Informationen zu Rollen

Eine Rolle enthält eine Reihe von Berechtigungen, mit denen Sie bestimmte Aktionen für Google Cloud-Ressourcen vornehmen können. Wenn Sie Mitgliedern Berechtigungen erteilen möchten, einschließlich Nutzern, Gruppen und Dienstkonten, weisen Sie den Mitgliedern Rollen zu.

Auf dieser Seite werden die IAM-Rollen beschrieben, die Sie zuweisen können.

Voraussetzungen für diese Anleitung

Machen Sie sich mit den grundlegenden Konzepten von IAM vertraut

Rollentypen

Es gibt drei Arten von Rollen in IAM:

Einfache Rollen, zu denen die Rollen "Inhaber", "Bearbeiter" und "Betrachter" gehören und die es schon vor der Einführung von IAM gab.
Vordefinierte Rollen, die detaillierten Zugriff auf einen bestimmten Dienst bieten und von Google Cloud verwaltet werden.
Benutzerdefinierte Rollen, die detaillierten Zugriff gemäß einer vom Nutzer angegebenen Liste von Berechtigungen bieten.

Mit einer der folgenden Methoden können Sie ermitteln, ob eine Berechtigung in einer einfachen, vordefinierten oder benutzerdefinierten Rolle enthalten ist:

Führen Sie den Befehl gcloud iam roles describe aus, um die Berechtigungen der Rolle aufzulisten:
Rufen Sie die REST API-Methode roles.get() auf, um die Berechtigungen in der Rolle aufzulisten.
Nur für einfache und vordefinierte Rollen: Suchen Sie in der Berechtigungsreferenz, ob die Berechtigung von der Rolle gewährt wird.
Nur für vordefinierte Rollen: Suchen Sie auf dieser Seite in den vordefinierten Rollenbeschreibungen, um zu sehen, welche Berechtigungen die Rolle enthält.

In den folgenden Abschnitten werden die einzelnen Rollentypen beschrieben und Beispiele für deren Verwendung gegeben.

Einfache Rollen

Vor der Einführung von IAM gab es mehrere einfache Rollen: "Inhaber", "Bearbeiter" und "Betrachter". Diese Rollen sind konzentrisch, was bedeutet, dass die Inhaberrolle die Berechtigungen der Bearbeiterrolle und die Bearbeiterrolle die Berechtigungen der Betrachterrolle beinhaltet. Sie wurden ursprünglich als „einfache Rollen“ bezeichnet.

In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die die einfachen Rollen in allen Google Cloud-Diensten enthalten:

Definitionen für einfache Rollen

Name	Titel	Berechtigungen
`roles/viewer`	Betrachter	Berechtigungen für schreibgeschützte Aktionen, die sich nicht auf den Status auswirken, z. B. Anzeigen (aber nicht Ändern) vorhandener Ressourcen oder Daten
`roles/editor`	Bearbeiter	Alle Berechtigungen des Betrachters sowie Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. das Ändern vorhandener Ressourcen Hinweis: Die Rolle `roles/editor` enthält Berechtigungen zum Erstellen und Löschen von Ressourcen für die meisten Google Cloud-Dienste, umfasst jedoch keine Berechtigungen zum Ausführen aller Aktionen für alle Dienste. , um die Option zu aktivieren. Weitere Informationen dazu, wie Sie prüfen können, ob eine Rolle die erforderlichen Berechtigungen hat, finden Sie im obigen Abschnitt.
`roles/owner`	Inhaber	Alle Berechtigungen des Bearbeiters und Berechtigungen für die folgenden Aktionen: Rollen und Berechtigungen für ein Projekt und alle Ressourcen innerhalb des Projekts verwalten Abrechnung für ein Projekt einrichten Hinweis: Durch das Zuweisen der Inhaberrolle auf Ressourcenebene, beispielsweise ein Pub/Sub-Thema, wird die Inhaberrolle im übergeordneten Projekt nicht zugewiesen. Wenn Sie die Inhaberrolle auf Organisationsebene zuweisen, können Sie die Metadaten der Organisation nicht aktualisieren. Sie können damit jedoch Projekte und andere Ressourcen in dieser Organisation ändern.

Sie können einfache Rollen auf Projekt- oder Dienstressourcenebene mithilfe der Cloud Console, der API und des gcloud-Tools zuweisen. Eine Anleitung finden Sie unter Zugriff gewähren, ändern und widerrufen.

Einladungsablauf

Sie können einem Mitglied die Inhaberrolle für ein Projekt nicht mit der Identity and Access Management API oder dem gcloud-Befehlszeilentool zuweisen. Nur mit der Cloud Console können Sie Inhaber zu einem Projekt hinzufügen. Das Mitglied erhält per E-Mail eine Einladung und muss diese annehmen, um ein Inhaber des Projekts zu werden.

Beachten Sie, dass in den folgenden Fällen keine Einladungen per E-Mail gesendet werden:

Wenn Sie eine andere Rolle als die Inhaberrolle zuweisen.
Wenn ein Organisationsmitglied ein anderes Mitglied seiner Organisation als Inhaber eines Projekts innerhalb dieser Organisation hinzufügt.

Weitere Informationen zum Zuweisen von Rollen mit der Cloud Console finden Sie unter Zugriff gewähren, ändern und widerrufen.

Vordefinierte Rollen

Zusätzlich zu den einfachen Rollen bietet IAM weitere vordefinierte Rollen, die detaillierten Zugriff auf bestimmte Ressourcen von Google Cloud ermöglichen und unerwünschten Zugriff auf andere Ressourcen verhindern. Vordefinierte Rollen werden von Google erstellt und verwaltet. Google aktualisiert seine Berechtigungen bei Bedarf automatisch, z. B. wenn Google Cloud neue Features oder Dienste hinzufügt.

Die folgende Tabelle enthält diese Rollen, ihre Beschreibung und den Ressourcentyp der untersten Ebene, für den Rollen festgelegt werden. Eine bestimmte Rolle kann diesem Ressourcentyp oder in den meisten Fällen einem übergeordneten Typ in der Google Cloud-Hierarchie zugewiesen werden. Einem Nutzer können mehrere Rollen zugewiesen werden. Zum Beispiel kann ein Nutzer für ein Projekt die Rollen "Netzwerkadministrator" und "Log-Betrachter" und außerdem die Rolle "Publisher" für ein Pub/Sub-Thema in diesem Projekt haben. Eine Liste der in einer Rolle enthaltenen Berechtigungen finden Sie unter Rollenmetadaten abrufen.

Rollen zur Zugriffsgenehmigung

Rolle	Titel	Beschreibung	Berechtigungen
`roles/accessapproval.approver`	Genehmiger für Zugriffsgenehmigungen ^Beta	Kann Anfragen für Zugriffsgenehmigungen ansehen und bearbeiten sowie Konfigurationen ansehen	accessapproval.requests.* accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list
`roles/accessapproval.configEditor`	Bearbeiter der Zugriffsgenehmigungskonfiguration^Beta	Kann die Zugriffsgenehmigungskonfiguration aktualisieren	accessapproval.settings.* resourcemanager.projects.get resourcemanager.projects.list
`roles/accessapproval.viewer`	Betrachter von Zugriffsgenehmigungen^Beta	Kann Anfragen für Zugriffsgenehmigungen und Konfigurationen aufrufen	accessapproval.requests.get accessapproval.requests.list accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list

Access Context Manager-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/accesscontextmanager.gcpAccessAdmin`	Administrator für Cloud-Zugriffsbindungen	Erstellen, bearbeiten und ändern von Cloud-Zugriffsbindungen	accesscontextmanager.gcpUserAccessBindings.*
`roles/accesscontextmanager.gcpAccessReader`	Leser für Cloud-Zugriffsbindungen	Lesezugriff auf Cloud-Zugriffsbindungen	accesscontextmanager.gcpUserAccessBindings.get accesscontextmanager.gcpUserAccessBindings.list
`roles/accesscontextmanager.policyAdmin`	Access Context Manager-Administrator	Vollständiger Zugriff auf Richtlinien, Zugriffsebenen und Zugriffszonen	accesscontextmanager.accessLevels.* accesscontextmanager.accessPolicies.* accesscontextmanager.accessZones.* accesscontextmanager.policies.* accesscontextmanager.servicePerimeters.* cloudasset.assets.searchAllResources resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/accesscontextmanager.policyEditor`	Access Context Manager-Bearbeiter	Schreibzugriff auf Richtlinien. Erstellen, bearbeiten und ändern Sie Zugriffsebenen und -zonen.	accesscontextmanager.accessLevels.* accesscontextmanager.accessPolicies.create accesscontextmanager.accessPolicies.delete accesscontextmanager.accessPolicies.get accesscontextmanager.accessPolicies.getIamPolicy accesscontextmanager.accessPolicies.list accesscontextmanager.accessPolicies.update accesscontextmanager.accessZones.* accesscontextmanager.policies.create accesscontextmanager.policies.delete accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.policies.update accesscontextmanager.servicePerimeters.* cloudasset.assets.searchAllResources resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/accesscontextmanager.policyReader`	Access Context Manager-Leser	Lesezugriff auf Richtlinien, Zugriffsebenen und Zugriffszonen.	accesscontextmanager.accessLevels.get accesscontextmanager.accessLevels.list accesscontextmanager.accessPolicies.get accesscontextmanager.accessPolicies.getIamPolicy accesscontextmanager.accessPolicies.list accesscontextmanager.accessZones.get accesscontextmanager.accessZones.list accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.servicePerimeters.get accesscontextmanager.servicePerimeters.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/accesscontextmanager.vpcScTroubleshooterViewer`	Betrachter der VPC Service Controls-Fehlerbehebung		accesscontextmanager.accessLevels.get accesscontextmanager.accessLevels.list accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.servicePerimeters.get accesscontextmanager.servicePerimeters.list logging.exclusions.get logging.exclusions.list logging.logEntries.list logging.logMetrics.get logging.logMetrics.list logging.logServiceIndexes.* logging.logServices.* logging.logs.list logging.sinks.get logging.sinks.list logging.usage.* resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

