Eine Rolle enthält eine Reihe von Berechtigungen, mit denen Sie bestimmte Aktionen für Google Cloud-Ressourcen vornehmen können. Wenn Sie Mitgliedern Berechtigungen erteilen möchten, einschließlich Nutzern, Gruppen und Dienstkonten, weisen Sie den Mitgliedern Rollen zu.
Auf dieser Seite werden die IAM-Rollen beschrieben, die Sie zuweisen können.
Voraussetzungen für diese Anleitung
- Machen Sie sich mit den grundlegenden Konzepten von IAM vertraut
Rollentypen
Es gibt drei Arten von Rollen in IAM:
- Einfache Rollen, zu denen die Rollen "Inhaber", "Bearbeiter" und "Betrachter" gehören und die es schon vor der Einführung von IAM gab.
- Vordefinierte Rollen, die detaillierten Zugriff auf einen bestimmten Dienst bieten und von Google Cloud verwaltet werden.
- Benutzerdefinierte Rollen, die detaillierten Zugriff gemäß einer vom Nutzer angegebenen Liste von Berechtigungen bieten.
Mit einer der folgenden Methoden können Sie ermitteln, ob eine Berechtigung in einer einfachen, vordefinierten oder benutzerdefinierten Rolle enthalten ist:
- Führen Sie den Befehl
gcloud iam roles describe
aus, um die Berechtigungen der Rolle aufzulisten: - Rufen Sie die REST API-Methode
roles.get()
auf, um die Berechtigungen in der Rolle aufzulisten. - Nur für einfache und vordefinierte Rollen: Suchen Sie in der Berechtigungsreferenz, ob die Berechtigung von der Rolle gewährt wird.
- Nur für vordefinierte Rollen: Suchen Sie auf dieser Seite in den vordefinierten Rollenbeschreibungen, um zu sehen, welche Berechtigungen die Rolle enthält.
In den folgenden Abschnitten werden die einzelnen Rollentypen beschrieben und Beispiele für deren Verwendung gegeben.
Einfache Rollen
Vor der Einführung von IAM gab es mehrere einfache Rollen: "Inhaber", "Bearbeiter" und "Betrachter". Diese Rollen sind konzentrisch, was bedeutet, dass die Inhaberrolle die Berechtigungen der Bearbeiterrolle und die Bearbeiterrolle die Berechtigungen der Betrachterrolle beinhaltet. Sie wurden ursprünglich als „einfache Rollen“ bezeichnet.
In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die die einfachen Rollen in allen Google Cloud-Diensten enthalten:
Definitionen für einfache Rollen
Name | Titel | Berechtigungen |
---|---|---|
roles/viewer |
Betrachter | Berechtigungen für schreibgeschützte Aktionen, die sich nicht auf den Status auswirken, z. B. Anzeigen (aber nicht Ändern) vorhandener Ressourcen oder Daten |
roles/editor |
Bearbeiter | Alle Berechtigungen des Betrachters sowie Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. das Ändern vorhandener Ressourcen Hinweis: Die Rolle
roles/editor enthält Berechtigungen zum Erstellen und Löschen von Ressourcen für die meisten Google Cloud-Dienste, umfasst jedoch keine Berechtigungen zum Ausführen aller Aktionen für alle Dienste. , um die Option zu aktivieren. Weitere Informationen dazu, wie Sie prüfen können, ob eine Rolle die erforderlichen Berechtigungen hat, finden Sie im obigen Abschnitt.
|
roles/owner |
Inhaber | Alle Berechtigungen des Bearbeiters und Berechtigungen für die folgenden Aktionen:
Hinweis:
|
Sie können einfache Rollen auf Projekt- oder Dienstressourcenebene mithilfe der Cloud Console, der API und des gcloud
-Tools zuweisen. Eine Anleitung finden Sie unter Zugriff gewähren, ändern und widerrufen.
Einladungsablauf
Sie können einem Mitglied die Inhaberrolle für ein Projekt nicht mit der Identity and Access Management API oder dem gcloud
-Befehlszeilentool zuweisen. Nur mit der Cloud Console können Sie Inhaber zu einem Projekt hinzufügen. Das Mitglied erhält per E-Mail eine Einladung und muss diese annehmen, um ein Inhaber des Projekts zu werden.
Beachten Sie, dass in den folgenden Fällen keine Einladungen per E-Mail gesendet werden:
- Wenn Sie eine andere Rolle als die Inhaberrolle zuweisen.
- Wenn ein Organisationsmitglied ein anderes Mitglied seiner Organisation als Inhaber eines Projekts innerhalb dieser Organisation hinzufügt.
Weitere Informationen zum Zuweisen von Rollen mit der Cloud Console finden Sie unter Zugriff gewähren, ändern und widerrufen.
Vordefinierte Rollen
Zusätzlich zu den einfachen Rollen bietet IAM weitere vordefinierte Rollen, die detaillierten Zugriff auf bestimmte Ressourcen von Google Cloud ermöglichen und unerwünschten Zugriff auf andere Ressourcen verhindern. Vordefinierte Rollen werden von Google erstellt und verwaltet. Google aktualisiert seine Berechtigungen bei Bedarf automatisch, z. B. wenn Google Cloud neue Features oder Dienste hinzufügt.
Die folgende Tabelle enthält diese Rollen, ihre Beschreibung und den Ressourcentyp der untersten Ebene, für den Rollen festgelegt werden. Eine bestimmte Rolle kann diesem Ressourcentyp oder in den meisten Fällen einem übergeordneten Typ in der Google Cloud-Hierarchie zugewiesen werden. Einem Nutzer können mehrere Rollen zugewiesen werden. Zum Beispiel kann ein Nutzer für ein Projekt die Rollen "Netzwerkadministrator" und "Log-Betrachter" und außerdem die Rolle "Publisher" für ein Pub/Sub-Thema in diesem Projekt haben. Eine Liste der in einer Rolle enthaltenen Berechtigungen finden Sie unter Rollenmetadaten abrufen.
