appengine.appViewer
App Engine-Betrachter Lesezugriff auf die gesamte Anwendungskonfiguration und die Einstellungen. appengine.applications.get
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
Projekt
roles/
appengine.codeViewer
App Engine-Codebetrachter Lesezugriff auf die gesamte Anwendungskonfiguration, die Einstellungen und den bereitgestellten Quellcode. appengine.applications.get
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.getFileContents
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
Projekt
roles/
appengine.deployer
App Engine-Bereitsteller Lesezugriff auf die gesamte Anwendungskonfiguration und die Einstellungen.

Schreibzugriff ausschließlich zum Erstellen einer neuen Version. Die einzig mögliche Änderung an vorhandenen Versionen ist das Löschen von Versionen, die keinen Traffic empfangen.

Hinweis: Die App Engine-Rolle "Bereitsteller" (roles/appengine.deployer) gewährt allein ausreichende Berechtigungen für die Bereitstellung mithilfe der App Engine Admin API. Wenn Sie andere App Engine-Tools wie zum Beispiel Befehle mit gcloud verwenden möchten, benötigen Sie auch die Rollen "Compute Storage-Administrator" (roles/compute.storageAdmin) und "Cloud Build-Bearbeiter" (cloudbuild.builds.editor).
appengine.applications.get
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.services.get
appengine.services.list
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
Projekt
roles/
appengine.serviceAdmin
App Engine-Dienstadministrator Lesezugriff auf die gesamte Anwendungskonfiguration und die Einstellungen
Schreibberechtigung für Einstellungen auf Modul- und Versionsebene. Kann keine neue Version bereitstellen.
appengine.applications.get
appengine.instances.*
appengine.operations.*
appengine.services.*
appengine.versions.delete
appengine.versions.get
appengine.versions.list
appengine.versions.update
resourcemanager.projects.get
resourcemanager.projects.list
Projekt

AutoML-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
automl.admin
AutoML-AdministratorBeta Voller Zugriff auf alle AutoML-Ressourcen automl.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list
roles/
automl.editor
AutoML-BearbeiterBeta Bearbeiter aller AutoML-Ressourcen automl.annotationSpecs.*
automl.annotations.*
automl.datasets.create
automl.datasets.delete
automl.datasets.export
automl.datasets.get
automl.datasets.import
automl.datasets.list
automl.examples.*
automl.humanAnnotationTasks.*
automl.locations.get
automl.locations.list
automl.modelEvaluations.*
automl.models.create
automl.models.delete
automl.models.deploy
automl.models.get
automl.models.list
automl.models.predict
automl.models.undeploy
automl.operations.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list
roles/
automl.predictor
AutoML-ErkennungBeta Erkennen mit Modellen automl.models.predict
resourcemanager.projects.get
resourcemanager.projects.list
roles/
automl.viewer
AutoML-BetrachterBeta Betrachter von allen AutoML-Ressourcen automl.annotationSpecs.get
automl.annotationSpecs.list
automl.annotations.list
automl.datasets.get
automl.datasets.list
automl.examples.get
automl.examples.list
automl.humanAnnotationTasks.get
automl.humanAnnotationTasks.list
automl.locations.get
automl.locations.list
automl.modelEvaluations.get
automl.modelEvaluations.list
automl.models.get
automl.models.list
automl.operations.get
automl.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list

BigQuery Roles

Role Title Description Permissions Lowest Resource
roles/
bigquery.admin
BigQuery Admin Provides permissions to manage all resources within the project. Can manage all data within the project, and can cancel jobs from other users running within the project. bigquery.*
resourcemanager.projects.get
resourcemanager.projects.list
Project
roles/
bigquery.dataEditor
BigQuery Data Editor

When applied to a dataset, dataEditor provides permissions to:

  • Read the dataset's metadata and to list tables in the dataset.
  • Create, update, get, and delete the dataset's tables.

When applied at the project or organization level, this role can also create new datasets.

bigquery.datasets.create
bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.tables.*
resourcemanager.projects.get
resourcemanager.projects.list
Dataset
roles/
bigquery.dataOwner
BigQuery Data Owner

When applied to a dataset, dataOwner provides permissions to:

  • Read, update, and delete the dataset.
  • Create, update, get, and delete the dataset's tables.

When applied at the project or organization level, this role can also create new datasets.

bigquery.datasets.*
bigquery.tables.*
resourcemanager.projects.get
resourcemanager.projects.list
Dataset
roles/
bigquery.dataViewer
BigQuery Data Viewer

When applied to a dataset, dataViewer provides permissions to:

  • Read the dataset's metadata and to list tables in the dataset.
  • Read data and metadata from the dataset's tables.

When applied at the project or organization level, this role can also enumerate all datasets in the project. Additional roles, however, are necessary to allow the running of jobs.

bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.list
resourcemanager.projects.get
resourcemanager.projects.list
Dataset
roles/
bigquery.jobUser
BigQuery Job User Provides permissions to run jobs, including queries, within the project. The jobUser role can enumerate their own jobs and cancel their own jobs. bigquery.jobs.create
resourcemanager.projects.get
resourcemanager.projects.list
Project
roles/
bigquery.metadataViewer
BigQuery Metadata Viewer

When applied at the project or organization level, metadataViewer provides permissions to:

  • List all datasets and read metadata for all datasets in the project.
  • List all tables and views and read metadata for all tables and views in the project.

Additional roles are necessary to allow the running of jobs.

bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.tables.get
bigquery.tables.list
resourcemanager.projects.get
resourcemanager.projects.list
Project
roles/
bigquery.readSessionUser
BigQuery Read Session User Beta Access to create and use read sessions bigquery.readsessions.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
bigquery.user
BigQuery User Provides permissions to run jobs, including queries, within the project. The user role can enumerate their own jobs, cancel their own jobs, and enumerate datasets within a project. Additionally, allows the creation of new datasets within the project; the creator is granted the bigquery.dataOwner role for these new datasets. bigquery.config.get
bigquery.datasets.create
bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.jobs.create
bigquery.jobs.list
bigquery.readsessions.*
bigquery.savedqueries.get
bigquery.savedqueries.list
bigquery.tables.list
bigquery.transfers.get
resourcemanager.projects.get
resourcemanager.projects.list
Project

Abrechnungsrollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
billing.admin
Rechnungskonto-Administrator Berechtigung zum Aufrufen und Verwalten aller Aspekte von Abrechnungskonten billing.accounts.close
billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.getPaymentInfo
billing.accounts.getSpendingInformation
billing.accounts.getUsageExportSpec
billing.accounts.list
billing.accounts.move
billing.accounts.redeemPromotion
billing.accounts.removeFromOrganization
billing.accounts.reopen
billing.accounts.setIamPolicy
billing.accounts.update
billing.accounts.updatePaymentInfo
billing.accounts.updateUsageExportSpec
billing.budgets.*
billing.credits.*
billing.resourceAssociations.*
billing.subscriptions.*
cloudnotifications.*
logging.logEntries.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.privateLogEntries.*
resourcemanager.projects.createBillingAssignment
resourcemanager.projects.deleteBillingAssignment
Rechnungskonto
roles/
billing.creator
Rechnungskontoersteller Berechtigung zum Erstellen von Abrechnungskonten billing.accounts.create
resourcemanager.organizations.get
Projekt
roles/
billing.projectManager
Administrator für die Projektabrechnung Berechtigung zum Zuweisen des Abrechnungskontos eines Projekts oder zum Deaktivieren der Abrechnung resourcemanager.projects.createBillingAssignment
resourcemanager.projects.deleteBillingAssignment
Projekt
roles/
billing.user
Rechnungskontonutzer Berechtigung zum Verbinden von Projekten mit Abrechnungskonten billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.list
billing.accounts.redeemPromotion
billing.credits.*
billing.resourceAssociations.create
Rechnungskonto
roles/
billing.viewer
Rechnungskonto-Betrachter Kontoinformationen und Transaktionen im Rechnungskonto aufrufen billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.getPaymentInfo
billing.accounts.getSpendingInformation
billing.accounts.getUsageExportSpec
billing.accounts.list
billing.budgets.get
billing.budgets.list
billing.credits.*
billing.resourceAssociations.list
billing.subscriptions.get
billing.subscriptions.list
Organisation
Rechnungskonto

Binary Authorization Roles

Role Title Description Permissions Lowest Resource
roles/
binaryauthorization.attestorsAdmin
Binary Authorization Attestor Admin Beta Adminstrator of Binary Authorization Attestors binaryauthorization.attestors.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.attestorsEditor
Binary Authorization Attestor Editor Beta Editor of Binary Authorization Attestors binaryauthorization.attestors.create
binaryauthorization.attestors.delete
binaryauthorization.attestors.get
binaryauthorization.attestors.list
binaryauthorization.attestors.update
binaryauthorization.attestors.verifyImageAttested
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.attestorsVerifier
Binary Authorization Attestor Image Verifier Beta Caller of Binary Authorization Attestors VerifyImageAttested binaryauthorization.attestors.get
binaryauthorization.attestors.list
binaryauthorization.attestors.verifyImageAttested
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.attestorsViewer
Binary Authorization Attestor Viewer Beta Viewer of Binary Authorization Attestors binaryauthorization.attestors.get
binaryauthorization.attestors.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.policyAdmin
Binary Authorization Policy Administrator Beta Administrator of Binary Authorization Policy binaryauthorization.policy.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.policyEditor
Binary Authorization Policy Editor Beta Editor of Binary Authorization Policy binaryauthorization.policy.get
binaryauthorization.policy.update
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.policyViewer
Binary Authorization Policy Viewer Beta Viewer of Binary Authorization Policy binaryauthorization.policy.get
resourcemanager.projects.get
resourcemanager.projects.list

Cloudasset-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
cloudasset.viewer
Betrachter von Cloudassets Lesezugriff auf Metadaten von Cloudassets cloudasset.*

Cloud Bigtable-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
bigtable.admin
Bigtable-Administrator Verwaltet alle Instanzen in einem Projekt, darunter auch die Daten, die in den Tabellen gespeichert sind. Kann neue Instanzen erstellen. Gedacht für Projektadministratoren. bigtable.*
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Instanz
roles/
bigtable.reader
Bigtable-Leser Erlaubt nur Lesezugriff auf die in den Tabellen gespeicherten Daten. Gedacht für Datenanalysten, Dashboard-Generatoren und anderen Datenanalyse-Szenarien. bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.tables.checkConsistency
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
bigtable.tables.readRows
bigtable.tables.sampleRowKeys
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Instanz
roles/
bigtable.user
Bigtable-Nutzer Erlaubt Lese- und Schreibzugriff auf die in den Tabellen gespeicherten Daten. Für Anwendungsentwickler und Dienstkonten bestimmt. bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.tables.checkConsistency
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
bigtable.tables.mutateRows
bigtable.tables.readRows
bigtable.tables.sampleRowKeys
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Instanz
roles/
bigtable.viewer
Bigtable-Betrachter Bietet keinen Datenzugriff. Gedacht als minimaler Berechtigungssatz für den Zugriff auf die GCP Console für Cloud Bigtable. bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.tables.checkConsistency
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Instanz

Cloud Composer Roles

Role Title Description Permissions Lowest Resource
roles/
composer.admin
Composer Administrator Provides full control of Cloud Composer resources. composer.*
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Project
roles/
composer.environmentAndStorageObjectAdmin
Environment and Storage Object Administrator Provides full control of Cloud Composer resources and of the objects in all project buckets. composer.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.objects.*
Project
roles/
composer.environmentAndStorageObjectViewer
Environment User and Storage Object Viewer Provides the permissions nessesary to list and get Cloud Composer environments and operations. Provides read-only access to objects in all project buckets. composer.environments.get
composer.environments.list
composer.operations.get
composer.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.objects.get
storage.objects.list
Project
roles/
composer.user
Composer User Provides the permissions necessary to list and get Cloud Composer environments and operations. composer.environments.get
composer.environments.list
composer.operations.get
composer.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Project
roles/
composer.worker
Composer Worker Provides the permissions necessary to run a Cloud Composer environment VM. Intended for service accounts. cloudbuild.*
container.*
logging.logEntries.create
monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.timeSeries.create
pubsub.snapshots.create
pubsub.snapshots.delete
pubsub.snapshots.get
pubsub.snapshots.list
pubsub.snapshots.seek
pubsub.snapshots.update
pubsub.subscriptions.consume
pubsub.subscriptions.create
pubsub.subscriptions.delete
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.subscriptions.update
pubsub.topics.attachSubscription
pubsub.topics.create
pubsub.topics.delete
pubsub.topics.get
pubsub.topics.list
pubsub.topics.publish
pubsub.topics.update
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
source.repos.get
source.repos.list
storage.buckets.create
storage.buckets.get
storage.buckets.list
storage.objects.*
Project

