Informationen zu Rollen

Auf dieser Seite werden IAM-Rollen beschrieben und die vordefinierten Rollen aufgelistet, die Sie Ihren Hauptkonten zuweisen können.

Eine Rolle enthält eine Reihe von Berechtigungen, mit denen Sie bestimmte Aktionen für Google Cloud-Ressourcen vornehmen können. Wenn Sie Hauptkonten Berechtigungen erteilen möchten, einschließlich Nutzern, Gruppen und Dienstkonten, weisen Sie den Hauptkonten Rollen zu.

Voraussetzungen für diese Anleitung

Rollentypen

Es gibt drei Arten von Rollen in IAM:

  • Einfache Rollen, zu denen die Rollen "Inhaber", "Bearbeiter" und "Betrachter" gehören und die es schon vor der Einführung von IAM gab.
  • Vordefinierte Rollen, die detaillierten Zugriff auf einen bestimmten Dienst bieten und von Google Cloud verwaltet werden.
  • Benutzerdefinierte Rollen, die detaillierten Zugriff gemäß einer vom Nutzer angegebenen Liste von Berechtigungen bieten.

Mit einer der folgenden Methoden können Sie ermitteln, ob eine Berechtigung in einer einfachen, vordefinierten oder benutzerdefinierten Rolle enthalten ist:

  • Führen Sie den Befehl gcloud iam roles describe aus, um die Berechtigungen der Rolle aufzulisten:
  • Rufen Sie die REST API-Methode roles.get() auf, um die Berechtigungen in der Rolle aufzulisten.
  • Nur für einfache und vordefinierte Rollen: Suchen Sie in der Berechtigungsreferenz, ob die Berechtigung von der Rolle gewährt wird.
  • Nur für vordefinierte Rollen: Suchen Sie auf dieser Seite in den vordefinierten Rollenbeschreibungen, um zu sehen, welche Berechtigungen die Rolle enthält.

In den folgenden Abschnitten werden die einzelnen Rollentypen beschrieben und Beispiele für deren Verwendung gegeben.

Einfache Rollen

Vor der Einführung von IAM gab es mehrere einfache Rollen: "Inhaber", "Bearbeiter" und "Betrachter". Diese Rollen sind konzentrisch, was bedeutet, dass die Inhaberrolle die Berechtigungen der Bearbeiterrolle und die Bearbeiterrolle die Berechtigungen der Betrachterrolle beinhaltet. Sie wurden ursprünglich als „einfache Rollen“ bezeichnet.

In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die die einfachen Rollen in allen Google Cloud-Diensten enthalten:

Definitionen für einfache Rollen

Name Titel Berechtigungen
roles/viewer Betrachter Berechtigungen für schreibgeschützte Aktionen, die sich nicht auf den Status auswirken, z. B. Anzeigen (aber nicht Ändern) vorhandener Ressourcen oder Daten
roles/editor Bearbeiter Alle Berechtigungen des Betrachters sowie Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. das Ändern vorhandener Ressourcen
Hinweis: Die Bearbeiterrolle enthält Berechtigungen zum Erstellen und Löschen von Ressourcen für die meisten Google Cloud-Dienste. Es enthält jedoch nicht die Berechtigung, sämtliche Aktionen für alle Dienste auszuführen. Weitere Informationen dazu, wie Sie prüfen können, ob eine Rolle die erforderlichen Berechtigungen hat, finden Sie auf dieser Seite unter Rollentypen.
roles/owner Inhaber Alle Berechtigungen des Bearbeiters und Berechtigungen für die folgenden Aktionen:
  • Rollen und Berechtigungen für ein Projekt und alle Ressourcen innerhalb des Projekts verwalten
  • Abrechnung für ein Projekt einrichten
Hinweis:
  • Durch das Zuweisen der Inhaberrolle auf Ressourcenebene, z. B. ein Pub/Sub-Thema, wird die Inhaberrolle im übergeordneten Projekt nicht zugewiesen.
  • Wenn Sie die Inhaberrolle auf Organisationsebene zuweisen, können Sie die Metadaten der Organisation nicht aktualisieren. Sie können damit jedoch alle Projekte und andere Ressourcen in dieser Organisation ändern.
  • Hinweis: Wenn Sie einem Nutzer außerhalb Ihrer Organisation die Rolle Inhaber für ein Projekt zuweisen möchten, müssen Sie die Google Cloud Console verwenden, nicht die gcloud CLI. Wenn Ihr Projekt nicht zu einer Organisation gehört, müssen Sie die Console zum Erteilen der Rolle „Inhaber“ verwenden.

Sie können einfache Rollen mit der Console, der API und der gcloud CLI zuweisen. Informationen zum Zuweisen einfacher Rollen für ein Projekt, einen Ordner oder eine Organisation finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten. Informationen zum Zuweisen einfacher Rollen für andere Ressourcen finden Sie unter Zugriff auf andere Ressourcen verwalten.

Vordefinierte Rollen

Zusätzlich zu den einfachen Rollen bietet IAM weitere vordefinierte Rollen, die detaillierten Zugriff auf bestimmte Ressourcen von Google Cloud ermöglichen und unerwünschten Zugriff auf andere Ressourcen verhindern. Vordefinierte Rollen werden von Google erstellt und verwaltet. Google aktualisiert seine Berechtigungen bei Bedarf automatisch, z. B. wenn Google Cloud neue Features oder Dienste hinzufügt.

Die folgende Tabelle enthält diese Rollen, ihre Beschreibung und den Ressourcentyp der untersten Ebene, für den Rollen festgelegt werden. Eine bestimmte Rolle kann diesem Ressourcentyp oder in den meisten Fällen einem übergeordneten Typ in der Google Cloud-Ressourcen-Hierarchie zugewiesen werden.

Sie können demselben Nutzer auf jeder Ebene der Ressourcenhierarchie mehrere Rollen zuweisen. Zum Beispiel kann ein Nutzer die Rollen "Compute-Netzwerkadministrator" und "Logbetrachter" für ein Projekt und auch die Rolle "Pub/Sub-Publisher" für ein Pub/Sub-Thema in diesem Projekt haben. Informationen zum Auflisten der in einer Rolle enthaltenen Berechtigungen finden Sie unter Rollenmetadaten abrufen.

Informationen zur Auswahl der am besten geeigneten vordefinierten Rollen finden Sie unter Vordefinierte Rollen auswählen.

Rollen zur Zugriffsgenehmigung

Rolle Berechtigungen

Genehmiger für Zugriffsgenehmigungen Beta
(roles/accessapproval.approver)

Kann Anfragen für Zugriffsgenehmigungen ansehen und bearbeiten sowie Konfigurationen ansehen

  • accessapproval.requests.*
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Bearbeiter der Konfiguration von Zugriffsgenehmigungen Beta
(roles/accessapproval.configEditor)

Kann die Zugriffsgenehmigungskonfiguration aktualisieren

  • accessapproval.settings.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Annullierfunktion für die Zugriffsgenehmigung Beta
(roles/accessapproval.invalidator)

Funktion zur Annullierung bereits genehmigter Genehmigungsanfragen

  • accessapproval.requests.invalidate
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Betrachter von Zugriffsgenehmigungen Beta
(roles/accessapproval.viewer)

Kann Anfragen für Zugriffsgenehmigungen und Konfigurationen ansehen

  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Context Manager-Rollen

Rolle Berechtigungen

Administrator für Cloud-Zugriffsbindungen
(roles/accesscontextmanager.gcpAccessAdmin)

Cloud-Zugriffsbindungen erstellen, bearbeiten und ändern.

  • accesscontextmanager.gcpUserAccessBindings.*

Leser für Cloud-Zugriffsbindungen
(roles/accesscontextmanager.gcpAccessReader)

Lesezugriff auf Cloud-Zugriffsbindungen

  • accesscontextmanager.gcpUserAccessBindings.get
  • accesscontextmanager.gcpUserAccessBindings.list

Access Context Manager-Administrator
(roles/accesscontextmanager.policyAdmin)

Vollständiger Zugriff auf Richtlinien, Zugriffsebenen und Zugriffszonen

  • accesscontextmanager.accessLevels.*
  • accesscontextmanager.accessPolicies.*
  • accesscontextmanager.accessZones.*
  • accesscontextmanager.policies.*
  • accesscontextmanager.servicePerimeters.*
  • cloudasset.assets.searchAllResources
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Context Manager-Bearbeiter
(roles/accesscontextmanager.policyEditor)

Schreibzugriff auf Richtlinien. Erstellen, bearbeiten und ändern Sie Zugriffsebenen und -zonen.

  • accesscontextmanager.accessLevels.*
  • accesscontextmanager.accessPolicies.create
  • accesscontextmanager.accessPolicies.delete
  • accesscontextmanager.accessPolicies.get
  • accesscontextmanager.accessPolicies.getIamPolicy
  • accesscontextmanager.accessPolicies.list
  • accesscontextmanager.accessPolicies.update
  • accesscontextmanager.accessZones.*
  • accesscontextmanager.policies.create
  • accesscontextmanager.policies.delete
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.policies.update
  • accesscontextmanager.servicePerimeters.*
  • cloudasset.assets.searchAllResources
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Context Manager-Leser
(roles/accesscontextmanager.policyReader)

Lesezugriff auf Richtlinien, Zugriffsebenen und Zugriffszonen.

  • accesscontextmanager.accessLevels.get
  • accesscontextmanager.accessLevels.list
  • accesscontextmanager.accessPolicies.get
  • accesscontextmanager.accessPolicies.getIamPolicy
  • accesscontextmanager.accessPolicies.list
  • accesscontextmanager.accessZones.get
  • accesscontextmanager.accessZones.list
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.servicePerimeters.get
  • accesscontextmanager.servicePerimeters.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Betrachter der VPC Service Controls-Fehlerbehebung
(roles/accesscontextmanager.vpcScTroubleshooterViewer)

  • accesscontextmanager.accessLevels.get
  • accesscontextmanager.accessLevels.list
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.servicePerimeters.get
  • accesscontextmanager.servicePerimeters.list
  • logging.exclusions.get
  • logging.exclusions.list
  • logging.logEntries.list
  • logging.logMetrics.get
  • logging.logMetrics.list
  • logging.logServiceIndexes.list
  • logging.logServices.list
  • logging.logs.list
  • logging.sinks.get
  • logging.sinks.list
  • logging.usage.get
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Actions-Rollen

Rolle Berechtigungen

Actions-Administrator
(roles/actions.Admin)

Kann Aktionen bearbeiten und bereitstellen

  • actions.*
  • firebase.projects.get
  • firebase.projects.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

Actions-Betrachter
(roles/actions.Viewer)

Kann Aktionen aufrufen

  • actions.agent.get
  • actions.agentVersions.get
  • actions.agentVersions.list
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

AI Notebooks-Rollen

Rolle Berechtigungen

Notebooks-Administrator
(roles/notebooks.admin)

Vollständiger Zugriff auf alle Notebooks-Ressourcen

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Instanz
  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.instances.listTagBindings
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.getIamPolicy
  • compute.regionFirewallPolicies.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • notebooks.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Notebooks-Legacy-Administrator
(roles/notebooks.legacyAdmin)

Vollständiger Zugriff auf alle Notebooks-Ressourcen über die Compute API.

  • compute.*
  • notebooks.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Notebooks-Legacy-Betrachter
(roles/notebooks.legacyViewer)

Lesezugriff auf alle Notebooks-Ressourcen über die Compute API.

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.instances.listTagBindings
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.getIamPolicy
  • compute.regionFirewallPolicies.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • notebooks.environments.get
  • notebooks.environments.getIamPolicy
  • notebooks.environments.list
  • notebooks.executions.get
  • notebooks.executions.getIamPolicy
  • notebooks.executions.list
  • notebooks.instances.checkUpgradability
  • notebooks.instances.get
  • notebooks.instances.getHealth
  • notebooks.instances.getIamPolicy
  • notebooks.instances.list
  • notebooks.locations.*
  • notebooks.operations.get
  • notebooks.operations.list
  • notebooks.runtimes.get
  • notebooks.runtimes.getIamPolicy
  • notebooks.runtimes.list
  • notebooks.schedules.get
  • notebooks.schedules.getIamPolicy
  • notebooks.schedules.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Notebooks-Ausführer
(roles/notebooks.runner)

Eingeschränkter Zugriff zum Ausführen geplanter Notebooks.