Rollen zur Zugriffsgenehmigung
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Genehmiger für Zugriffsgenehmigungen Beta | Kann Anfragen für Zugriffsgenehmigungen ansehen und bearbeiten sowie Konfigurationen ansehen |
|
|
roles/ |
Bearbeiter der ZugriffsgenehmigungskonfigurationBeta | Kann die Zugriffsgenehmigungskonfiguration aktualisieren |
|
|
roles/ |
Betrachter von ZugriffsgenehmigungenBeta | Kann Anfragen für Zugriffsgenehmigungen und Konfigurationen aufrufen |
|
Access Context Manager-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Administrator für Cloud-Zugriffsbindungen | Erstellen, bearbeiten und ändern von Cloud-Zugriffsbindungen |
|
|
roles/ |
Leser für Cloud-Zugriffsbindungen | Lesezugriff auf Cloud-Zugriffsbindungen |
|
|
roles/ |
Access Context Manager-Administrator | Vollständiger Zugriff auf Richtlinien, Zugriffsebenen und Zugriffszonen |
|
|
roles/ |
Access Context Manager-Bearbeiter | Schreibzugriff auf Richtlinien. Erstellen, bearbeiten und ändern Sie Zugriffsebenen und -zonen. |
|
|
roles/ |
Access Context Manager-Leser | Lesezugriff auf Richtlinien, Zugriffsebenen und Zugriffszonen. |
|
|
roles/ |
Betrachter der VPC Service Controls-Fehlerbehebung |
|
Actions-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Actions-Administrator | Kann Aktionen bearbeiten und bereitstellen |
|
|
roles/ |
Actions-Betrachter | Kann Aktionen aufrufen |
|
Android Management-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Android Management-Nutzer | Vollständiger Zugriff zur Verwaltung von Geräten |
|
API-Gateway-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
ApiGateway-Administrator | Vollständiger Zugriff auf ApiGateway und zugehörige Ressourcen. |
|
|
roles/ |
ApiGateway-Betrachter | Lesezugriff auf ApiGateway und zugehörige Ressourcen. |
|
Apigee-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Apigee-Organisationsadministrator | Vollständiger Zugriff auf alle Apigee-Ressourcen-Features |
|
|
roles/ |
Apigee Analytics-Agent | Ausgewählte Reihe von Berechtigungen für Apigee Universal Data Collection Agent, um Analysen für eine Apigee-Organisation zu verwalten |
|
|
roles/ |
Apigee Analytics-Bearbeiter | Analytics-Editor für ein Apigee-Unternehmen |
|
|
roles/ |
Apigee Analytics-Betrachter | Analytics-Betrachter für ein Apigee-Unternehmen |
|
|
roles/ |
Apigee API-Administrator | Vollständiger Lese-/Schreibzugriff auf alle Apigee API-Ressourcen |
|
|
roles/ |
Apigee API-Leser | Leser von Apigee-Ressourcen |
|
|
roles/ |
Apigee-Entwickler/Administrator | Entwickleradministrator von Apigee-Ressourcen |
|
|
roles/ |
Administrator der Apigee-Umgebung | Vollständiger Lese-/Schreibzugriff auf Apigee-Umgebungsressourcen, einschließlich Bereitstellungen. |
|
|
roles/ |
Apigee-Portal-Administrator | Portal-Administrator für eine Apigee-Organisation |
|
|
roles/ |
Schreibgeschützter Apigee-Admin | Betrachter aller Apigee-Ressourcen |
|
|
roles/ |
Apigee-Laufzeit-Agent | Ein Gruppe ausgewählter Berechtigungen für einen Laufzeit-Agent zum Zugriff auf Apigee-Organisationsressourcen |
|
|
roles/ |
Apigee Synchronizer Manager | Ausgewählte Reihe von Berechtigungen für einen Synchronizer, um Umgebungen in einer Apigee-Organisation zu verwalten |
|
|
roles/ |
Apigee Connect-Administrator | Administrator von Apigee Connect |
|
|
roles/ |
Apigee Connect Agent | Kann einen Apigee Connect-Agent zwischen externen Clustern und Google einrichten. |
|
App Engine-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
App Engine-Administrator |
Berechtigung zum Lesen/Schreiben/Ändern für die gesamte Anwendungskonfiguration und die Einstellungen Zum Bereitstellen neuer Versionen müssen Sie auch die Rolle Dienstkontonutzer ( Für die Bereitstellung des |
|
Projekt |
roles/ |
App Engine-Ersteller | Fähigkeit zur Erstellung der App Engine-Ressource für das Projekt. |
|
Projekt |
roles/ |
App Engine-Betrachter | Lesezugriff auf die gesamte Anwendungskonfiguration und die Einstellungen. |
|
Projekt |
roles/ |
Betrachter von App Engine-Code | Lesezugriff auf die gesamte Anwendungskonfiguration, die Einstellungen und den bereitgestellten Quellcode. |
|
Projekt |
roles/ |
App Engine-Bereitsteller |
Schreibgeschützter Zugriff auf die gesamte Anwendungskonfiguration und die Einstellungen Zum Bereitstellen neuer Versionen müssen Sie auch die Rolle Dienstkontonutzer ( Für die Bereitstellung des Sie können vorhandene Versionen nicht bearbeiten, sondern nur Versionen löschen, die keinen Traffic empfangen. |
|
Projekt |
roles/ |
App Engine-Dienstadministrator |
Schreibgeschützter Zugriff auf die gesamte Anwendungskonfiguration und die Einstellungen Schreibberechtigung für Einstellungen auf Modul- und Versionsebene Kann keine neue Version bereitstellen. |
|
Projekt |
Artifact Registry-Rollen
Role | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Artifact Registry-AdministratorBeta | Administratorzugriff zum Erstellen und Verwalten von Repositories. |
|
|
roles/ |
Artifact Registry-Leser Beta | Lesezugriff auf Repositoryelemente. |
|
|
roles/ |
Artifact Registry-Repository-AdministratorBeta | Zugriff zur Verwaltung von Artefakten in Repositories. |
|
|
roles/ |
Artifact Registry-Autor Beta | Lese- und Schreibzugriff auf Repositoryelemente. |
|
Assured Workloads-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Assured Workloads-Administrator | Gewährt vollständigen Zugriff auf Assured Workloads-Ressourcen, einschließlich der Verwaltung von IAM-Richtlinien. |
|
|
roles/ |
Assured Workloads-Bearbeiter | Gewährt Lese- und Schreibzugriff auf Assured Workloads-Ressourcen. |
|
|
roles/ |
Leser von Assured Workloads | Gewährt Lesezugriff auf alle Assured Workloads-Ressourcen. |
|
AutoML-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
AutoML-AdministratorBeta | Voller Zugriff auf alle AutoML-Ressourcen |
|
Dataset/Modell |
roles/ |
AutoML-BearbeiterBeta | Bearbeiter aller AutoML-Ressourcen |
|
Dataset/Modell |
roles/ |
AutoML-ErkennungBeta | Erkennen mit Modellen |
|
Modell |
roles/ |
AutoML-BetrachterBeta | Betrachter von allen AutoML-Ressourcen |