Cloud DLP Roles

Role Title Description Permissions Lowest Resource
roles/
dlp.admin
DLP Administrator Administer DLP including jobs and templates. dlp.*
serviceusage.services.use
roles/
dlp.analyzeRiskTemplatesEditor
DLP Analyze Risk Templates Editor Edit DLP analyze risk templates. dlp.analyzeRiskTemplates.*
roles/
dlp.analyzeRiskTemplatesReader
DLP Analyze Risk Templates Reader Read DLP analyze risk templates. dlp.analyzeRiskTemplates.get
dlp.analyzeRiskTemplates.list
roles/
dlp.deidentifyTemplatesEditor
DLP De-identify Templates Editor Edit DLP de-identify templates. dlp.deidentifyTemplates.*
roles/
dlp.deidentifyTemplatesReader
DLP De-identify Templates Reader Read DLP de-identify templates. dlp.deidentifyTemplates.get
dlp.deidentifyTemplates.list
roles/
dlp.inspectTemplatesEditor
DLP Inspect Templates Editor Edit DLP inspect templates. dlp.inspectTemplates.*
roles/
dlp.inspectTemplatesReader
DLP Inspect Templates Reader Read DLP inspect templates. dlp.inspectTemplates.get
dlp.inspectTemplates.list
roles/
dlp.jobTriggersEditor
DLP Job Triggers Editor Edit job triggers configurations. dlp.jobTriggers.*
roles/
dlp.jobTriggersReader
DLP Job Triggers Reader Read job triggers. dlp.jobTriggers.get
dlp.jobTriggers.list
roles/
dlp.jobsEditor
DLP Jobs Editor Edit and create jobs dlp.jobs.*
dlp.kms.*
roles/
dlp.jobsReader
DLP Jobs Reader Read jobs dlp.jobs.get
dlp.jobs.list
roles/
dlp.reader
DLP Reader Read DLP entities, such as jobs and templates. dlp.analyzeRiskTemplates.get
dlp.analyzeRiskTemplates.list
dlp.deidentifyTemplates.get
dlp.deidentifyTemplates.list
dlp.inspectTemplates.get
dlp.inspectTemplates.list
dlp.jobTriggers.get
dlp.jobTriggers.list
dlp.jobs.get
dlp.jobs.list
dlp.storedInfoTypes.get
dlp.storedInfoTypes.list
roles/
dlp.storedInfoTypesEditor
DLP Stored InfoTypes Editor Edit DLP stored info types. dlp.storedInfoTypes.*
roles/
dlp.storedInfoTypesReader
DLP Stored InfoTypes Reader Read DLP stored info types. dlp.storedInfoTypes.get
dlp.storedInfoTypes.list
roles/
dlp.user
DLP User Inspect, Redact, and De-identify Content dlp.kms.*
serviceusage.services.use

Cloud IAP-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
iap.admin
IAP-Richtlinienadministrator Bietet uneingeschränkten Zugriff auf Ressourcen von Cloud Identity-Aware Proxy iap.tunnel.*
iap.tunnelInstances.getIamPolicy
iap.tunnelInstances.setIamPolicy
iap.tunnelZones.*
iap.web.*
iap.webServiceVersions.getIamPolicy
iap.webServiceVersions.setIamPolicy
iap.webServices.*
iap.webTypes.*
Projekt
roles/
iap.httpsResourceAccessor
Nutzer von IAP-gesicherten Web-Apps Berechtigung zum Zugreifen auf HTTPS-Ressourcen, die Cloud Identity-Aware Proxy verwenden iap.webServiceVersions.accessViaIAP
Projekt
roles/
iap.tunnelResourceAccessor
Nutzer IAP-gesicherter TunnelBeta Zugriff auf Tunnelressourcen, die Identity-Aware Proxy verwenden iap.tunnelInstances.accessViaIAP

Cloud IdD-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
cloudiot.admin
Cloud IdD-Administrator Uneingeschränkte Kontrolle über alle Cloud IdD-Ressourcen und -Berechtigungen. cloudiot.*
Gerät
roles/
cloudiot.deviceController
Cloud IoT-Gerätesteuerung Kann Gerätekonfiguration aktualisieren, aber keine Geräte erstellen oder löschen. cloudiot.devices.get
cloudiot.devices.list
cloudiot.devices.updateConfig
cloudiot.registries.get
cloudiot.registries.list
Gerät
roles/
cloudiot.editor
Cloud IdD-Bearbeiter Lese- und Schreibzugriff auf alle Cloud IdD-Ressourcen. cloudiot.devices.*
cloudiot.registries.create
cloudiot.registries.delete
cloudiot.registries.get
cloudiot.registries.list
cloudiot.registries.update
Gerät
roles/
cloudiot.provisioner
Cloud IoT-Bereitsteller Kann Geräte in Registrys erstellen und löschen, nicht aber die Registrys ändern. cloudiot.devices.*
cloudiot.registries.get
cloudiot.registries.list
Gerät
roles/
cloudiot.viewer
Cloud IdD-Betrachter Schreibgeschützter Zugriff auf alle Cloud IdD-Ressourcen. cloudiot.devices.get
cloudiot.devices.list
cloudiot.registries.get
cloudiot.registries.list
Gerät

Cloud KMS-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
cloudkms.admin
Cloud KMS-Administrator Vollzugriff auf Cloud KMS-Ressourcen mit Ausnahme von Verschlüsselungs- und Entschlüsselungsvorgängen cloudkms.cryptoKeyVersions.create
cloudkms.cryptoKeyVersions.destroy
cloudkms.cryptoKeyVersions.get
cloudkms.cryptoKeyVersions.list
cloudkms.cryptoKeyVersions.restore
cloudkms.cryptoKeyVersions.update
cloudkms.cryptoKeys.*
cloudkms.keyRings.*
resourcemanager.projects.get
CryptoKey
roles/
cloudkms.cryptoKeyDecrypter
Cloud KMS CryptoKey-Entschlüsseler Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Entschlüsseln zu verwenden cloudkms.cryptoKeyVersions.useToDecrypt
resourcemanager.projects.get
CryptoKey
roles/
cloudkms.cryptoKeyEncrypter
Cloud KMS CryptoKey-Verschlüsseler Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Verschlüsseln zu verwenden cloudkms.cryptoKeyVersions.useToEncrypt
resourcemanager.projects.get
CryptoKey
roles/
cloudkms.cryptoKeyEncrypterDecrypter
Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Verschlüsseln und Entschlüsseln zu verwenden cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
resourcemanager.projects.get
CryptoKey
roles/
cloudkms.publicKeyViewer
PublicKey-Betrachter für Cloud KMS CryptoKeysBeta Aktiviert GetPublicKey-Vorgänge cloudkms.cryptoKeyVersions.viewPublicKey
resourcemanager.projects.get
roles/
cloudkms.signer
Cloud KMS CryptoKey-SignerBeta Aktiviert AsymmetricSign-Vorgänge cloudkms.cryptoKeyVersions.useToSign
resourcemanager.projects.get
roles/
cloudkms.signerVerifier
Cloud KMS CryptoKey-Signer/PrüffunktionBeta Aktiviert AsymmetricSign- und GetPublicKey-Vorgänge cloudkms.cryptoKeyVersions.useToSign
cloudkms.cryptoKeyVersions.viewPublicKey
resourcemanager.projects.get

Rollen im privaten Katalog für Cloud

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
cloudprivatecatalog.consumer
KatalognutzerBeta Kann Kataloge im Zielressourcenkontext durchsuchen. cloudprivatecatalog.*
roles/
cloudprivatecatalogproducer.admin
KatalogadministratorBeta Kann den Katalog verwalten und seine Verknüpfungen ansehen. cloudprivatecatalogproducer.associations.*
cloudprivatecatalogproducer.catalogs.*
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get
roles/
cloudprivatecatalogproducer.manager
KatalogverwalterBeta Kann Verknüpfungen zwischen einem Katalog und einer Zielressource verwalten. cloudprivatecatalog.*
cloudprivatecatalogproducer.associations.*
cloudprivatecatalogproducer.catalogs.get
cloudprivatecatalogproducer.catalogs.list
cloudprivatecatalogproducer.targets.*
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get

Cloud SQL-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
cloudsql.admin
Cloud SQL-Administrator Uneingeschränkte Kontrolle über Cloud SQL-Ressourcen cloudsql.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Projekt
roles/
cloudsql.client
Cloud SQL-Client Verbindungszugriff auf Cloud SQL-Instanzen cloudsql.instances.connect
cloudsql.instances.get
Projekt
roles/
cloudsql.editor
Cloud SQL-Bearbeiter Uneingeschränkte Kontrolle über vorhandene Cloud SQL-Instanzen, mit Ausnahme der Bearbeitung von Nutzern und SSL-Zertifikaten oder dem Löschen von Ressourcen cloudsql.backupRuns.create
cloudsql.backupRuns.get
cloudsql.backupRuns.list
cloudsql.databases.create
cloudsql.databases.get
cloudsql.databases.list
cloudsql.databases.update
cloudsql.instances.connect
cloudsql.instances.export
cloudsql.instances.failover
cloudsql.instances.get
cloudsql.instances.list
cloudsql.instances.restart
cloudsql.instances.truncateLog
cloudsql.instances.update
cloudsql.sslCerts.get
cloudsql.sslCerts.list
cloudsql.users.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Projekt
roles/
cloudsql.viewer
Cloud SQL-Betrachter Lesezugriff auf Cloud SQL-Ressourcen cloudsql.backupRuns.get
cloudsql.backupRuns.list
cloudsql.databases.get
cloudsql.databases.list
cloudsql.instances.export
cloudsql.instances.get
cloudsql.instances.list
cloudsql.sslCerts.get
cloudsql.sslCerts.list
cloudsql.users.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Projekt

Cloud Scheduler-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
cloudscheduler.admin
Cloud Scheduler-AdministratorBeta Vollzugriff auf Jobs und Ausführungen. cloudscheduler.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudscheduler.viewer
Cloud Scheduler-BetrachterBeta Zugriffsrechte für das Abrufen und Auflisten von Jobs, Ausführungen und Orten. cloudscheduler.jobs.fullView
cloudscheduler.jobs.get
cloudscheduler.jobs.list
resourcemanager.projects.get
resourcemanager.projects.list

Cloud Security Scanner-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
cloudsecurityscanner.editor
Cloud Security Scanner-Bearbeiter Vollständiger Zugriff auf alle Cloud Security Scanner-Ressourcen appengine.applications.get
cloudsecurityscanner.*
compute.addresses.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
cloudsecurityscanner.runner
Cloud Security Scanner-Runner Lesezugriff auf Scan und ScanRun sowie Möglichkeit zum Starten von Scans cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.scanruns.get
cloudsecurityscanner.scanruns.list
cloudsecurityscanner.scanruns.stop
cloudsecurityscanner.scans.get
cloudsecurityscanner.scans.list
cloudsecurityscanner.scans.run
roles/
cloudsecurityscanner.viewer
Cloud Security Scanner-Betrachter Lesezugriff auf alle Cloud Security Scanner-Ressourcen cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.results.*
cloudsecurityscanner.scanruns.get
cloudsecurityscanner.scanruns.getSummary
cloudsecurityscanner.scanruns.list
cloudsecurityscanner.scans.get
cloudsecurityscanner.scans.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Cloud Services-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
servicebroker.admin
Service Broker-AdministratorBeta Vollständiger Zugriff auf Service Broker-Ressourcen. servicebroker.*
roles/
servicebroker.operator
Service Broker-OperatorBeta Operativer Zugriff auf die ServiceBroker-Ressourcen. servicebroker.bindingoperations.*
servicebroker.bindings.create
servicebroker.bindings.delete
servicebroker.bindings.get
servicebroker.bindings.list
servicebroker.catalogs.create
servicebroker.catalogs.delete
servicebroker.catalogs.get
servicebroker.catalogs.list
servicebroker.instanceoperations.*
servicebroker.instances.create
servicebroker.instances.delete
servicebroker.instances.get
servicebroker.instances.list
servicebroker.instances.update

Cloud Spanner Roles

Role Title Description Permissions Lowest Resource
roles/
spanner.admin
Cloud Spanner Admin Permission to grant and revoke permissions to other principals, allocate and delete chargeable resources, issue get/list/modify operations on resources, read from and write to databases, and fetch project metadata. monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.list
spanner.*
Project
roles/
spanner.databaseAdmin
Cloud Spanner Database Admin Permission to get/list all Cloud Spanner resources in a project, create/list/drop databases, grant/revoke access to project databases, and read from and write to all Cloud Spanner databases in the project. monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.list
spanner.databaseOperations.*
spanner.databases.*
spanner.instances.get
spanner.instances.getIamPolicy
spanner.instances.list
spanner.sessions.*
Project
roles/
spanner.databaseReader
Cloud Spanner Database Reader Permission to read from the Cloud Spanner database, execute SQL queries on the database, and view the schema. spanner.databases.beginReadOnlyTransaction
spanner.databases.getDdl
spanner.databases.read
spanner.databases.select
spanner.sessions.*
Database
roles/
spanner.databaseUser
Cloud Spanner Database User Permission to read from and write to the Cloud Spanner database, execute SQL queries on the database, and view and update the schema. spanner.databaseOperations.*
spanner.databases.beginOrRollbackReadWriteTransaction
spanner.databases.beginReadOnlyTransaction
spanner.databases.getDdl
spanner.databases.read
spanner.databases.select
spanner.databases.updateDdl
spanner.databases.write
spanner.sessions.*
Database
roles/
spanner.viewer
Cloud Spanner Viewer Permission to view all Cloud Spanner instances and databases, but not modify or read from them. monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.list
spanner.databases.list
spanner.instanceConfigs.*
spanner.instances.get
spanner.instances.list
Project

Cloud TPU-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
tpu.admin
TPU-Administrator Vollständiger Zugriff auf TPU-Knoten und zugehörige Ressourcen. resourcemanager.projects.get
resourcemanager.projects.list
tpu.*
roles/
tpu.viewer
TPU-Betrachter Lesezugriff auf TPU-Knoten und zugehörige Ressourcen. resourcemanager.projects.get
resourcemanager.projects.list
tpu.acceleratortypes.*
tpu.locations.*
tpu.nodes.get
tpu.nodes.list
tpu.operations.*
tpu.tensorflowversions.*

Cloud Talent Solution-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
cloudjobdiscovery.admin
AdministratorBeta Zugriff auf Self-Service-Tools von Cloud Job Discovery cloudjobdiscovery.events.get
cloudjobdiscovery.events.list
cloudjobdiscovery.tools.*
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudjobdiscovery.jobsEditor
Job-EditorBeta Schreibzugriff auf alle Daten von Cloud Job Discovery cloudjobdiscovery.companies.*
cloudjobdiscovery.events.*
cloudjobdiscovery.jobs.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudjobdiscovery.jobsViewer
Job-BetrachterBeta Lesezugriff auf alle Daten von Cloud Job Discovery. cloudjobdiscovery.companies.get
cloudjobdiscovery.companies.list
cloudjobdiscovery.events.get
cloudjobdiscovery.events.list
cloudjobdiscovery.jobs.get
cloudjobdiscovery.jobs.search
resourcemanager.projects.get
resourcemanager.projects.list