Actions-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/actions.Admin`	Actions-Administrator	Kann Aktionen bearbeiten und bereitstellen	actions.* firebase.projects.get firebase.projects.update resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use
`roles/actions.Viewer`	Actions-Betrachter	Kann Aktionen aufrufen	actions.agent.get actions.agentVersions.get actions.agentVersions.list firebase.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use

Android Management-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/androidmanagement.user`	Android Management-Nutzer	Vollständiger Zugriff zur Verwaltung von Geräten	androidmanagement.* serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

API-Gateway-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/apigateway.admin`	ApiGateway-Administrator	Vollständiger Zugriff auf ApiGateway und zugehörige Ressourcen.	apigateway.* resourcemanager.projects.get resourcemanager.projects.list
`roles/apigateway.viewer`	ApiGateway-Betrachter	Lesezugriff auf ApiGateway und zugehörige Ressourcen.	apigateway.apiconfigs.get apigateway.apiconfigs.getIamPolicy apigateway.apiconfigs.list apigateway.apis.get apigateway.apis.getIamPolicy apigateway.apis.list apigateway.gateways.get apigateway.gateways.getIamPolicy apigateway.gateways.list apigateway.locations.* apigateway.operations.get apigateway.operations.list resourcemanager.projects.get resourcemanager.projects.list

Apigee-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/apigee.admin`	Apigee-Organisationsadministrator	Vollständiger Zugriff auf alle Apigee-Ressourcen-Features	apigee.* resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
`roles/apigee.analyticsAgent`	Apigee Analytics-Agent	Ausgewählte Reihe von Berechtigungen für Apigee Universal Data Collection Agent, um Analysen für eine Apigee-Organisation zu verwalten	apigee.environments.getDataLocation
`roles/apigee.analyticsEditor`	Apigee Analytics-Bearbeiter	Analytics-Editor für ein Apigee-Unternehmen	apigee.datacollectors.* apigee.datastores.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.exports.* apigee.hostqueries.* apigee.hoststats.* apigee.organizations.get apigee.organizations.list apigee.queries.* apigee.reports.* resourcemanager.projects.get resourcemanager.projects.list
`roles/apigee.analyticsViewer`	Apigee Analytics-Betrachter	Analytics-Betrachter für ein Apigee-Unternehmen	apigee.datacollectors.get apigee.datacollectors.list apigee.datastores.get apigee.datastores.list apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.exports.get apigee.exports.list apigee.hostqueries.get apigee.hostqueries.list apigee.hoststats.* apigee.organizations.get apigee.organizations.list apigee.queries.get apigee.queries.list apigee.reports.get apigee.reports.list resourcemanager.projects.get resourcemanager.projects.list
`roles/apigee.apiAdmin`	Apigee API-Administrator	Vollständiger Lese-/Schreibzugriff auf alle Apigee API-Ressourcen	apigee.apiproductattributes.* apigee.apiproducts.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.keyvaluemaps.list apigee.organizations.get apigee.organizations.list apigee.proxies.* apigee.proxyrevisions.* apigee.sharedflowrevisions.* apigee.sharedflows.* apigee.tracesessions.* resourcemanager.projects.get resourcemanager.projects.list
`roles/apigee.apiReader`	Apigee API-Leser	Leser von Apigee-Ressourcen	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.keyvaluemaps.list apigee.organizations.get apigee.organizations.list apigee.proxies.get apigee.proxies.list apigee.proxyrevisions.deploy apigee.proxyrevisions.get apigee.proxyrevisions.list apigee.proxyrevisions.undeploy apigee.sharedflowrevisions.deploy apigee.sharedflowrevisions.get apigee.sharedflowrevisions.list apigee.sharedflowrevisions.undeploy apigee.sharedflows.get apigee.sharedflows.list apigee.tracesessions.get apigee.tracesessions.list resourcemanager.projects.get resourcemanager.projects.list
`roles/apigee.developerAdmin`	Apigee-Entwickler/Administrator	Entwickleradministrator von Apigee-Ressourcen	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.appkeys.* apigee.apps.* apigee.datacollectors.* apigee.developerappattributes.* apigee.developerapps.* apigee.developerattributes.* apigee.developers.* apigee.environments.get apigee.environments.getStats apigee.hoststats.* apigee.organizations.get apigee.organizations.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
`roles/apigee.environmentAdmin`	Administrator der Apigee-Umgebung	Vollständiger Lese-/Schreibzugriff auf Apigee-Umgebungsressourcen, einschließlich Bereitstellungen.	apigee.datacollectors.get apigee.datacollectors.list apigee.deployments.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getIamPolicy apigee.environments.getStats apigee.environments.list apigee.environments.setIamPolicy apigee.flowhooks.* apigee.ingressconfigs.* apigee.keystorealiases.* apigee.keystores.* apigee.keyvaluemaps.* apigee.maskconfigs.* apigee.organizations.get apigee.organizations.list apigee.proxies.get apigee.proxies.list apigee.proxyrevisions.deploy apigee.proxyrevisions.get apigee.proxyrevisions.list apigee.proxyrevisions.undeploy apigee.references.* apigee.resourcefiles.* apigee.sharedflowrevisions.deploy apigee.sharedflowrevisions.get apigee.sharedflowrevisions.list apigee.sharedflowrevisions.undeploy apigee.sharedflows.get apigee.sharedflows.list apigee.targetservers.* apigee.tracesessions.* resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
`roles/apigee.portalAdmin`	Apigee-Portal-Administrator	Portal-Administrator für eine Apigee-Organisation	apigee.organizations.get apigee.organizations.list apigee.portals.* resourcemanager.projects.get resourcemanager.projects.list
`roles/apigee.readOnlyAdmin`	Schreibgeschützter Apigee-Admin	Betrachter aller Apigee-Ressourcen	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.appkeys.get apigee.apps.* apigee.caches.list apigee.canaryevaluations.get apigee.datacollectors.get apigee.datacollectors.list apigee.datastores.get apigee.datastores.list apigee.deployments.get apigee.deployments.list apigee.developerappattributes.get apigee.developerappattributes.list apigee.developerapps.get apigee.developerapps.list apigee.developerattributes.get apigee.developerattributes.list apigee.developers.get apigee.developers.list apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getDataLocation apigee.environments.getIamPolicy apigee.environments.getStats apigee.environments.list apigee.exports.get apigee.exports.list apigee.flowhooks.getSharedFlow apigee.flowhooks.list apigee.hostqueries.get apigee.hostqueries.list apigee.hoststats.* apigee.ingressconfigs.* apigee.instanceattachments.get apigee.instanceattachments.list apigee.instances.get apigee.instances.list apigee.keystorealiases.get apigee.keystorealiases.list apigee.keystores.get apigee.keystores.list apigee.keyvaluemaps.list apigee.maskconfigs.get apigee.operations.* apigee.organizations.get apigee.organizations.list apigee.portals.get apigee.portals.list apigee.proxies.get apigee.proxies.list apigee.proxyrevisions.get apigee.proxyrevisions.list apigee.queries.get apigee.queries.list apigee.references.get apigee.references.list apigee.reports.get apigee.reports.list apigee.resourcefiles.get apigee.resourcefiles.list apigee.sharedflowrevisions.get apigee.sharedflowrevisions.list apigee.sharedflows.get apigee.sharedflows.list apigee.targetservers.get apigee.targetservers.list apigee.tracesessions.get apigee.tracesessions.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
`roles/apigee.runtimeAgent`	Apigee-Laufzeit-Agent	Ein Gruppe ausgewählter Berechtigungen für einen Laufzeit-Agent zum Zugriff auf Apigee-Organisationsressourcen	apigee.canaryevaluations.* apigee.ingressconfigs.* apigee.instances.reportStatus apigee.operations.*
`roles/apigee.synchronizerManager`	Apigee Synchronizer Manager	Ausgewählte Reihe von Berechtigungen für einen Synchronizer, um Umgebungen in einer Apigee-Organisation zu verwalten	apigee.environments.get apigee.environments.manageRuntime apigee.ingressconfigs.*
`roles/apigeeconnect.Admin`	Apigee Connect-Administrator	Administrator von Apigee Connect	apigeeconnect.connections.*
`roles/apigeeconnect.Agent`	Apigee Connect Agent	Kann einen Apigee Connect-Agent zwischen externen Clustern und Google einrichten.	apigeeconnect.endpoints.*

App Engine-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/appengine.appAdmin`	App Engine-Administrator	Berechtigung zum Lesen/Schreiben/Ändern für die gesamte Anwendungskonfiguration und die Einstellungen Zum Bereitstellen neuer Versionen müssen Sie auch die Rolle Dienstkontonutzer (`roles/iam.serviceAccountUser`) zuweisen. Für die Bereitstellung des `gcloud`-Tools müssen Sie die Rollen Compute Engine-Administrator (`roles/compute.storageAdmin`) und Cloud Build-Bearbeiter (`roles/cloudbuild.builds.editor`) hinzufügen.	appengine.applications.get appengine.applications.update appengine.instances.* appengine.operations.* appengine.runtimes.* appengine.services.* appengine.versions.create appengine.versions.delete appengine.versions.get appengine.versions.list appengine.versions.update resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/appengine.appCreator`	App Engine-Ersteller	Fähigkeit zur Erstellung der App Engine-Ressource für das Projekt.	appengine.applications.create resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/appengine.appViewer`	App Engine-Betrachter	Lesezugriff auf die gesamte Anwendungskonfiguration und die Einstellungen.	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.get appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/appengine.codeViewer`	Betrachter von App Engine-Code	Lesezugriff auf die gesamte Anwendungskonfiguration, die Einstellungen und den bereitgestellten Quellcode.	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.get appengine.versions.getFileContents appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/appengine.deployer`	App Engine-Bereitsteller	Schreibgeschützter Zugriff auf die gesamte Anwendungskonfiguration und die Einstellungen Zum Bereitstellen neuer Versionen müssen Sie auch die Rolle Dienstkontonutzer (`roles/iam.serviceAccountUser`) zuweisen. Für die Bereitstellung des `gcloud`-Tools müssen Sie die Rollen Compute Engine-Administrator (`roles/compute.storageAdmin`) und Cloud Build-Bearbeiter (`roles/cloudbuild.builds.editor`) hinzufügen. Sie können vorhandene Versionen nicht bearbeiten, sondern nur Versionen löschen, die keinen Traffic empfangen.	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.create appengine.versions.delete appengine.versions.get appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/appengine.serviceAdmin`	App Engine-Dienstadministrator	Schreibgeschützter Zugriff auf die gesamte Anwendungskonfiguration und die Einstellungen Schreibberechtigung für Einstellungen auf Modul- und Versionsebene Kann keine neue Version bereitstellen.	appengine.applications.get appengine.instances.* appengine.operations.* appengine.services.* appengine.versions.delete appengine.versions.get appengine.versions.list appengine.versions.update resourcemanager.projects.get resourcemanager.projects.list	Projekt