|
Dataset/Modell |
BigQuery-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
BigQuery-Administrator | Berechtigungen zum Verwalten aller Ressourcen im Projekt. Kann damit alle Daten im Projekt verwalten und Jobs von anderen Nutzern abbrechen, die im Projekt ausgeführt werden. |
|
Projekt |
roles/ |
BigQuery-Verbindungsadministrator |
|
||
roles/ |
BigQuery-Verbindungsnutzer |
|
||
roles/ |
BigQuery-Datenbearbeiter |
Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:
Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:
Bei Anwendung auf Projekt- oder Organisationsebene können Sie durch diese Rolle zusätzlich neue Datasets erstellen. |
|
Tabelle oder Ansicht |
roles/ |
BigQuery-Dateninhaber |
Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:
Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:
Bei Anwendung auf Projekt- oder Organisationsebene können Sie durch diese Rolle zusätzlich neue Datasets erstellen. |
|
Tabelle oder Ansicht |
roles/ |
BigQuery-Datenbetrachter |
Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:
Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:
Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht diese Rolle die Aufzählung aller Datasets im Projekt. Für die Ausführung von Jobs sind jedoch weitere Rollen erforderlich. |
|
Tabelle oder Ansicht |
roles/ |
BigQuery-Jobnutzer | Berechtigungen zum Ausführen von Jobs im Projekt, einschließlich Abfragen. |
|
Projekt |
roles/ |
BigQuery Metadata-Betrachter |
Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:
Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:
Bei Anwendung auf Projekt- oder Organisationsebene gewährt diese Rolle Berechtigungen für:
Für die Ausführung von Jobs sind weitere Rollen erforderlich. |
|
Tabelle oder Ansicht |
roles/ |
BigQuery Read Session-Nutzer | Zugriff zum Erstellen und Verwenden von Lesesitzungen |
|
|
roles/ |
BigQuery-Ressourcen-Administrator | Verwalten Sie alle BigQuery-Ressourcen. |
|
|
roles/ |
BigQuery-Ressourcenbearbeiter | Kann alle BigQuery-Ressourcen verwalten, aber keine Kaufentscheidungen treffen. |
|
|
roles/ |
BigQuery-Ressourcenbetrachter | Kann alle BigQuery-Ressourcen betrachten, aber keine Änderungen vornehmen oder Kaufentscheidungen treffen. |
|
|
roles/ |
BigQuery-Nutzer |
Bei Anwendung auf ein Dataset ermöglicht diese Rolle das Lesen der Metadaten des Datasets und das Auflisten von Tabellen im Dataset. Bei Anwendung auf ein Projekt bietet diese Rolle auch die Möglichkeit, Jobs, einschließlich Abfragen, innerhalb des Projekts auszuführen. Ein Mitglied mit dieser Rolle kann seine eigenen Jobs auflisten, seine eigenen Jobs abbrechen und Datasets innerhalb eines Projekts aufzählen. Darüber hinaus ermöglicht die Rolle das Erstellen neuer Datasets im Projekt. Dem Ersteller wird für diese neuen Datasets die Rolle "BigQuery Data-Inhaber" ( |
|
Dataset |
Cloud Bigtable-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Bigtable-Administrator | Verwaltet alle Instanzen in einem Projekt, darunter auch die Daten, die in den Tabellen gespeichert sind. Kann neue Instanzen erstellen. Vorgesehen für Projektadministratoren. |
|
Tabelle |
roles/ |
Bigtable-Leser | Erlaubt nur Lesezugriff auf die in den Tabellen gespeicherten Daten. Gedacht für Datenanalysten, Dashboard-Generatoren und anderen Datenanalyse-Szenarien. |
|
Tabelle |
roles/ |
Bigtable-Nutzer | Erlaubt Lese- und Schreibzugriff auf die in den Tabellen gespeicherten Daten. Gedacht für Anwendungsentwickler oder Dienstkontos. |
|
Tabelle |
roles/ |
Bigtable-Betrachter | Bietet keinen Datenzugriff. Diese Rolle beinhaltet einen Satz von Mindestberechtigungen für den Zugriff auf die Cloud Console für Cloud Bigtable. |
|
Tabelle |
Abrechnungsrollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Rechnungskontoadministrator | Berechtigung zum Aufrufen und Verwalten aller Aspekte von Abrechnungskonten |
|
Rechnungskonto |
roles/ |
Kostenverwalter für Rechnungskonto | Kann Kosteninformationen von Rechnungskonten aufrufen und exportieren. |
|
|
roles/ |
Rechnungskonto-Ersteller | Berechtigung zum Erstellen von Abrechnungskonten |
|
Organisation |
roles/ |
Administrator für die Projektabrechnung | Berechtigung zum Zuweisen des Abrechnungskontos eines Projekts oder zum Deaktivieren seiner Abrechnung |
|
Projekt |
roles/ |
Rechnungskontonutzer | Berechtigung zum Verbinden von Projekten mit Abrechnungskonten |
|
Rechnungskonto |
roles/ |
Rechnungskonto-Betrachter | Kontoinformationen und Transaktionen im Rechnungskonto aufrufen |
|
Rechnungskonto |
Binärautorisierungsrollen
Hangouts Chat-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Chatbots-Inhaber | Kann Bot-Konfigurationen aufrufen und ändern |
|
|
roles/ |
Chatbots-Betrachter | Kann Bot-Konfigurationen aufrufen |
|
Cloud-Asset-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud-Asset-Inhaber | Kompletter Zugriff auf Cloud-Asset-Metadaten |
|
|
roles/ |
Cloud-Asset-Betrachter | Lesezugriff auf Cloud-Asset-Metadaten |
|
Cloud Build-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud Build-Dienstkonto | Berechtigung zum Ausführen von Builds |
|
|
roles/ |
Cloud Build-Bearbeiter | Berechtigung zum Erstellen und Stornieren von Builds |
|
Projekt |
roles/ |
Cloud Build-Betrachter | Berechtigung zum Aufrufen von Builds |
|
Projekt |
Cloud Data Fusion-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud Data Fusion-AdministratorBeta | Vollständiger Zugriff auf Cloud Data Fusion-Instanzen und zugehörige Ressourcen. |
|
Projekt |
roles/ |
Cloud Data Fusion-Runner Beta | Zugriff auf Cloud Data Fusion-Laufzeitressourcen. |
|
|
roles/ |
Cloud Data Fusion-BetrachterBeta | Schreibzugriff auf Cloud Data Fusion-Instanzen und zugehörige Ressourcen. |
|
Projekt |
Cloud Debugger-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud Debugger-AgentBeta | Ermöglicht das Registrieren des Debug-Ziels, das Lesen aktiver Haltepunkte und das Melden von Haltepunktergebnissen. |
|
Dienstkonto |
roles/ |