Cloud Tasks-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
cloudtasks.admin
Cloud Tasks-AdministratorBeta Vollzugriff auf Warteschlangen und Aufgaben. cloudtasks.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.enqueuer
Cloud Tasks-ErstellerBeta Kann Aufgaben erstellen. cloudtasks.tasks.create
cloudtasks.tasks.fullView
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.queueAdmin
Administrator für Cloud-AufgabenwarteschlangenBeta Administratorzugriff auf Warteschlangen. cloudtasks.locations.*
cloudtasks.queues.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.taskDeleter
Entferner für Cloud-AufgabenBeta Kann Aufgaben löschen. cloudtasks.tasks.delete
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.taskRunner
Task-Runner von Cloud TasksBeta Kann Aufgaben auszuführen. cloudtasks.tasks.fullView
cloudtasks.tasks.run
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.viewer
Cloud Tasks-BetrachterBeta Zugriffsrechte für das Abrufen und Auflisten von Aufgaben, Warteschlangen und Orten. cloudtasks.locations.*
cloudtasks.queues.get
cloudtasks.queues.list
cloudtasks.tasks.fullView
cloudtasks.tasks.get
cloudtasks.tasks.list
resourcemanager.projects.get
resourcemanager.projects.list

Cloud Trace-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
cloudtrace.admin
Cloud Trace-Administrator Vollständiger Zugriff auf die Trace-Konsole und Lese-/Schreibzugriff auf Traces. cloudtrace.*
resourcemanager.projects.get
resourcemanager.projects.list
Projekt
roles/
cloudtrace.agent
Cloud Trace-Agent Für Dienstkonten. Bietet die Möglichkeit, Traces durch Senden der Daten an Stackdriver Trace zu schreiben. cloudtrace.traces.patch
Projekt
roles/
cloudtrace.user
Cloud Trace-Nutzer Vollständiger Zugriff auf die Trace-Konsole und Lesezugriff auf Traces. cloudtrace.insights.*
cloudtrace.stats.*
cloudtrace.tasks.*
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
Projekt

Codelab-API-Schlüsselrollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
codelabapikeys.admin
Administrator von Codelab-API-SchlüsselnBeta Vollständiger Zugriff auf API-Schlüssel. resourcemanager.projects.get
resourcemanager.projects.list
roles/
codelabapikeys.editor
Bearbeiter von Codelab-API-SchlüsselnBeta Diese Rolle kann alle Attribute von API-Schlüsseln ansehen und bearbeiten. resourcemanager.projects.get
resourcemanager.projects.list
roles/
codelabapikeys.viewer
Betrachter von Codelab-API-SchlüsselnBeta Diese Rolle kann alle Attribute ansehen außer dem Änderungsverlauf von API-Schlüsseln. resourcemanager.projects.get
resourcemanager.projects.list

Compute Engine-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
compute.admin
Compute-Administrator

Uneingeschränkte Kontrolle über alle Compute Engine-Ressourcen.

Wenn der Nutzer VM-Instanzen verwaltet, die zur Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle roles/iam.serviceAccountUser zuweisen.

compute.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Laufwerk, Image, Instanz, Instanzvorlage, Knotengruppe, Knotenvorlage, SnapshotBeta
roles/
compute.imageUser
Compute Image-Nutzer

Berechtigung zum Auflisten und Lesen von Images ohne weitere Berechtigungen für das jeweilige Image. Mit der Rolle compute.imageUser auf Projektebene können Nutzer alle Images in dem Projekt auflisten und Ressourcen wie Instanzen und nichtflüchtige Speicher basierend auf Images in diesem Projekt erstellen.

compute.images.get
compute.images.getFromFamily
compute.images.list
compute.images.useReadOnly
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
ImageBeta
roles/
compute.instanceAdmin
Compute-Instanzadministrator (Beta)

Berechtigungen zum Erstellen, Ändern und Löschen von VM-Instanzen. Dies schließt Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken ein sowie zum Konfigurieren von Einstellungen für Shielded VM BETA.

Wenn der Nutzer VM-Instanzen verwaltet, die zur Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle roles/iam.serviceAccountUser zuweisen.

Wenn ein Mitarbeiter in Ihrem Unternehmen beispielsweise VM-Instanzgruppen, aber keine Netzwerk- oder Sicherheitseinstellungen und keine als Dienstkonto ausgeführten Instanzen verwaltet, weisen Sie diese Rolle der Organisation, dem Ordner oder dem Projekt mit den Instanzen oder den einzelnen Instanzen zu.

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.addresses.use
compute.autoscalers.*
compute.diskTypes.*
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.list
compute.disks.resize
compute.disks.setLabels
compute.disks.update
compute.disks.use
compute.disks.useReadOnly
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalOperations.get
compute.globalOperations.list
compute.images.get
compute.images.getFromFamily
compute.images.list
compute.images.useReadOnly
compute.instanceGroupManagers.*
compute.instanceGroups.*
compute.instanceTemplates.*
compute.instances.*
compute.licenses.get
compute.licenses.list
compute.machineTypes.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetPools.get
compute.targetPools.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Laufwerk, Image, Instanz, Instanzvorlage, SnapshotBeta
roles/
compute.instanceAdmin.v1
Compute-Instanzadministrator (Version 1) Uneingeschränkte Kontrolle über Compute Engine-Instanzen, Instanzgruppen, Laufwerke, Snapshots und Images. Lesezugriff auf alle Compute Engine-Netzwerkressourcen. compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.addresses.use
compute.autoscalers.*
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.diskTypes.*
compute.disks.*
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalOperations.get
compute.globalOperations.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.*
compute.instanceGroupManagers.*
compute.instanceGroups.*
compute.instanceTemplates.*
compute.instances.*
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.licenseCodes.*
compute.licenses.*
compute.machineTypes.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.projects.setCommonInstanceMetadata
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.snapshots.*
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
compute.loadBalancerAdmin
Administrator für den Compute-Load-BalancerBeta

Berechtigungen zum Erstellen, Ändern und Löschen von Load-Balancern und zugeordneten Ressourcen.

Wenn Ihr Unternehmen beispielsweise ein Team für das Load-Balancing zur Verwaltung von Load-Balancern, SSL-Zertifikaten für Load-Balancer, SSL-Richtlinien und anderen Load-Balancing-Ressourcen hat sowie ein eigenes Netzwerkteam zur Verwaltung der übrigen Netzwerkressourcen, weisen Sie der Gruppe des Load-Balancing-Teams die Rolle loadBalancerAdmin zu.

compute.addresses.*
compute.backendBuckets.*
compute.backendServices.*
compute.forwardingRules.*
compute.globalAddresses.*
compute.globalForwardingRules.*
compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute.instanceGroups.*
compute.instances.get
compute.instances.list
compute.instances.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
compute.regionBackendServices.*
compute.securityPolicies.get
compute.securityPolicies.list
compute.securityPolicies.use
compute.sslCertificates.*
compute.sslPolicies.*
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.urlMaps.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
InstanzBeta
roles/
compute.networkAdmin
Compute-Netzwerkadministrator

Berechtigungen zum Erstellen, Ändern und Löschen von Netzwerkressourcen mit Ausnahme von Firewallregeln und SSL-Zertifikaten. Die Rolle "Netzwerkadministrator" gewährt Lesezugriff auf Firewallregeln, SSL-Zertifikate und Instanzen, um deren sitzungsspezifische IP-Adressen anzeigen zu können. Mit der Rolle "Netzwerkadministrator" können Nutzer keine Instanzen erstellen, starten, beenden oder löschen.

Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam für die Verwaltung von Firewalls und SSL-Zertifikaten und ein Netzwerkteam für die Verwaltung der übrigen Netzwerkressourcen hat, weisen Sie der Gruppe des Netzwerkteams die Rolle networkAdmin zu.

compute.addresses.*
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.*
compute.backendServices.*
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.*
compute.globalAddresses.*
compute.globalForwardingRules.*
compute.globalOperations.get
compute.globalOperations.list
compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroupManagers.update
compute.instanceGroupManagers.use
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceGroups.update
compute.instanceGroups.use
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.instances.use
compute.interconnectAttachments.*
compute.interconnectLocations.*
compute.interconnects.*
compute.networks.*
compute.projects.get
compute.regionBackendServices.*
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.routers.*
compute.routes.*
compute.securityPolicies.get
compute.securityPolicies.list
compute.securityPolicies.use
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.*
compute.subnetworks.*
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.targetVpnGateways.*
compute.urlMaps.*
compute.vpnTunnels.*
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
InstanzBeta
roles/
compute.networkUser
Compute-Netzwerknutzer

Bietet Zugriff auf ein freigegebenes VPC-Netzwerk

Nach der Zugriffserteilung können Dienstinhaber VPC-Netzwerke und Subnetze verwenden, die zum Hostprojekt gehören. Beispielsweise kann ein Netzwerknutzer eine VM-Instanz erstellen, die zu einem Hostprojekt-Netzwerk gehört, ohne jedoch im Hostprojekt neue Netzwerke löschen oder erstellen zu können.

compute.addresses.createInternal
compute.addresses.deleteInternal
compute.addresses.get
compute.addresses.list
compute.addresses.useInternal
compute.firewalls.get
compute.firewalls.list
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.interconnects.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Projekt
roles/
compute.networkViewer
Compute-Netzwerkbetrachter

Lesezugriff auf alle Netzwerkressourcen

Wenn Sie beispielsweise Software verwenden, die Ihre Netzwerkkonfiguration überprüft, können Sie dem Dienstkonto dieser Software die Rolle networkViewer zuweisen.

compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.networks.get
compute.networks.list
compute.projects.get
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
InstanzBeta
roles/
compute.osAdminLogin
Compute OS-Administrator-Login

Kann sich in einer Compute Engine-Instanz als Administrator anmelden.

compute.instances.get
compute.instances.list
compute.instances.osAdminLogin
compute.instances.osLogin
compute.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
InstanzBeta
roles/
compute.osLogin
Compute OS-Log-in

Kann sich in einer Compute Engine-Instanz als Standardnutzer anmelden.

compute.instances.get
compute.instances.list
compute.instances.osLogin
compute.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
InstanzBeta
roles/
compute.osLoginExternalUser
Externer Nutzer von Compute OS-Log-in

Nur auf Organisationsebene verfügbar.

Zugriff für einen externen Nutzer, um die Informationen der Organisation zum OS-Log-in festzulegen. Diese Rolle berechtigt nicht zum Zugriff auf Instanzen. Externen Nutzern muss eine der erforderlichen OS-Log-in-Rollen zugewiesen werden, damit auf Instanzen mit SSH zugegriffen werden darf.

compute.oslogin.*
Organisation
roles/
compute.securityAdmin
Compute-Sicherheitsadministrator

Berechtigungen zum Erstellen, Ändern und Löschen von Firewallregeln und SSL-Zertifikaten sowie zum Konfigurieren der Einstellungen von Shielded VM BETA.

Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam für die Verwaltung von Firewalls und SSL-Zertifikaten und ein Netzwerkteam für die Verwaltung der übrigen Netzwerkressourcen hat, weisen Sie der Gruppe des Sicherheitsteams die Rolle securityAdmin zu.

compute.firewalls.*
compute.globalOperations.get
compute.globalOperations.list
compute.instances.setShieldedVmIntegrityPolicy
compute.instances.updateShieldedVmConfig
compute.networks.get
compute.networks.list
compute.networks.updatePolicy
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.routes.get
compute.routes.list
compute.securityPolicies.*
compute.sslCertificates.*
compute.sslPolicies.*
compute.subnetworks.get
compute.subnetworks.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
InstanzBeta
roles/
compute.storageAdmin
Compute Storage-Administrator

Berechtigungen zum Erstellen, Ändern und Löschen von Festplatten, Images und Snapshots.

Wenn beispielsweise ein Mitarbeiter in Ihrem Unternehmen Projektimages verwaltet und Sie ihm nicht die Bearbeiterrolle für das Projekt zuweisen möchten, erteilen Sie seinem Konto die Rolle storageAdmin auf Projektebene.

compute.diskTypes.*
compute.disks.*
compute.globalOperations.get
compute.globalOperations.list
compute.images.*
compute.licenseCodes.*
compute.licenses.*
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.snapshots.*
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Laufwerk, Image, SnapshotBeta
roles/
compute.viewer
Compute-Betrachter

Lesezugriff zum Abrufen und Auflisten von Compute Engine-Ressourcen, aber ohne die Möglichkeit, die dort gespeicherten Daten zu lesen.

Ein Konto mit dieser Rolle könnte beispielsweise zwar alle Laufwerke in einem Projekt inventarisieren, aber keine Daten auf diesen Festplatten lesen.

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.commitments.get
compute.commitments.list
compute.diskTypes.*
compute.disks.get
compute.disks.getIamPolicy
compute.disks.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.get
compute.images.getFromFamily
compute.images.getIamPolicy
compute.images.list
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceTemplates.get
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getIamPolicy
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.licenseCodes.get
compute.licenseCodes.getIamPolicy
compute.licenseCodes.list
compute.licenses.get
compute.licenses.getIamPolicy
compute.licenses.list
compute.machineTypes.*
compute.maintenancePolicies.get
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.networks.get
compute.networks.list
compute.nodeGroups.get
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTypes.*
compute.projects.get
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regionOperations.get
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.securityPolicies.get
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.snapshots.get
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.urlMaps.validate
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Laufwerk, Image, Instanz, Instanzvorlage, Knotengruppe, Knotenvorlage, SnapshotBeta
roles/
compute.xpnAdmin
Administrator für freigegebene Compute-VPC

Berechtigung zum Verwalten freigegebener VPC-Hostprojekte, insbesondere die Aktivierung der Hostprojekte und die Verknüpfung freigegebener VPC-Dienstprojekte mit dem Netzwerk des Hostprojekts.