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.instances.listTagBindings
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.getIamPolicy
  • compute.regionFirewallPolicies.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • notebooks.environments.get
  • notebooks.environments.getIamPolicy
  • notebooks.environments.list
  • notebooks.executions.create
  • notebooks.executions.get
  • notebooks.executions.getIamPolicy
  • notebooks.executions.list
  • notebooks.instances.checkUpgradability
  • notebooks.instances.create
  • notebooks.instances.get
  • notebooks.instances.getHealth
  • notebooks.instances.getIamPolicy
  • notebooks.instances.list
  • notebooks.locations.*
  • notebooks.operations.get
  • notebooks.operations.list
  • notebooks.runtimes.create
  • notebooks.runtimes.get
  • notebooks.runtimes.getIamPolicy
  • notebooks.runtimes.list
  • notebooks.schedules.create
  • notebooks.schedules.get
  • notebooks.schedules.getIamPolicy
  • notebooks.schedules.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Notebooks-Betrachter
(roles/notebooks.viewer)

Lesezugriff auf alle Notebooks-Ressourcen

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Instanz
  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.getIamPolicy
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.disks.listEffectiveTags
  • compute.disks.listTagBindings
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.images.listEffectiveTags
  • compute.images.listTagBindings
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listEffectiveTags
  • compute.instances.listReferrers
  • compute.instances.listTagBindings
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.getRegionEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.getIamPolicy
  • compute.regionBackendServices.list
  • compute.regionFirewallPolicies.get
  • compute.regionFirewallPolicies.getIamPolicy
  • compute.regionFirewallPolicies.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.snapshots.listEffectiveTags
  • compute.snapshots.listTagBindings
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • notebooks.environments.get
  • notebooks.environments.getIamPolicy
  • notebooks.environments.list
  • notebooks.executions.get
  • notebooks.executions.getIamPolicy
  • notebooks.executions.list
  • notebooks.instances.checkUpgradability
  • notebooks.instances.get
  • notebooks.instances.getHealth
  • notebooks.instances.getIamPolicy
  • notebooks.instances.list
  • notebooks.locations.*
  • notebooks.operations.get
  • notebooks.operations.list
  • notebooks.runtimes.get
  • notebooks.runtimes.getIamPolicy
  • notebooks.runtimes.list
  • notebooks.schedules.get
  • notebooks.schedules.getIamPolicy
  • notebooks.schedules.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

AI Platform-Rollen

Rolle Berechtigungen

AI Platform-Administrator
(roles/ml.admin)

Vollzugriff auf AI Platform-Ressourcen und die zugehörigen Jobs, Vorgänge, Modelle und Versionen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • ml.*
  • resourcemanager.projects.get

AI Platform-Entwickler
(roles/ml.developer)

Verwendung von AI Platform-Ressourcen zur Erstellung von Modellen, Versionen und Jobs zu Schulungs- und Vorhersagezwecken sowie zum Senden von Online-Vorhersageanfragen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • ml.jobs.create
  • ml.jobs.get
  • ml.jobs.getIamPolicy
  • ml.jobs.list
  • ml.locations.*
  • ml.models.create
  • ml.models.get
  • ml.models.getIamPolicy
  • ml.models.list
  • ml.models.predict
  • ml.operations.get
  • ml.operations.list
  • ml.projects.getConfig
  • ml.studies.*
  • ml.trials.*
  • ml.versions.get
  • ml.versions.list
  • ml.versions.predict
  • resourcemanager.projects.get

AI Platform-Jobinhaber
(roles/ml.jobOwner)

Vollzugriff auf alle Berechtigungen für eine bestimmte Jobressource. Diese Rolle wird dem Nutzer, der den Job erstellt, automatisch zugewiesen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Job
  • ml.jobs.*

AI Platform-Modellinhaber
(roles/ml.modelOwner)

Vollzugriff auf das Modell und seine Versionen. Diese Rolle wird dem Nutzer, der das Modell erstellt, automatisch zugewiesen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Modell
  • ml.models.*
  • ml.versions.*

AI Platform-Modellnutzer
(roles/ml.modelUser)

Berechtigung zum Lesen des Modells und seiner Versionen sowie deren Nutzung für die Vorhersage.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Modell
  • ml.models.get
  • ml.models.predict
  • ml.versions.get
  • ml.versions.list
  • ml.versions.predict

AI Platform-Vorgangsinhaber
(roles/ml.operationOwner)

Vollzugriff auf alle Berechtigungen für eine bestimmte Betriebsressource.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Aktion
  • ml.operations.*

AI Platform-Betrachter
(roles/ml.viewer)

Lesezugriff auf AI Platform-Ressourcen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • ml.jobs.get
  • ml.jobs.list
  • ml.locations.*
  • ml.models.get
  • ml.models.list
  • ml.operations.get
  • ml.operations.list
  • ml.projects.getConfig
  • ml.studies.get
  • ml.studies.getIamPolicy
  • ml.studies.list
  • ml.trials.get
  • ml.trials.list
  • ml.versions.get
  • ml.versions.list
  • resourcemanager.projects.get

Analytics Hub-Rollen

Rolle Berechtigungen

Analytics Hub-Administrator Beta
(roles/analyticshub.admin)

Data Exchanges und Einträge verwalten

  • analyticshub.dataExchanges.*
  • analyticshub.listings.create
  • analyticshub.listings.delete
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • analyticshub.listings.setIamPolicy
  • analyticshub.listings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrator von Analytics Hub-Einträgen Beta
(roles/analyticshub.listingAdmin)

Gewährt vollständige Kontrolle über den Eintrag, einschließlich Aktualisieren, Löschen und Festlegen von ACLs

  • analyticshub.dataExchanges.get
  • analyticshub.dataExchanges.getIamPolicy
  • analyticshub.dataExchanges.list
  • analyticshub.listings.delete
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • analyticshub.listings.setIamPolicy
  • analyticshub.listings.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Analytics Hub-Publisher Beta
(roles/analyticshub.publisher)

Kann in Data Exchanges veröffentlichen und daher Einträge erstellen

  • analyticshub.dataExchanges.get
  • analyticshub.dataExchanges.getIamPolicy
  • analyticshub.dataExchanges.list
  • analyticshub.listings.create
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Analytics Hub-Abonnent Beta
(roles/analyticshub.subscriber)

Kann in Data Exchanges suchen und Einträge abonnieren

  • analyticshub.dataExchanges.get
  • analyticshub.dataExchanges.getIamPolicy
  • analyticshub.dataExchanges.list
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • analyticshub.listings.subscribe
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Analytics Hub-Betrachter Beta
(roles/analyticshub.viewer)

Kann in Data Exchanges und Einträgen suchen

  • analyticshub.dataExchanges.get
  • analyticshub.dataExchanges.getIamPolicy
  • analyticshub.dataExchanges.list
  • analyticshub.listings.get
  • analyticshub.listings.getIamPolicy
  • analyticshub.listings.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Android Management-Rollen

Rolle Berechtigungen

Android Management-Nutzer
(roles/androidmanagement.user)

Vollständiger Zugriff zur Verwaltung von Geräten

  • androidmanagement.enterprises.manage
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Anthos Multi-Cloud-Rollen

Rolle Berechtigungen

Anthos-Multi-Cloud-Administrator
(roles/gkemulticloud.admin)

Administratorzugriff auf Anthos-Multi-Cloud-Ressourcen.

  • gkemulticloud.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Anthos-Multi-Cloud-Telemetrieschreiber
(roles/gkemulticloud.telemetryWriter)

Gewährt Zugriff, um Clustertelemetriedaten wie Logs, Messwerte und Ressourcenmetadaten zu schreiben.

  • logging.logEntries.create
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.timeSeries.create
  • opsconfigmonitoring.resourceMetadata.write

Anthos-Multi-Cloud-Betrachter
(roles/gkemulticloud.viewer)

Lesezugriff auf Anthos-Multi-Cloud-Ressourcen.

  • gkemulticloud.awsClusters.generateAccessToken
  • gkemulticloud.awsClusters.get
  • gkemulticloud.awsClusters.list
  • gkemulticloud.awsNodePools.get
  • gkemulticloud.awsNodePools.list
  • gkemulticloud.awsServerConfigs.get
  • gkemulticloud.azureClients.get
  • gkemulticloud.azureClients.list
  • gkemulticloud.azureClusters.generateAccessToken
  • gkemulticloud.azureClusters.get
  • gkemulticloud.azureClusters.list
  • gkemulticloud.azureNodePools.get
  • gkemulticloud.azureNodePools.list
  • gkemulticloud.azureServerConfigs.get
  • gkemulticloud.operations.get
  • gkemulticloud.operations.list
  • gkemulticloud.operations.wait
  • resourcemanager.projects.get
  • resourcemanager.projects.list

API-Gateway-Rollen

Rolle Berechtigungen

ApiGateway-Administrator
(roles/apigateway.admin)

Vollständiger Zugriff auf ApiGateway und zugehörige Ressourcen.

  • apigateway.*
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.services.get
  • serviceusage.services.list

ApiGateway-Betrachter
(roles/apigateway.viewer)

Lesezugriff auf ApiGateway und zugehörige Ressourcen.

  • apigateway.apiconfigs.get
  • apigateway.apiconfigs.getIamPolicy
  • apigateway.apiconfigs.list
  • apigateway.apis.get
  • apigateway.apis.getIamPolicy
  • apigateway.apis.list
  • apigateway.gateways.get
  • apigateway.gateways.getIamPolicy
  • apigateway.gateways.list
  • apigateway.locations.*
  • apigateway.operations.get
  • apigateway.operations.list
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.get
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.services.get
  • serviceusage.services.list

Apigee-Rollen

Rolle Berechtigungen

Apigee-Organisationsadministrator
(roles/apigee.admin)

Vollständiger Zugriff auf alle Apigee-Ressourcen-Features

  • apigee.*
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list

Apigee Analytics-Agent
(roles/apigee.analyticsAgent)

Ausgewählte Reihe von Berechtigungen für Apigee Universal Data Collection Agent, um Analysen für eine Apigee-Organisation zu verwalten

  • apigee.datalocation.get
  • apigee.environments.getDataLocation
  • apigee.runtimeconfigs.get

Apigee Analytics-Bearbeiter
(roles/apigee.analyticsEditor)

Analytics-Editor für ein Apigee-Unternehmen

  • apigee.datacollectors.*
  • apigee.datastores.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.*
  • apigee.hostqueries.*
  • apigee.hoststats.get
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.queries.*
  • apigee.reports.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee Analytics-Betrachter
(roles/apigee.analyticsViewer)

Analytics-Betrachter für ein Apigee-Unternehmen

  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.datastores.get
  • apigee.datastores.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.get
  • apigee.exports.list
  • apigee.hostqueries.get
  • apigee.hostqueries.list
  • apigee.hoststats.get
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.queries.get
  • apigee.queries.list
  • apigee.reports.get
  • apigee.reports.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee API-Administrator
(roles/apigee.apiAdminV2)

Vollständiger Lese-/Schreibzugriff auf alle Apigee API-Ressourcen

  • apigee.apiproductattributes.*
  • apigee.apiproducts.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.keyvaluemapentries.*
  • apigee.keyvaluemaps.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.*
  • apigee.proxyrevisions.*
  • apigee.sharedflowrevisions.*
  • apigee.sharedflows.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee API-Leser
(roles/apigee.apiReaderV2)

Leser von Apigee-Ressourcen

  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.keyvaluemapentries.get
  • apigee.keyvaluemapentries.list
  • apigee.keyvaluemaps.list
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.deploy
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.proxyrevisions.undeploy
  • apigee.sharedflowrevisions.deploy
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflowrevisions.undeploy
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee-Entwickler/Administrator
(roles/apigee.developerAdmin)

Entwickleradministrator von Apigee-Ressourcen

  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.appkeys.*
  • apigee.apps.*
  • apigee.datacollectors.*
  • apigee.developerappattributes.*
  • apigee.developerapps.*
  • apigee.developerattributes.*
  • apigee.developerbalances.*
  • apigee.developermonetizationconfigs.*
  • apigee.developers.*
  • apigee.developersubscriptions.*
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.hoststats.get
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.rateplans.get
  • apigee.rateplans.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list

Administrator der Apigee-Umgebung
(roles/apigee.environmentAdmin)

Vollständiger Lese-/Schreibzugriff auf Apigee-Umgebungsressourcen, einschließlich Bereitstellungen.