Cloud Debugger-Nutzer Beta | Ermöglicht das Erstellen, Aufrufen, Auflisten und Löschen von Haltepunkten (Snapshots und Logpoints) sowie das Auflisten von Debug-Zielen, d. h. von Komponenten, für die ein Debugging ausgeführt werden soll. |
|
Projekt |
Cloud Document AI-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud Document AI-Administrator. Beta | Gewährt vollständigen Zugriff auf alle Ressourcen in Cloud Document AI |
|
|
roles/ |
Cloud DocumentAI API-NutzerBeta | Gewährt Zugriff auf die Dokumentverarbeitung in Cloud Document AI |
|
|
roles/ |
Cloud DocumentAI-BearbeiterBeta | Gewährt Zugriff auf die Nutzung aller Ressourcen in Cloud Document AI |
|
|
roles/ |
Cloud DocumentAI-Betrachter Beta | Gewährt Zugriff auf das Betrachten aller Ressourcen und Prozessdokumente in Cloud Document AI |
|
Cloud Functions-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud Functions-Administrator | Umfassender Zugriff auf Funktionen, Vorgänge und Speicherorte. |
|
|
roles/ |
Cloud Functions-Entwickler | Lese- und Schreibzugriff auf alle funktionsbezogenen Ressourcen. |
|
|
roles/ |
Cloud Functions-Invoker | HTTP-Funktionen mit eingeschränktem Zugriff aufrufen. |
|
|
roles/ |
Cloud Functions-Betrachter | Schreibgeschützter Zugriff auf Funktionen und Speicherorte. |
|
Cloud IAP-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
IAP-Richtlinienadministrator | Ermöglicht vollständigen Zugriff auf Ressourcen von Cloud Identity-Aware Proxy. |
|
Projekt |
roles/ |
Nutzer von IAP-gesicherten Web-Apps | Ermöglicht Zugriff auf HTTPS-Ressourcen, die Cloud Identity-Aware Proxy verwenden. |
|
Projekt |
roles/ |
Administrator IAP-Einstellungen | Administrator von IAP-Einstellungen. |
|
|
roles/ |
Nutzer IAP-gesicherter Tunnel | Ermöglicht Zugriff auf Tunnelressourcen, die Identity-Aware Proxy verwenden. |
|
Cloud IdD-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud IoT-Administrator | Uneingeschränkte Kontrolle über alle Cloud IoT-Ressourcen und -Berechtigungen. |
|
Gerät |
roles/ |
Cloud IoT-Gerätesteuerung | Kann Gerätekonfigurationen aktualisieren, aber keine Geräte erstellen oder löschen. |
|
Gerät |
roles/ |
Cloud IdD-Bearbeiter | Lese-/Schreibzugriff auf alle Cloud IoT-Ressourcen. |
|
Gerät |
roles/ |
Cloud IoT-Bereitsteller | Kann Geräte in Registrys erstellen und löschen, aber keine Registrys ändern. |
|
Gerät |
roles/ |
Cloud IdD-Betrachter | Schreibgeschützter Zugriff auf alle Cloud IdD-Ressourcen. |
|
Gerät |
Cloud Talent Solution-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Administrator | Zugriff auf Self-Service-Tools von Cloud Talent Solution. |
|
|
roles/ |
Job-Editor | Schreibzugriff auf alle Jobdaten in Cloud Talent Solution. |
|
|
roles/ |
Jobbetrachter | Lesezugriff auf alle Jobdaten in Cloud Talent Solution. |
|
|
roles/ |
Profilbearbeiter | Schreibzugriff auf alle Profildaten in Cloud Talent Solution. |
|
|
roles/ |
Profilbetrachter | Lesezugriff auf alle Profildaten in Cloud Talent Solution. |
|
Cloud KMS-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud KMS-Administrator | Vollzugriff auf Cloud-KMS-Ressourcen mit Ausnahme von Verschlüsselungs- und Entschlüsselungsvorgängen |
|
CryptoKey |
roles/ |
Cloud KMS CryptoKey-Entschlüsseler | Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Entschlüsseln zu verwenden. |
|
CryptoKey |
roles/ |
Cloud KMS CryptoKey-Verschlüsseler | Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Verschlüsseln zu verwenden. |
|
CryptoKey |
roles/ |
Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler | Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Verschlüsseln und Entschlüsseln zu verwenden. |
|
CryptoKey |
roles/ |
Cloud KMS-Importeur | Kann folgende Vorgänge ausführen: ImportCryptoKeyVersion, CreateImportJob, ListImportJobs und GetImportJob |
|
|
roles/ |
PublicKey-Betrachter für Cloud KMS CryptoKeys | Ermöglicht GetPublicKey-Vorgänge. |
|
|
roles/ |
Cloud KMS CryptoKey-Signer | Aktiviert Anmeldevorgänge. |
|
|
roles/ |
Cloud KMS CryptoKey-Signer/Prüffunktion | Kann Anmelde-, Bestätigungs- und GetPublicKey-Vorgänge ausführen. |
|
Cloud Marketplace-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Manager von Nutzer-Beschaffungsberechtigungen Beta | Ermöglicht es, Berechtigungen zu verwalten sowie Dienststatus für ein Nutzerprojekt zu aktivieren, zu deaktivieren und zu prüfen. |
|
|
roles/ |
Betrachter von Nutzer-Beschaffungsberechtigungen Beta | Ermöglicht es, Berechtigungen und Dienststatus für ein Nutzerprojekt zu prüfen. |
|
|
roles/ |
Administrator von Nutzer-Beschaffungsaufträgen Beta | Ermöglicht es, Käufe zu verwalten. |
|
|
roles/ |
Betrachter von Nutzer-Beschaffungsaufträgen Beta | Ermöglicht es, Käufe zu prüfen. |
|
Rollen für die Cloud-Migration
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Velostrata Manager Beta | Compute-VMs zum Ausführen von Velostrata Infrastructure erstellen und verwalten |
|
|
roles/ |
Zugriff auf Velostrata Storage Beta | Hat Zugriff auf den Migrationsspeicher |
|
|
roles/ |
Velostrata Manager-Verbindungs-Agent Beta | Verbindung zwischen Velostrata Manager und Google herstellen |
|
|
roles/ |
VM-Migrationsadministrator Beta | Kann alle VM-Migrationsobjekte aufrufen und bearbeiten. |
|
|
roles/ |
VM-Migrationsbetrachter Beta | Alle VM-Migrationsobjekte ansehen |
|
Rollen im privaten Katalog für Cloud
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Katalognutzer Beta | Kann Kataloge im Zielressourcenkontext durchsuchen. |
|
|
roles/ |
Katalogadministrator Beta | Kann den Katalog verwalten und seine Verknüpfungen ansehen. |
|
|
roles/ |
Katalogverwalter Beta | Kann Verknüpfungen zwischen einem Katalog und einer Zielressource verwalten. |
|
|
roles/ |
Katalogorganisationsadministrator Beta | Kann Einstellungen der Katalogorganisation verwalten. |
|
Cloud Profiler-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud Profiler-Agent | Cloud Profiler-Agents können sich registrieren und die Profiling-Daten angeben. |
|
|
roles/ |
Cloud Profiler-Nutzer | Cloud Profiler-Nutzer können die Profiling-Daten abfragen und anzeigen lassen. |
|