Artifact Registry-Rollen

Role	Titel	Beschreibung	Berechtigungen
`roles/artifactregistry.admin`	Artifact Registry-Administrator^Beta	Administratorzugriff zum Erstellen und Verwalten von Repositories.	artifactregistry.*
`roles/artifactregistry.reader`	Artifact Registry-Leser ^Beta	Lesezugriff auf Repositoryelemente.	artifactregistry.files.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.tags.get artifactregistry.tags.list artifactregistry.versions.get artifactregistry.versions.list
`roles/artifactregistry.repoAdmin`	Artifact Registry-Repository-Administrator^Beta	Zugriff zur Verwaltung von Artefakten in Repositories.	artifactregistry.files.* artifactregistry.packages.* artifactregistry.repositories.deleteArtifacts artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.uploadArtifacts artifactregistry.tags.* artifactregistry.versions.*
`roles/artifactregistry.writer`	Artifact Registry-Autor ^Beta	Lese- und Schreibzugriff auf Repositoryelemente.	artifactregistry.files.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.uploadArtifacts artifactregistry.tags.create artifactregistry.tags.get artifactregistry.tags.list artifactregistry.tags.update artifactregistry.versions.get artifactregistry.versions.list

Assured Workloads-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/assuredworkloads.admin`	Assured Workloads-Administrator	Gewährt vollständigen Zugriff auf Assured Workloads-Ressourcen, einschließlich der Verwaltung von IAM-Richtlinien.	assuredworkloads.* orgpolicy.* resourcemanager.organizations.get resourcemanager.projects.create resourcemanager.projects.get resourcemanager.projects.list
`roles/assuredworkloads.editor`	Assured Workloads-Bearbeiter	Gewährt Lese- und Schreibzugriff auf Assured Workloads-Ressourcen.	assuredworkloads.* orgpolicy.* resourcemanager.organizations.get resourcemanager.projects.create resourcemanager.projects.get resourcemanager.projects.list
`roles/assuredworkloads.reader`	Leser von Assured Workloads	Gewährt Lesezugriff auf alle Assured Workloads-Ressourcen.	assuredworkloads.operations.* assuredworkloads.workload.get assuredworkloads.workload.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

AutoML-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/automl.admin`	AutoML-Administrator^Beta	Voller Zugriff auf alle AutoML-Ressourcen	automl.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list	Dataset/Modell
`roles/automl.editor`	AutoML-Bearbeiter^Beta	Bearbeiter aller AutoML-Ressourcen	automl.annotationSpecs.* automl.annotations.* automl.columnSpecs.* automl.datasets.create automl.datasets.delete automl.datasets.export automl.datasets.get automl.datasets.import automl.datasets.list automl.datasets.update automl.examples.* automl.humanAnnotationTasks.* automl.locations.get automl.locations.list automl.modelEvaluations.* automl.models.create automl.models.delete automl.models.deploy automl.models.export automl.models.get automl.models.list automl.models.predict automl.models.undeploy automl.operations.* automl.tableSpecs.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list	Dataset/Modell
`roles/automl.predictor`	AutoML-Erkennung^Beta	Erkennen mit Modellen	automl.models.predict resourcemanager.projects.get resourcemanager.projects.list	Modell
`roles/automl.viewer`	AutoML-Betrachter^Beta	Betrachter von allen AutoML-Ressourcen	automl.annotationSpecs.get automl.annotationSpecs.list automl.annotations.list automl.columnSpecs.get automl.columnSpecs.list automl.datasets.get automl.datasets.list automl.examples.get automl.examples.list automl.humanAnnotationTasks.get automl.humanAnnotationTasks.list automl.locations.get automl.locations.list automl.modelEvaluations.get automl.modelEvaluations.list automl.models.get automl.models.list automl.operations.get automl.operations.list automl.tableSpecs.get automl.tableSpecs.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list	Dataset/Modell

BigQuery-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/bigquery.admin`	BigQuery-Administrator	Berechtigungen zum Verwalten aller Ressourcen im Projekt. Kann damit alle Daten im Projekt verwalten und Jobs von anderen Nutzern abbrechen, die im Projekt ausgeführt werden.	bigquery.* resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/bigquery.connectionAdmin`	BigQuery-Verbindungsadministrator		bigquery.connections.*
`roles/bigquery.connectionUser`	BigQuery-Verbindungsnutzer		bigquery.connections.get bigquery.connections.getIamPolicy bigquery.connections.list bigquery.connections.use
`roles/bigquery.dataEditor`	BigQuery-Datenbearbeiter	Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für: Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren. Die Tabelle oder Ansicht löschen. Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für: Metadaten des Datasets lesen und Tabellen im Dataset auflisten. Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen. Bei Anwendung auf Projekt- oder Organisationsebene können Sie durch diese Rolle zusätzlich neue Datasets erstellen.	bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.models.* bigquery.routines.* bigquery.tables.create bigquery.tables.delete bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag resourcemanager.projects.get resourcemanager.projects.list	Tabelle oder Ansicht
`roles/bigquery.dataOwner`	BigQuery-Dateninhaber	Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für: Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren. Tabelle oder Ansicht freigeben. Die Tabelle oder Ansicht löschen. Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für: Das Lesen, Aktualisieren und Löschen des Datasets. Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen. Bei Anwendung auf Projekt- oder Organisationsebene können Sie durch diese Rolle zusätzlich neue Datasets erstellen.	bigquery.datasets.* bigquery.models.* bigquery.routines.* bigquery.tables.* resourcemanager.projects.get resourcemanager.projects.list	Tabelle oder Ansicht
`roles/bigquery.dataViewer`	BigQuery-Datenbetrachter	Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für: Daten und Metadaten aus der Tabelle oder Ansicht lesen. Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für: Metadaten des Datasets lesen und Tabellen im Dataset auflisten. Daten und Metadaten aus den Tabellen des Datasets lesen. Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht diese Rolle die Aufzählung aller Datasets im Projekt. Für die Ausführung von Jobs sind jedoch weitere Rollen erforderlich.	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list	Tabelle oder Ansicht
`roles/bigquery.jobUser`	BigQuery-Jobnutzer	Berechtigungen zum Ausführen von Jobs im Projekt, einschließlich Abfragen.	bigquery.jobs.create resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/bigquery.metadataViewer`	BigQuery Metadata-Betrachter	Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für: Metadaten aus der Tabelle oder Ansicht lesen. Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für: Tabellen und Ansichten im Dataset auflisten. Metadaten aus den Tabellen und Ansichten des Datasets lesen. Bei Anwendung auf Projekt- oder Organisationsebene gewährt diese Rolle Berechtigungen für: Alle Datasets auflisten und Metadaten für alle Datasets im Projekt lesen. Alle Tabellen und Ansichten auflisten sowie Metadaten für alle Tabellen und Ansichten im Projekt lesen Für die Ausführung von Jobs sind weitere Rollen erforderlich.	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.get bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list	Tabelle oder Ansicht
`roles/bigquery.readSessionUser`	BigQuery Read Session-Nutzer	Zugriff zum Erstellen und Verwenden von Lesesitzungen	bigquery.readsessions.* resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.resourceAdmin`	BigQuery-Ressourcen-Administrator	Verwalten Sie alle BigQuery-Ressourcen.	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.* bigquery.reservations.* resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.resourceEditor`	BigQuery-Ressourcenbearbeiter	Kann alle BigQuery-Ressourcen verwalten, aber keine Kaufentscheidungen treffen.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.* bigquery.reservations.* resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.resourceViewer`	BigQuery-Ressourcenbetrachter	Kann alle BigQuery-Ressourcen betrachten, aber keine Änderungen vornehmen oder Kaufentscheidungen treffen.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.user`	BigQuery-Nutzer	Bei Anwendung auf ein Dataset ermöglicht diese Rolle das Lesen der Metadaten des Datasets und das Auflisten von Tabellen im Dataset. Bei Anwendung auf ein Projekt bietet diese Rolle auch die Möglichkeit, Jobs, einschließlich Abfragen, innerhalb des Projekts auszuführen. Ein Mitglied mit dieser Rolle kann seine eigenen Jobs auflisten, seine eigenen Jobs abbrechen und Datasets innerhalb eines Projekts aufzählen. Darüber hinaus ermöglicht die Rolle das Erstellen neuer Datasets im Projekt. Dem Ersteller wird für diese neuen Datasets die Rolle "BigQuery Data-Inhaber" (`roles/bigquery.dataOwner`) zugewiesen.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.config.get bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.jobs.create bigquery.jobs.list bigquery.models.list bigquery.readsessions.* bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list bigquery.routines.list bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.list bigquery.transfers.get resourcemanager.projects.get resourcemanager.projects.list	Dataset