  • apigee.archivedeployments.*
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.deployments.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getIamPolicy
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.environments.setIamPolicy
  • apigee.environments.update
  • apigee.flowhooks.*
  • apigee.ingressconfigs.get
  • apigee.keystorealiases.*
  • apigee.keystores.*
  • apigee.keyvaluemaps.*
  • apigee.maskconfigs.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.deploy
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.proxyrevisions.undeploy
  • apigee.references.*
  • apigee.resourcefiles.*
  • apigee.sharedflowrevisions.deploy
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflowrevisions.undeploy
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • apigee.targetservers.*
  • apigee.tracesessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list

Apigee-Monetarisierungsadministrator
(roles/apigee.monetizationAdmin)

Alle Berechtigungen im Zusammenhang mit der Monetarisierung

  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.developerbalances.*
  • apigee.developermonetizationconfigs.*
  • apigee.developersubscriptions.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.rateplans.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee-Portal-Administrator
(roles/apigee.portalAdmin)

Portal-Administrator für eine Apigee-Organisation

  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.portals.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Schreibgeschützter Apigee-Administrator
(roles/apigee.readOnlyAdmin)

Betrachter aller Apigee-Ressourcen

  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.appkeys.get
  • apigee.apps.*
  • apigee.archivedeployments.download
  • apigee.archivedeployments.get
  • apigee.archivedeployments.list
  • apigee.caches.list
  • apigee.canaryevaluations.get
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.datalocation.get
  • apigee.datastores.get
  • apigee.datastores.list
  • apigee.deployments.get
  • apigee.deployments.list
  • apigee.developerappattributes.get
  • apigee.developerappattributes.list
  • apigee.developerapps.get
  • apigee.developerapps.list
  • apigee.developerattributes.get
  • apigee.developerattributes.list
  • apigee.developerbalances.get
  • apigee.developermonetizationconfigs.get
  • apigee.developers.get
  • apigee.developers.list
  • apigee.developersubscriptions.get
  • apigee.developersubscriptions.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getDataLocation
  • apigee.environments.getIamPolicy
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.get
  • apigee.exports.list
  • apigee.flowhooks.getSharedFlow
  • apigee.flowhooks.list
  • apigee.hostqueries.get
  • apigee.hostqueries.list
  • apigee.hostsecurityreports.get
  • apigee.hostsecurityreports.list
  • apigee.hoststats.get
  • apigee.ingressconfigs.get
  • apigee.instanceattachments.get
  • apigee.instanceattachments.list
  • apigee.instances.get
  • apigee.instances.list
  • apigee.keystorealiases.get
  • apigee.keystorealiases.list
  • apigee.keystores.get
  • apigee.keystores.list
  • apigee.keyvaluemapentries.get
  • apigee.keyvaluemapentries.list
  • apigee.keyvaluemaps.list
  • apigee.maskconfigs.get
  • apigee.operations.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.portals.get
  • apigee.portals.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.queries.get
  • apigee.queries.list
  • apigee.rateplans.get
  • apigee.rateplans.list
  • apigee.references.get
  • apigee.references.list
  • apigee.reports.get
  • apigee.reports.list
  • apigee.resourcefiles.get
  • apigee.resourcefiles.list
  • apigee.runtimeconfigs.get
  • apigee.securityProfileEnvironments.computeScore
  • apigee.securityProfiles.*
  • apigee.securityStats.*
  • apigee.securityreports.get
  • apigee.securityreports.list
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • apigee.targetservers.get
  • apigee.targetservers.list
  • apigee.tracesessions.get
  • apigee.tracesessions.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list

Apigee-Laufzeit-Agent
(roles/apigee.runtimeAgent)

Ausgewählte Berechtigungen für einen Laufzeit-Agent für den Zugriff auf Apigee-Organisationsressourcen

  • apigee.canaryevaluations.*
  • apigee.ingressconfigs.get
  • apigee.instances.reportStatus
  • apigee.operations.*
  • apigee.organizations.get
  • apigee.runtimeconfigs.get

Apigee-Sicherheitsadministrator
(roles/apigee.securityAdmin)

Sicherheitsadministrator für eine Apigee-Organisation

  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.list
  • apigee.hostsecurityreports.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.securityProfileEnvironments.*
  • apigee.securityProfiles.*
  • apigee.securityStats.*
  • apigee.securityreports.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee-Sicherheitsbetrachter
(roles/apigee.securityViewer)

Sicherheitsbetrachter für eine Apigee-Organisation

  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.list
  • apigee.hostsecurityreports.get
  • apigee.hostsecurityreports.list
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.securityProfileEnvironments.computeScore
  • apigee.securityProfiles.*
  • apigee.securityStats.*
  • apigee.securityreports.get
  • apigee.securityreports.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee Synchronizer Manager
(roles/apigee.synchronizerManager)

Ausgewählte Reihe von Berechtigungen für einen Synchronizer, um Umgebungen in einer Apigee-Organisation zu verwalten

  • apigee.environments.get
  • apigee.environments.manageRuntime
  • apigee.ingressconfigs.get

Apigee Connect-Administrator
(roles/apigeeconnect.Admin)

Administrator von Apigee Connect

  • apigeeconnect.connections.list

Apigee Connect Agent
(roles/apigeeconnect.Agent)

Kann einen Apigee Connect-Agent zwischen externen Clustern und Google einrichten.

  • apigeeconnect.endpoints.connect

Apigee Registry-Rollen

Rolle Berechtigungen

Cloud Apigee Registry-Administrator Beta
(roles/apigeeregistry.admin)

Vollständiger Zugriff auf Registry- und Laufzeitressourcen von Cloud Apigee Registry.

  • apigeeregistry.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Apigee Registry-Bearbeiter Beta
(roles/apigeeregistry.editor)

Bearbeitungszugriff auf Registry-Ressourcen von Cloud Apigee Registry.

  • Apigeeregistry.apis.create
  • Apigeeregistry.apis.delete
  • Apigeeregistry.apis.get
  • apigeeregistry.apis.getIamPolicy
  • Apigeeregistry.apis.list
  • Apigeeregistry.apis.update
  • Apigeeregistry.artifacts.create
  • Apigeeregistry.artifacts.delete
  • Apigeeregistry.artifacts.get
  • apigeeregistry.artifacts.getIamPolicy
  • Apigeeregistry.artifacts.list
  • Apigeeregistry.artifacts.update
  • apigeeregistry.deployments.*
  • Apigeeregistry.specs.create
  • Apigeeregistry.specs.delete
  • Apigeeregistry.specs.get
  • apigeeregistry.specs.getIamPolicy
  • Apigeeregistry.specs.list
  • Apigeeregistry.specs.update
  • Apigeeregistry.versions.create
  • Apigeeregistry.versions.delete
  • Apigeeregistry.versions.get
  • apigeeregistry.versions.getIamPolicy
  • Apigeeregistry.versions.list
  • Apigeeregistry.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Apigee Registry-Betrachter Beta
(roles/apigeeregistry.viewer)

Lesezugriff auf Registry-Ressourcen von Cloud Apigee Registry.

  • Apigeeregistry.apis.get
  • Apigeeregistry.apis.list
  • Apigeeregistry.artifacts.get
  • Apigeeregistry.artifacts.list
  • Apigeeregistry.deployments.get
  • Apigeeregistry.deployments.list
  • Apigeeregistry.specs.get
  • Apigeeregistry.specs.list
  • Apigeeregistry.versions.get
  • Apigeeregistry.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Apigee Registry-Worker Beta
(roles/apigeeregistry.worker)

Die Rolle, die von Apigee Registry-Anwendungs-Workern zum Lesen und Aktualisieren von Apigee Registry-Artefakten verwendet wird.

  • Apigeeregistry.apis.get
  • Apigeeregistry.apis.list
  • Apigeeregistry.apis.update
  • Apigeeregistry.artifacts.create
  • Apigeeregistry.artifacts.delete
  • Apigeeregistry.artifacts.get
  • Apigeeregistry.artifacts.list
  • Apigeeregistry.artifacts.update
  • Apigeeregistry.deployments.get
  • Apigeeregistry.deployments.list
  • Apigeeregistry.deployments.update
  • Apigeeregistry.specs.get
  • Apigeeregistry.specs.list
  • Apigeeregistry.specs.update
  • Apigeeregistry.versions.get
  • Apigeeregistry.versions.list
  • Apigeeregistry.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

App Engine-Rollen

Rolle Berechtigungen

App Engine-Administrator
(roles/appengine.appAdmin)

Berechtigung zum Lesen/Schreiben/Ändern für die gesamte Anwendungskonfiguration und die Einstellungen

Um neue Versionen bereitstellen zu können, muss ein Hauptkonto die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser) für das Standarddienstkonto von App Engine haben. und die Rollen „Cloud Build-Bearbeiter“ (roles/cloudbuild.builds.editor) und „Cloud Storage-Objekt-Administrator“ (roles/storage.objectAdmin) für das Projekt verwenden.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • appengine.applications.get
  • appengine.applications.update
  • appengine.instances.*
  • appengine.memcache.addKey
  • appengine.memcache.flush
  • appengine.memcache.get
  • appengine.memcache.update
  • appengine.operations.*
  • appengine.runtimes.actAsAdmin
  • appengine.services.*
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

App Engine-Ersteller
(roles/appengine.appCreator)

Fähigkeit zur Erstellung der App Engine-Ressource für das Projekt.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • appengine.applications.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list

App Engine-Betrachter
(roles/appengine.appViewer)

Schreibgeschützter Zugriff auf die gesamte Anwendungskonfiguration und die Einstellungen

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.get
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

App Engine-Codebetrachter
(roles/appengine.codeViewer)

Lesezugriff auf die gesamte Anwendungskonfiguration, die Einstellungen und den bereitgestellten Quellcode

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.get
  • appengine.versions.getFileContents
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

App Engine-Bereitsteller
(roles/appengine.deployer)

Schreibgeschützter Zugriff auf die gesamte Anwendungskonfiguration und die Einstellungen

Zum Bereitstellen neuer Versionen benötigen Sie außerdem die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser) für das Standarddienstkonto von App Engine. und die Rollen „Cloud Build-Bearbeiter“ (roles/cloudbuild.builds.editor) und „Cloud Storage-Objekt-Administrator“ (roles/storage.objectAdmin) für das Projekt verwenden.

Sie können vorhandene Versionen nicht bearbeiten, sondern nur Versionen löschen, die keinen Traffic empfangen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

App Engine-Dienstadministrator
(roles/appengine.serviceAdmin)

Schreibgeschützter Zugriff auf die gesamte Anwendungskonfiguration und die Einstellungen

Schreibberechtigung für Einstellungen auf Modul- und Versionsebene Kann keine neue Version bereitstellen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • appengine.applications.get
  • appengine.instances.*
  • appengine.operations.*
  • appengine.services.*
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Artifact Registry-Rollen

Rolle Berechtigungen

Artifact Registry-Administrator
(roles/artifactregistry.admin)

Administratorzugriff zum Erstellen und Verwalten von Repositories.

  • artifactregistry.*

Artifact Registry-Leser
(roles/artifactregistry.reader)

Lesezugriff auf Repositoryelemente.

  • artifactregistry.dockerimages.*
  • artifactregistry.files.*
  • artifactregistry.locations.*
  • artifactregistry.mavenartifacts.*
  • artifactregistry.npmpackages.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.pythonpackages.*
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.listEffectiveTags
  • artifactregistry.repositories.listTagBindings
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.versions.get
  • artifactregistry.versions.list

Repository-Administrator für Artifact Registry
(roles/artifactregistry.repoAdmin)

Zugriff zur Verwaltung von Artefakten in Repositories.