Cloud Scheduler-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud Scheduler-Administrator |
Vollzugriff auf Jobs und Ausführungen. Beachten Sie, dass ein Cloud Scheduler-Administrator (oder eine beliebige benutzerdefinierte Rolle mit der Berechtigung "cloudschedulers.job.create") Jobs erstellen kann, die in beliebigen Pub/Sub-Themen im Projekt veröffentlicht werden. |
|
|
roles/ |
Cloud Scheduler-Jobinitiator | Zugriff, um Jobs auszuführen. |
|
|
roles/ |
Cloud Scheduler-Betrachter | Zugriffsrechte für das Abrufen und Auflisten von Jobs, Ausführungen und Orten. |
|
Cloud Security Scanner-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Web Security Scanner-Bearbeiter | Vollständiger Zugriff auf alle Web Security Scanner-Ressourcen |
|
Projekt |
roles/ |
Web Security Scanner-Runner | Lesezugriff auf Scan und ScanRun sowie Möglichkeit zum Starten von Scans |
|
Projekt |
roles/ |
Web Security Scanner-Betrachter | Lesezugriff auf alle Web Security Scanner-Ressourcen |
|
Projekt |
Cloud Services-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Service Broker-Administrator | Vollständiger Zugriff auf Service Broker-Ressourcen. |
|
|
roles/ |
Service Broker-Operator | Operativer Zugriff auf die ServiceBroker-Ressourcen |
|
Cloud SQL-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud SQL-Administrator | Bietet uneingeschränkte Kontrolle über Cloud SQL-Ressourcen. |
|
Projekt |
roles/ |
Cloud SQL-Client | Verbindungszugriff auf Cloud SQL-Instanzen |
|
Projekt |
roles/ |
Cloud SQL-Bearbeiter | Uneingeschränkte Kontrolle über vorhandene Cloud SQL-Instanzen, mit Ausnahme der Bearbeitung von Nutzern und SSL-Zertifikaten oder dem Löschen von Ressourcen |
|
Projekt |
roles/ |
Cloud SQL-Instanznutzer | Rolle für den Zugriff auf eine Cloud SQL-Instanz |
|
|
roles/ |
Cloud SQL-Betrachter | Lesezugriff auf Cloud SQL-Ressourcen |
|
Projekt |
Cloud Tasks-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud Tasks-AdministratorBeta | Vollzugriff auf Warteschlangen und Aufgaben. |
|
|
roles/ |
Ersteller für Cloud-AufgabenBeta | Ermöglicht das Erstellen von Aufgaben. |
|
|
roles/ |
Administrator für Cloud-AufgabenwarteschlangenBeta | Administratorzugriff auf Warteschlangen. |
|
|
roles/ |
Entferner für Cloud-AufgabenBeta | Ermöglicht das Löschen von Aufgaben. |
|
|
roles/ |
Task-Runner von Cloud TasksBeta | Ermöglicht das Ausführen von Aufgaben. |
|
|
roles/ |
Betrachter für Cloud-AufgabenBeta | Kann Aufgaben, Warteschlangen und Standorte abrufen und auflisten. |
|
Cloud Trace-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud Trace-Administrator | Ermöglicht vollständigen Zugriff auf die Trace-Konsole und Lese-/Schreibzugriff auf Traces. |
|
Projekt |
roles/ |
Cloud Trace-Agent | Für Dienstkonten; bietet die Möglichkeit, Traces durch Senden von Daten an Stackdriver Trace zu schreiben. |
|
Projekt |
roles/ |
Cloud Trace-Nutzer | Ermöglicht vollständigen Zugriff auf die Trace-Konsole und Lesezugriff auf Traces. |
|
Projekt |
Cloud Translation-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud Translation API-Administrator | Vollzugriff auf alle Ressourcen von Cloud Translation |
|
|
roles/ |
Cloud Translation API-Bearbeiter | Bearbeiter aller Ressourcen von Cloud Translation |
|
|
roles/ |
Cloud Translation API-Nutzer | Nutzer von Cloud Translation- und AutoML-Modellen |
|
|
roles/ |
Cloud Translation API-Betrachter | Betrachter aller Übersetzungsressourcen |
|
Workflow-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Workflow-AdministratorBeta | Vollständiger Zugriff auf Workflows und zugehörige Ressourcen. |
|
|
roles/ |
Workflow-BearbeiterBeta | Lese- und Schreibzugriff auf Workflows und zugehörige Ressourcen. |
|
|
roles/ |
Workflow-AufruferBeta | Berechtigung zum Ausführen von Workflows und zum Verwalten der Ausführungen. |
|
|
roles/ |
Workflow-BetrachterBeta | Lesezugriff auf Workflows und zugehörige Ressourcen. |
|
Codelab-API-Schlüsselrollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Administrator von Codelab-API-Schlüsseln Beta | Vollständiger Zugriff auf API-Schlüssel |
|
|
roles/ |
Bearbeiter von Codelab-API-Schlüsseln Beta | Diese Rolle kann alle Attribute von API-Schlüsseln ansehen und bearbeiten. |
|
|
roles/ |
Betrachter von Codelab-API-Schlüsseln Beta | Diese Rolle kann alle Attribute ansehen außer dem Änderungsverlauf von API-Schlüsseln. |
|
Cloud Composer-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Composer-Administrator | Bietet uneingeschränkte Kontrolle über Cloud Composer-Ressourcen. |
|
Projekt |
roles/ |
Administrator für Umgebung und Storage-Objekte | Bietet uneingeschränkte Kontrolle über Cloud Composer-Ressourcen und die Objekte in allen Projekt-Buckets. |
|
Projekt |
roles/ |
Umgebungsnutzer und Betrachter von Storage-Objekten | Bietet die Berechtigung zum Auflisten und Abrufen von Cloud Composer-Umgebungen und -Vorgängen. Bietet Lesezugriff auf Objekte in allen Projekt-Buckets. |
|
Projekt |
roles/ |
Composer-Agent für freigegebene VPC | Rolle, die dem Dienstkonto des Composer-Agents im Hostprojekt der freigegebenen VPC zugewiesen wurde |
|
|
roles/ |
Composer-Nutzer | Berechtigung zum Auflisten und Abrufen von Cloud Composer-Umgebungen und -Vorgängen. |
|
Projekt |
roles/ |
Composer-Worker | Berechtigung zum Ausführen einer VM in einer Cloud Composer-Umgebung. Für Dienstkonten bestimmt. |
|
Projekt |
Compute Engine-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Compute-Administrator |
Vollständige Kontrolle über alle Compute Engine-Ressourcen. Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle |
|
Laufwerk, Image, Instanz, Instanzvorlage, Knotengruppe, Knotenvorlage, SnapshotBeta |
roles/ |
Compute Image-Nutzer |
Berechtigung zum Auflisten und Lesen von Images ohne weitere Berechtigungen für das jeweilige Image. Wenn Sie diese Rolle auf Projektebene zuweisen, können Nutzer alle Images im Projekt auflisten sowie Ressourcen wie Instanzen und nichtflüchtige Speicher anhand der Images im Projekt erstellen. |
|
ImageBeta |
roles/ |