Cloud Bigtable-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/bigtable.admin`	Bigtable-Administrator	Verwaltet alle Instanzen in einem Projekt, darunter auch die Daten, die in den Tabellen gespeichert sind. Kann neue Instanzen erstellen. Vorgesehen für Projektadministratoren.	bigtable.* monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get	Tabelle
`roles/bigtable.reader`	Bigtable-Leser	Erlaubt nur Lesezugriff auf die in den Tabellen gespeicherten Daten. Gedacht für Datenanalysten, Dashboard-Generatoren und anderen Datenanalyse-Szenarien.	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.keyvisualizer.* bigtable.locations.* bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list bigtable.tables.readRows bigtable.tables.sampleRowKeys monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get	Tabelle
`roles/bigtable.user`	Bigtable-Nutzer	Erlaubt Lese- und Schreibzugriff auf die in den Tabellen gespeicherten Daten. Gedacht für Anwendungsentwickler oder Dienstkontos.	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.keyvisualizer.* bigtable.locations.* bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list bigtable.tables.mutateRows bigtable.tables.readRows bigtable.tables.sampleRowKeys monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get	Tabelle
`roles/bigtable.viewer`	Bigtable-Betrachter	Bietet keinen Datenzugriff. Diese Rolle beinhaltet einen Satz von Mindestberechtigungen für den Zugriff auf die Cloud Console für Cloud Bigtable.	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.locations.* bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get	Tabelle

Abrechnungsrollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/billing.admin`	Rechnungskontoadministrator	Berechtigung zum Aufrufen und Verwalten aller Aspekte von Abrechnungskonten	billing.accounts.close billing.accounts.get billing.accounts.getIamPolicy billing.accounts.getPaymentInfo billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.accounts.move billing.accounts.redeemPromotion billing.accounts.removeFromOrganization billing.accounts.reopen billing.accounts.setIamPolicy billing.accounts.update billing.accounts.updatePaymentInfo billing.accounts.updateUsageExportSpec billing.budgets.* billing.credits.* billing.resourceAssociations.* billing.subscriptions.* cloudnotifications.* consumerprocurement.accounts.* consumerprocurement.orders.* dataprocessing.datasources.get dataprocessing.datasources.list dataprocessing.groupcontrols.get dataprocessing.groupcontrols.list logging.logEntries.list logging.logServiceIndexes.* logging.logServices.* logging.logs.list logging.privateLogEntries.* recommender.commitmentUtilizationInsights.* recommender.usageCommitmentRecommendations.* resourcemanager.projects.createBillingAssignment resourcemanager.projects.deleteBillingAssignment	Rechnungskonto
`roles/billing.costsManager`	Kostenverwalter für Rechnungskonto	Kann Kosteninformationen von Rechnungskonten aufrufen und exportieren.	billing.accounts.get billing.accounts.getIamPolicy billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.accounts.updateUsageExportSpec billing.budgets.*
`roles/billing.creator`	Rechnungskonto-Ersteller	Berechtigung zum Erstellen von Abrechnungskonten	billing.accounts.create resourcemanager.organizations.get	Organisation
`roles/billing.projectManager`	Administrator für die Projektabrechnung	Berechtigung zum Zuweisen des Abrechnungskontos eines Projekts oder zum Deaktivieren seiner Abrechnung	resourcemanager.projects.createBillingAssignment resourcemanager.projects.deleteBillingAssignment	Projekt
`roles/billing.user`	Rechnungskontonutzer	Berechtigung zum Verbinden von Projekten mit Abrechnungskonten	billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.accounts.redeemPromotion billing.credits.* billing.resourceAssociations.create	Rechnungskonto
`roles/billing.viewer`	Rechnungskonto-Betrachter	Kontoinformationen und Transaktionen im Rechnungskonto aufrufen	billing.accounts.get billing.accounts.getIamPolicy billing.accounts.getPaymentInfo billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.budgets.get billing.budgets.list billing.credits.* billing.resourceAssociations.list billing.subscriptions.get billing.subscriptions.list consumerprocurement.accounts.get consumerprocurement.accounts.list consumerprocurement.orders.get consumerprocurement.orders.list dataprocessing.datasources.get dataprocessing.datasources.list dataprocessing.groupcontrols.get dataprocessing.groupcontrols.list recommender.commitmentUtilizationInsights.get recommender.commitmentUtilizationInsights.list recommender.usageCommitmentRecommendations.get recommender.usageCommitmentRecommendations.list	Rechnungskonto

Binärautorisierungsrollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/binaryauthorization.attestorsAdmin`	Administrator von Attestierungen von Binärautorisierungen	Administrator der Attestierer von Binärautorisierungen	binaryauthorization.attestors.* resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.attestorsEditor`	Bearbeiter von Attestierungen von Binärautorisierungen	Für Attestierungen von Binärautorisierungen verantwortlicher Bearbeiter	binaryauthorization.attestors.create binaryauthorization.attestors.delete binaryauthorization.attestors.get binaryauthorization.attestors.list binaryauthorization.attestors.update binaryauthorization.attestors.verifyImageAttested resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.attestorsVerifier`	Verifizierer von Attestierungs-Images von Binärautorisierungen	Aufrufer der Attestierungen "VerifyImageAttested" von Binärautorisierungen	binaryauthorization.attestors.get binaryauthorization.attestors.list binaryauthorization.attestors.verifyImageAttested resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.attestorsViewer`	Betrachter von Attestierungen von Binärautorisierungen	Für Attestierungen von Binärautorisierungen verantwortlicher Betrachter	binaryauthorization.attestors.get binaryauthorization.attestors.list resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.continuousValidationConfigAdmin`	Administrator der Binärautorisierung ContinuousValidationConfig ^Beta	Administrator der Binärautorisierung ContinuousValidationConfig	binaryauthorization.continuousValidationConfig.* resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.continuousValidationConfigEditor`	Bearbeiter der Binärautorisierung ContinuousValidationConfig ^Beta	Bearbeiter der Binärautorisierung ContinuousValidationConfig	binaryauthorization.continuousValidationConfig.get binaryauthorization.continuousValidationConfig.update resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.continuousValidationConfigViewer`	Betrachter der Binärautorisierung ContinuousValidationConfig ^Beta	Betrachter der Binärautorisierung ContinuousValidationConfig	binaryauthorization.continuousValidationConfig.get resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.policyAdmin`	Administrator von Richtlinien für Binärautorisierungen	Administrator der Richtlinien für Binärautorisierungen	binaryauthorization.policy.* resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.policyEditor`	Bearbeiter von Richtlinien für Binärautorisierungen	Bearbeiter der Richtlinien für Binärautorisierungen	binaryauthorization.policy.get binaryauthorization.policy.update resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.policyViewer`	Betrachter von Richtlinien für Binärautorisierungen	Betrachter der Richtlinien für Binärautorisierungen	binaryauthorization.policy.get resourcemanager.projects.get resourcemanager.projects.list

Hangouts Chat-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/chat.owner`	Chatbots-Inhaber	Kann Bot-Konfigurationen aufrufen und ändern	chat.*
`roles/chat.reader`	Chatbots-Betrachter	Kann Bot-Konfigurationen aufrufen	chat.bots.get

Cloud-Asset-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/cloudasset.owner`	Cloud-Asset-Inhaber	Kompletter Zugriff auf Cloud-Asset-Metadaten	cloudasset.* recommender.locations.*
`roles/cloudasset.viewer`	Cloud-Asset-Betrachter	Lesezugriff auf Cloud-Asset-Metadaten	cloudasset.assets.* recommender.locations.*

Cloud Build-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/cloudbuild.builds.builder`	Cloud Build-Dienstkonto	Berechtigung zum Ausführen von Builds	artifactregistry.files.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.uploadArtifacts artifactregistry.tags.create artifactregistry.tags.get artifactregistry.tags.list artifactregistry.tags.update artifactregistry.versions.get artifactregistry.versions.list cloudbuild.* containeranalysis.occurrences.create containeranalysis.occurrences.delete containeranalysis.occurrences.get containeranalysis.occurrences.list containeranalysis.occurrences.update logging.logEntries.create pubsub.topics.create pubsub.topics.publish remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update
`roles/cloudbuild.builds.editor`	Cloud Build-Bearbeiter	Berechtigung zum Erstellen und Stornieren von Builds	cloudbuild.* remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/cloudbuild.builds.viewer`	Cloud Build-Betrachter	Berechtigung zum Aufrufen von Builds	cloudbuild.builds.get cloudbuild.builds.list remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list	Projekt

Cloud Data Fusion-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/datafusion.admin`	Cloud Data Fusion-Administrator^Beta	Vollständiger Zugriff auf Cloud Data Fusion-Instanzen und zugehörige Ressourcen.	datafusion.* resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/datafusion.runner`	Cloud Data Fusion-Runner ^Beta	Zugriff auf Cloud Data Fusion-Laufzeitressourcen.	datafusion.instances.runtime
`roles/datafusion.viewer`	Cloud Data Fusion-Betrachter^Beta	Schreibzugriff auf Cloud Data Fusion-Instanzen und zugehörige Ressourcen.	datafusion.instances.get datafusion.instances.getIamPolicy datafusion.instances.list datafusion.instances.runtime datafusion.locations.* datafusion.operations.get datafusion.operations.list resourcemanager.projects.get resourcemanager.projects.list	Projekt

Cloud Debugger-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/clouddebugger.agent`	Cloud Debugger-Agent^Beta	Ermöglicht das Registrieren des Debug-Ziels, das Lesen aktiver Haltepunkte und das Melden von Haltepunktergebnissen.	clouddebugger.breakpoints.list clouddebugger.breakpoints.listActive clouddebugger.breakpoints.update clouddebugger.debuggees.create	Dienstkonto
`roles/clouddebugger.user`	Cloud Debugger-Nutzer ^Beta	Ermöglicht das Erstellen, Aufrufen, Auflisten und Löschen von Haltepunkten (Snapshots und Logpoints) sowie das Auflisten von Debug-Zielen, d. h. von Komponenten, für die ein Debugging ausgeführt werden soll.	clouddebugger.breakpoints.create clouddebugger.breakpoints.delete clouddebugger.breakpoints.get clouddebugger.breakpoints.list clouddebugger.debuggees.list	Projekt