Diese Rolle kann nur von einem Organisationsadministrator zugewiesen werden.

compute.globalOperations.get
compute.globalOperations.list
compute.organizations.*
compute.projects.get
compute.subnetworks.getIamPolicy
compute.subnetworks.setIamPolicy
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
Organisation

DNS-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
dns.admin
DNS-Administrator Lese- und Schreibzugriff auf alle Cloud DNS-Ressourcen compute.networks.get
compute.networks.list
dns.changes.*
dns.dnsKeys.*
dns.managedZoneOperations.*
dns.managedZones.*
dns.networks.*
dns.policies.create
dns.policies.delete
dns.policies.get
dns.policies.list
dns.policies.update
dns.projects.*
dns.resourceRecordSets.*
resourcemanager.projects.get
resourcemanager.projects.list
Projekt
roles/
dns.reader
DNS-Leser Lesezugriff auf alle Cloud DNS-Ressourcen compute.networks.get
dns.changes.get
dns.changes.list
dns.dnsKeys.*
dns.managedZoneOperations.*
dns.managedZones.get
dns.managedZones.list
dns.policies.get
dns.policies.list
dns.projects.*
dns.resourceRecordSets.list
resourcemanager.projects.get
resourcemanager.projects.list
Projekt

Dataproc-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
dataproc.editor
Dataproc-Bearbeiter Berechtigung zum Aufrufen der Ressourcen, die zum Verwalten von Cloud Dataproc erforderlich sind, zum Beispiel Maschinentypen, Netzwerke, Projekte und Zonen. compute.machineTypes.*
compute.networks.get
compute.networks.list
compute.projects.get
compute.regions.*
compute.zones.*
dataproc.clusters.create
dataproc.clusters.delete
dataproc.clusters.get
dataproc.clusters.list
dataproc.clusters.update
dataproc.clusters.use
dataproc.jobs.cancel
dataproc.jobs.create
dataproc.jobs.delete
dataproc.jobs.get
dataproc.jobs.list
dataproc.jobs.update
dataproc.operations.delete
dataproc.operations.get
dataproc.operations.list
dataproc.workflowTemplates.create
dataproc.workflowTemplates.delete
dataproc.workflowTemplates.get
dataproc.workflowTemplates.instantiate
dataproc.workflowTemplates.instantiateInline
dataproc.workflowTemplates.list
dataproc.workflowTemplates.update
resourcemanager.projects.get
resourcemanager.projects.list
Projekt
roles/
dataproc.viewer
Dataproc-Betrachter Lesezugriff auf Cloud Dataproc-Ressourcen. compute.machineTypes.get
compute.regions.*
compute.zones.get
dataproc.clusters.get
dataproc.clusters.list
dataproc.jobs.get
dataproc.jobs.list
dataproc.operations.get
dataproc.operations.list
dataproc.workflowTemplates.get
dataproc.workflowTemplates.list
resourcemanager.projects.get
resourcemanager.projects.list
Projekt
roles/
dataproc.worker
Dataproc-Worker Worker-Zugriff auf Dataproc. Für Dienstkonten gedacht. dataproc.agents.*
dataproc.tasks.*
logging.logEntries.create
monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.timeSeries.create
storage.buckets.get
storage.objects.*

Datastore Roles

Role Title Description Permissions Lowest Resource
roles/
datastore.importExportAdmin
Cloud Datastore Import Export Admin Provides full access to manage imports and exports. appengine.applications.get
datastore.databases.export
datastore.databases.import
datastore.operations.cancel
datastore.operations.get
datastore.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
Project
roles/
datastore.indexAdmin
Cloud Datastore Index Admin Provides full access to manage index definitions. appengine.applications.get
datastore.indexes.*
resourcemanager.projects.get
resourcemanager.projects.list
Project
roles/
datastore.owner
Cloud Datastore Owner Provides full access to Cloud Datastore resources. appengine.applications.get
datastore.*
resourcemanager.projects.get
resourcemanager.projects.list
Project
roles/
datastore.user
Cloud Datastore User Provides read/write access to data in a Cloud Datastore database. appengine.applications.get
datastore.databases.get
datastore.entities.*
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.list
datastore.statistics.*
resourcemanager.projects.get
resourcemanager.projects.list
Project
roles/
datastore.viewer
Cloud Datastore Viewer Provides read access to Cloud Datastore resources. appengine.applications.get
datastore.databases.get
datastore.databases.list
datastore.entities.get
datastore.entities.list
datastore.indexes.get
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.list
datastore.statistics.*
resourcemanager.projects.get
resourcemanager.projects.list
Project

Deployment Manager Roles

Role Title Description Permissions Lowest Resource
roles/
deploymentmanager.editor
Deployment Manager Editor Provides the permissions necessary to create and manage deployments. deploymentmanager.compositeTypes.*
deploymentmanager.deployments.cancelPreview
deploymentmanager.deployments.create
deploymentmanager.deployments.delete
deploymentmanager.deployments.get
deploymentmanager.deployments.list
deploymentmanager.deployments.stop
deploymentmanager.deployments.update
deploymentmanager.manifests.*
deploymentmanager.operations.*
deploymentmanager.resources.*
deploymentmanager.typeProviders.*
deploymentmanager.types.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Project
roles/
deploymentmanager.typeEditor
Deployment Manager Type Editor Provides read and write access to all Type Registry resources. deploymentmanager.compositeTypes.*
deploymentmanager.operations.get
deploymentmanager.typeProviders.*
deploymentmanager.types.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
Project
roles/
deploymentmanager.typeViewer
Deployment Manager Type Viewer Provides read-only access to all Type Registry resources. deploymentmanager.compositeTypes.get
deploymentmanager.compositeTypes.list
deploymentmanager.typeProviders.get
deploymentmanager.typeProviders.getType
deploymentmanager.typeProviders.list
deploymentmanager.typeProviders.listTypes
deploymentmanager.types.get
deploymentmanager.types.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
Project
roles/
deploymentmanager.viewer
Deployment Manager Viewer Provides read-only access to all Cloud Deployment Manager-related resources. deploymentmanager.compositeTypes.get
deploymentmanager.compositeTypes.list
deploymentmanager.deployments.get
deploymentmanager.deployments.list
deploymentmanager.manifests.*
deploymentmanager.operations.*
deploymentmanager.resources.*
deploymentmanager.typeProviders.get
deploymentmanager.typeProviders.getType
deploymentmanager.typeProviders.list
deploymentmanager.typeProviders.listTypes
deploymentmanager.types.get
deploymentmanager.types.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Project

Dialogflow-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
dialogflow.admin
Dialogflow API-Administrator Voller Zugriff auf Dialogflow-Ressourcen (nur API). Die einfachen Rollen roles/owner oder roles/editor können Sie für den Zugriff sowohl auf die API als auch auf die Dialogflow-Konsole verwenden. Die Rollen sind in der Regel erforderlich, um einen Agent über die Dialogflow-Konsole zu erstellen. dialogflow.*
resourcemanager.projects.get
Projekt
roles/
dialogflow.client
Dialogflow API-Client Clientzugriff auf Dialogflow-Ressourcen (nur API). Erteilt die Berechtigung zum Erkennen der Properties von Intent- und Lese-/Schreibsitzungen wie Kontexte, Sitzungsentitätstypen und Projekte. dialogflow.contexts.*
dialogflow.sessionEntityTypes.*
dialogflow.sessions.*
Projekt
roles/
dialogflow.consoleAgentEditor
Agent-Bearbeiter in Dialogflow-Konsole Kann Agent in Dialogflow-Konsole bearbeiten. dialogflow.*
resourcemanager.projects.get
roles/
dialogflow.reader
Dialogflow API-Leser Lesezugriff auf Dialogflow-Ressourcen (nur API). Kann keinen Intent erkennen. Die einfache Rolle roles/viewer können Sie für einen ähnlichen Zugriff sowohl auf die API als auch auf die Dialogflow-Konsole verwenden. dialogflow.agents.export
dialogflow.agents.get
dialogflow.agents.search
dialogflow.contexts.get
dialogflow.contexts.list
dialogflow.entityTypes.get
dialogflow.entityTypes.list
dialogflow.intents.get
dialogflow.intents.list
dialogflow.operations.*
dialogflow.sessionEntityTypes.get
dialogflow.sessionEntityTypes.list
resourcemanager.projects.get
Projekt

Endpoints-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
endpoints.portalAdmin
Endpoints-Portal-AdministratorBeta Alle Berechtigungen zum Hinzufügen, Anzeigen und Löschen benutzerdefinierter Domains auf der Seite Endpunkte > Entwicklerportal der GCP Console. Auf dem für eine API erstellten Portal Berechtigung zum Ändern der Einstellungen auf dem Tab Site Wide (Gesamte Website) der Seite Einstellungen. endpoints.*
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.services.get
Projekt

Error Reporting-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
errorreporting.admin
Error Reporting-AdministratorBeta Uneingeschränkter Zugriff auf Error Reporting-Daten cloudnotifications.*
errorreporting.*
Projekt
roles/
errorreporting.user
Error Reporting-NutzerBeta Berechtigung zum Lesen und Schreiben von Error Reporting-Daten, mit Ausnahme des Versendens neuer Fehlerereignisse cloudnotifications.*
errorreporting.applications.*
errorreporting.errorEvents.delete
errorreporting.errorEvents.list
errorreporting.groupMetadata.*
errorreporting.groups.*
Projekt
roles/
errorreporting.viewer
Error Reporting-BetrachterBeta Lesezugriff auf Error Reporting-Daten cloudnotifications.*
errorreporting.applications.*
errorreporting.errorEvents.list
errorreporting.groupMetadata.get
errorreporting.groups.*
Projekt
roles/
errorreporting.writer
FehlerautorBeta Berechtigung zum Senden von Fehlerereignissen an Error Reporting errorreporting.errorEvents.create
Dienstkonto