Compute-Instanzadministrator (Beta) |
Berechtigungen zur Erstellung, Änderung und Löschung von VM-Instanzen. Dazu gehören auch Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken sowie zum Konfigurieren der Einstellungen für Shielded VMBETA. Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle Wenn ein Mitarbeiter in Ihrem Unternehmen beispielsweise VM-Instanzgruppen, aber keine Netzwerk- oder Sicherheitseinstellungen und keine als Dienstkonten ausgeführten Instanzen verwalten muss, können Sie diese Rolle der Organisation, dem Ordner oder dem Projekt mit den Instanzen oder den Instanzen selbst zuweisen. |
|
Laufwerk, Image, Instanz, Instanzvorlage, SnapshotBeta |
roles/ |
Compute-Instanzadministrator (Version 1) |
Uneingeschränkte Kontrolle über Compute Engine-Instanzen, Instanzgruppen, Laufwerke, Snapshots und Images. Lesezugriff auf alle Compute Engine-Netzwerkressourcen. Wenn Sie einem Nutzer diese Rolle nur auf Instanzebene gewähren, kann er keine neuen Instanzen erstellen. |
|
|
roles/ |
Administrator für Compute-Load-BalancerBeta |
Berechtigungen zum Erstellen, Ändern und Löschen von Load-Balancern und zugehörigen Ressourcen. Wenn Ihr Unternehmen beispielsweise ein Load-Balancing-Team hat, das Load-Balancer, SSL-Zertifikate für Load-Balancing-Module, SSL-Richtlinien und andere Load-Balancing-Ressourcen verwaltet, sowie ein separates Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie diese Rolle der Gruppe des Load-Balancing-Teams zu. |
|
InstanzBeta |
roles/ |
Compute-Netzwerkadministrator |
Berechtigungen zum Erstellen, Ändern und Löschen von Netzwerkressourcen mit Ausnahme von Firewallregeln und SSL-Zertifikaten. Die Rolle "Netzwerkadministrator" gewährt Lesezugriff auf Firewallregeln, SSL-Zertifikate und Instanzen für den Aufruf der zugehörigen sitzungsspezifischen IP-Adressen. Mit der Rolle "Netzwerkadministrator" können Nutzer keine Instanzen erstellen, starten, beenden oder löschen. Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie dieser Gruppe die Rolle des Netzwerkteams zu. |
|
InstanzBeta |
roles/ |
Compute-Netzwerknutzer |
Bietet Zugriff auf ein freigegebenes VPC-Netzwerk Nach der Zugriffserteilung können Dienstinhaber VPC-Netzwerke und Subnetze verwenden, die zum Hostprojekt gehören. Beispielsweise kann ein Netzwerknutzer eine VM-Instanz erstellen, die zu einem Hostprojekt-Netzwerk gehört, ohne jedoch im Hostprojekt neue Netzwerke löschen oder erstellen zu können. |
|
Projekt |
roles/ |
Compute-Netzwerkbetrachter |
Lesezugriff auf alle Netzwerkressourcen Wenn Sie beispielsweise Software haben, die Ihre Netzwerkkonfiguration überprüft, können Sie diese Rolle dem Dienstkonto dieser Software zuweisen. |
|
InstanzBeta |
roles/ |
Administrator von Compute-Firewall-Richtlinien für die Organisation | Vollständige Kontrolle über Compute Engine-Firewall-Richtlinien für die Organisation. |
|
|
roles/ |
Nutzer von Compute-Firewall-Richtlinien für die Organisation | Aufruf oder Nutzung von Compute Engine-Firewall-Richtlinien zur Verknüpfung mit der Organisation oder Ordnern. |
|
|
roles/ |
Administrator von Compute Engine-Sicherheitsrichtlinien für die Organisation | Vollständige Kontrolle über Sicherheitsrichtlinien der Organisation in Compute Engine |
|
|
roles/ |
Nutzer von Compute Engine-Sicherheitsrichtlinien für die Organisation | Aufruf oder Nutzung von Compute Engine-Sicherheitsrichtlinien zur Verknüpfung mit der Organisation oder Ordnern. |
|
|
roles/ |
Administrator für Compute-Organisationsressourcen | Vollständige Kontrolle über Verknüpfungen von Compute Engine-Firewall-Richtlinien mit der Organisation oder Ordnern. |
|
|
roles/ |
Compute OS-Administrator-Login | Berechtigung zur Anmeldung bei einer Compute Engine-Instanz als Administrator. |
|
InstanzBeta |
roles/ |
Compute OS-Log-in | Kann sich in einer Compute Engine-Instanz als Standardnutzer anmelden. |
|
InstanzBeta |
roles/ |
Externer Nutzer von Compute OS-Log-in |
Nur auf Organisationsebene verfügbar. Ermöglicht den Zugriff für einen externen Nutzer, um die OS-Login-Informationen der Organisation festzulegen. Diese Rolle berechtigt nicht zum Zugriff auf Instanzen. Externen Nutzern muss eine der erforderlichen OS Login-Rollen zugewiesen werden, damit auf Instanzen mit SSH zugegriffen werden kann. |
|
Organisation |
roles/ |
Administrator der Compute-Paketspiegelung | Gibt zu spiegelnde Ressourcen an. |
|
|
roles/ |
Nutzer der Compute-Paketspiegelung | Verwendet Compute Engine-Paketspiegelungen. |
|
|
roles/ |
Compute Public-IP-Administrator Beta | Vollständige Kontrolle der öffentlichen IP-Adressverwaltung für Compute Engine. |
|
|
roles/ |
Compute-Sicherheitsadministrator |
Berechtigungen zum Erstellen, Ändern und Löschen von Firewallregeln und SSL-Zertifikaten sowie zum Konfigurieren der Einstellungen von Shielded VMBETA Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie diese Rolle der Gruppe des Sicherheitsteams zu. |
|
InstanzBeta |
roles/ |
Compute Storage-Administrator |
Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken, Images und Snapshots. Wenn in Ihrem Unternehmen beispielsweise ein Mitarbeiter Projekt-Images verwaltet und Sie nicht möchten, dass er die Bearbeiterrolle für das Projekt hat, weisen Sie diese Rolle seinem Konto für das Projekt zu. |
|
Laufwerk, Image, SnapshotBeta |
roles/ |
Compute-Betrachter |
Lesezugriff zum Abrufen und Auflisten von Compute Engine-Ressourcen, aber ohne die Möglichkeit, die darin gespeicherten Daten zu lesen. Ein Konto mit dieser Rolle kann beispielsweise zwar alle Laufwerke in einem Projekt inventarisieren, aber keine Daten auf diesen Laufwerken lesen. |
|
Laufwerk, Image, Instanz, Instanzvorlage, Knotengruppe, Knotenvorlage, SnapshotBeta |
roles/ |
Administrator für freigegebene Compute-VPC |
Berechtigung zum Verwalten freigegebener VPC-Hostprojekte, insbesondere die Aktivierung der Hostprojekte und die Verknüpfung freigegebener VPC-Dienstprojekte mit dem Netzwerk des Hostprojekts Auf Organisationsebene kann diese Rolle nur von einem Organisationsadministrator zugewiesen werden.