Cloud Document AI-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/documentai.admin`	Cloud Document AI-Administrator. ^Beta	Gewährt vollständigen Zugriff auf alle Ressourcen in Cloud Document AI	documentai.* resourcemanager.projects.get resourcemanager.projects.list
`roles/documentai.apiUser`	Cloud DocumentAI API-Nutzer^Beta	Gewährt Zugriff auf die Dokumentverarbeitung in Cloud Document AI	documentai.humanReviewConfigs.review documentai.operations.* documentai.processors.processBatch documentai.processors.processOnline
`roles/documentai.editor`	Cloud DocumentAI-Bearbeiter^Beta	Gewährt Zugriff auf die Nutzung aller Ressourcen in Cloud Document AI	documentai.* resourcemanager.projects.get resourcemanager.projects.list
`roles/documentai.viewer`	Cloud DocumentAI-Betrachter ^Beta	Gewährt Zugriff auf das Betrachten aller Ressourcen und Prozessdokumente in Cloud Document AI	documentai.humanReviewConfigs.get documentai.humanReviewConfigs.review documentai.labelerPools.get documentai.labelerPools.list documentai.locations.* documentai.operations.* documentai.processorTypes.* documentai.processorVersions.get documentai.processorVersions.list documentai.processors.fetchHumanReviewDetails documentai.processors.get documentai.processors.list documentai.processors.processBatch documentai.processors.processOnline resourcemanager.projects.get resourcemanager.projects.list

Cloud Functions-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/cloudfunctions.admin`	Cloud Functions-Administrator	Umfassender Zugriff auf Funktionen, Vorgänge und Speicherorte.	cloudfunctions.* resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/cloudfunctions.developer`	Cloud Functions-Entwickler	Lese- und Schreibzugriff auf alle funktionsbezogenen Ressourcen.	cloudfunctions.functions.call cloudfunctions.functions.create cloudfunctions.functions.delete cloudfunctions.functions.get cloudfunctions.functions.invoke cloudfunctions.functions.list cloudfunctions.functions.sourceCodeGet cloudfunctions.functions.sourceCodeSet cloudfunctions.functions.update cloudfunctions.locations.* cloudfunctions.operations.* resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/cloudfunctions.invoker`	Cloud Functions-Invoker	HTTP-Funktionen mit eingeschränktem Zugriff aufrufen.	cloudfunctions.functions.invoke
`roles/cloudfunctions.viewer`	Cloud Functions-Betrachter	Schreibgeschützter Zugriff auf Funktionen und Speicherorte.	cloudfunctions.functions.get cloudfunctions.functions.list cloudfunctions.locations.* cloudfunctions.operations.* resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Cloud IAP-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/iap.admin`	IAP-Richtlinienadministrator	Ermöglicht vollständigen Zugriff auf Ressourcen von Cloud Identity-Aware Proxy.	iap.tunnel.* iap.tunnelInstances.getIamPolicy iap.tunnelInstances.setIamPolicy iap.tunnelZones.* iap.web.getIamPolicy iap.web.setIamPolicy iap.webServiceVersions.getIamPolicy iap.webServiceVersions.setIamPolicy iap.webServices.getIamPolicy iap.webServices.setIamPolicy iap.webTypes.getIamPolicy iap.webTypes.setIamPolicy	Projekt
`roles/iap.httpsResourceAccessor`	Nutzer von IAP-gesicherten Web-Apps	Ermöglicht Zugriff auf HTTPS-Ressourcen, die Cloud Identity-Aware Proxy verwenden.	iap.webServiceVersions.accessViaIAP	Projekt
`roles/iap.settingsAdmin`	Administrator IAP-Einstellungen	Administrator von IAP-Einstellungen.	iap.projects.* iap.web.getSettings iap.web.updateSettings iap.webServiceVersions.getSettings iap.webServiceVersions.updateSettings iap.webServices.getSettings iap.webServices.updateSettings iap.webTypes.getSettings iap.webTypes.updateSettings
`roles/iap.tunnelResourceAccessor`	Nutzer IAP-gesicherter Tunnel	Ermöglicht Zugriff auf Tunnelressourcen, die Identity-Aware Proxy verwenden.	iap.tunnelInstances.accessViaIAP

Cloud IdD-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/cloudiot.admin`	Cloud IoT-Administrator	Uneingeschränkte Kontrolle über alle Cloud IoT-Ressourcen und -Berechtigungen.	cloudiot.* cloudiottoken.*	Gerät
`roles/cloudiot.deviceController`	Cloud IoT-Gerätesteuerung	Kann Gerätekonfigurationen aktualisieren, aber keine Geräte erstellen oder löschen.	cloudiot.devices.get cloudiot.devices.list cloudiot.devices.sendCommand cloudiot.devices.updateConfig cloudiot.registries.get cloudiot.registries.list cloudiottoken.tokensettings.get	Gerät
`roles/cloudiot.editor`	Cloud IdD-Bearbeiter	Lese-/Schreibzugriff auf alle Cloud IoT-Ressourcen.	cloudiot.devices.* cloudiot.registries.create cloudiot.registries.delete cloudiot.registries.get cloudiot.registries.list cloudiot.registries.update cloudiottoken.*	Gerät
`roles/cloudiot.provisioner`	Cloud IoT-Bereitsteller	Kann Geräte in Registrys erstellen und löschen, aber keine Registrys ändern.	cloudiot.devices.* cloudiot.registries.get cloudiot.registries.list cloudiottoken.tokensettings.get	Gerät
`roles/cloudiot.viewer`	Cloud IdD-Betrachter	Schreibgeschützter Zugriff auf alle Cloud IdD-Ressourcen.	cloudiot.devices.get cloudiot.devices.list cloudiot.registries.get cloudiot.registries.list cloudiottoken.tokensettings.get	Gerät

Cloud Talent Solution-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/cloudjobdiscovery.admin`	Administrator	Zugriff auf Self-Service-Tools von Cloud Talent Solution.	cloudjobdiscovery.tools.* iam.serviceAccounts.list resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudjobdiscovery.jobsEditor`	Job-Editor	Schreibzugriff auf alle Jobdaten in Cloud Talent Solution.	cloudjobdiscovery.companies.* cloudjobdiscovery.events.* cloudjobdiscovery.jobs.* cloudjobdiscovery.tenants.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudjobdiscovery.jobsViewer`	Jobbetrachter	Lesezugriff auf alle Jobdaten in Cloud Talent Solution.	cloudjobdiscovery.companies.get cloudjobdiscovery.companies.list cloudjobdiscovery.jobs.get cloudjobdiscovery.jobs.search cloudjobdiscovery.tenants.get resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudjobdiscovery.profilesEditor`	Profilbearbeiter	Schreibzugriff auf alle Profildaten in Cloud Talent Solution.	cloudjobdiscovery.events.* cloudjobdiscovery.profiles.* cloudjobdiscovery.tenants.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudjobdiscovery.profilesViewer`	Profilbetrachter	Lesezugriff auf alle Profildaten in Cloud Talent Solution.	cloudjobdiscovery.profiles.get cloudjobdiscovery.profiles.search cloudjobdiscovery.tenants.get resourcemanager.projects.get resourcemanager.projects.list

Cloud KMS-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/cloudkms.admin`	Cloud KMS-Administrator	Vollzugriff auf Cloud-KMS-Ressourcen mit Ausnahme von Verschlüsselungs- und Entschlüsselungsvorgängen	cloudkms.cryptoKeyVersions.create cloudkms.cryptoKeyVersions.destroy cloudkms.cryptoKeyVersions.get cloudkms.cryptoKeyVersions.list cloudkms.cryptoKeyVersions.restore cloudkms.cryptoKeyVersions.update cloudkms.cryptoKeys.* cloudkms.importJobs.* cloudkms.keyRings.* resourcemanager.projects.get	CryptoKey
`roles/cloudkms.cryptoKeyDecrypter`	Cloud KMS CryptoKey-Entschlüsseler	Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Entschlüsseln zu verwenden.	cloudkms.cryptoKeyVersions.useToDecrypt resourcemanager.projects.get	CryptoKey
`roles/cloudkms.cryptoKeyEncrypter`	Cloud KMS CryptoKey-Verschlüsseler	Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Verschlüsseln zu verwenden.	cloudkms.cryptoKeyVersions.useToEncrypt resourcemanager.projects.get	CryptoKey
`roles/cloudkms.cryptoKeyEncrypterDecrypter`	Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler	Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Verschlüsseln und Entschlüsseln zu verwenden.	cloudkms.cryptoKeyVersions.useToDecrypt cloudkms.cryptoKeyVersions.useToEncrypt resourcemanager.projects.get	CryptoKey
`roles/cloudkms.importer`	Cloud KMS-Importeur	Kann folgende Vorgänge ausführen: ImportCryptoKeyVersion, CreateImportJob, ListImportJobs und GetImportJob	cloudkms.importJobs.create cloudkms.importJobs.get cloudkms.importJobs.list cloudkms.importJobs.useToImport resourcemanager.projects.get
`roles/cloudkms.publicKeyViewer`	PublicKey-Betrachter für Cloud KMS CryptoKeys	Ermöglicht GetPublicKey-Vorgänge.	cloudkms.cryptoKeyVersions.viewPublicKey resourcemanager.projects.get
`roles/cloudkms.signer`	Cloud KMS CryptoKey-Signer	Aktiviert Anmeldevorgänge.	cloudkms.cryptoKeyVersions.useToSign resourcemanager.projects.get
`roles/cloudkms.signerVerifier`	Cloud KMS CryptoKey-Signer/Prüffunktion	Kann Anmelde-, Bestätigungs- und GetPublicKey-Vorgänge ausführen.	cloudkms.cryptoKeyVersions.useToSign cloudkms.cryptoKeyVersions.viewPublicKey resourcemanager.projects.get