Firebase-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
cloudtestservice.testAdmin
Firebase Test Lab-Administrator Vollständiger Zugriff auf alle Test Lab-Funktionen cloudtestservice.*
cloudtoolresults.*
firebase.billingPlans.get
resourcemanager.projects.get
resourcemanager.projects.list
storage.buckets.create
storage.buckets.get
storage.buckets.update
storage.objects.create
storage.objects.get
storage.objects.list
roles/
cloudtestservice.testViewer
Firebase Test Lab-Betrachter Lesezugriff auf Test Lab-Funktionen cloudtestservice.environmentcatalog.*
cloudtestservice.matrices.get
cloudtoolresults.executions.get
cloudtoolresults.executions.list
cloudtoolresults.histories.get
cloudtoolresults.histories.list
cloudtoolresults.settings.get
cloudtoolresults.steps.get
cloudtoolresults.steps.list
resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.get
storage.objects.list
roles/
firebase.admin
Firebase-AdministratorBeta Vollständiger Zugriff auf Firebase-Produkte appengine.applications.get
automl.*
clientauthconfig.*
cloudconfig.*
cloudfunctions.*
cloudnotifications.*
cloudtestservice.*
cloudtoolresults.*
datastore.*
errorreporting.groups.*
firebase.*
firebaseabt.*
firebaseanalytics.*
firebaseauth.*
firebasecrash.*
firebasedatabase.*
firebasedynamiclinks.*
firebaseextensions.*
firebasehosting.*
firebaseinappmessaging.*
firebaseml.*
firebasenotifications.*
firebaseperformance.*
firebasepredictions.*
firebaserules.*
logging.logEntries.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
runtimeconfig.configs.create
runtimeconfig.configs.delete
runtimeconfig.configs.get
runtimeconfig.configs.list
runtimeconfig.configs.update
runtimeconfig.operations.*
runtimeconfig.variables.create
runtimeconfig.variables.delete
runtimeconfig.variables.get
runtimeconfig.variables.list
runtimeconfig.variables.update
runtimeconfig.variables.watch
runtimeconfig.waiters.create
runtimeconfig.waiters.delete
runtimeconfig.waiters.get
runtimeconfig.waiters.list
runtimeconfig.waiters.update
serviceusage.apiKeys.get
serviceusage.apiKeys.getProjectForKey
serviceusage.apiKeys.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.*
roles/
firebase.analyticsAdmin
Firebase Analytics AdministratorBeta Vollständiger Zugriff auf Google Analytics für Firebase cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.*
firebaseextensions.configs.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
roles/
firebase.analyticsViewer
Firebase Analytics-BetrachterBeta Lesezugriff auf Google Analytics für Firebase cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebaseextensions.configs.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
roles/
firebase.developAdmin
Firebase Develop-AdministratorBeta Vollständiger Zugriff auf Firebase Develop-Produkte und Analytics appengine.applications.get
automl.*
clientauthconfig.brands.*
clientauthconfig.clients.get
clientauthconfig.clients.list
cloudfunctions.*
cloudnotifications.*
datastore.*
errorreporting.groups.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.*
firebaseauth.*
firebasedatabase.*
firebaseextensions.configs.list
firebasehosting.*
firebaseml.*
firebaserules.*
logging.logEntries.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
runtimeconfig.configs.create
runtimeconfig.configs.delete
runtimeconfig.configs.get
runtimeconfig.configs.list
runtimeconfig.configs.update
runtimeconfig.operations.*
runtimeconfig.variables.create
runtimeconfig.variables.delete
runtimeconfig.variables.get
runtimeconfig.variables.list
runtimeconfig.variables.update
runtimeconfig.variables.watch
runtimeconfig.waiters.create
runtimeconfig.waiters.delete
runtimeconfig.waiters.get
runtimeconfig.waiters.list
runtimeconfig.waiters.update
serviceusage.apiKeys.get
serviceusage.apiKeys.getProjectForKey
serviceusage.apiKeys.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.*
roles/
firebase.developViewer
Firebase Develop-BetrachterBeta Lesezugriff auf Firebase Develop-Produkte und Analytics automl.annotationSpecs.get
automl.annotationSpecs.list
automl.annotations.list
automl.datasets.get
automl.datasets.list
automl.examples.get
automl.examples.list
automl.humanAnnotationTasks.get
automl.humanAnnotationTasks.list
automl.locations.get
automl.locations.list
automl.modelEvaluations.get
automl.modelEvaluations.list
automl.models.get
automl.models.list
automl.operations.get
automl.operations.list
clientauthconfig.brands.get
clientauthconfig.brands.list
cloudfunctions.functions.get
cloudfunctions.functions.list
cloudfunctions.locations.*
cloudfunctions.operations.*
cloudnotifications.*
datastore.databases.get
datastore.databases.getIamPolicy
datastore.databases.list
datastore.entities.get
datastore.entities.list
datastore.indexes.get
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.getIamPolicy
datastore.namespaces.list
datastore.statistics.*
errorreporting.groups.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebaseauth.configs.get
firebaseauth.users.get
firebasedatabase.instances.get
firebasedatabase.instances.list
firebaseextensions.configs.list
firebasehosting.sites.get
firebasehosting.sites.list
firebaseml.compressionjobs.get
firebaseml.compressionjobs.list
firebaseml.models.get
firebaseml.models.list
firebaseml.modelversions.get
firebaseml.modelversions.list
firebaserules.releases.get
firebaserules.releases.list
firebaserules.rulesets.get
firebaserules.rulesets.list
logging.logEntries.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.list
storage.objects.get
storage.objects.getIamPolicy
storage.objects.list
roles/
firebase.growthAdmin
Firebase Growth-AdministratorBeta Vollständiger Zugriff auf Firebase Growth-Produkte und Analytics clientauthconfig.clients.get
clientauthconfig.clients.list
cloudconfig.*
cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseabt.*
firebaseanalytics.*
firebasedynamiclinks.*
firebaseextensions.configs.list
firebaseinappmessaging.*
firebasenotifications.*
firebasepredictions.*
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
firebase.growthViewer
Firebase Growth-BetrachterBeta Lesezugriff auf Firebase Growth-Produkte und Analytics cloudconfig.configs.get
cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseabt.experimentresults.*
firebaseabt.experiments.get
firebaseabt.experiments.list
firebaseabt.projectmetadata.*
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebasedynamiclinks.destinations.list
firebasedynamiclinks.domains.get
firebasedynamiclinks.domains.list
firebasedynamiclinks.links.get
firebasedynamiclinks.links.list
firebasedynamiclinks.stats.*
firebaseextensions.configs.list
firebaseinappmessaging.campaigns.get
firebaseinappmessaging.campaigns.list
firebasenotifications.messages.get
firebasenotifications.messages.list
firebasepredictions.predictions.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
firebase.qualityAdmin
Firebase Quality-AdministratorBeta Vollständiger Zugriff auf Firebase Quality-Produkte und Analytics cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.*
firebasecrash.*
firebaseextensions.configs.list
firebaseperformance.*
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
firebase.qualityViewer
Firebase-QualitätsbetrachterBeta Lesezugriff auf Firebase Quality-Produkte und Analytics cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebasecrash.reports.*
firebaseextensions.configs.list
firebaseperformance.data.*
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
firebase.viewer
Firebase-BetrachterBeta Lesezugriff auf Firebase-Produkte automl.annotationSpecs.get
automl.annotationSpecs.list
automl.annotations.list
automl.datasets.get
automl.datasets.list
automl.examples.get
automl.examples.list
automl.humanAnnotationTasks.get
automl.humanAnnotationTasks.list
automl.locations.get
automl.locations.list
automl.modelEvaluations.get
automl.modelEvaluations.list
automl.models.get
automl.models.list
automl.operations.get
automl.operations.list
clientauthconfig.brands.get
clientauthconfig.brands.list
cloudconfig.configs.get
cloudfunctions.functions.get
cloudfunctions.functions.list
cloudfunctions.locations.*
cloudfunctions.operations.*
cloudnotifications.*
cloudtestservice.environmentcatalog.*
cloudtestservice.matrices.get
cloudtoolresults.executions.get
cloudtoolresults.executions.list
cloudtoolresults.histories.get
cloudtoolresults.histories.list
cloudtoolresults.settings.get
cloudtoolresults.steps.get
cloudtoolresults.steps.list
datastore.databases.get
datastore.databases.getIamPolicy
datastore.databases.list
datastore.entities.get
datastore.entities.list
datastore.indexes.get
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.getIamPolicy
datastore.namespaces.list
datastore.statistics.*
errorreporting.groups.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseabt.experimentresults.*
firebaseabt.experiments.get
firebaseabt.experiments.list
firebaseabt.projectmetadata.*
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebaseauth.configs.get
firebaseauth.users.get
firebasecrash.reports.*
firebasedatabase.instances.get
firebasedatabase.instances.list
firebasedynamiclinks.destinations.list
firebasedynamiclinks.domains.get
firebasedynamiclinks.domains.list
firebasedynamiclinks.links.get
firebasedynamiclinks.links.list
firebasedynamiclinks.stats.*
firebaseextensions.configs.list
firebasehosting.sites.get
firebasehosting.sites.list
firebaseinappmessaging.campaigns.get
firebaseinappmessaging.campaigns.list
firebaseml.compressionjobs.get
firebaseml.compressionjobs.list
firebaseml.models.get
firebaseml.models.list
firebaseml.modelversions.get
firebaseml.modelversions.list
firebasenotifications.messages.get
firebasenotifications.messages.list
firebaseperformance.data.*
firebasepredictions.predictions.list
firebaserules.releases.get
firebaserules.releases.list
firebaserules.rulesets.get
firebaserules.rulesets.list
logging.logEntries.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.list
storage.objects.get
storage.objects.getIamPolicy
storage.objects.list

Firebase Crash Reporting-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
firebasecrash.symbolMappingsAdmin
Symbol-Uploader für Firebase Crash Vollständiger Lese- und Schreibzugriff auf Symbol-Zuordnungsdateien für Firebase Crash Reporting firebase.clients.get
resourcemanager.projects.get

IAM Roles

Role Title Description Permissions Lowest Resource
roles/
iam.securityReviewer
Security Reviewer Provides permissions to list all resources and Cloud IAM policies on them. accesscontextmanager.accessLevels.list
accesscontextmanager.accessPolicies.getIamPolicy
accesscontextmanager.accessPolicies.list
accesscontextmanager.accessZones.list
accesscontextmanager.policies.getIamPolicy
accesscontextmanager.policies.list
accesscontextmanager.servicePerimeters.list
appengine.instances.list
appengine.memcache.list
appengine.operations.list
appengine.services.list
appengine.versions.list
automl.annotationSpecs.list
automl.annotations.list
automl.columnSpecs.list
automl.datasets.getIamPolicy
automl.datasets.list
automl.examples.list
automl.humanAnnotationTasks.list
automl.locations.getIamPolicy
automl.locations.list
automl.modelEvaluations.list
automl.models.getIamPolicy
automl.models.list
automl.operations.list
automl.tableSpecs.list
bigquery.datasets.getIamPolicy
bigquery.jobs.list
bigquery.savedqueries.list
bigquery.tables.list
bigtable.appProfiles.list
bigtable.clusters.list
bigtable.instances.getIamPolicy
bigtable.instances.list
bigtable.tables.list
billing.accounts.getIamPolicy
billing.accounts.list
billing.budgets.list
billing.credits.*
billing.resourceAssociations.list
billing.subscriptions.list
binaryauthorization.attestors.getIamPolicy
binaryauthorization.attestors.list
binaryauthorization.policy.getIamPolicy
clientauthconfig.brands.list
clientauthconfig.clients.list
cloudbuild.builds.list
clouddebugger.breakpoints.list
clouddebugger.debuggees.list
cloudfunctions.functions.list
cloudfunctions.locations.*
cloudfunctions.operations.list
cloudiot.devices.list
cloudiot.registries.getIamPolicy
cloudiot.registries.list
cloudjobdiscovery.companies.list
cloudkms.cryptoKeyVersions.list
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.list
cloudkms.keyRings.getIamPolicy
cloudkms.keyRings.list
cloudnotifications.*
cloudprivatecatalogproducer.associations.list
cloudprivatecatalogproducer.catalogs.getIamPolicy
cloudprivatecatalogproducer.catalogs.list
cloudprofiler.profiles.list
cloudscheduler.jobs.list
cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.results.list
cloudsecurityscanner.scanruns.list
cloudsecurityscanner.scans.list
cloudsql.backupRuns.list
cloudsql.databases.list
cloudsql.instances.list
cloudsql.sslCerts.list
cloudsql.users.list
cloudsupport.accounts.getIamPolicy
cloudsupport.accounts.list
cloudtasks.locations.list
cloudtasks.queues.getIamPolicy
cloudtasks.queues.list
cloudtasks.tasks.list
cloudtoolresults.executions.list
cloudtoolresults.histories.list
cloudtoolresults.steps.list
cloudtrace.insights.list
cloudtrace.tasks.list
cloudtrace.traces.list
composer.environments.list
composer.operations.list
compute.acceleratorTypes.list
compute.addresses.list
compute.autoscalers.list
compute.backendBuckets.list
compute.backendServices.list
compute.commitments.list
compute.diskTypes.list
compute.disks.getIamPolicy
compute.disks.list
compute.firewalls.list
compute.forwardingRules.list
compute.globalAddresses.list
compute.globalForwardingRules.list
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.healthChecks.list
compute.httpHealthChecks.list
compute.httpsHealthChecks.list
compute.images.getIamPolicy
compute.images.list
compute.instanceGroupManagers.list
compute.instanceGroups.list
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instances.getIamPolicy
compute.instances.list
compute.interconnectAttachments.list
compute.interconnectLocations.list
compute.interconnects.list
compute.licenseCodes.getIamPolicy
compute.licenseCodes.list
compute.licenses.getIamPolicy
compute.licenses.list
compute.machineTypes.list
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.networks.list
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTypes.list
compute.regionBackendServices.list
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regions.list
compute.resourcePolicies.list
compute.routers.list
compute.routes.list
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.sslCertificates.list
compute.sslPolicies.list
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.targetHttpProxies.list
compute.targetHttpsProxies.list
compute.targetInstances.list
compute.targetPools.list
compute.targetSslProxies.list
compute.targetTcpProxies.list
compute.targetVpnGateways.list
compute.urlMaps.list
compute.vpnTunnels.list
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zones.list
container.apiServices.list
container.backendConfigs.list
container.bindings.list
container.certificateSigningRequests.list
container.clusterRoleBindings.list
container.clusterRoles.list
container.clusters.list
container.componentStatuses.list
container.configMaps.list
container.controllerRevisions.list
container.cronJobs.list
container.customResourceDefinitions.list
container.daemonSets.list
container.deployments.list
container.endpoints.list
container.events.list
container.horizontalPodAutoscalers.list
container.ingresses.list
container.initializerConfigurations.list
container.jobs.list
container.limitRanges.list
container.localSubjectAccessReviews.list
container.namespaces.list
container.networkPolicies.list
container.nodes.list
container.operations.list
container.persistentVolumeClaims.list
container.persistentVolumes.list
container.petSets.list
container.podDisruptionBudgets.list
container.podPresets.list
container.podSecurityPolicies.list
container.podTemplates.list
container.pods.list
container.replicaSets.list
container.replicationControllers.list
container.resourceQuotas.list
container.roleBindings.list
container.roles.list
container.scheduledJobs.list
container.secrets.list
container.selfSubjectAccessReviews.list
container.serviceAccounts.list
container.services.list
container.statefulSets.list
container.storageClasses.list
container.subjectAccessReviews.list
container.thirdPartyObjects.list
container.thirdPartyResources.list
dataflow.jobs.list
dataflow.messages.*
datalabeling.annotateddatasets.list
datalabeling.annotationspecsets.list
datalabeling.dataitems.list
datalabeling.datasets.list
datalabeling.examples.list
datalabeling.instructions.list
datalabeling.operations.list
dataproc.agents.list
dataproc.clusters.getIamPolicy
dataproc.clusters.list
dataproc.jobs.getIamPolicy
dataproc.jobs.list
dataproc.operations.getIamPolicy
dataproc.operations.list
dataproc.workflowTemplates.getIamPolicy
dataproc.workflowTemplates.list
datastore.databases.getIamPolicy
datastore.databases.list
datastore.entities.list
datastore.indexes.list
datastore.locations.list
datastore.namespaces.getIamPolicy
datastore.namespaces.list
datastore.operations.list
datastore.statistics.list
deploymentmanager.compositeTypes.list
deploymentmanager.deployments.getIamPolicy
deploymentmanager.deployments.list
deploymentmanager.manifests.list
deploymentmanager.operations.list
deploymentmanager.resources.list
deploymentmanager.typeProviders.list
deploymentmanager.types.list
dialogflow.contexts.list
dialogflow.entityTypes.list
dialogflow.intents.list
dialogflow.sessionEntityTypes.list
dlp.analyzeRiskTemplates.list
dlp.deidentifyTemplates.list
dlp.inspectTemplates.list
dlp.jobTriggers.list
dlp.jobs.list
dlp.storedInfoTypes.list
dns.changes.list
dns.dnsKeys.list
dns.managedZoneOperations.list
dns.managedZones.list
dns.policies.getIamPolicy
dns.policies.list
dns.resourceRecordSets.list
errorreporting.applications.*
errorreporting.errorEvents.list
errorreporting.groups.*
file.instances.list
file.locations.list
file.operations.list
firebase.links.list
firebaseabt.experiments.list
firebasedatabase.instances.list
firebasedynamiclinks.destinations.list
firebasedynamiclinks.domains.list
firebasedynamiclinks.links.list
firebaseextensions.configs.list
firebasehosting.sites.list
firebaseinappmessaging.campaigns.list
firebaseml.compressionjobs.list
firebaseml.models.list
firebaseml.modelversions.list
firebasenotifications.messages.list
firebasepredictions.predictions.list
firebaserules.releases.list
firebaserules.rulesets.list
genomics.datasets.getIamPolicy
genomics.datasets.list
genomics.operations.list
iam.roles.get
iam.roles.list
iam.serviceAccountKeys.list
iam.serviceAccounts.get
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.list
iap.tunnel.getIamPolicy
iap.tunnelInstances.getIamPolicy
iap.tunnelZones.getIamPolicy
iap.web.getIamPolicy
iap.webServiceVersions.getIamPolicy
iap.webServices.getIamPolicy
iap.webTypes.getIamPolicy
logging.exclusions.list
logging.logEntries.list
logging.logMetrics.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.privateLogEntries.*
logging.sinks.list
ml.jobs.getIamPolicy
ml.jobs.list
ml.locations.list
ml.models.getIamPolicy
ml.models.list
ml.operations.list
ml.versions.list
monitoring.alertPolicies.list
monitoring.dashboards.list
monitoring.groups.list
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.list
monitoring.publicWidgets.list
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.list
proximitybeacon.attachments.list
proximitybeacon.beacons.getIamPolicy
proximitybeacon.beacons.list
proximitybeacon.namespaces.getIamPolicy
proximitybeacon.namespaces.list
pubsub.snapshots.getIamPolicy
pubsub.snapshots.list
pubsub.subscriptions.getIamPolicy
pubsub.subscriptions.list
pubsub.topics.getIamPolicy
pubsub.topics.list
redis.instances.list
redis.locations.list
redis.operations.list
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.getIamPolicy
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
runtimeconfig.configs.getIamPolicy
runtimeconfig.configs.list
runtimeconfig.operations.list
runtimeconfig.variables.getIamPolicy
runtimeconfig.variables.list
runtimeconfig.waiters.getIamPolicy
runtimeconfig.waiters.list
securitycenter.assets.list
securitycenter.configs.getIamPolicy
securitycenter.findings.list
securitycenter.scans.list
securitycenter.sources.getIamPolicy
securitycenter.sources.list
servicebroker.bindingoperations.list
servicebroker.bindings.getIamPolicy
servicebroker.bindings.list
servicebroker.catalogs.getIamPolicy
servicebroker.catalogs.list
servicebroker.instanceoperations.list
servicebroker.instances.getIamPolicy
servicebroker.instances.list
serviceconsumermanagement.tenancyu.list
servicemanagement.consumerSettings.getIamPolicy
servicemanagement.consumerSettings.list
servicemanagement.services.getIamPolicy
servicemanagement.services.list
servicenetworking.operations.list
serviceusage.apiKeys.list
serviceusage.operations.list
serviceusage.services.list
source.repos.getIamPolicy
source.repos.list
spanner.databaseOperations.list
spanner.databases.getIamPolicy
spanner.databases.list
spanner.instanceConfigs.list
spanner.instanceOperations.list
spanner.instances.getIamPolicy
spanner.instances.list
spanner.sessions.list
storage.buckets.getIamPolicy
storage.buckets.list
storage.objects.getIamPolicy
storage.objects.list
tpu.acceleratortypes.list
tpu.locations.list
tpu.nodes.list
tpu.operations.list
tpu.tensorflowversions.list
Disk, image, instance, instanceTemplate, nodeGroup, nodeTemplate, snapshot Beta