  • artifactregistry.aptartifacts.create
  • artifactregistry.dockerimages.*
  • artifactregistry.files.*
  • artifactregistry.locations.*
  • artifactregistry.mavenartifacts.*
  • artifactregistry.npmpackages.*
  • artifactregistry.packages.*
  • artifactregistry.pythonpackages.*
  • artifactregistry.repositories.deleteArtifacts
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.listEffectiveTags
  • artifactregistry.repositories.listTagBindings
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.*
  • artifactregistry.versions.*
  • artifactregistry.yumartifacts.create

Artifact Registry-Autor
(roles/artifactregistry.writer)

Lese- und Schreibzugriff auf Repositoryelemente.

  • artifactregistry.aptartifacts.create
  • artifactregistry.dockerimages.*
  • artifactregistry.files.*
  • artifactregistry.locations.*
  • artifactregistry.mavenartifacts.*
  • artifactregistry.npmpackages.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.pythonpackages.*
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.listEffectiveTags
  • artifactregistry.repositories.listTagBindings
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list
  • artifactregistry.yumartifacts.create

Assured Workloads-Rollen

Rolle Berechtigungen

Assured Workloads-Administrator
(roles/assuredworkloads.admin)

Gewährt vollständigen Zugriff auf Assured Workloads-Ressourcen, CRM-Ressourcen – Verwaltung von Projekten/Ordnern und Organisationsrichtlinien

  • assuredworkloads.*
  • logging.cmekSettings.update
  • orgpolicy.policy.*
  • resourcemanager.folders.create
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Assured Workloads-Bearbeiter
(roles/assuredworkloads.editor)

Gewährt Lese-/Schreibzugriff auf Assured Workloads-Ressourcen, CRM-Ressourcen – Verwaltung von Projekten/Ordnern und Organisationsrichtlinien

  • assuredworkloads.*
  • orgpolicy.policy.*
  • resourcemanager.folders.create
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Leser von Assured Workloads
(roles/assuredworkloads.reader)

Gewährt Lesezugriff auf alle Assured Workloads-Ressourcen und CRM-Ressourcen – Projekt/Ordner

  • assuredworkloads.operations.*
  • assuredworkloads.violations.get
  • assuredworkloads.violations.list
  • assuredworkloads.workload.get
  • assuredworkloads.workload.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

AutoML-Rollen

Rolle Berechtigungen

AutoML-Administrator Beta
(roles/automl.admin)

Voller Zugriff auf alle AutoML-Ressourcen

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Dataset
  • Modell
  • automl.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

AutoML-Bearbeiter Beta
(roles/automl.editor)

Bearbeiter aller AutoML-Ressourcen

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Dataset
  • Modell
  • automl.annotationSpecs.*
  • automl.annotations.*
  • automl.columnSpecs.*
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.update
  • automl.examples.*
  • automl.files.*
  • automl.humanAnnotationTasks.*
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.*
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.list
  • automl.models.predict
  • automl.models.undeploy
  • automl.operations.*
  • automl.tableSpecs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

AutoML-Erkennung Beta
(roles/automl.predictor)

Erkennen mit Modellen

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Modell
  • automl.models.predict
  • resourcemanager.projects.get
  • resourcemanager.projects.list

AutoML-Betrachter Beta
(roles/automl.viewer)

Betrachter von allen AutoML-Ressourcen

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Dataset
  • Modell
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.files.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list

Back-up für GKE-Rollen

Rolle Berechtigungen

Sicherung für GKE-Administrator Beta
(roles/gkebackup.admin)

Vollständiger Zugriff auf alle Ressourcen von „Sicherung für GKE“.

  • gkebackup.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Sicherung für GKE-Sicherungsadministrator Beta
(roles/gkebackup.backupAdmin)

Ermöglicht Administratoren die Verwaltung aller BackupPlan- und Sicherungsressourcen.

  • gkebackup.backupPlans.*
  • gkebackup.backups.*
  • gkebackup.locations.*
  • gkebackup.operations.get
  • gkebackup.operations.list
  • gkebackup.volumeBackups.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Delegierter Sicherungsadministrator von „Sicherung für GKE“ Beta
(roles/gkebackup.delegatedBackupAdmin)

Ermöglicht Administratoren die Verwaltung von Sicherungsressourcen für bestimmte BackupPlans

  • gkebackup.backupPlans.get
  • gkebackup.backups.*
  • gkebackup.volumeBackups.*

Delegierter Wiederherstellungsadministrator von „Sicherung für GKE“ Beta
(roles/gkebackup.delegatedRestoreAdmin)

Ermöglicht Administratoren die Verwaltung von Wiederherstellungsressourcen für bestimmte RestorePlans

  • gkebackup.restorePlans.get
  • gkebackup.restores.*
  • gkebackup.volumeRestores.*

Sicherung für GKE Restore-Administrator Beta
(roles/gkebackup.restoreAdmin)

Ermöglicht Administratoren die Verwaltung aller RestorePlan- und Wiederherstellungsressourcen.

  • gkebackup.backupPlans.get
  • gkebackup.backupPlans.list
  • gkebackup.backups.get
  • gkebackup.backups.list
  • gkebackup.locations.*
  • gkebackup.operations.get
  • gkebackup.operations.list
  • gkebackup.restorePlans.*
  • gkebackup.restores.*
  • gkebackup.volumeBackups.*
  • gkebackup.volumeRestores.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Sicherung für GKE-Betrachter Beta
(roles/gkebackup.viewer)

Lesezugriff auf alle Ressourcen von „Sicherung für GKE“.

  • gkebackup.backupPlans.get
  • gkebackup.backupPlans.getIamPolicy
  • gkebackup.backupPlans.list
  • gkebackup.backups.get
  • gkebackup.backups.list
  • gkebackup.locations.*
  • gkebackup.operations.get
  • gkebackup.operations.list
  • gkebackup.restorePlans.get
  • gkebackup.restorePlans.getIamPolicy
  • gkebackup.restorePlans.list
  • gkebackup.restores.get
  • gkebackup.restores.list
  • gkebackup.volumeBackups.*
  • gkebackup.volumeRestores.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BeyondCorp-Rollen

Rolle Berechtigungen

Cloud BeyondCorp-Administrator Beta
(roles/beyondcorp.admin)

Vollständiger Zugriff auf alle Cloud BeyondCorp-Ressourcen.

  • beyondcorp.appConnections.*
  • beyondcorp.appConnectors.*
  • beyondcorp.appGateways.*
  • beyondcorp.clientConnectorServices.create
  • beyondcorp.clientConnectorServices.delete
  • beyondcorp.clientConnectorServices.get
  • beyondcorp.clientConnectorServices.getIamPolicy
  • beyondcorp.clientConnectorServices.list
  • beyondcorp.clientConnectorServices.setIamPolicy
  • beyondcorp.clientConnectorServices.update
  • beyondcorp.clientGateways.*
  • beyondcorp.locations.*
  • beyondcorp.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud BeyondCorp Client Connector Admin Beta
(roles/beyondcorp.clientConnectorAdmin)

Vollständiger Zugriff auf alle BeyondCorp Client Connector-Ressourcen.

  • beyondcorp.clientConnectorServices.create
  • beyondcorp.clientConnectorServices.delete
  • beyondcorp.clientConnectorServices.get
  • beyondcorp.clientConnectorServices.getIamPolicy
  • beyondcorp.clientConnectorServices.list
  • beyondcorp.clientConnectorServices.setIamPolicy
  • beyondcorp.clientConnectorServices.update
  • beyondcorp.clientGateways.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Nutzer des Cloud BeyondCorp Client Connector-Dienstes Beta
(roles/beyondcorp.clientConnectorServiceUser)

Zugriff auf Client Connector-Dienst

  • beyondcorp.clientConnectorServices.-Zugriff

Betrachter des Cloud BeyondCorp Client Connectors Beta
(roles/beyondcorp.clientConnectorViewer)

Lesezugriff auf alle BeyondCorp Client Connector-Ressourcen.

  • beyondcorp.clientConnectorServices.get
  • beyondcorp.clientConnectorServices.getIamPolicy
  • beyondcorp.clientConnectorServices.list
  • beyondcorp.clientGateways.get
  • beyondcorp.clientGateways.getIamPolicy
  • beyondcorp.clientGateways.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud BeyondCorp-Betrachter Beta
(roles/beyondcorp.viewer)

Lesezugriff auf alle Cloud BeyondCorp-Ressourcen.

  • beyondcorp.appConnections.get
  • beyondcorp.appConnections.getIamPolicy
  • beyondcorp.appConnections.list
  • beyondcorp.appConnectors.get
  • beyondcorp.appConnectors.getIamPolicy
  • beyondcorp.appConnectors.list
  • beyondcorp.appGateways.get
  • beyondcorp.appGateways.getIamPolicy
  • beyondcorp.appGateways.list
  • beyondcorp.clientConnectorServices.get
  • beyondcorp.clientConnectorServices.getIamPolicy
  • beyondcorp.clientConnectorServices.list
  • beyondcorp.clientGateways.get
  • beyondcorp.clientGateways.getIamPolicy
  • beyondcorp.clientGateways.list
  • beyondcorp.locations.*
  • beyondcorp.operations.get
  • beyondcorp.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery-Rollen

Rolle Berechtigungen

BigQuery-Administrator
(roles/bigquery.admin)

Berechtigungen zum Verwalten aller Ressourcen im Projekt. Es können damit alle Daten im Projekt verwaltet und Jobs von anderen Nutzern abgebrochen werden, die im Projekt ausgeführt werden.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Datasets
  • Zeilenzugriffsrichtlinien
  • Tabellen
  • Aufrufe
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.config.*
  • bigquery.connections.*
  • bigquery.dataPolicies.create
  • bigquery.dataPolicies.delete
  • bigquery.dataPolicies.get
  • bigquery.dataPolicies.getIamPolicy
  • bigquery.dataPolicies.list
  • bigquery.dataPolicies.setIamPolicy
  • bigquery.dataPolicies.update
  • bigquery.datasets.*
  • bigquery.jobs.*
  • bigquery.models.*
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • bigquery.routines.*
  • bigquery.rowAccessPolicies.create
  • bigquery.rowAccessPolicies.delete
  • bigquery.rowAccessPolicies.getIamPolicy
  • bigquery.rowAccessPolicies.list
  • bigquery.rowAccessPolicies.overrideTimeTravelRestrictions
  • bigquery.rowAccessPolicies.setIamPolicy
  • bigquery.rowAccessPolicies.update
  • bigquery.savedqueries.*
  • bigquery.tables.*
  • bigquery.transfers.*
  • bigquerymigration.translation.translate
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery-Verbindungsadministrator
(roles/bigquery.connectionAdmin)

  • bigquery.connections.*

BigQuery-Verbindungsnutzer
(roles/bigquery.connectionUser)

  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use

BigQuery-Datenbearbeiter
(roles/bigquery.dataEditor)

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren.
  • Die Tabelle oder Ansicht löschen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Metadaten des Datasets lesen und Tabellen im Dataset auflisten.
  • Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen.

Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht die Rolle zusätzlich das Erstellen neuer Datasets.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Tabelle
  • Anzeigen
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.createIndex
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.deleteIndex
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery-Dateninhaber
(roles/bigquery.dataOwner)

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren.
  • Tabelle oder Ansicht freigeben.
  • Die Tabelle oder Ansicht löschen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Das Lesen, Aktualisieren und Löschen des Datasets.
  • Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen.

Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht die Rolle zusätzlich das Erstellen neuer Datasets.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Tabelle
  • Anzeigen
  • bigquery.config.get
  • bigquery.dataPolicies.create
  • bigquery.dataPolicies.delete
  • bigquery.dataPolicies.get
  • bigquery.dataPolicies.getIamPolicy
  • bigquery.dataPolicies.list
  • bigquery.dataPolicies.setIamPolicy
  • bigquery.dataPolicies.update
  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.rowAccessPolicies.create
  • bigquery.rowAccessPolicies.delete
  • bigquery.rowAccessPolicies.getIamPolicy
  • bigquery.rowAccessPolicies.list
  • bigquery.rowAccessPolicies.setIamPolicy
  • bigquery.rowAccessPolicies.update
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery-Datenbetrachter
(roles/bigquery.dataViewer)

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten aus der Tabelle oder Ansicht lesen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Metadaten des Datasets lesen und Tabellen im Dataset auflisten.
  • Daten und Metadaten aus den Tabellen des Datasets lesen.

Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht diese Rolle die Aufzählung aller Datasets im Projekt. Für die Ausführung von Jobs sind jedoch weitere Rollen erforderlich.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Tabelle
  • Ansehen
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.createSnapshot
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Betrachter von gefilterten BigQuery-Daten
(roles/bigquery.filteredDataViewer)

Ermöglicht das Ansehen von gefilterten Tabellendaten, die durch eine Zugriffsrichtlinie für Zeilen definiert werden

  • bigquery.rowAccessPolicies.getFilteredData

BigQuery-Jobnutzer
(roles/bigquery.jobUser)

Berechtigungen zum Ausführen von Jobs im Projekt, einschließlich Abfragen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • bigquery.config.get
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery-Metadaten-Betrachter
(roles/bigquery.metadataViewer)

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Metadaten aus der Tabelle oder Ansicht lesen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Tabellen und Ansichten im Dataset auflisten.
  • Metadaten aus den Tabellen und Ansichten des Datasets lesen.

Bei Anwendung auf Projekt- oder Organisationsebene gewährt diese Rolle Berechtigungen für:

  • Alle Datasets auflisten und Metadaten für alle Datasets im Projekt lesen.
  • Alle Tabellen und Ansichten auflisten sowie Metadaten für alle Tabellen und Ansichten im Projekt lesen

Für die Ausführung von Jobs sind weitere Rollen erforderlich.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Tabelle
  • Ansehen
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery-Lesesitzungsnutzer
(roles/bigquery.readSessionUser)

Zugriff zum Erstellen und Verwenden von Lesesitzungen

  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery-Ressourcen-Administrator
(roles/bigquery.resourceAdmin)

Verwalten Sie alle BigQuery-Ressourcen.

  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • recommender.bigqueryCapacityCommitmentsInsights.*
  • recommender.bigqueryCapacityCommitmentsRecommendations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery-Ressourcenbearbeiter
(roles/bigquery.resourceEditor)

Kann alle BigQuery-Ressourcen verwalten, aber keine Kaufentscheidungen treffen.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery-Ressourcenbetrachter
(roles/bigquery.resourceViewer)

Kann alle BigQuery-Ressourcen betrachten, aber keine Änderungen vornehmen oder Kaufentscheidungen treffen.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

BigQuery-Nutzer
(roles/bigquery.user)

Bei Anwendung auf ein Dataset ermöglicht diese Rolle das Lesen der Metadaten des Datasets und das Auflisten von Tabellen im Dataset.

Bei Anwendung auf ein Projekt bietet diese Rolle auch die Möglichkeit, Jobs, einschließlich Abfragen, innerhalb des Projekts auszuführen. Ein Hauptkonto mit dieser Rolle kann seine eigenen Jobs auflisten, seine eigenen Jobs abbrechen und Datasets innerhalb eines Projekts aufzählen. Darüber hinaus ermöglicht die Rolle das Erstellen neuer Datasets im Projekt. Dem Ersteller wird für diese neuen Datasets die Rolle "BigQuery Data-Inhaber" (roles/bigquery.dataOwner) zugewiesen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Dataset
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • bigquerymigration.translation.translate
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Maskierter Leser Beta
(roles/bigquerydatapolicy.maskedReader)

Maskierter Lesezugriff auf Unterressourcen, die durch das Richtlinien-Tag getaggt sind, das einer Datenrichtlinie zugeordnet ist, z. B. BigQuery-Spalten

  • bigquery.dataPolicies.maskedGet

Abrechnungsrollen

Rolle Berechtigungen

Rechnungskontoadministrator
(roles/billing.admin)

Berechtigung zum Aufrufen und Verwalten aller Aspekte von Abrechnungskonten

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Rechnungskonto
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getCarbonInformation
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getPricing
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.list
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.activities.list
  • cloudsupport.properties.get
  • cloudsupport.techCases.*
  • commerceoffercatalog.*
  • consumerprocurement.accounts.*
  • consumerprocurement.consents.*
  • consumerprocurement.orderAttributions.*
  • consumerprocurement.orders.*
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • logging.logEntries.list
  • logging.logServiceIndexes.list
  • logging.logServices.list
  • logging.logs.list
  • logging.privateLogEntries.list
  • recommender.commitmentUtilizationInsights.*
  • recommender.costInsights.*
  • recommender.spendBasedCommitmentInsights.*
  • recommender.spendBasedCommitmentRecommendations.*
  • recommender.usageCommitmentRecommendations.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Kostenverwalter für Rechnungskonto
(roles/billing.costsManager)

Budgets für ein Rechnungskonto verwalten und Kosteninformationen eines Rechnungskontos aufrufen, analysieren und exportieren.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Rechnungskonto
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.resourceAssociations.list
  • recommender.costInsights.*

Rechnungskonto-Ersteller
(roles/billing.creator)

Berechtigung zum Erstellen von Abrechnungskonten

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Organisation
  • billing.accounts.create
  • resourcemanager.organizations.get

Administrator für die Projektabrechnung
(roles/billing.projectManager)

Wenn diese Rolle in Kombination mit der Rolle Rechnungskontonutzer zugewiesen wird, kann das Projekt mit dem Rechnungskonto verknüpft oder die Rechnungsstellung deaktiviert werden.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment

Rechnungskontonutzer
(roles/billing.user)

Wird die Rolle zusammen mit der Rolle Projektinhaber oder Projektabrechnungs-Manager zugewiesen, können Projekte mit Rechnungskonten verknüpft werden.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Rechnungskonto
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.list
  • billing.resourceAssociations.create

Rechnungskontobetrachter
(roles/billing.viewer)

Kosten- und Preisinformationen, Transaktionen, Empfehlungen zur Abrechnung und Nutzungszusicherung für das Rechnungskonto aufrufen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Rechnungskonto
  • billing.accounts.get
  • billing.accounts.getCarbonInformation
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getPricing
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.list
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
  • commerceoffercatalog.*
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.consents.check
  • consumerprocurement.consents.list
  • consumerprocurement.orderAttributions.get
  • consumerprocurement.orderAttributions.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.costInsights.get
  • recommender.costInsights.list
  • recommender.spendBasedCommitmentInsights.get
  • recommender.spendBasedCommitmentInsights.list
  • recommender.spendBasedCommitmentRecommendations.get
  • recommender.spendBasedCommitmentRecommendations.list
  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list

Binärautorisierungsrollen

Rolle Berechtigungen

Administrator von Attestierungen von Binärautorisierungen
(roles/binaryauthorization.attestorsAdmin)

Administrator der Attestierer von Binärautorisierungen

  • binaryauthorization.attestors.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Bearbeiter von Attestierungen von Binärautorisierungen
(roles/binaryauthorization.attestorsEditor)

Für Attestierungen von Binärautorisierungen verantwortlicher Bearbeiter

  • binaryauthorization.attestors.create
  • binaryauthorization.attestors.delete
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • binaryauthorization.attestors.update
  • binaryauthorization.attestors.verifyImageAttested
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Verifizierer von Attestierungs-Images von Binärautorisierungen
(roles/binaryauthorization.attestorsVerifier)

Aufrufer der Attestierungen "VerifyImageAttested" von Binärautorisierungen

  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • binaryauthorization.attestors.verifyImageAttested
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Betrachter der Attestierer von Binärautorisierungen
(roles/binaryauthorization.attestorsViewer)

Für Attestierungen von Binärautorisierungen verantwortlicher Betrachter

  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrator von Richtlinien für Binärautorisierungen
(roles/binaryauthorization.policyAdmin)

Administrator der Richtlinien für Binärautorisierungen

  • binaryauthorization.continuousValidationConfig.*
  • binaryauthorization.platformPolicies.*
  • binaryauthorization.policy.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Bearbeiter von Richtlinien für Binärautorisierungen
(roles/binaryauthorization.policyEditor)

Bearbeiter der Richtlinien für Binärautorisierungen

  • binaryauthorization.continuousValidationConfig.get
  • binaryauthorization.continuousValidationConfig.update
  • binaryauthorization.platformPolicies.*
  • binaryauthorization.policy.evaluatePolicy
  • binaryauthorization.policy.get
  • binaryauthorization.policy.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Bewertungsprogramm für Richtlinien für Binärautorisierungen Beta
(roles/binaryauthorization.policyEvaluator)

Bewertungsprogramm für Richtlinien für Binärautorisierungen

  • binaryauthorization.platformPolicies.evaluatePolicy
  • binaryauthorization.platformPolicies.get
  • binaryauthorization.platformPolicies.list
  • binaryauthorization.policy.evaluatePolicy
  • binaryauthorization.policy.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Betrachter von Richtlinien für Binärautorisierungen
(roles/binaryauthorization.policyViewer)

Betrachter der Richtlinien für Binärautorisierungen

  • binaryauthorization.continuousValidationConfig.get
  • binaryauthorization.platformPolicies.get
  • binaryauthorization.platformPolicies.list
  • binaryauthorization.policy.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

CA Service-Rollen

Rolle Berechtigungen

CA Service-Administrator
(roles/privateca.admin)

Vollständiger Zugriff auf alle CA Service-Ressourcen.

  • privateca.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.buckets.create

CA Service-Auditor
(roles/privateca.auditor)

Lesezugriff auf alle CA Service-Ressourcen.

  • privateca.caPools.get
  • privateca.caPools.getIamPolicy
  • privateca.caPools.list
  • privateca.certificateAuthorities.get
  • privateca.certificateAuthorities.getIamPolicy
  • privateca.certificateAuthorities.list
  • privateca.certificateRevocationLists.get
  • privateca.certificateRevocationLists.getIamPolicy
  • privateca.certificateRevocationLists.list
  • privateca.certificateTemplates.get
  • privateca.certificateTemplates.getIamPolicy
  • privateca.certificateTemplates.list
  • privateca.certificates.get
  • privateca.certificates.getIamPolicy
  • privateca.certificates.list
  • privateca.locations.*
  • privateca.operations.get
  • privateca.operations.list
  • privateca.reusableConfigs.get
  • privateca.reusableConfigs.getIamPolicy
  • privateca.reusableConfigs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Operation Manager für CA Service
(roles/privateca.caManager)

CAs erstellen und verwalten, Zertifikate aufheben, Zertifikatvorlagen erstellen und Lesezugriff auf CA-Dienstressourcen.

  • privateca.caPools.create
  • privateca.caPools.delete
  • privateca.caPools.get
  • privateca.caPools.getIamPolicy
  • privateca.caPools.list
  • privateca.caPools.update
  • privateca.certificateAuthorities.create
  • privateca.certificateAuthorities.delete
  • privateca.certificateAuthorities.get
  • privateca.certificateAuthorities.getIamPolicy
  • privateca.certificateAuthorities.list
  • privateca.certificateAuthorities.update
  • privateca.certificateRevocationLists.get
  • privateca.certificateRevocationLists.getIamPolicy
  • privateca.certificateRevocationLists.list
  • privateca.certificateRevocationLists.update
  • privateca.certificateTemplates.create
  • privateca.certificateTemplates.delete
  • privateca.certificateTemplates.get
  • privateca.certificateTemplates.getIamPolicy
  • privateca.certificateTemplates.list
  • privateca.certificateTemplates.update
  • privateca.certificates.get
  • privateca.certificates.getIamPolicy
  • privateca.certificates.list
  • privateca.certificates.update
  • privateca.locations.*
  • privateca.operations.get
  • privateca.operations.list
  • privateca.reusableConfigs.create
  • privateca.reusableConfigs.delete
  • privateca.reusableConfigs.get
  • privateca.reusableConfigs.getIamPolicy
  • privateca.reusableConfigs.list
  • privateca.reusableConfigs.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.buckets.create

Zertifikatverwalter für CA Service
(roles/privateca.certificateManager)

Zertifikate erstellen und Lesezugriff auf CA Service-Ressourcen.