Cloud Marketplace-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/consumerprocurement.entitlementManager`	Manager von Nutzer-Beschaffungsberechtigungen ^Beta	Ermöglicht es, Berechtigungen zu verwalten sowie Dienststatus für ein Nutzerprojekt zu aktivieren, zu deaktivieren und zu prüfen.	consumerprocurement.entitlements.* consumerprocurement.freeTrials.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list
`roles/consumerprocurement.entitlementViewer`	Betrachter von Nutzer-Beschaffungsberechtigungen ^Beta	Ermöglicht es, Berechtigungen und Dienststatus für ein Nutzerprojekt zu prüfen.	consumerprocurement.entitlements.* consumerprocurement.freeTrials.get consumerprocurement.freeTrials.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list
`roles/consumerprocurement.orderAdmin`	Administrator von Nutzer-Beschaffungsaufträgen ^Beta	Ermöglicht es, Käufe zu verwalten.	consumerprocurement.accounts.* consumerprocurement.orders.*
`roles/consumerprocurement.orderViewer`	Betrachter von Nutzer-Beschaffungsaufträgen ^Beta	Ermöglicht es, Käufe zu prüfen.	consumerprocurement.accounts.get consumerprocurement.accounts.list consumerprocurement.orders.get consumerprocurement.orders.list

Rollen für die Cloud-Migration

Rolle	Titel	Beschreibung	Berechtigungen
`roles/cloudmigration.inframanager`	Velostrata Manager ^Beta	Compute-VMs zum Ausführen von Velostrata Infrastructure erstellen und verwalten	cloudmigration.* compute.addresses.* compute.diskTypes.* compute.disks.create compute.disks.createSnapshot compute.disks.delete compute.disks.get compute.disks.list compute.disks.setLabels compute.disks.update compute.disks.use compute.disks.useReadOnly compute.globalOperations.get compute.images.get compute.images.list compute.images.useReadOnly compute.instances.attachDisk compute.instances.create compute.instances.delete compute.instances.detachDisk compute.instances.get compute.instances.getSerialPortOutput compute.instances.list compute.instances.reset compute.instances.setDiskAutoDelete compute.instances.setLabels compute.instances.setMachineType compute.instances.setMetadata compute.instances.setMinCpuPlatform compute.instances.setScheduling compute.instances.setServiceAccount compute.instances.setTags compute.instances.start compute.instances.startWithEncryptionKey compute.instances.stop compute.instances.update compute.instances.updateNetworkInterface compute.instances.updateShieldedInstanceConfig compute.instances.use compute.licenseCodes.get compute.licenseCodes.list compute.licenseCodes.update compute.licenseCodes.use compute.licenses.get compute.licenses.list compute.machineTypes.* compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.nodeGroups.get compute.nodeGroups.list compute.nodeTemplates.list compute.projects.get compute.regionOperations.get compute.regions.* compute.snapshots.create compute.snapshots.delete compute.snapshots.get compute.snapshots.setLabels compute.snapshots.useReadOnly compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.zoneOperations.get compute.zones.* gkehub.endpoints.* iam.serviceAccounts.get iam.serviceAccounts.list resourcemanager.projects.get storage.buckets.create storage.buckets.delete storage.buckets.get storage.buckets.list storage.buckets.update
`roles/cloudmigration.storageaccess`	Zugriff auf Velostrata Storage ^Beta	Hat Zugriff auf den Migrationsspeicher	storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update
`roles/cloudmigration.velostrataconnect`	Velostrata Manager-Verbindungs-Agent ^Beta	Verbindung zwischen Velostrata Manager und Google herstellen	cloudmigration.* gkehub.endpoints.*
`roles/vmmigration.admin`	VM-Migrationsadministrator ^Beta	Kann alle VM-Migrationsobjekte aufrufen und bearbeiten.	vmmigration.*
`roles/vmmigration.viewer`	VM-Migrationsbetrachter ^Beta	Alle VM-Migrationsobjekte ansehen	vmmigration.deployments.get vmmigration.deployments.list

Rollen im privaten Katalog für Cloud

Rolle	Titel	Beschreibung	Berechtigungen
`roles/cloudprivatecatalog.consumer`	Katalognutzer ^Beta	Kann Kataloge im Zielressourcenkontext durchsuchen.	cloudprivatecatalog.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudprivatecatalogproducer.admin`	Katalogadministrator ^Beta	Kann den Katalog verwalten und seine Verknüpfungen ansehen.	cloudprivatecatalog.* cloudprivatecatalogproducer.associations.* cloudprivatecatalogproducer.catalogAssociations.* cloudprivatecatalogproducer.catalogs.* cloudprivatecatalogproducer.producerCatalogs.* cloudprivatecatalogproducer.products.* cloudprivatecatalogproducer.targets.* resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudprivatecatalogproducer.manager`	Katalogverwalter ^Beta	Kann Verknüpfungen zwischen einem Katalog und einer Zielressource verwalten.	cloudprivatecatalog.* cloudprivatecatalogproducer.associations.* cloudprivatecatalogproducer.catalogAssociations.* cloudprivatecatalogproducer.catalogs.get cloudprivatecatalogproducer.catalogs.list cloudprivatecatalogproducer.producerCatalogs.get cloudprivatecatalogproducer.producerCatalogs.list cloudprivatecatalogproducer.targets.* resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudprivatecatalogproducer.orgAdmin`	Katalogorganisationsadministrator ^Beta	Kann Einstellungen der Katalogorganisation verwalten.	cloudprivatecatalog.* cloudprivatecatalogproducer.* resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

Cloud Profiler-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/cloudprofiler.agent`	Cloud Profiler-Agent	Cloud Profiler-Agents können sich registrieren und die Profiling-Daten angeben.	cloudprofiler.profiles.create cloudprofiler.profiles.update
`roles/cloudprofiler.user`	Cloud Profiler-Nutzer	Cloud Profiler-Nutzer können die Profiling-Daten abfragen und anzeigen lassen.	cloudprofiler.profiles.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Cloud Scheduler-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource

Rolle	Titel	Beschreibung	Berechtigungen
`roles/cloudscheduler.admin`	Cloud Scheduler-Administrator	Vollzugriff auf Jobs und Ausführungen. Beachten Sie, dass ein Cloud Scheduler-Administrator (oder eine beliebige benutzerdefinierte Rolle mit der Berechtigung "cloudschedulers.job.create") Jobs erstellen kann, die in beliebigen Pub/Sub-Themen im Projekt veröffentlicht werden.	appengine.applications.get cloudscheduler.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list
`roles/cloudscheduler.jobRunner`	Cloud Scheduler-Jobinitiator	Zugriff, um Jobs auszuführen.	appengine.applications.get cloudscheduler.jobs.fullView cloudscheduler.jobs.run resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list
`roles/cloudscheduler.viewer`	Cloud Scheduler-Betrachter	Zugriffsrechte für das Abrufen und Auflisten von Jobs, Ausführungen und Orten.	appengine.applications.get cloudscheduler.jobs.fullView cloudscheduler.jobs.get cloudscheduler.jobs.list cloudscheduler.locations.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list

roles/cloudscheduler.admin

Cloud Scheduler-Administrator

Vollzugriff auf Jobs und Ausführungen.

Beachten Sie, dass ein Cloud Scheduler-Administrator (oder eine beliebige benutzerdefinierte Rolle mit der Berechtigung "cloudschedulers.job.create") Jobs erstellen kann, die in beliebigen Pub/Sub-Themen im Projekt veröffentlicht werden.

appengine.applications.get
cloudscheduler.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.get
serviceusage.services.list

roles/cloudscheduler.jobRunner

Cloud Scheduler-Jobinitiator

Zugriff, um Jobs auszuführen.

appengine.applications.get
cloudscheduler.jobs.fullView
cloudscheduler.jobs.run
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.get
serviceusage.services.list

roles/cloudscheduler.viewer

Cloud Scheduler-Betrachter

Zugriffsrechte für das Abrufen und Auflisten von Jobs, Ausführungen und Orten.

appengine.applications.get
cloudscheduler.jobs.fullView
cloudscheduler.jobs.get
cloudscheduler.jobs.list
cloudscheduler.locations.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.get
serviceusage.services.list

Cloud Security Scanner-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/cloudsecurityscanner.editor`	Web Security Scanner-Bearbeiter	Vollständiger Zugriff auf alle Web Security Scanner-Ressourcen	appengine.applications.get cloudsecurityscanner.* compute.addresses.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Projekt
`roles/cloudsecurityscanner.runner`	Web Security Scanner-Runner	Lesezugriff auf Scan und ScanRun sowie Möglichkeit zum Starten von Scans	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.list cloudsecurityscanner.scanruns.stop cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list cloudsecurityscanner.scans.run	Projekt
`roles/cloudsecurityscanner.viewer`	Web Security Scanner-Betrachter	Lesezugriff auf alle Web Security Scanner-Ressourcen	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.results.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.getSummary cloudsecurityscanner.scanruns.list cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Projekt

Cloud Services-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/servicebroker.admin`	Service Broker-Administrator	Vollständiger Zugriff auf Service Broker-Ressourcen.	servicebroker.
`roles/servicebroker.operator`	Service Broker-Operator	Operativer Zugriff auf die ServiceBroker-Ressourcen	servicebroker.bindingoperations.* servicebroker.bindings.create servicebroker.bindings.delete servicebroker.bindings.get servicebroker.bindings.list servicebroker.catalogs.create servicebroker.catalogs.delete servicebroker.catalogs.get servicebroker.catalogs.list servicebroker.instanceoperations.* servicebroker.instances.create servicebroker.instances.delete servicebroker.instances.get servicebroker.instances.list servicebroker.instances.update