Google Cloud empfiehlt, dass der Administrator für freigegebene VPCs der Inhaber des Hostprojekts einer freigegebenen VPC ist. Der Administrator für freigegebene VPCs ist für die Zuweisung der Rolle "Compute-Netzwerknutzer" ( |
|
Ordner |
roles/ |
GuestPolicy-AdministratorBeta | Vollständiger Administratorzugriff auf GuestPolicies |
|
|
roles/ |
GuestPolicy-BearbeiterBeta | Bearbeiter von GuestPolicy-Ressourcen |
|
|
roles/ |
GuestPolicy-BetrachterBeta | Betrachter von GuestPolicy-Ressourcen |
|
|
roles/ |
PatchDeployment-Administrator | Vollständiger Administratorzugriff auf PatchDeployments |
|
|
roles/ |
PatchDeployment-Betrachter | Betrachter von PatchDeployment-Ressourcen |
|
|
roles/ |
Patch-Job-Executor | Zugriff zum Ausführen von Patch-Jobs |
|
|
roles/ |
Patch-Job-Betrachter | Abrufen und Auflisten von Patch-Jobs |
|
Kubernetes Engine-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Kubernetes Engine-Administrator |
Berechtigung zum vollständigen Verwalten von Clustern und den zugehörigen Kubernetes API-Objekten. Zum Festlegen eines Dienstkontos für Knoten müssen Sie auch die Rolle "Dienstkontonutzer" ( |
|
Projekt |
roles/ |
Administrator für Kubernetes Engine-Cluster |
Berechtigung zum Verwalten von Clustern. Zum Festlegen eines Dienstkontos für Knoten müssen Sie auch die Rolle "Dienstkontonutzer" ( |
|
Projekt |
roles/ |
Kubernetes Engine-Clusterbetrachter | Informationen zum Zugriff auf GKE-Cluster abrufen und auflisten. |
|
|
roles/ |
Kubernetes Engine-Entwickler | Zugriff auf Kubernetes API-Objekte in Clustern |
|
Projekt |
roles/ |
Nutzer des Dienst-Agents für den Kubernetes Engine-Host | Ermöglicht dem Kubernetes Engine-Dienstkonto im Hostprojekt, freigegebene Netzwerkressourcen für die Clusterverwaltung zu konfigurieren. Gewährt auch Zugriff zum Untersuchen der Firewallregeln im Hostprojekt |
|
|
roles/ |
Kubernetes Engine Viewer | Lesezugriff auf GKE-Ressourcen |
|
Projekt |
Container Analysis-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Container Analysis-Administrator | Zugriff auf alle Container Analysis-Ressourcen. |
|
|
roles/ |
Hinzufüger von Container Analysis-Hinweisen | Kann bei Ereignissen Container Analysis-Hinweise anhängen. |
|
|
roles/ |
Bearbeiter von Container Analysis-Hinweisen | Kann Container Analysis-Hinweise bearbeiten. |
|
|
roles/ |
Container Analysis-Ereignisse für Betrachter von Hinweisen |
|
||
roles/ |
Betrachter von Container Analysis-Hinweisen | Kann Container Analysis-Hinweise aufrufen. |
|
|
roles/ |
Bearbeiter von Container Analysis-Ereignissen | Kann Container Analysis-Ereignisse bearbeiten. |
|
|
roles/ |
Betrachter von Container Analysis-Ereignissen | Kann Container Analysis-Ereignisse aufrufen. |
|
Data Catalog-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Data Catalog-Administrator | Vollständiger Zugriff auf alle DataCatalog-Ressourcen |
|
|
roles/ |
Richtlinien-Tag-AdministratorBeta | Taxonomien verwalten |
|
|
roles/ |
Detaillierter LeserBeta | Lesezugriff auf nach Richtlinie getaggte untergeordnete Ressourcen, z. B. BigQuery-Spalten |
|
|
roles/ |
Ersteller von DataCatalog-Eintragsgruppen | Kann neue Eintragsgruppen erstellen |
|
|
roles/ |
Inhaber von Datacatalog-Eintragsgruppen | Vollständiger Zugriff auf Eintragsgruppen |
|
|
roles/ |
Inhaber von DataCatalog-Einträgen | Vollständiger Zugriff auf Einträge |
|
|
roles/ |
Betrachter von DataCatalog-Einträgen | Lesezugriff auf Einträge |
|
|
roles/ |
DataCatalog-Tag-Bearbeiter | Bietet die Berechtigung zum Ändern von Tags in Google Cloud-Assets für BigQuery und Pub/Sub |
|
|
roles/ |
Data Catalog-Tag-Vorlagen-Ersteller | Zugriff zum Erstellen von neuen Tag-Vorlagen |
|
|
roles/ |
Data Catalog-Tag-Vorlagen-Inhaber | Vollständiger Zugriff auf Tag-Vorlagen |
|
|
roles/ |
Data Catalog-Tag-Vorlagen-Nutzer | Zugriff auf Vorlagen, um Ressourcen zu taggen |
|
|
roles/ |
Data Catalog-Tag-Vorlagen-Betrachter | Lesezugriff auf Vorlagen und Tags, die mit den Vorlagen erstellt wurden |
|
|
roles/ |
Data Catalog-Betrachter | Bietet Lesezugriff für Metadaten auf katalogisierte Google Cloud-Assets für BigQuery und Pub/Sub |
|
Dataflow-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Dataflow-Administrator | Minimale Rolle zur Erstellung und Verwaltung von Dataflow-Jobs |
|
|
roles/ |
Dataflow-Entwickler | Bietet das Ausführen und Bearbeiten von Dataflow-Jobs. |
|
Projekt |
roles/ |
Dataflow-Betrachter | Bietet Lesezugriff auf alle Ressourcen in Verbindung mit Dataflow. |
|
Projekt |
roles/ |
Dataflow-Worker | Bietet die erforderlichen Berechtigungen für ein Compute Engine-Dienstkonto, um Arbeitseinheiten für eine Dataflow-Pipeline auszuführen. |
|
Projekt |
Cloud Data Labeling-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
DataLabeling-Dienstadministrator Beta | Voller Zugriff auf alle DataLabeling-Ressourcen |
|
|
roles/ |
DataLabeling-DienstbearbeiterBeta | Bearbeiter aller DataLabeling-Ressourcen |
|
|
roles/ |
DataLabeling-Dienstbetrachter Beta | Betrachter aller DataLabeling-Ressourcen |
|
Rollen für die Datenmigration
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Administrator für die DatenbankmigrationBeta | Vollständiger Zugriff auf alle Ressourcen der Datenbankmigration |
|
Dataprep-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Dataprep-Nutzer Beta | Verwendung von Dataprep |
|
Dataproc-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Dataproc-Administrator | Umfassende Kontrolle über Dataproc-Ressourcen. |
|
|
roles/ |
Dataproc-Bearbeiter | Bietet Berechtigungen zum Aufrufen der Ressourcen, die zum Verwalten von Dataproc erforderlich sind, beispielsweise Maschinentypen, Netzwerke, Projekte und Zonen. |