  • privateca.caPools.get
  • privateca.caPools.getIamPolicy
  • privateca.caPools.list
  • privateca.certificateAuthorities.get
  • privateca.certificateAuthorities.getIamPolicy
  • privateca.certificateAuthorities.list
  • privateca.certificateRevocationLists.get
  • privateca.certificateRevocationLists.getIamPolicy
  • privateca.certificateRevocationLists.list
  • privateca.certificateTemplates.get
  • privateca.certificateTemplates.getIamPolicy
  • privateca.certificateTemplates.list
  • privateca.certificates.create
  • privateca.certificates.get
  • privateca.certificates.getIamPolicy
  • privateca.certificates.list
  • privateca.locations.*
  • privateca.operations.get
  • privateca.operations.list
  • privateca.reusableConfigs.get
  • privateca.reusableConfigs.getIamPolicy
  • privateca.reusableConfigs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

CA Service-Zertifikatsanfragesteller
(roles/privateca.certificateRequester)

Zertifikate von CA Service anfordern.

  • privateca.certificates.create

Nutzer der CA Service-Zertifikatsvorlage
(roles/privateca.templateUser)

Zertifikatsvorlagen lesen, auflisten und verwenden.

  • privateca.certificateTemplates.get
  • privateca.certificateTemplates.list
  • privateca.certificateTemplates.use

Anfragesteller des CA Service-Arbeitslastzertifikats
(roles/privateca.workloadCertificateRequester)

Zertifikate von CA Service mit der Identität des Anrufers anfordern.

  • privateca.certificates.createForSelf

Zertifikatmanager-Rollen

Rolle Berechtigungen

Zertifikatmanager-Bearbeiter
(roles/certificatemanager.editor)

Bearbeitungszugriff auf alle Zertifikatmanager-Ressourcen.

  • certificatemanager.certmapentries.create
  • certificatemanager.certmapentries.get
  • certificatemanager.certmapentries.getIamPolicy
  • certificatemanager.certmapentries.list
  • certificatemanager.certmapentries.update
  • certificatemanager.certmaps.create
  • certificatemanager.certmaps.get
  • certificatemanager.certmaps.getIamPolicy
  • certificatemanager.certmaps.list
  • certificatemanager.certmaps.update
  • certificatemanager.certmaps.use
  • certificatemanager.certs.create
  • certificatemanager.certs.delete
  • certificatemanager.certs.getIamPolicy
  • certificatemanager.certs.list
  • certificatemanager.certs.update
  • certificatemanager.certs.use
  • certificatemanager.dnsauthorizations.create
  • certificatemanager.dnsauthorizations.get
  • certificatemanager.dnsauthorizations.getIamPolicy
  • certificatemanager.dnsauthorizations.list
  • certificatemanager.dnsauthorizations.update
  • certificatemanager.dnsauthorizations.use
  • certificatemanager.locations.*
  • certificatemanager.operations.get
  • certificatemanager.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Zertifikatmanager-Inhaber
(roles/certificatemanager.owner)

Vollzugriff auf alle Zertifikatmanager-Ressourcen.

  • certificatemanager.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Zertifikatmanager-Betrachter
(roles/certificatemanager.viewer)

Lesezugriff auf alle Zertifikatmanager-Ressourcen.

  • certificatemanager.certmapentries.get
  • certificatemanager.certmapentries.getIamPolicy
  • certificatemanager.certmapentries.list
  • certificatemanager.certmaps.get
  • certificatemanager.certmaps.getIamPolicy
  • certificatemanager.certmaps.list
  • certificatemanager.certs.delete
  • certificatemanager.certs.getIamPolicy
  • certificatemanager.certs.list
  • certificatemanager.dnsauthorizations.get
  • certificatemanager.dnsauthorizations.getIamPolicy
  • certificatemanager.dnsauthorizations.list
  • certificatemanager.locations.*
  • certificatemanager.operations.get
  • certificatemanager.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud AlloyDB-Rollen

Rolle Berechtigungen

Cloud AlloyDB-Administrator Beta
(roles/alloydb.admin)

Uneingeschränkter Zugriff auf alle Cloud AlloyDB-Ressourcen.

  • alloydb.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud AlloyDB-Client Beta
(roles/alloydb.client)

Verbindungszugriff auf Cloud AlloyDB-Instanzen.

  • alloydb.clusters.generateClientCertificate
  • alloydb.clusters.get
  • alloydb.instances.connect
  • alloydb.instances.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud AlloyDB-Betrachter Beta
(roles/alloydb.viewer)

Lesezugriff auf alle Cloud AlloyDB-Ressourcen.

  • alloydb.backups.get
  • alloydb.backups.list
  • alloydb.clusters.get
  • alloydb.clusters.list
  • alloydb.instances.get
  • alloydb.instances.list
  • alloydb.locations.*
  • alloydb.operations.get
  • alloydb.operations.list
  • alloydb.supportedDatabaseFlags.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud-Asset-Rollen

Rolle Berechtigungen

Cloud-Asset-Inhaber
(roles/cloudasset.owner)

Kompletter Zugriff auf Cloud-Asset-Metadaten

  • cloudasset.*
  • recommender.cloudAssetInsights.*
  • recommender.locations.*

Cloud-Asset-Betrachter
(roles/cloudasset.viewer)

Lesezugriff auf Cloud-Asset-Metadaten

  • cloudasset.assets.*
  • recommender.cloudAssetInsights.get
  • recommender.cloudAssetInsights.list
  • recommender.locations.*

Cloud BackupDR-Rollen

Rolle Berechtigungen

Administrator von Sicherungen und Notfallwiederherstellungen
(roles/backupdr.admin)

Vollständige Kontrolle über Sicherungs- und Notfallwiederherstellungsressourcen, einschließlich ACL-Konfiguration über die Verwaltungskonsole.

  • backupdr.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Nutzer von Sicherungen und Notfallwiederherstellungen
(roles/backupdr.user)

Ermöglicht Zugriff auf die Verwaltungskonsole. Die detaillierten Berechtigungen für Sicherungen und Notfallwiederherstellungen hängen von der ACL-Konfiguration ab, die der Administrator von Sicherungen und Notfallwiederherstellungen in der Verwaltungskonsole bereitstellt.

  • backupdr.managementServers.backupAccess
  • backupdr.managementServers.get
  • backupdr.managementServers.getIamPolicy
  • backupdr.managementServers.list
  • backupdr.operations.get
  • backupdr.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Betrachter von Sicherungen und Notfallwiederherstellungen
(roles/backupdr.viewer)

Lesezugriff auf Sicherungs- und Notfallwiederherstellungsressourcen.

  • backupdr.locations.*
  • backupdr.managementServers.get
  • backupdr.managementServers.getIamPolicy
  • backupdr.managementServers.list
  • backupdr.operations.get
  • backupdr.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Bigtable-Rollen

Rolle Berechtigungen

Bigtable-Administrator
(roles/bigtable.admin)

Verwaltet alle Bigtable-Instanzen in einem Projekt, darunter auch die Daten, die in den Tabellen gespeichert sind. Kann neue Instanzen erstellen. Gedacht für Projektadministratoren.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Tabelle
  • bigtable.*
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get

Bigtable-Leser
(roles/bigtable.reader)

Erlaubt nur Lesezugriff auf die in den Bigtable-Tabellen gespeicherten Daten. Gedacht für Datenanalysten, Dashboard-Generatoren und anderen Datenanalyse-Szenarien.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Tabelle
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.keyvisualizer.*
  • bigtable.locations.list
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get

Bigtable-Nutzer
(roles/bigtable.user)

Erlaubt Lese- und Schreibzugriff auf die in den Bigtable-Tabellen gespeicherten Daten. Gedacht für Anwendungsentwickler oder Dienstkontos.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Tabelle
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.keyvisualizer.*
  • bigtable.locations.list
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.mutateRows
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get

Bigtable-Betrachter
(roles/bigtable.viewer)

Bietet keinen Datenzugriff. Vorgesehen als minimaler Satz von Berechtigungen für den Zugriff auf die Cloud Console für Bigtable.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Tabelle
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.locations.list
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get

Cloud Build-Rollen

Rolle Berechtigungen

Cloud Build-Genehmiger
(roles/cloudbuild.builds.approver)

Kann ausstehende Builds genehmigen oder ablehnen.

  • cloudbuild.builds.approve
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Build-Dienstkonto
(roles/cloudbuild.builds.builder)

Berechtigung zum Ausführen von Builds

  • artifactregistry.aptartifacts.create
  • artifactregistry.dockerimages.*
  • artifactregistry.files.*
  • artifactregistry.locations.*
  • artifactregistry.mavenartifacts.*
  • artifactregistry.npmpackages.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.pythonpackages.*
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.listEffectiveTags
  • artifactregistry.repositories.listTagBindings
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list
  • artifactregistry.yumartifacts.create
  • cloudbuild.builds.create
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudbuild.builds.update
  • cloudbuild.workerpools.use
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • logging.logEntries.list
  • logging.privateLogEntries.list
  • logging.views.access
  • pubsub.topics.create
  • pubsub.topics.publish
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update

Cloud Build-Bearbeiter
(roles/cloudbuild.builds.editor)

Berechtigung zum Erstellen und Stornieren von Builds

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • cloudbuild.builds.create
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudbuild.builds.update
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Build-Betrachter
(roles/cloudbuild.builds.viewer)

Berechtigung zum Aufrufen von Builds

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Bearbeiter von Cloud Build-Integrationen
(roles/cloudbuild.integrationsEditor)

Kann Integrationen aktualisieren

  • cloudbuild.integrations.get
  • cloudbuild.integrations.list
  • cloudbuild.integrations.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Inhaber von Cloud Build-Integrationen
(roles/cloudbuild.integrationsOwner)

Kann Integrationen erstellen/löschen

  • cloudbuild.integrations.*
  • compute.firewalls.create
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.networks.get
  • compute.networks.updatePolicy
  • compute.regions.get
  • compute.subnetworks.get
  • compute.subnetworks.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Betrachter von Cloud Build-Integrationen
(roles/cloudbuild.integrationsViewer)

Kann Integrationen ansehen

  • cloudbuild.integrations.get
  • cloudbuild.integrations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Bearbeiter von Cloud Build-WorkerPools
(roles/cloudbuild.workerPoolEditor)

Kann WorkerPools aktualisieren und ansehen

  • cloudbuild.workerpools.get
  • cloudbuild.workerpools.list
  • cloudbuild.workerpools.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Inhaber von Cloud Build-WorkerPools
(roles/cloudbuild.workerPoolOwner)

Kann WorkerPools erstellen, löschen, aktualisieren und ansehen

  • cloudbuild.workerpools.create
  • cloudbuild.workerpools.delete
  • cloudbuild.workerpools.get
  • cloudbuild.workerpools.list
  • cloudbuild.workerpools.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Nutzer von Cloud Build-WorkerPools
(roles/cloudbuild.workerPoolUser)

Kann Builds im WorkerPool ausführen

  • cloudbuild.workerpools.use

Betrachter von Cloud Build-WorkerPools
(roles/cloudbuild.workerPoolViewer)

Kann WorkerPools ansehen

  • cloudbuild.workerpools.get
  • cloudbuild.workerpools.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Composer-Rollen

Rolle Berechtigungen

Dienst-Agent-Erweiterung für die Cloud Composer v2 API
(roles/composer.ServiceAgentV2Ext)

Die Dienst-Agent-Erweiterung für die Cloud Composer v2 API ist eine zusätzliche Rolle, die zum Verwalten von Composer v2-Umgebungen erforderlich ist.