Cloud SQL-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/cloudsql.admin`	Cloud SQL-Administrator	Bietet uneingeschränkte Kontrolle über Cloud SQL-Ressourcen.	cloudsql.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Projekt
`roles/cloudsql.client`	Cloud SQL-Client	Verbindungszugriff auf Cloud SQL-Instanzen	cloudsql.instances.connect cloudsql.instances.get	Projekt
`roles/cloudsql.editor`	Cloud SQL-Bearbeiter	Uneingeschränkte Kontrolle über vorhandene Cloud SQL-Instanzen, mit Ausnahme der Bearbeitung von Nutzern und SSL-Zertifikaten oder dem Löschen von Ressourcen	cloudsql.backupRuns.create cloudsql.backupRuns.get cloudsql.backupRuns.list cloudsql.databases.create cloudsql.databases.get cloudsql.databases.list cloudsql.databases.update cloudsql.instances.addServerCa cloudsql.instances.connect cloudsql.instances.export cloudsql.instances.failover cloudsql.instances.get cloudsql.instances.list cloudsql.instances.listServerCas cloudsql.instances.restart cloudsql.instances.rotateServerCa cloudsql.instances.truncateLog cloudsql.instances.update cloudsql.sslCerts.get cloudsql.sslCerts.list cloudsql.users.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Projekt
`roles/cloudsql.instanceUser`	Cloud SQL-Instanznutzer	Rolle für den Zugriff auf eine Cloud SQL-Instanz	cloudsql.instances.get cloudsql.instances.login
`roles/cloudsql.viewer`	Cloud SQL-Betrachter	Lesezugriff auf Cloud SQL-Ressourcen	cloudsql.backupRuns.get cloudsql.backupRuns.list cloudsql.databases.get cloudsql.databases.list cloudsql.instances.export cloudsql.instances.get cloudsql.instances.list cloudsql.instances.listServerCas cloudsql.sslCerts.get cloudsql.sslCerts.list cloudsql.users.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Projekt

Cloud Tasks-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/cloudtasks.admin`	Cloud Tasks-Administrator^Beta	Vollzugriff auf Warteschlangen und Aufgaben.	cloudtasks.* monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.enqueuer`	Ersteller für Cloud-Aufgaben^Beta	Ermöglicht das Erstellen von Aufgaben.	cloudtasks.tasks.create cloudtasks.tasks.fullView resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.queueAdmin`	Administrator für Cloud-Aufgabenwarteschlangen^Beta	Administratorzugriff auf Warteschlangen.	cloudtasks.locations.* cloudtasks.queues.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.taskDeleter`	Entferner für Cloud-Aufgaben^Beta	Ermöglicht das Löschen von Aufgaben.	cloudtasks.tasks.delete resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.taskRunner`	Task-Runner von Cloud Tasks^Beta	Ermöglicht das Ausführen von Aufgaben.	cloudtasks.tasks.fullView cloudtasks.tasks.run resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.viewer`	Betrachter für Cloud-Aufgaben^Beta	Kann Aufgaben, Warteschlangen und Standorte abrufen und auflisten.	cloudtasks.locations.* cloudtasks.queues.get cloudtasks.queues.list cloudtasks.tasks.fullView cloudtasks.tasks.get cloudtasks.tasks.list monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.list

Cloud Trace-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/cloudtrace.admin`	Cloud Trace-Administrator	Ermöglicht vollständigen Zugriff auf die Trace-Konsole und Lese-/Schreibzugriff auf Traces.	cloudtrace.* resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/cloudtrace.agent`	Cloud Trace-Agent	Für Dienstkonten; bietet die Möglichkeit, Traces durch Senden von Daten an Stackdriver Trace zu schreiben.	cloudtrace.traces.patch	Projekt
`roles/cloudtrace.user`	Cloud Trace-Nutzer	Ermöglicht vollständigen Zugriff auf die Trace-Konsole und Lesezugriff auf Traces.	cloudtrace.insights.* cloudtrace.stats.* cloudtrace.tasks.* cloudtrace.traces.get cloudtrace.traces.list resourcemanager.projects.get resourcemanager.projects.list	Projekt

Cloud Translation-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/cloudtranslate.admin`	Cloud Translation API-Administrator	Vollzugriff auf alle Ressourcen von Cloud Translation	automl.models.get automl.models.predict cloudtranslate.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtranslate.editor`	Cloud Translation API-Bearbeiter	Bearbeiter aller Ressourcen von Cloud Translation	automl.models.get automl.models.predict cloudtranslate.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtranslate.user`	Cloud Translation API-Nutzer	Nutzer von Cloud Translation- und AutoML-Modellen	automl.models.get automl.models.predict cloudtranslate.generalModels.* cloudtranslate.glossaries.batchPredict cloudtranslate.glossaries.get cloudtranslate.glossaries.list cloudtranslate.glossaries.predict cloudtranslate.languageDetectionModels.* cloudtranslate.locations.* cloudtranslate.operations.get cloudtranslate.operations.list cloudtranslate.operations.wait resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtranslate.viewer`	Cloud Translation API-Betrachter	Betrachter aller Übersetzungsressourcen	automl.models.get cloudtranslate.generalModels.get cloudtranslate.glossaries.get cloudtranslate.glossaries.list cloudtranslate.locations.* cloudtranslate.operations.get cloudtranslate.operations.list cloudtranslate.operations.wait resourcemanager.projects.get resourcemanager.projects.list

Workflow-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/workflows.admin`	Workflow-Administrator^Beta	Vollständiger Zugriff auf Workflows und zugehörige Ressourcen.	resourcemanager.projects.get resourcemanager.projects.list workflows.*
`roles/workflows.editor`	Workflow-Bearbeiter^Beta	Lese- und Schreibzugriff auf Workflows und zugehörige Ressourcen.	resourcemanager.projects.get resourcemanager.projects.list workflows.executions.* workflows.locations.* workflows.operations.* workflows.workflows.create workflows.workflows.delete workflows.workflows.get workflows.workflows.getIamPolicy workflows.workflows.list workflows.workflows.update
`roles/workflows.invoker`	Workflow-Aufrufer^Beta	Berechtigung zum Ausführen von Workflows und zum Verwalten der Ausführungen.	resourcemanager.projects.get resourcemanager.projects.list workflows.executions.*
`roles/workflows.viewer`	Workflow-Betrachter^Beta	Lesezugriff auf Workflows und zugehörige Ressourcen.	resourcemanager.projects.get resourcemanager.projects.list workflows.executions.get workflows.executions.list workflows.locations.* workflows.operations.get workflows.operations.list workflows.workflows.get workflows.workflows.getIamPolicy workflows.workflows.list

Codelab-API-Schlüsselrollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/codelabapikeys.admin`	Administrator von Codelab-API-Schlüsseln ^Beta	Vollständiger Zugriff auf API-Schlüssel	resourcemanager.projects.get resourcemanager.projects.list
`roles/codelabapikeys.editor`	Bearbeiter von Codelab-API-Schlüsseln ^Beta	Diese Rolle kann alle Attribute von API-Schlüsseln ansehen und bearbeiten.	resourcemanager.projects.get resourcemanager.projects.list
`roles/codelabapikeys.viewer`	Betrachter von Codelab-API-Schlüsseln ^Beta	Diese Rolle kann alle Attribute ansehen außer dem Änderungsverlauf von API-Schlüsseln.	resourcemanager.projects.get resourcemanager.projects.list

Cloud Composer-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/composer.admin`	Composer-Administrator	Bietet uneingeschränkte Kontrolle über Cloud Composer-Ressourcen.	composer.* serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Projekt
`roles/composer.environmentAndStorageObjectAdmin`	Administrator für Umgebung und Storage-Objekte	Bietet uneingeschränkte Kontrolle über Cloud Composer-Ressourcen und die Objekte in allen Projekt-Buckets.	composer.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.objects.*	Projekt
`roles/composer.environmentAndStorageObjectViewer`	Umgebungsnutzer und Betrachter von Storage-Objekten	Bietet die Berechtigung zum Auflisten und Abrufen von Cloud Composer-Umgebungen und -Vorgängen. Bietet Lesezugriff auf Objekte in allen Projekt-Buckets.	composer.environments.get composer.environments.list composer.imageversions.* composer.operations.get composer.operations.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.objects.get storage.objects.list	Projekt
`roles/composer.sharedVpcAgent`	Composer-Agent für freigegebene VPC	Rolle, die dem Dienstkonto des Composer-Agents im Hostprojekt der freigegebenen VPC zugewiesen wurde	compute.networks.access compute.networks.addPeering compute.networks.get compute.networks.list compute.networks.listPeeringRoutes compute.networks.removePeering compute.networks.updatePeering compute.networks.use compute.networks.useExternalIp compute.projects.get compute.regions.* compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.zones.*
`roles/composer.user`	Composer-Nutzer	Berechtigung zum Auflisten und Abrufen von Cloud Composer-Umgebungen und -Vorgängen.	composer.environments.get composer.environments.list composer.imageversions.* composer.operations.get composer.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Projekt
`roles/composer.worker`	Composer-Worker	Berechtigung zum Ausführen einer VM in einer Cloud Composer-Umgebung. Für Dienstkonten bestimmt.	artifactregistry.* cloudbuild.* container.* containeranalysis.occurrences.create containeranalysis.occurrences.delete containeranalysis.occurrences.get containeranalysis.occurrences.list containeranalysis.occurrences.update logging.logEntries.create monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.timeSeries.* pubsub.schemas.attach pubsub.schemas.create pubsub.schemas.delete pubsub.schemas.get pubsub.schemas.list pubsub.schemas.validate pubsub.snapshots.create pubsub.snapshots.delete pubsub.snapshots.get pubsub.snapshots.list pubsub.snapshots.seek pubsub.snapshots.update pubsub.subscriptions.consume pubsub.subscriptions.create pubsub.subscriptions.delete pubsub.subscriptions.get pubsub.subscriptions.list pubsub.subscriptions.update pubsub.topics.attachSubscription pubsub.topics.create pubsub.topics.delete pubsub.topics.detachSubscription pubsub.topics.get pubsub.topics.list pubsub.topics.publish pubsub.topics.update pubsub.topics.updateTag remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.*	Projekt