Kubernetes Engine-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
container.admin
Kubernetes Engine-Administrator Berechtigung zur vollständigen Verwaltung von Container-Clustern und den zugehörigen Kubernetes API-Objekten container.*
resourcemanager.projects.get
resourcemanager.projects.list
Projekt
roles/
container.clusterAdmin
Administrator für Kubernetes Engine-Cluster Berechtigung zum Verwalten von Container-Clustern container.clusters.create
container.clusters.delete
container.clusters.get
container.clusters.list
container.clusters.update
container.operations.*
resourcemanager.projects.get
resourcemanager.projects.list
Projekt
roles/
container.clusterViewer
Betrachter für Kubernetes Engine-Cluster Lesezugriff auf Kubernetes Engine-Cluster container.clusters.get
container.clusters.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
container.developer
Kubernetes Engine-Entwickler Vollzugriff auf Kubernetes API-Objekte in Container-Clustern container.apiServices.*
container.backendConfigs.*
container.bindings.*
container.certificateSigningRequests.create
container.certificateSigningRequests.delete
container.certificateSigningRequests.get
container.certificateSigningRequests.list
container.certificateSigningRequests.update
container.certificateSigningRequests.updateStatus
container.clusterRoleBindings.get
container.clusterRoleBindings.list
container.clusterRoles.get
container.clusterRoles.list
container.clusters.get
container.clusters.list
container.componentStatuses.*
container.configMaps.*
container.controllerRevisions.get
container.controllerRevisions.list
container.cronJobs.*
container.customResourceDefinitions.*
container.daemonSets.*
container.deployments.*
container.endpoints.*
container.events.*
container.horizontalPodAutoscalers.*
container.ingresses.*
container.initializerConfigurations.*
container.jobs.*
container.limitRanges.*
container.localSubjectAccessReviews.*
container.namespaces.*
container.networkPolicies.*
container.nodes.*
container.persistentVolumeClaims.*
container.persistentVolumes.*
container.petSets.*
container.podDisruptionBudgets.*
container.podPresets.*
container.podSecurityPolicies.get
container.podSecurityPolicies.list
container.podTemplates.*
container.pods.*
container.replicaSets.*
container.replicationControllers.*
container.resourceQuotas.*
container.roleBindings.get
container.roleBindings.list
container.roles.get
container.roles.list
container.scheduledJobs.*
container.secrets.*
container.selfSubjectAccessReviews.*
container.serviceAccounts.*
container.services.*
container.statefulSets.*
container.storageClasses.*
container.subjectAccessReviews.*
container.thirdPartyObjects.*
container.thirdPartyResources.*
container.tokenReviews.*
resourcemanager.projects.get
resourcemanager.projects.list
Projekt
roles/
container.hostServiceAgentUser
Nutzer des Dienst-Agents für Kubernetes Engine-Host Nutzt Zugriff des Kubernetes Engine Host-Dienst-Agents compute.firewalls.get
container.hostServiceAgent.*
roles/
container.viewer
Kubernetes Engine-Betrachter Lesezugriff auf GKE-Ressourcen container.apiServices.get
container.apiServices.list
container.backendConfigs.get
container.backendConfigs.list
container.bindings.get
container.bindings.list
container.certificateSigningRequests.get
container.certificateSigningRequests.list
container.clusterRoleBindings.get
container.clusterRoleBindings.list
container.clusterRoles.get
container.clusterRoles.list
container.clusters.get
container.clusters.list
container.componentStatuses.*
container.configMaps.get
container.configMaps.list
container.controllerRevisions.get
container.controllerRevisions.list
container.cronJobs.get
container.cronJobs.getStatus
container.cronJobs.list
container.customResourceDefinitions.get
container.customResourceDefinitions.list
container.daemonSets.get
container.daemonSets.getStatus
container.daemonSets.list
container.deployments.get
container.deprovements.getStatus
container.deployments.list
container.endpoints.get
container.endpoints.list
container.events.get
container.events.list
container.horizontalPodAutoscalers.get
container.horizontalPodAutoscalers.getStatus
container.horizontalPodAutoscalers.list
container.ingresses.get
container.ingresses.getStatus
container.ingresses.list
container.initializerConfigurations.get
container.initializerConfigurations.list
container.jobs.get
container.jobs.getStatus
container.jobs.list
container.limitRanges.get
container.limitRanges.list
container.namespaces.get
container.namespaces.getStatus
container.namespaces.list
container.networkPolicies.get
container.networkPolicies.list
container.nodes.get
container.nodes.getStatus
container.nodes.list
container.operations.*
container.persistentVolumeClaims.get
container.persistentVolumeClaims.getStatus
container.persistentVolumeClaims.list
container.persistentVolumes.get
container.persistentVolumes.getStatus
container.persistentVolumes.list
container.petSets.get
container.petSets.list
container.podDisruptionBudgets.get
container.podDisruptionBudgets.getStatus
container.podDisruptionBudgets.list
container.podPresets.get
container.podPresets.list
container.podSecurityPolicies.get
container.podSecurityPolicies.list
container.podTemplates.get
container.podTemplates.list
container.pods.get
container.pods.getStatus
container.pods.list
container.replicaSets.get
container.replicaSets.getScale
container.replicaSets.getStatus
container.replicaSets.list
container.replicationControllers.get
container.replicationControllers.getScale
container.replicationControllers.getStatus
container.replicationControllers.list
container.resourceQuotas.get
container.resourceQuotas.getStatus
container.resourceQuotas.list
container.roleBindings.get
container.roleBindings.list
container.roles.get
container.roles.list
container.scheduledJobs.get
container.scheduledJobs.list
container.serviceAccounts.get
container.serviceAccounts.list
container.services.get
container.services.getStatus
container.services.list
container.statefulSets.get
container.statefulSets.getStatus
container.statefulSets.list
container.storageClasses.get
container.storageClasses.list
container.thirdPartyObjects.get
container.thirdPartyObjects.list
container.thirdPartyResources.get
container.thirdPartyResources.list
container.tokenReviews.*
resourcemanager.projects.get
resourcemanager.projects.list
Projekt

Logging Roles

Role Title Description Permissions Lowest Resource
roles/
logging.admin
Logging Admin Provides all permissions necessary to use all features of Stackdriver Logging. logging.*
resourcemanager.projects.get
resourcemanager.projects.list
Project
roles/
logging.configWriter
Logs Configuration Writer Provides permissions to read and write the configurations of logs-based metrics and sinks for exporting logs. logging.exclusions.*
logging.logMetrics.*
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.sinks.*
resourcemanager.projects.get
resourcemanager.projects.list
Project
roles/
logging.logWriter
Logs Writer Provides the permissions to write log entries. logging.logEntries.create
Project
roles/
logging.privateLogViewer
Private Logs Viewer Provides permissions of the Logs Viewer role and in addition, provides read-only access to log entries in private logs. logging.exclusions.get
logging.exclusions.list
logging.logEntries.list
logging.logMetrics.get
logging.logMetrics.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.privateLogEntries.*
logging.sinks.get
logging.sinks.list
logging.usage.*
resourcemanager.projects.get
Project
roles/
logging.viewer
Logs Viewer Provides access to view logs. logging.exclusions.get
logging.exclusions.list
logging.logEntries.list
logging.logMetrics.get
logging.logMetrics.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.sinks.get
logging.sinks.list
logging.usage.*
resourcemanager.projects.get
Project

Machine Learning Engine-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
ml.admin
ML Engine-Admin Vollzugriff auf Cloud ML Engine-Ressourcen und die zugehörigen Jobs, Vorgänge, Modelle und Versionen. ml.*
resourcemanager.projects.get
Projekt
roles/
ml.developer
ML Engine-Entwickler Ermöglicht die Verwendung von Cloud ML Engine-Ressourcen zur Erstellung von Modellen, Versionen und Jobs zu Schulungs- und Vorhersagezwecken sowie zum Senden von Online-Vorhersageanfragen. ml.jobs.create
ml.jobs.get
ml.jobs.getIamPolicy
ml.jobs.list
ml.locations.*
ml.models.create
ml.models.get
ml.models.getIamPolicy
ml.models.list
ml.models.predict
ml.operations.get
ml.operations.list
ml.projects.*
ml.versions.get
ml.versions.list
ml.versions.predict
resourcemanager.projects.get
Projekt
roles/
ml.jobOwner
ML Engine-Jobeigentümer Vollzugriff auf alle Berechtigungen für eine bestimmte Jobressource. Diese Rolle wird dem Nutzer, der den Job erstellt, automatisch zugewiesen. ml.jobs.*
Job
roles/
ml.modelOwner
ML Engine-Modellinhaber Vollzugriff auf das Modell und seine Versionen. Diese Rolle wird dem Nutzer, der das Modell erstellt, automatisch zugewiesen. ml.models.*
ml.versions.*
Model
roles/
ml.modelUser
ML Engine-Modellnutzer Berechtigung zum Lesen des Modells und seiner Versionen sowie deren Nutzung für die Vorhersage. ml.models.get
ml.models.predict
ml.versions.get
ml.versions.list
ml.versions.predict
Model
roles/
ml.operationOwner
ML Engine-Vorgangsinhaber Vollzugriff auf alle Berechtigungen für eine bestimmte Vorgangsressource. ml.operations.*
Aktion
roles/
ml.viewer
ML Engine-Betrachter Lesezugriff auf Cloud ML Engine-Ressourcen. ml.jobs.get
ml.jobs.list
ml.locations.*
ml.models.get
ml.models.list
ml.operations.get
ml.operations.list
ml.projects.*
ml.versions.get
ml.versions.list
resourcemanager.projects.get
Projekt

Memorystore Redis-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
redis.admin
Cloud Memorystore Redis-AdministratorBeta Uneingeschränkte Kontrolle über Cloud SQL-Ressourcen. compute.networks.list
redis.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.use
Instanz
roles/
redis.editor
Cloud Memorystore Redis-BearbeiterBeta Verwaltet Cloud Memorystore-Instanzen. Kann keine Instanzen erstellen oder löschen. compute.networks.list
redis.instances.get
redis.instances.list
redis.instances.update
redis.locations.*
redis.operations.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.use
Instanz
roles/
redis.viewer
Cloud Memorystore Redis-BetrachterBeta Schreibgeschützter Zugriff auf alle Cloud Memorystore-Ressourcen. redis.instances.get
redis.instances.list
redis.locations.*
redis.operations.get
redis.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.use
Instanz