|
Projekt |
roles/ |
Dataproc Hub-Agent | Kann Dataproc-Ressourcen verwalten. Vorgesehen für Dienstkonten, mit denen Dataproc Hub-Instanzen ausgeführt werden. |
|
|
roles/ |
Dataproc-Betrachter | Bietet Lesezugriff auf Dataproc-Ressourcen. |
|
Projekt |
roles/ |
Dataproc-Worker | Bietet Worker-Zugriff auf Dataproc-Ressourcen. Für Dienstkonten gedacht. |
|
Datastore-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud Datastore-Import-/Export-Administrator | Vollzugriff für die Verwaltung von Importen und Exporten |
|
Projekt |
roles/ |
Cloud Datastore-Index-Administrator | Vollzugriff zur Verwaltung von Indexdefinitionen |
|
Projekt |
roles/ |
Cloud Datastore-Inhaber | Vollzugriff auf Cloud Datastore-Ressourcen |
|
Projekt |
roles/ |
Cloud Datastore-Nutzer | Lese-/Schreibzugriff auf Daten in einer Cloud Datastore-Datenbank |
|
Projekt |
roles/ |
Cloud Datastore-Betrachter | Lesezugriff auf Cloud Datastore-Ressourcen |
|
Projekt |
Deployment Manager-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Deployment Manager-Bearbeiter | Bietet das Erstellen und Verwalten von Bereitstellungen. |
|
Projekt |
roles/ |
Bearbeiter von Deployment Manager-Typ | Bietet Lese- und Schreibzugriff auf alle Ressourcen zur Typregistrierung. |
|
Projekt |
roles/ |
Betrachter von Deployment Manager-Typ | Schreibgeschützter Zugriff auf alle Ressourcen zur Typregistrierung |
|
Projekt |
roles/ |
Deployment Manager-Betrachter | Bietet Lesezugriff auf alle Deployment Manager-Ressourcen. |
|
Projekt |
Dialogflow-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Dialogflow API-Administrator | Gewähren Sie Zugriff für Dialogflow API-Administratoren, die vollen Zugriff auf Dialogflow-spezifische Ressourcen benötigen. Siehe auch Dialogflow-Zugriffssteuerung. |
|
Projekt |
roles/ |
Dialogflow API-Client | Gewähren Sie Zugriff für Dialogflow API-Clients, die Dialogflow-spezifische Änderungen vornehmen und Intent-Aufrufe mit der API erkennen. Siehe auch Dialogflow-Zugriffssteuerung. |
|
Projekt |
roles/ |
Agent-Bearbeiter in Dialogflow-Konsole | Gewähren Sie Zugriff für Bearbeiter der Dialogflow-Konsole, die vorhandene Agents bearbeiten. Siehe auch Dialogflow-Zugriffssteuerung. |
|
Projekt |
roles/ |
Dialogflow Conversation Manager | Kann alle Ressourcen im Zusammenhang mit Dialogflow-Kommunikation verwalten. |
|
|
roles/ |
Dialogflow Integration Manager | Kann Dialogflow-Integrationen hinzufügen, entfernen, aktivieren und deaktivieren. |
|
|
roles/ |
Dialogflow API-Leser | Gewähren Sie Zugriff für Dialogflow API-Clients, die Dialogflow-spezifische schreibgeschützte Aufrufe über die API ausführen. Siehe auch Dialogflow-Zugriffssteuerung. |
|
Projekt |
Cloud DLP-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
DLP-Administrator | Verwalten Sie DLP einschließlich Jobs und Vorlagen. |
|
|
roles/ |
Bearbeiter von DLP-Risikoanalysevorlagen | DLP-Analyse-Risikovorlagen bearbeiten. |
|
|
roles/ |
Leser von DLP-Risikoanalysevorlagen | DLP-Risikoanalysevorlagen lesen. |
|
|
roles/ |
DLP-De-identify-Vorlageneditor | DLP-DE-identify-Vorlagen bearbeiten. |
|
|
roles/ |
Leser von DLP-De-identify-Vorlagen | DLP-de-identify-Vorlagen lesen. |
|
|
roles/ |
Leser von DLP-Prüfungsergebnissen | Gespeicherte DLP-Ergebnisse lesen. |
|
|
roles/ |
Mitbearbeiter von DLP-Prüfungsvorlagen | DLP-Prüfungsvorlagen lesen. |
|
|
roles/ |
Leser von DLP-Prüfungsvorlagen | DLP Prüfungsvorlagen lesen. |
|
|
roles/ |
DLP-Job-Trigger-Bearbeiter | Job-Trigger-Konfigurationen bearbeiten. |
|
|
roles/ |
Leser von DLP-Job-Triggern | Job-Trigger lesen. |
|
|
roles/ |
DLP-Jobs-Bearbeiter | Jobs bearbeiten und erstellen |
|
|
roles/ |
Leser von DLP-Jobs | Jobs lesen |
|
|
roles/ |
DLP-Leser | Lesen von DLP-Entitäten wie Jobs oder Vorlagen. |
|
|
roles/ |
Bearbeiter von für DLP gespeicherten InfoTypes | Für DLP gespeicherte InfoTypes bearbeiten. |
|
|
roles/ |
Leser von für DLP gespeicherte InfoTypes | Für DLP gespeicherte InfoTypes lesen. |
|
|
roles/ |
DLP-Nutzer | Inhalte prüfen, entfernen und ihre Identifizierung aufheben |
|
DNS-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
DNS-Administrator | Lese- und Schreibzugriff auf alle Cloud DNS-Ressourcen |
|
Projekt |
roles/ |
DNS-Peer | Zugriff auf Zielnetzwerke mit DNS-Peering-Zonen |
|
|
roles/ |
DNS-Leser | Lesezugriff auf alle Cloud DNS-Ressourcen |
|
Projekt |
Cloud Domains-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Cloud Domains-AdministratorBeta | Vollständiger Zugriff auf Cloud Domains Registrations und zugehörige Ressourcen. |
|
|
roles/ |
Cloud Domains-BetrachterBeta | Lesezugriff auf Cloud Domains Registrations und zugehörige Ressourcen. |
|
Earth Engine-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Earth Engine-Ressourcenadministrator Beta | Vollständiger Zugriff auf Earth Engine-Ressourcenfunktionen |
|
|
roles/ |
Earth Engine-Ressourcen-Betrachter Beta | Betrachter aller Earth-Engine-Ressourcen |
|
|
roles/ |
Earth Engine-Ressourcenautor Beta | Autor aller Earth-Engine-Ressourcen |
|
Endpoints-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Endpoints-Portal-Administrator Beta | Alle Berechtigungen zum Hinzufügen, Aufrufen und Löschen benutzerdefinierter Domains auf der Seite Endpoints > Entwicklerportal der Cloud Console. Ermöglicht in einem für eine API erstellten Portal das Ändern der Einstellungen auf dem Tab Gesamte Website der Seite Einstellungen. |
|
Projekt |
Error Reporting-Rollen
Rolle | Titel | Beschreibung | Berechtigungen | Niedrigste Ressource |
---|---|---|---|---|
roles/ |
Error Reporting-AdministratorBeta | Bietet uneingeschränkten Zugriff auf Error Reporting-Daten. |
|