  • iam.serviceAccounts.getIamPolicy
  • iam.serviceAccounts.setIamPolicy

Composer-Administrator
(roles/composer.admin)

Uneingeschränkte Kontrolle über Cloud Composer-Ressourcen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • composer.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Administrator für Umgebung und Storage-Objekte
(roles/composer.environmentAndStorageObjectAdmin)

Uneingeschränkte Kontrolle über Cloud Composer-Ressourcen und die Objekte in allen Projekt-Buckets.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • composer.*
  • orgpolicy.policy.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.multipartUploads.*
  • storage.objects.*

Umgebungsnutzer und Betrachter von Storage-Objekten
(roles/composer.environmentAndStorageObjectViewer)

Berechtigung zum Auflisten und Abrufen von Cloud Composer-Umgebungen und -Vorgängen. Lesezugriff auf Objekte in allen Projekt-Buckets.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • composer.dags.*
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.list
  • composer.operations.get
  • composer.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.get
  • storage.objects.list

Composer-Agent für freigegebene VPC
(roles/composer.sharedVpcAgent)

Rolle, die dem Dienstkonto des Composer-Agents im Hostprojekt der freigegebenen VPC zugewiesen wurde

  • compute.networks.access
  • compute.networks.addPeering
  • compute.networks.get
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.networks.removePeering
  • compute.networks.updatePeering
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regions.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zones.*

Composer-Nutzer
(roles/composer.user)

Berechtigung zum Auflisten und Abrufen von Cloud Composer-Umgebungen und -Vorgängen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • composer.dags.*
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.list
  • composer.operations.get
  • composer.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Composer-Worker
(roles/composer.worker)

Berechtigung zum Ausführen einer VM in einer Cloud Composer-Umgebung. Für Dienstkonten bestimmt.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • artifactregistry.*
  • cloudbuild.builds.create
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudbuild.builds.update
  • cloudbuild.workerpools.use
  • composer.environments.get
  • container.*
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • logging.logEntries.list
  • logging.privateLogEntries.list
  • logging.views.access
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.timeSeries.*
  • orgpolicy.policy.get
  • pubsub.schemas.attach
  • pubsub.schemas.create
  • pubsub.schemas.delete
  • pubsub.schemas.get
  • pubsub.schemas.list
  • pubsub.schemas.validate
  • pubsub.snapshots.create
  • pubsub.snapshots.delete
  • pubsub.snapshots.get
  • pubsub.snapshots.list
  • pubsub.snapshots.seek
  • pubsub.snapshots.update
  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.list
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.detachSubscription
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.topics.publish
  • pubsub.topics.update
  • pubsub.topics.updateTag
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.multipartUploads.*
  • storage.objects.*

Cloud Connectors-Rollen

Rolle Berechtigungen

Connector-Administrator
(roles/connectors.admin)

Vollständiger Zugriff auf alle Ressourcen des Connectors-Dienstes.

  • Connectors*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Connectors-Betrachter
(roles/connectors.viewer)

Lesezugriff auf alle Connectors-Ressourcen.

  • connectors.connections.get
  • connectors.connections.getConnectionSchemaMetadata
  • connectors.connections.getIamPolicy
  • connectors.connections.getRuntimeActionSchema
  • connectors.connections.getRuntimeEntitySchema
  • connectors.connections.list
  • connectors.connectors.*
  • connectors.locations.*
  • connectors.operations.get
  • connectors.operations.list
  • connectors.providers.*
  • connectors.runtimeconfig.get
  • connectors.versions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Data Fusion-Rollen

Rolle Berechtigungen

Cloud Data Fusion-Administrator Beta
(roles/datafusion.admin)

Vollständiger Zugriff auf Cloud Data Fusion-Instanzen, -Namespaces und zugehörige Ressourcen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • datafusion.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Data Fusion-Runner Beta
(roles/datafusion.runner)

Zugriff auf Cloud Data Fusion-Laufzeitressourcen.

  • datafusion.instances.runtime

Cloud Data Fusion-Betrachter Beta
(roles/datafusion.viewer)

Schreibzugriff auf Cloud Data Fusion-Instanzen, -Namespaces und zugehörige Ressourcen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • datafusion.instances.get
  • datafusion.instances.getIamPolicy
  • datafusion.instances.list
  • datafusion.instances.runtime
  • datafusion.locations.*
  • datafusion.operations.get
  • datafusion.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Data Labeling-Rollen

Rolle Berechtigungen

Data Labeling Service-Administrator Beta
(roles/datalabeling.admin)

Vollständiger Zugriff auf alle Data Labeling-Ressourcen

  • datalabeling.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Data Labeling Service-Bearbeiter Beta
(roles/datalabeling.editor)

Bearbeiter aller Data Labeling-Ressourcen

  • datalabeling.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Data Labeling Service-Betrachter Beta
(roles/datalabeling.viewer)

Betrachter aller Data Labeling-Ressourcen

  • datalabeling.annotateddatasets.get
  • datalabeling.annotateddatasets.list
  • datalabeling.annotationspecsets.get
  • datalabeling.annotationspecsets.list
  • datalabeling.dataitems.*
  • datalabeling.datasets.get
  • datalabeling.datasets.list
  • datalabeling.examples.*
  • datalabeling.instructions.get
  • datalabeling.instructions.list
  • datalabeling.operations.get
  • datalabeling.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Dataplex-Rollen

Rolle Berechtigungen

Dataplex-Administrator
(roles/dataplex.admin)

Vollständiger Zugriff auf alle Dataplex-Ressourcen.

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
  • dataplex.assetActions.list
  • dataplex.assets.create
  • dataplex.assets.delete
  • dataplex.assets.get
  • dataplex.assets.getIamPolicy
  • dataplex.assets.list
  • dataplex.assets.setIamPolicy
  • dataplex.assets.update
  • dataplex.content.*
  • dataplex.entities.*
  • dataplex.environments.*
  • dataplex.lakeActions.list
  • dataplex.lakes.*
  • dataplex.locations.*
  • dataplex.operations.*
  • dataplex.partitions.*
  • dataplex.tasks.*
  • dataplex.zoneActions.list
  • dataplex.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Dataplex-Dateninhaber
(roles/dataplex.dataOwner)

Inhaberzugriff auf Daten. Wird nur den Dataplex-Ressourcen „Lake“, „Zone“ oder „Asset“ gewährt.

  • dataplex.assets.ownData
  • dataplex.assets.readData
  • dataplex.assets.writeData

Dataplex-Datenleser
(roles/dataplex.dataReader)

Lesezugriff auf Daten. Wird nur den Dataplex-Ressourcen „Lake“, „Zone“ oder „Asset“ gewährt.

  • dataplex.assets.readData

Dataplex-Datenautor
(roles/dataplex.dataWriter)

Schreibzugriff auf Daten. Wird nur den Dataplex-Ressourcen „Lake“, „Zone“ oder „Asset“ gewährt.

  • dataplex.assets.writeData

Dataplex-Entwickler
(roles/dataplex.developer)

Ermöglicht das Ausführen von Arbeitslasten zur Datenanalyse in einem Lake.

  • dataplex.content.*
  • dataplex.environments.execute
  • dataplex.environments.get
  • dataplex.environments.list
  • dataplex.tasks.cancel
  • dataplex.tasks.create
  • dataplex.tasks.delete
  • dataplex.tasks.get
  • dataplex.tasks.list
  • dataplex.tasks.update

Dataplex-Bearbeiter
(roles/dataplex.editor)

Schreibzugriff auf Dataplex-Ressourcen.

  • cloudasset.assets.analyzeIamPolicy
  • dataplex.assetActions.list
  • dataplex.assets.create
  • dataplex.assets.delete
  • dataplex.assets.get
  • dataplex.assets.getIamPolicy
  • dataplex.assets.list
  • dataplex.assets.update
  • dataplex.content.delete
  • dataplex.content.get
  • dataplex.content.getIamPolicy
  • dataplex.content.list
  • dataplex.environments.create
  • dataplex.environments.delete
  • dataplex.environments.get
  • dataplex.environments.getIamPolicy
  • dataplex.environments.list
  • dataplex.environments.update
  • dataplex.lakeActions.list
  • dataplex.lakes.create
  • dataplex.lakes.delete
  • dataplex.lakes.get
  • dataplex.lakes.getIamPolicy
  • dataplex.lakes.list
  • dataplex.lakes.update
  • dataplex.operations.*
  • dataplex.tasks.cancel
  • dataplex.tasks.create
  • dataplex.tasks.delete
  • dataplex.tasks.get
  • dataplex.tasks.getIamPolicy
  • dataplex.tasks.list
  • dataplex.tasks.update
  • dataplex.zoneActions.list
  • dataplex.zones.create
  • dataplex.zones.delete
  • dataplex.zones.get
  • dataplex.zones.getIamPolicy
  • dataplex.zones.list
  • dataplex.zones.update

Dataplex-Metadatenleser
(roles/dataplex.metadataReader)

Lesezugriff auf Metadaten.

  • dataplex.assets.get
  • dataplex.assets.list
  • dataplex.entities.get
  • dataplex.entities.list
  • dataplex.partitions.get
  • dataplex.partitions.list
  • dataplex.zones.get
  • dataplex.zones.list

Autor von Dataplex-Metadaten
(roles/dataplex.metadataWriter)

Lese- und Schreibzugriff auf Metadaten.

  • dataplex.assets.get
  • dataplex.assets.list
  • dataplex.entities.*
  • dataplex.partitions.*
  • dataplex.zones.get
  • dataplex.zones.list

Inhaber von Dataplex-Speicherdaten
(roles/dataplex.storageDataOwner)

Inhaberzugriff auf Daten. Sollte nicht direkt verwendet werden. Diese Rolle wird von Dataplex für verwaltete Ressourcen wie Cloud Storage-Buckets, BigQuery-Datasets usw. gewährt.

  • bigquery.datasets.get
  • bigquery.models.create
  • bigquery.models.delete
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.models.updateData
  • bigquery.models.updateMetadata
  • bigquery.routines.create
  • bigquery.routines.delete
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.routines.update
  • bigquery.tables.create
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.deleteSnapshot
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.update
  • bigquery.tables.updateData
  • storage.buckets.get
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update

Leser von Dataplex-Speicherdaten
(roles/dataplex.storageDataReader)

Lesezugriff auf Daten. Sollte nicht direkt verwendet werden. Diese Rolle wird von Dataplex für verwaltete Ressourcen wie Cloud Storage-Buckets, BigQuery-Datasets usw. gewährt.

  • bigquery.datasets.get
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.list
  • storage.buckets.get
  • storage.objects.get
  • storage.objects.list

Autor von Dataplex-Speicherdaten
(roles/dataplex.storageDataWriter)

Schreibzugriff auf Daten. Sollte nicht direkt verwendet werden. Diese Rolle wird von Dataplex für verwaltete Ressourcen wie Cloud Storage-Buckets, BigQuery-Datasets usw. gewährt.

  • bigquery.tables.updateData
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.update

Dataplex-Betrachter
(roles/dataplex.viewer)

Lesezugriff auf Dataplex-Ressourcen.

  • cloudasset.assets.analyzeIamPolicy
  • dataplex.assetActions.list
  • dataplex.assets.get
  • dataplex.assets.getIamPolicy
  • dataplex.assets.list
  • dataplex.content.get
  • dataplex.content.getIamPolicy
  • dataplex.content.list
  • dataplex.environments.get
  • dataplex.environments.getIamPolicy
  • dataplex.environments.list
  • dataplex.lakeActions.list
  • dataplex.lakes.get
  • dataplex.lakes.getIamPolicy
  • dataplex.lakes.list
  • dataplex.operations.get
  • dataplex.operations.list
  • dataplex.tasks.get
  • dataplex.tasks.getIamPolicy
  • dataplex.tasks.list
  • dataplex.zoneActions.list
  • dataplex.zones.get
  • dataplex.zones.getIamPolicy
  • dataplex.zones.list

Cloud Debugger-Rollen

Rolle Berechtigungen

Cloud Debugger-Agent Beta
(roles/clouddebugger.agent)

Ermöglicht das Registrieren des Debug-Ziels, das Lesen aktiver Haltepunkte und das Melden von Haltepunktergebnissen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Dienstkonto
  • clouddebugger.breakpoints.list
  • clouddebugger.breakpoints.listActive
  • clouddebugger.breakpoints.update
  • clouddebugger.debuggees.create

Cloud Debugger-Nutzer Beta
(roles/clouddebugger.user)

Ermöglicht das Erstellen, Aufrufen, Auflisten und Löschen von Haltepunkten (Snapshots und Logpoints) sowie das Auflisten von Debug-Zielen, d. h. von Komponenten, für die ein Debugging ausgeführt werden soll.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

  • Projekt
  • clouddebugger.breakpoints.create
  • clouddebugger.breakpoints.delete
  • clouddebugger.breakpoints.get
  • clouddebugger.breakpoints.list
  • clouddebugger.debuggees.list

Cloud Deployment-Rollen

Rolle Berechtigungen

Cloud Deploy-Administrator Beta
(roles/clouddeploy.admin)

Vollständige Kontrolle über Cloud Deploy-Ressourcen.