Monitoring Roles

Role Title Description Permissions Lowest Resource
roles/
monitoring.admin
Monitoring Admin Provides the same access as roles/monitoring.editor. cloudnotifications.*
monitoring.*
resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.*
Project
roles/
monitoring.alertPolicyEditor
Monitoring AlertPolicy Editor Beta Read/write access to alerting policies. monitoring.alertPolicies.*
roles/
monitoring.alertPolicyViewer
Monitoring AlertPolicy Viewer Beta Read-only access to alerting policies. monitoring.alertPolicies.get
monitoring.alertPolicies.list
roles/
monitoring.editor
Monitoring Editor Provides full access to information about all monitoring data and configurations. cloudnotifications.*
monitoring.alertPolicies.*
monitoring.dashboards.*
monitoring.groups.*
monitoring.metricDescriptors.*
monitoring.monitoredResourceDescriptors.*
monitoring.notificationChannelDescriptors.*
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
monitoring.publicWidgets.*
monitoring.timeSeries.*
monitoring.uptimeCheckConfigs.*
resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.*
Project
roles/
monitoring.metricWriter
Monitoring Metric Writer Provides write-only access to metrics. This provides exactly the permissions needed by the Stackdriver agent and other systems that send metrics. monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.timeSeries.create
Project
roles/
monitoring.notificationChannelEditor
Monitoring NotificationChannel Editor Beta Read/write access to notification channels. monitoring.notificationChannelDescriptors.*
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
roles/
monitoring.notificationChannelViewer
Monitoring NotificationChannel Viewer Beta Read-only access to notification channels. monitoring.notificationChannelDescriptors.*
monitoring.notificationChannels.get
monitoring.notificationChannels.list
roles/
monitoring.uptimeCheckConfigEditor
Monitoring Uptime Check Configuration Editor Beta Read/write access to uptime check configurations. monitoring.uptimeCheckConfigs.*
roles/
monitoring.uptimeCheckConfigViewer
Monitoring Uptime Check Configuration Viewer Beta Read-only access to uptime check configurations. monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
roles/
monitoring.viewer
Monitoring Viewer Provides read-only access to get and list information about all monitoring data and configurations. cloudnotifications.*
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.groups.get
monitoring.groups.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.notificationChannelDescriptors.*
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.publicWidgets.get
monitoring.publicWidgets.list
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.projects.get
Project

Weitere Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
accesscontextmanager.policyAdmin
Access Context Manager-AdministratorBeta Vollständiger Zugriff auf Richtlinien, Zugriffsebenen und Zugriffszonen. accesscontextmanager.*
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
roles/
accesscontextmanager.policyEditor
Access Context Manager-BearbeiterBeta Schreibzugriff auf Richtlinien. Zugriffsebenen und Zugriffszonen erstellen, bearbeiten und ändern. accesscontextmanager.accessLevels.*
accesscontextmanager.accessPolicies.create
accesscontextmanager.accessPolicies.delete
accesscontextmanager.accessPolicies.get
accesscontextmanager.accessPolicies.getIamPolicy
accesscontextmanager.accessPolicies.list
accesscontextmanager.accessPolicies.update
accesscontextmanager.accessZones.*
accesscontextmanager.policies.create
accesscontextmanager.policies.delete
accesscontextmanager.policies.get
accesscontextmanager.policies.getIamPolicy
accesscontextmanager.policies.list
accesscontextmanager.policies.update
accesscontextmanager.servicePerimeters.*
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
roles/
accesscontextmanager.policyReader
Access Context Manager-LeserBeta Lesezugriff auf Richtlinien, Zugriffsebenen und Zugriffszonen. accesscontextmanager.accessLevels.get
accesscontextmanager.accessLevels.list
accesscontextmanager.accessPolicies.get
accesscontextmanager.accessPolicies.getIamPolicy
accesscontextmanager.accessPolicies.list
accesscontextmanager.accessZones.get
accesscontextmanager.accessZones.list
accesscontextmanager.policies.get
accesscontextmanager.policies.getIamPolicy
accesscontextmanager.policies.list
accesscontextmanager.servicePerimeters.get
accesscontextmanager.servicePerimeters.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
roles/
dlpscanner.serviceAgent
DLP-Scanner-Dienst-Agent Ermöglicht DLP-API-Zugriff für DLP-Scanner.
roles/
indexstore.serviceAgent
Cloud Composer API-Dienst-Agent Gewährt Cloud Indexstore Zugriff auf Dienste und APIs im Projekt des Nutzers.
roles/
mobilecrashreporting.symbolMappingsAdmin
Symbol-Uploader für Firebase Crash (verworfen) Vollständiger Lese- und Schreibzugriff auf Symbol-Zuordnungsdateien für Firebase Crash Reporting.Wurde zugunsten von firebasecrash.symbolMappingsAdmin verworfen. firebase.clients.get
resourcemanager.projects.get
roles/
resourcemanager.organizationCreator
Entwickler für die Organisation Kann Organisationen erstellen und auflisten.
roles/
runtimeconfig.admin
Administrator für Cloud Runtime Configuration Voller Zugriff auf RuntimeConfig-Ressourcen. runtimeconfig.*
roles/
subscribewithgoogledeveloper.developer
Abonnieren mit Google-EntwicklerBeta Zugriff auf DevTools für "Abonnieren mit Google" resourcemanager.projects.get
resourcemanager.projects.list
subscribewithgoogledeveloper.*

Pub/Sub Roles

Role Title Description Permissions Lowest Resource
roles/
pubsub.admin
Pub/Sub Admin Provides full access to topics and subscriptions. pubsub.*
resourcemanager.projects.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Topic
roles/
pubsub.editor
Pub/Sub Editor Provides access to modify topics and subscriptions, and access to publish and consume messages. pubsub.snapshots.create
pubsub.snapshots.delete
pubsub.snapshots.get
pubsub.snapshots.list
pubsub.snapshots.seek
pubsub.snapshots.update
pubsub.subscriptions.consume
pubsub.subscriptions.create
pubsub.subscriptions.delete
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.subscriptions.update
pubsub.topics.attachSubscription
pubsub.topics.create
pubsub.topics.delete
pubsub.topics.get
pubsub.topics.list
pubsub.topics.publish
pubsub.topics.update
resourcemanager.projects.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Topic
roles/
pubsub.publisher
Pub/Sub Publisher Provides access to publish messages to a topic. pubsub.topics.publish
Topic
roles/
pubsub.subscriber
Pub/Sub Subscriber Provides access to consume messages from a subscription and to attach subscriptions to a topic. pubsub.snapshots.seek
pubsub.subscriptions.consume
pubsub.topics.attachSubscription
Topic
roles/
pubsub.viewer
Pub/Sub Viewer Provides access to view topics and subscriptions. pubsub.snapshots.get
pubsub.snapshots.list
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.topics.get
pubsub.topics.list
resourcemanager.projects.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Topic

Resource Manager Roles

Role Title Description Permissions Lowest Resource
roles/
resourcemanager.folderAdmin
Folder Admin Provides all available permissions for working with folders. orgpolicy.policy.get
resourcemanager.folders.*
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
resourcemanager.projects.move
resourcemanager.projects.setIamPolicy
Folder
roles/
resourcemanager.folderCreator
Folder Creator Provides permissions needed to browse the hierarchy and create folders. orgpolicy.policy.get
resourcemanager.folders.create
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.projects.get
resourcemanager.projects.list
Folder
roles/
resourcemanager.folderEditor
Folder Editor Provides permission to modify folders as well as to view a folder's Cloud IAM policy. orgpolicy.policy.get
resourcemanager.folders.delete
resourcemanager.folders.get
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.folders.undelete
resourcemanager.folders.update
resourcemanager.projects.get
resourcemanager.projects.list
Folder
roles/
resourcemanager.folderIamAdmin
Folder IAM Admin Provides permissions to administer Cloud IAM policies on folders. resourcemanager.folders.get
resourcemanager.folders.getIamPolicy
resourcemanager.folders.setIamPolicy
Folder
roles/
resourcemanager.folderMover
Folder Mover Provides permission to move projects and folders into and out of a parent Organization or folder. resourcemanager.folders.move
resourcemanager.projects.move
Folder
roles/
resourcemanager.folderViewer
Folder Viewer Provides permission to get a folder and list the folders and projects below a resource. orgpolicy.policy.get
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.projects.get
resourcemanager.projects.list
Folder
roles/
resourcemanager.lienModifier
Project Lien Modifier Provides access to modify Liens on projects. resourcemanager.projects.updateLiens
Project
roles/
resourcemanager.organizationAdmin
Organization Administrator Access to administer all resources belonging to the organization. orgpolicy.policy.get
resourcemanager.folders.get
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.folders.setIamPolicy
resourcemanager.organizations.*
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
resourcemanager.projects.setIamPolicy
roles/
resourcemanager.organizationViewer
Organization Viewer Provides access to view an organization. resourcemanager.organizations.get
Organization
roles/
resourcemanager.projectCreator
Project Creator Provides access to create new projects. Once a user creates a project, they're automatically granted the owner role for that project. resourcemanager.organizations.get
resourcemanager.projects.create
Folder
roles/
resourcemanager.projectDeleter
Project Deleter Provides access to delete GCP projects. resourcemanager.projects.delete
Folder
roles/
resourcemanager.projectIamAdmin
Project IAM Admin Provides permissions to administer Cloud IAM policies on projects. resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
Project
roles/
resourcemanager.projectMover
Project Mover Provides access to update and move projects. resourcemanager.projects.get
resourcemanager.projects.update
Project

Rollenbezogene Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
iam.organizationRoleAdmin
Administrator für Organisationsrollen Zugriff zur Verwaltung aller benutzerdefinierten Rollen in der Organisation und in den Projekten darunter iam.roles.*
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
Organisation
roles/
iam.organizationRoleViewer
Organisationsrollen-Betrachter Lesezugriff auf alle benutzerdefinierten Rollen in der Organisation und in den Projekten darunter iam.roles.get
iam.roles.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
Projekt
roles/
iam.roleAdmin
Rollenadministrator Zugriff auf alle benutzerdefinierten Rollen im Projekt iam.roles.*
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
Projekt
roles/
iam.roleViewer
Rollenbetrachter Lesezugriff auf alle benutzerdefinierten Rollen im Projekt iam.roles.get
iam.roles.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
Projekt

Sicherheitscenterrollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
securitycenter.admin
Sicherheitscenter-AdminBeta Administrator-(Super User-)Zugang zum Sicherheitscenter resourcemanager.organizations.get
securitycenter.assets.group
securitycenter.assets.list
securitycenter.assets.listAssetPropertyNamee
securitycenter.assets.runDiscovery
securitycenter.assetsecuritymarks.*
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.findings.update
securitycenter.findingsecuritymarks.*
securitycenter.organizationsettings.*
securitycenter.sources.*
roles/
securitycenter.adminEditor
Sicherheitscenter-Admin-BearbeiterBeta Administrator-Lese- und -Schreibzugriff auf das Sicherheitscenter resourcemanager.organizations.get
securitycenter.assets.runDiscovery
securitycenter.assetsecuritymarks.*
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.findings.update
securitycenter.findingsecuritymarks.*
securitycenter.sources.get
securitycenter.sources.list
securitycenter.sources.update
roles/
securitycenter.adminViewer
Sicherheitscenter-Admin-BetrachterBeta Administrator-Lesezugriff auf das Sicherheitscenter resourcemanager.organizations.get
securitycenter.assets.group
securitycenter.assets.list
securitycenter.assets.listAssetPropertyNamee
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.sources.get
securitycenter.sources.list
roles/
securitycenter.assetSecurityMarksWriter
Sicherheitscenter-Schreiber für Asset-SicherheitsmarkierungenBeta Schreibzugriff auf Asset-Sicherheitsmarkierungen securitycenter.assetsecuritymarks.*
roles/
securitycenter.assetsDiscoveryRunner
Sicherheitscenter-Runner für Asset-ErkennungBeta Asset-Erkennungszugriff auf Assets ausführen securitycenter.assets.runDiscovery
roles/
securitycenter.assetsViewer
Sicherheitscenter-Assets-BetrachterBeta Lesezugriff auf Assets resourcemanager.organizations.get
securitycenter.assets.group
securitycenter.assets.list
securitycenter.assets.listAssetPropertyNamee
roles/
securitycenter.editor
Sicherheitscenter-BearbeiterBeta Lese- und Schreibzugriff auf Assets, Konfigurationen, Benachrichtigungsstreams und Markierungen, nur Lesezugriff auf Scans resourcemanager.organizations.get
securitycenter.assets.get
securitycenter.assets.getFieldNamee
securitycenter.assets.list
securitycenter.assets.triggerDiscovery
securitycenter.assets.update
securitycenter.configs.*
securitycenter.scans.*
roles/
securitycenter.findingSecurityMarksWriter
Sicherheitscenter-Schreiber für Ergebnis-SicherheitsmarkierungenBeta Schreibzugriff auf Ergebnis-Sicherheitsmarkierungen securitycenter.findingsecuritymarks.*
roles/
securitycenter.findingsEditor
Sicherheitscenter-ErgebnisbearbeiterBeta Lese-/Schreibzugriff auf Ergebnisse resourcemanager.organizations.get
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.findings.update
securitycenter.sources.get
securitycenter.sources.list
roles/
securitycenter.findingsStateSetter
Sicherheitscenter-Setter für ErgebniszuständeBeta Festlegen des Zustandszugriffs auf Ergebnisse securitycenter.findings.setState
roles/
securitycenter.findingsViewer
Sicherheitscenter-ErgebnisbetrachterBeta Lesezugriff auf Ergebnisse resourcemanager.organizations.get
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.sources.get
securitycenter.sources.list
roles/
securitycenter.sourcesAdmin
Sicherheitscenter-QuellenadministratorBeta Administratorzugriff auf Quellen resourcemanager.organizations.get
securitycenter.sources.*
roles/
securitycenter.sourcesEditor
Sicherheitscenter-QuellenbearbeiterBeta Lese-/Schreibzugriff auf Quellen resourcemanager.organizations.get
securitycenter.sources.get
securitycenter.sources.list
securitycenter.sources.update
roles/
securitycenter.sourcesViewer
Sicherheitscenter-QuellenbetrachterBeta Lesezugriff auf Quellen resourcemanager.organizations.get
securitycenter.sources.get
securitycenter.sources.list
roles/
securitycenter.viewer
Sicherheitscenter-BetrachterBeta Lesezugriff auf Assets, Konfigurationen, Benachrichtigungsstreams, Scans und Markierungen resourcemanager.organizations.get
securitycenter.assets.get
securitycenter.assets.getFieldNamee
securitycenter.assets.list
securitycenter.configs.get
securitycenter.configs.getIamPolicy
securitycenter.scans.*

Service Accounts Roles

Role Title Description Permissions Lowest Resource
roles/
iam.serviceAccountAdmin
Service Account Admin Create and manage service accounts. iam.serviceAccounts.create
iam.serviceAccounts.delete
iam.serviceAccounts.get
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.list
iam.serviceAccounts.setIamPolicy
iam.serviceAccounts.update
resourcemanager.projects.get
resourcemanager.projects.list
Service Account
roles/
iam.serviceAccountCreator
Create Service Accounts Access to create service accounts. iam.serviceAccounts.create
iam.serviceAccounts.get
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
iam.serviceAccountDeleter
Delete Service Accounts Access to delete service accounts. iam.serviceAccounts.delete
iam.serviceAccounts.get
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
iam.serviceAccountKeyAdmin
Service Account Key Admin Create and manage (and rotate) service account keys. iam.serviceAccountKeys.*
iam.serviceAccounts.get
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
Service Account
roles/
iam.serviceAccountTokenCreator
Service Account Token Creator Impersonate service accounts (create OAuth2 access tokens, sign blobs or JWTs, etc). iam.serviceAccounts.get
iam.serviceAccounts.getAccessToken
iam.serviceAccounts.implicitDelegation
iam.serviceAccounts.list
iam.serviceAccounts.signBlob
iam.serviceAccounts.signJwt
resourcemanager.projects.get
resourcemanager.projects.list
Service Account
roles/
iam.serviceAccountUser
Service Account User Run operations as the service account. iam.serviceAccounts.actAs
iam.serviceAccounts.get
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
Service Account

Service Consumer Management-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
serviceconsumermanagement.tenancyUnitsAdmin
Mandanteneinheiten-AdministratorBeta Mandanteneinheiten verwalten serviceconsumermanagement.tenancyu.*
roles/
serviceconsumermanagement.tenancyUnitsViewer
Mandanteneinheiten-BetrachterBeta Mandanteneinheiten ansehen serviceconsumermanagement.tenancyu.list

Service Management Roles

Role Title Description Permissions Lowest Resource
roles/
servicemanagement.admin
Service Management Administrator Full control of Google Service Management resources. monitoring.timeSeries.list
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceconsumermanagement.*
servicemanagement.services.*
serviceusage.quotas.get
serviceusage.services.get
roles/
servicemanagement.configEditor
Service Config Editor Access to update the service config and create rollouts. servicemanagement.services.get
servicemanagement.services.update
roles/
servicemanagement.quotaAdmin
Quota Administrator Beta Provides access to administer service quotas. monitoring.timeSeries.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.consumerSettings.*
serviceusage.quotas.*
serviceusage.services.disable
serviceusage.services.enable
serviceusage.services.get
serviceusage.services.list
Project
roles/
servicemanagement.quotaViewer
Quota Viewer Beta Provides access to view service quotas. monitoring.timeSeries.list
servicemanagement.consumerSettings.get
servicemanagement.consumerSettings.getIamPolicy
servicemanagement.consumerSettings.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Project
roles/
servicemanagement.serviceConsumer
Service Consumer Can enable the service. servicemanagement.services.bind
roles/
servicemanagement.serviceController
Service Controller Runtime control of checking and reporting usage of a service. servicemanagement.services.check
servicemanagement.services.get
servicemanagement.services.quota
servicemanagement.services.report
Project

Service Usage-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
serviceusage.apiKeysAdmin
API-SchlüsseladministratorBeta Kann API-Schlüssel für ein Projekt erstellen, löschen, aktualisieren, abrufen und auflisten. serviceusage.apiKeys.*
roles/
serviceusage.apiKeysViewer
API-SchlüsselbetrachterBeta Kann API-Schlüssel für ein Projekt abrufen und auflisten. serviceusage.apiKeys.get
serviceusage.apiKeys.getProjectForKey
serviceusage.apiKeys.list
roles/
serviceusage.serviceUsageAdmin
Service Usage-AdministratorBeta Erlaubnis, Dienststatus zu aktivieren, zu deaktivieren und zu überprüfen, Vorgänge zu überprüfen, sowie Kontingent und Abrechnung für ein Consumer-Projekt zu verarbeiten. monitoring.timeSeries.list
serviceusage.operations.*
serviceusage.quotas.*
serviceusage.services.*
roles/
serviceusage.serviceUsageConsumer
Service Usage-NutzerBeta Kann Dienststatus und Vorgänge einsehen sowie Kontingente und Abrechnungen für ein Kundenprojekt verwenden. monitoring.timeSeries.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
serviceusage.services.use
roles/
serviceusage.serviceUsageViewer
Service Usage-BetrachterBeta Kann Dienststatus und Vorgänge für ein Consumer-Projekt überprüfen. monitoring.timeSeries.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Quellenrollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
source.admin
Quell-Repository-Administrator Bietet Berechtigungen zum Erstellen, Aktualisieren, Löschen, Auflisten, Klonen, Abrufen und Durchsuchen von Repositories. Bietet außerdem Berechtigungen zum Lesen und Ändern von IAM-Richtlinien source.**
Projekt
roles/
source.reader
Quell-Repository-Leser Berechtigung zum Auflisten, Klonen, Abrufen und Durchsuchen von Repositories source.repos.get
source.repos.list
Projekt
roles/
source.writer
Quell-Repository-Schreiber Berechtigung zum Auflisten, Klonen, Abrufen, Durchsuchen und Aktualisieren von Repositories source.repos.get
source.repos.list
source.repos.update
Projekt

Stackdriver-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
stackdriver.accounts.editor
Stackdriver-Kontobearbeiter Lese- und Schreibzugriff zum Verwalten der Stackdriver-Kontostruktur. resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.projects.*
roles/
stackdriver.accounts.viewer
Stackdriver-Konto-Betrachter Schreibgeschützter Zugriff zum Abrufen und Auflisten von Informationen zur Stackdriver-Kontostruktur. resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.projects.get
roles/
stackdriver.resourceMaintenanceWindow.editor
Bearbeiter des Stackdriver-Ressourcenwartungsfensters Lese- und Schreibzugriff zum Verwalten von Stackdriver-Ressourcenwartungsfenstern.
roles/
stackdriver.resourceMaintenanceWindow.viewer
Betrachter des Stackdriver-Ressourcenwartungsfensters Lesezugriff auf Informationen zu den Ressourcenwartungsfenstern von Stackdriver.
roles/
stackdriver.resourceMetadata.writer
Autor von Stackdriver-Ressourcenmetadaten Beta Nur Schreibzugriff auf Ressourcenmetadaten. Dadurch werden genau die Berechtigungen bereitgestellt, die der Stackdriver-Metadaten-Agent und andere Systeme, die Metadaten senden, benötigen. stackdriver.resourceMetadata.*

Stackdriver Debugger-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
clouddebugger.agent
Stackdriver Debugger-AgentBeta Berechtigung zum Registrieren des Fehlerbehebungsziels, Lesen aktiver Haltepunkte und Melden von Haltepunktergebnissen clouddebugger.breakpoints.list
clouddebugger.breakpoints.listActive
clouddebugger.breakpoints.update
clouddebugger.debuggees.create
Dienstkonto
roles/
clouddebugger.user
Stackdriver Debugger-NutzerBeta Berechtigungen zum Erstellen, Aufrufen, Auflisten und Löschen von Haltepunkten (Snapshots und Logpoints) und zum Auflisten von Debug-Zielen (zu debuggende Komponenten) clouddebugger.breakpoints.create
clouddebugger.breakpoints.delete
clouddebugger.breakpoints.get
clouddebugger.breakpoints.list
clouddebugger.debuggees.list
Projekt

Storage-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
storage.admin
Storage-Administrator Uneingeschränkte Kontrolle über Objekte und Buckets.

Bei Anwendung auf einen einzelnen Bucket gilt die Kontrolle nur für den angegebenen Bucket und alle darin enthaltenen Objekte.

firebase.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
storage.*
Bucket
roles/
storage.objectAdmin
Storage-Objekt-Administrator Uneingeschränkte Kontrolle über Objekte, einschließlich Auflisten, Erstellen, Ansehen und Löschen von Objekten. resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.*
Bucket
roles/
storage.objectCreator
Storage-Objekt-Ersteller Ermöglicht Nutzern die Erstellung von Objekten. Gewährt keine Berechtigung zum Ansehen, Löschen oder Überschreiben von Objekten. resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.create
Bucket
roles/
storage.objectViewer
Storage-Objekt-Betrachter Berechtigung zum Aufrufen von Objekten und ihren Metadaten mit Ausnahme von ACLs. Kann auch die Objekte in einem Bucket auflisten. resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.get
storage.objects.list
Bucket

Storage Legacy-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
storage.legacyBucketOwner
Inhaber alter Storage-Buckets Berechtigung zum Erstellen, Überschreiben und Löschen von Objekten; Auflisten von Objekten in einem Bucket und gleichzeitigem Lesen von Objektmetadaten, ausgenommen Cloud IAM-Richtlinien; und Lesen und Bearbeiten von Bucket-Metadaten, einschließlich Cloud IAM-Richtlinien.

Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen erhalten Sie unter:

storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
storage.objects.create
storage.objects.delete
storage.objects.list
Bucket
roles/
storage.legacyBucketReader
Leser alter Storage-Buckets Berechtigung zum Auflisten der Inhalte eines Buckets und zum Lesen von Bucket-Metadaten, ausgenommen Cloud-IAM Richtlinien. Außerdem die Berechtigung zum Lesen von Objektmetadaten beim Auflisten von Objekten, ausgenommen Cloud IAM-Richtlinien.

Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen erhalten Sie unter:

storage.buckets.get
storage.objects.list
Bucket
roles/
storage.legacyBucketWriter
Autor alter Storage-Buckets Berechtigung zum Erstellen, Überschreiben und Löschen von Objekten; Auflisten von Objekten in einem Bucket und gleichzeitigem Lesen von Objektmetadaten, ausgenommen Cloud IAM-Richtlinien; und Lesen von Bucket-Metadaten, ausgenommen Cloud IAM-Richtlinien.

Die Verwendung dieser Rolle ist auch in den ACLs des Buckets dargestellt. Weitere Informationen erhalten Sie unter:

storage.buckets.get
storage.objects.create
storage.objects.delete
storage.objects.list
Bucket
roles/
storage.legacyObjectOwner
Inhaber alter Storage-Objekte Berechtigung zum Aufrufen und Bearbeiten von Objekten und ihren Metadaten, einschließlich ACLs. storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
Bucket
roles/
storage.legacyObjectReader
Leser alter Storage-Objekte Berechtigung zum Aufrufen von Objekten und ihren Metadaten mit Ausnahme von ACLs. storage.objects.get
Bucket

Benutzerdefinierte Rollen

Neben den vordefinierten Rollen bietet Cloud IAM auch die Möglichkeit, angepasste Cloud IAM-Rollen zu erstellen. Sie können eine benutzerdefinierte Cloud IAM-Rolle mit einer oder mehreren Berechtigungen erstellen und sie dann Nutzern zuweisen, die zu Ihrer Organisation gehören. Weitere Informationen finden Sie unter Informationen zu benutzerdefinierten Rollen und Benutzerdefinierte Rollen erstellen und verwalten.

Produktspezifische Dokumentation für Cloud IAM

Die produktspezifische Cloud IAM-Dokumentation enthält weitere Informationen zu den vordefinierten Rollen, die in den einzelnen Produkten enthalten sind. Auf den folgenden Seiten finden Sie weitere Informationen über die vordefinierten Rollen.

Dokumentation Beschreibung
Cloud-IAM für App Engine Erläuterung der Cloud IAM-Rollen für App Engine
Cloud IAM für BigQuery Erläuterung der Cloud IAM-Rollen für BigQuery
Cloud IAM für Cloud Bigtable Erläuterung der Cloud IAM-Rollen für Cloud Bigtable
Cloud IAM für Cloud Billing API Erläuterung der Cloud IAM-Rollen und -Berechtigungen für die Cloud Billing API
Cloud IAM für Cloud Dataflow Erläuterung der Cloud IAM-Rollen für Cloud Dataflow
Cloud IAM für Cloud Dataproc Erläuterung der Cloud IAM-Rollen und -Berechtigungen für Cloud Dataproc
Cloud IAM für Cloud Datastore Erläuterung der Cloud IAM-Rollen und -Berechtigungen für Cloud Datastore
Cloud IAM für Cloud DNS Erläuterung der Cloud IAM-Rollen und -Berechtigungen für Cloud DNS
Cloud IAM für Cloud KMS Erläuterung der Cloud IAM-Rollen und Berechtigungen für Cloud KMS
Cloud IAM für Cloud ML Engine Erläuterung der Cloud IAM-Rollen und Berechtigungen für Cloud ML Engine
Cloud IAM für Cloud Pub/Sub Erläuterung der Cloud IAM-Rollen für Cloud Pub/Sub
Cloud IAM für Cloud Spanner Erläuterung der Cloud IAM-Rollen und -Berechtigungen für Cloud Spanner
Cloud IAM für Cloud SQL Erläuterung der Cloud IAM-Rollen für Cloud SQL
Cloud IAM für Cloud Storage Erläuterung der Cloud IAM-Rollen für Cloud Storage
Cloud IAM für Compute Engine Erläuterung der Cloud IAM-Rollen für Compute Engine
Cloud IAM für GKE Erläuterung der Cloud IAM-Rollen und -Berechtigungen für GKE
Cloud IAM für Cloud Deployment Manager Erläuterung der Cloud IAM-Rollen und -Berechtigungen für Cloud Deployment Manager
Cloud IAM für Organisationen Erläuterung der Cloud IAM-Rollen für Organisationen
Cloud IAM für Ordner Erläuterung der Cloud IAM-Rollen für Ordner
Cloud IAM für Projekte Erläuterung der Cloud IAM-Rollen für Projekte
Cloud IAM für Service Management Erläuterung der Cloud IAM-Rollen und -Berechtigungen für Service Management
Cloud IAM für Stackdriver Debugger Erläuterung der Cloud IAM-Rollen für Debugger
Cloud IAM für Stackdriver Logging Erläuterung der Cloud IAM-Rollen für Logging
Cloud IAM für Stackdriver Monitoring Erläuterung der Cloud IAM-Rollen für Monitoring
Cloud IAM für Stackdriver Trace Erläuterung der Cloud IAM-Rollen und -Berechtigungen für Trace

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zu Cloud Identity and Access Management