  • clouddeploy.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Deploy-Genehmiger Beta
(roles/clouddeploy.approver)

Berechtigung zum Genehmigen oder Ablehnen von Rollouts.

  • clouddeploy.locations.*
  • clouddeploy.operations.*
  • clouddeploy.rollouts.approve
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Deploy-Entwickler Beta
(roles/clouddeploy.developer)

Berechtigung zum Verwalten der Bereitstellungskonfiguration ohne Berechtigung für den Zugriff auf Betriebsressourcen wie Ziele.

  • clouddeploy.deliveryPipelines.create
  • clouddeploy.deliveryPipelines.get
  • clouddeploy.deliveryPipelines.getIamPolicy
  • clouddeploy.deliveryPipelines.list
  • clouddeploy.deliveryPipelines.update
  • clouddeploy.locations.*
  • clouddeploy.operations.*
  • clouddeploy.releases.*
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Deploy-Runner Beta
(roles/clouddeploy.jobRunner)

Berechtigung zum Ausführen von Cloud Deploy-Arbeiten ohne Berechtigung zum Senden an ein Ziel.

  • logging.logEntries.create
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list

Cloud Deploy-Operator Beta
(roles/clouddeploy.operator)

Berechtigung zum Verwalten der Bereitstellungskonfiguration.

  • clouddeploy.deliveryPipelines.create
  • clouddeploy.deliveryPipelines.get
  • clouddeploy.deliveryPipelines.getIamPolicy
  • clouddeploy.deliveryPipelines.list
  • clouddeploy.deliveryPipelines.update
  • clouddeploy.locations.*
  • clouddeploy.operations.*
  • clouddeploy.releases.*
  • clouddeploy.rollouts.create
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • clouddeploy.targets.create
  • clouddeploy.targets.get
  • clouddeploy.targets.getIamPolicy
  • clouddeploy.targets.list
  • clouddeploy.targets.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Deploy-Releaser Beta
(roles/clouddeploy.releaser)

Berechtigung zum Erstellen von Cloud Deploy-Releases und -Rollouts.

  • clouddeploy.deliveryPipelines.get
  • clouddeploy.locations.*
  • clouddeploy.operations.*
  • clouddeploy.releases.create
  • clouddeploy.releases.get
  • clouddeploy.releases.list
  • clouddeploy.rollouts.create
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • clouddeploy.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Deploy-Betrachter Beta
(roles/clouddeploy.viewer)

Kann Cloud Deploy-Ressourcen aufrufen.

  • clouddeploy.config.get
  • clouddeploy.deliveryPipelines.get
  • clouddeploy.deliveryPipelines.getIamPolicy
  • clouddeploy.deliveryPipelines.list
  • clouddeploy.locations.*
  • clouddeploy.operations.get
  • clouddeploy.operations.list
  • clouddeploy.releases.get
  • clouddeploy.releases.list
  • clouddeploy.rollouts.get
  • clouddeploy.rollouts.list
  • clouddeploy.targets.get
  • clouddeploy.targets.getIamPolicy
  • clouddeploy.targets.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud DLP-Rollen

Rolle Berechtigungen

DLP-Administrator
(roles/dlp.admin)

DLP einschließlich Jobs und Vorlagen verwalten.

  • dlp.*
  • serviceusage.services.use

Bearbeiter von DLP-Risikoanalysevorlagen
(roles/dlp.analyzeRiskTemplatesEditor)

DLP-Analyse-Risikovorlagen bearbeiten.

  • dlp.analyzeRiskTemplates.*

Leser von DLP-Risikoanalysevorlagen
(roles/dlp.analyzeRiskTemplatesReader)

DLP-Risikoanalysevorlagen lesen.

  • dlp.analyzeRiskTemplates.get
  • dlp.analyzeRiskTemplates.list

Leser von DLP-Spaltendatenprofilen
(roles/dlp.columnDataProfilesReader)

DLP-Spaltenprofile lesen.

  • dlp.columnDataProfiles.*

Leser von DLP-Datenprofilen
(roles/dlp.dataProfilesReader)

DLP-Profile lesen.

  • dlp.columnDataProfiles.*
  • dlp.projectDataProfiles.*
  • dlp.tableDataProfiles.*

DLP-De-identify-Vorlageneditor
(roles/dlp.deidentifyTemplatesEditor)

DLP-DE-identify-Vorlagen bearbeiten.

  • dlp.deidentifyTemplates.*

Leser von DLP-De-identify-Vorlagen
(roles/dlp.deidentifyTemplatesReader)

DLP-de-identify-Vorlagen lesen.

  • dlp.deidentifyTemplates.get
  • dlp.deidentifyTemplates.list

DLP-Kostenschätzung
(roles/dlp.estimatesAdmin)

DLP-Kostenschätzungen verwalten.

  • dlp.estimates.*

Leser von DLP-Prüfungsergebnissen
(roles/dlp.inspectFindingsReader)

Gespeicherte DLP-Ergebnisse lesen.

  • dlp.inspectFindings.list

Bearbeiter von DLP-Prüfungsvorlagen
(roles/dlp.inspectTemplatesEditor)

DLP-Prüfungsvorlagen lesen.

  • dlp.inspectTemplates.*

Leser von DLP-Prüfungsvorlagen
(roles/dlp.inspectTemplatesReader)

DLP Prüfungsvorlagen lesen.

  • dlp.inspectTemplates.get
  • dlp.inspectTemplates.list

DLP-Job-Trigger-Bearbeiter
(roles/dlp.jobTriggersEditor)

Job-Trigger-Konfigurationen bearbeiten.

  • dlp.jobTriggers.*

DLP-Job-Trigger-Leser
(roles/dlp.jobTriggersReader)

Job-Trigger lesen.

  • dlp.jobTriggers.get
  • dlp.jobTriggers.list

DLP-Jobs-Bearbeiter
(roles/dlp.jobsEditor)

Jobs bearbeiten und erstellen

  • dlp.jobs.*
  • dlp.kms.encrypt

DLP-Jobs-Leser
(roles/dlp.jobsReader)

Jobs lesen

  • dlp.jobs.get
  • dlp.jobs.list

Treiber von DLP-Organisationsdatenprofilen
(roles/dlp.orgdriver)

Berechtigungen, die vom DLP-Dienstkonto zum Generieren von Datenprofilen in einer Organisation oder einem Ordner benötigt werden.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.connections.updateTag
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.jobs.create
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.models.*
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.*
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.create
  • bigquery.tables.createIndex
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.deleteIndex
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • bigquery.transfers.get
  • bigquerymigration.translation.translate
  • cloudasset.assets.*
  • datacatalog.categories.fineGrainedGet
  • datacatalog.entries.updateTag
  • datacatalog.tagTemplates.create
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • datacatalog.tagTemplates.use
  • dlp.*
  • pubsub.topics.updateTag
  • recommender.cloudAssetInsights.get
  • recommender.cloudAssetInsights.list
  • recommender.locations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

Leser von DLP-Projektdatenprofilen
(roles/dlp.projectDataProfilesReader)

DLP-Projektprofile lesen.

  • dlp.projectDataProfiles.*

Treiber von DLP-Projektdatenprofilen
(roles/dlp.projectdriver)

Berechtigungen, die vom DLP-Dienstkonto zum Generieren von Datenprofilen in einem Projekt benötigt werden.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.connections.updateTag
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.jobs.create
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.jobs.listExecutionMetadata
  • bigquery.models.*
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.*
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.create
  • bigquery.tables.createIndex
  • bigquery.tables.createSnapshot
  • bigquery.tables.delete
  • bigquery.tables.deleteIndex
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.restoreSnapshot
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • bigquery.transfers.get
  • bigquerymigration.translation.translate
  • cloudasset.assets.*
  • datacatalog.categories.fineGrainedGet
  • datacatalog.entries.updateTag
  • datacatalog.tagTemplates.create
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • datacatalog.tagTemplates.use
  • dlp.*
  • pubsub.topics.updateTag
  • recommender.cloudAssetInsights.get
  • recommender.cloudAssetInsights.list
  • recommender.locations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

DLP-Leser
(roles/dlp.reader)

Lesen von DLP-Entitäten wie Jobs oder Vorlagen.

  • dlp.analyzeRiskTemplates.get
  • dlp.analyzeRiskTemplates.list
  • dlp.deidentifyTemplates.get
  • dlp.deidentifyTemplates.list
  • dlp.inspectFindings.list
  • dlp.inspectTemplates.get
  • dlp.inspectTemplates.list
  • dlp.jobTriggers.get
  • dlp.jobTriggers.list
  • dlp.jobs.get
  • dlp.jobs.list
  • dlp.locations.*
  • dlp.storedInfoTypes.get
  • dlp.storedInfoTypes.list

Bearbeiter von für DLP gespeicherten InfoTypes
(roles/dlp.storedInfoTypesEditor)

Für DLP gespeicherte InfoTypes bearbeiten.

  • dlp.storedInfoTypes.*

Leser von für DLP gespeicherte InfoTypes
(roles/dlp.storedInfoTypesReader)

Für DLP gespeicherte InfoTypes lesen.

  • dlp.storedInfoTypes.get
  • dlp.storedInfoTypes.list

Leser von DLP-Tabellendatenprofilen
(roles/dlp.tableDataProfilesReader)

DLP-Tabellenprofile lesen.

  • dlp.tableDataProfiles.*

DLP-Nutzer
(roles/dlp.user)

Inhalte prüfen, entfernen und ihre Identifizierung aufheben

  • dlp.kms.encrypt
  • dlp.locations.*
  • serviceusage.services.use

Cloud Domains-Rollen

Rolle Berechtigungen

Cloud Domains-Administrator
(roles/domains.admin)

Vollständiger Zugriff auf Cloud Domains Registrations und zugehörige Ressourcen.

  • domains.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Domains-Betrachter
(roles/domains.viewer)

Lesezugriff auf Cloud Domains Registrations und zugehörige Ressourcen.

  • domains.locations.*
  • domains.operations.get
  • domains.operations.list
  • domains.registrations.get
  • domains.registrations.getIamPolicy
  • domains.registrations.list
  • domains.registrations.listEffectiveTags
  • domains.registrations.listTagBindings
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Filestore-Rollen

Rolle Berechtigungen

Cloud Filestore-Bearbeiter Beta
(roles/file.editor)

Lese- und Schreibzugriff auf Filestore-Instanzen und zugehörige Ressourcen.

  • file.*

Cloud Filestore-Betrachter Beta
(roles/file.viewer)

Schreibzugriff auf Filestore-Instanzen und zugehörige Ressourcen.

  • file.backups.get
  • file.backups.list
  • file.backups.listEffectiveTags
  • file.backups.listTagBindings
  • file.instances.get
  • file.instances.list
  • file.instances.listEffectiveTags
  • file.instances.listTagBindings
  • file.locations.*
  • file.operations.get
  • file.operations.list
  • file.snapshots.listEffectiveTags
  • file.snapshots.listTagBindings

Cloud Functions-Rollen

Rolle Berechtigungen

Cloud Functions-Administrator
(roles/cloudfunctions.admin)

Umfassender Zugriff auf Funktionen, Vorgänge und Speicherorte.

  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudfunctions.*
  • eventarc.*
  • recommender.locations.*
  • recommender.runServiceIdentityInsights.*
  • recommender.runServiceIdentityRecommendations.*
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • run.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Cloud Functions-Entwickler
(roles/cloudfunctions.developer)