Compute Engine-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/compute.admin`	Compute-Administrator	Vollständige Kontrolle über alle Compute Engine-Ressourcen. Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle `roles/iam.serviceAccountUser` zuweisen.	compute.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Laufwerk, Image, Instanz, Instanzvorlage, Knotengruppe, Knotenvorlage, Snapshot^Beta
`roles/compute.imageUser`	Compute Image-Nutzer	Berechtigung zum Auflisten und Lesen von Images ohne weitere Berechtigungen für das jeweilige Image. Wenn Sie diese Rolle auf Projektebene zuweisen, können Nutzer alle Images im Projekt auflisten sowie Ressourcen wie Instanzen und nichtflüchtige Speicher anhand der Images im Projekt erstellen.	compute.images.get compute.images.getFromFamily compute.images.list compute.images.useReadOnly resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Image^Beta
`roles/compute.instanceAdmin`	Compute-Instanzadministrator (Beta)	Berechtigungen zur Erstellung, Änderung und Löschung von VM-Instanzen. Dazu gehören auch Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken sowie zum Konfigurieren der Einstellungen für Shielded VM^BETA. Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle `roles/iam.serviceAccountUser` zuweisen. Wenn ein Mitarbeiter in Ihrem Unternehmen beispielsweise VM-Instanzgruppen, aber keine Netzwerk- oder Sicherheitseinstellungen und keine als Dienstkonten ausgeführten Instanzen verwalten muss, können Sie diese Rolle der Organisation, dem Ordner oder dem Projekt mit den Instanzen oder den Instanzen selbst zuweisen.	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.addresses.use compute.autoscalers.* compute.diskTypes.* compute.disks.create compute.disks.createSnapshot compute.disks.delete compute.disks.get compute.disks.list compute.disks.resize compute.disks.setLabels compute.disks.update compute.disks.use compute.disks.useReadOnly compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalNetworkEndpointGroups.* compute.globalOperations.get compute.globalOperations.list compute.images.get compute.images.getFromFamily compute.images.list compute.images.useReadOnly compute.instanceGroupManagers.* compute.instanceGroups.* compute.instanceTemplates.* compute.instances.* compute.licenses.get compute.licenses.list compute.machineImages.* compute.machineTypes.* compute.networkEndpointGroups.* compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.projects.get compute.regionNetworkEndpointGroups.* compute.regionOperations.get compute.regionOperations.list compute.regions.* compute.reservations.get compute.reservations.list compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.targetPools.get compute.targetPools.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Laufwerk, Image, Instanz, Instanzvorlage, Snapshot^Beta
`roles/compute.instanceAdmin.v1`	Compute-Instanzadministrator (Version 1)	Uneingeschränkte Kontrolle über Compute Engine-Instanzen, Instanzgruppen, Laufwerke, Snapshots und Images. Lesezugriff auf alle Compute Engine-Netzwerkressourcen. Wenn Sie einem Nutzer diese Rolle nur auf Instanzebene gewähren, kann er keine neuen Instanzen erstellen.	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.addresses.use compute.autoscalers.* compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute.diskTypes.* compute.disks.* compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalForwardingRules.pscGet compute.globalNetworkEndpointGroups.* compute.globalOperations.get compute.globalOperations.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.* compute.instanceGroupManagers.* compute.instanceGroups.* compute.instanceTemplates.* compute.instances.* compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.* compute.licenses.* compute.machineImages.* compute.machineTypes.* compute.networkEndpointGroups.* compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.projects.get compute.projects.setCommonInstanceMetadata compute.regionBackendServices.get compute.regionBackendServices.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.* compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionOperations.get compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.* compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.snapshots.* compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.loadBalancerAdmin`	Administrator für Compute-Load-Balancer^Beta	Berechtigungen zum Erstellen, Ändern und Löschen von Load-Balancern und zugehörigen Ressourcen. Wenn Ihr Unternehmen beispielsweise ein Load-Balancing-Team hat, das Load-Balancer, SSL-Zertifikate für Load-Balancing-Module, SSL-Richtlinien und andere Load-Balancing-Ressourcen verwaltet, sowie ein separates Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie diese Rolle der Gruppe des Load-Balancing-Teams zu.	compute.addresses.* compute.backendBuckets.* compute.backendServices.* compute.forwardingRules.* compute.globalAddresses.* compute.globalForwardingRules.* compute.globalNetworkEndpointGroups.* compute.healthChecks.* compute.httpHealthChecks.* compute.httpsHealthChecks.* compute.instanceGroups.* compute.instances.get compute.instances.list compute.instances.use compute.instances.useReadOnly compute.networkEndpointGroups.* compute.networks.get compute.networks.list compute.networks.use compute.projects.get compute.regionBackendServices.* compute.regionHealthCheckServices.* compute.regionHealthChecks.* compute.regionNetworkEndpointGroups.* compute.regionNotificationEndpoints.* compute.regionSslCertificates.* compute.regionTargetHttpProxies.* compute.regionTargetHttpsProxies.* compute.regionUrlMaps.* compute.securityPolicies.get compute.securityPolicies.list compute.securityPolicies.use compute.sslCertificates.* compute.sslPolicies.* compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.targetGrpcProxies.* compute.targetHttpProxies.* compute.targetHttpsProxies.* compute.targetInstances.* compute.targetPools.* compute.targetSslProxies.* compute.targetTcpProxies.* compute.urlMaps.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Instanz^Beta
`roles/compute.networkAdmin`	Compute-Netzwerkadministrator	Berechtigungen zum Erstellen, Ändern und Löschen von Netzwerkressourcen mit Ausnahme von Firewallregeln und SSL-Zertifikaten. Die Rolle "Netzwerkadministrator" gewährt Lesezugriff auf Firewallregeln, SSL-Zertifikate und Instanzen für den Aufruf der zugehörigen sitzungsspezifischen IP-Adressen. Mit der Rolle "Netzwerkadministrator" können Nutzer keine Instanzen erstellen, starten, beenden oder löschen. Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie dieser Gruppe die Rolle des Netzwerkteams zu.	compute.acceleratorTypes.* compute.addresses.* compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.* compute.backendServices.* compute.externalVpnGateways.* compute.firewallPolicies.get compute.firewallPolicies.list compute.firewallPolicies.use compute.firewalls.get compute.firewalls.list compute.forwardingRules.* compute.globalAddresses.* compute.globalForwardingRules.* compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.globalNetworkEndpointGroups.use compute.globalOperations.get compute.globalOperations.list compute.globalPublicDelegatedPrefixes.delete compute.globalPublicDelegatedPrefixes.get compute.globalPublicDelegatedPrefixes.list compute.globalPublicDelegatedPrefixes.update compute.globalPublicDelegatedPrefixes.updatePolicy compute.healthChecks.* compute.httpHealthChecks.* compute.httpsHealthChecks.* compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroupManagers.update compute.instanceGroupManagers.use compute.instanceGroups.get compute.instanceGroups.list compute.instanceGroups.update compute.instanceGroups.use compute.instances.get compute.instances.getGuestAttributes compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.list compute.instances.listReferrers compute.instances.use compute.instances.useReadOnly compute.interconnectAttachments.* compute.interconnectLocations.* compute.interconnects.* compute.machineTypes.* compute.networkEndpointGroups.get compute.networkEndpointGroups.list compute.networkEndpointGroups.use compute.networks.* compute.projects.get compute.publicDelegatedPrefixes.delete compute.publicDelegatedPrefixes.get compute.publicDelegatedPrefixes.list compute.publicDelegatedPrefixes.update compute.publicDelegatedPrefixes.updatePolicy compute.regionBackendServices.* compute.regionHealthCheckServices.* compute.regionHealthChecks.* compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionNetworkEndpointGroups.use compute.regionNotificationEndpoints.* compute.regionOperations.get compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.* compute.regionTargetHttpsProxies.* compute.regionUrlMaps.* compute.regions.* compute.routers.* compute.routes.* compute.securityPolicies.get compute.securityPolicies.list compute.securityPolicies.use compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.* compute.subnetworks.* compute.targetGrpcProxies.* compute.targetHttpProxies.* compute.targetHttpsProxies.* compute.targetInstances.* compute.targetPools.* compute.targetSslProxies.* compute.targetTcpProxies.* compute.targetVpnGateways.* compute.urlMaps.* compute.vpnGateways.* compute.vpnTunnels.* compute.zoneOperations.get compute.zoneOperations.list compute.zones.* networksecurity.* networkservices.* resourcemanager.projects.get resourcemanager.projects.list servicenetworking.operations.get servicenetworking.services.addPeering servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Instanz^Beta
`roles/compute.networkUser`	Compute-Netzwerknutzer	Bietet Zugriff auf ein freigegebenes VPC-Netzwerk Nach der Zugriffserteilung können Dienstinhaber VPC-Netzwerke und Subnetze verwenden, die zum Hostprojekt gehören. Beispielsweise kann ein Netzwerknutzer eine VM-Instanz erstellen, die zu einem Hostprojekt-Netzwerk gehört, ohne jedoch im Hostprojekt neue Netzwerke löschen oder erstellen zu können.	compute.addresses.createInternal compute.addresses.deleteInternal compute.addresses.get compute.addresses.list compute.addresses.useInternal compute.externalVpnGateways.get compute.externalVpnGateways.list compute.externalVpnGateways.use compute.firewalls.get compute.firewalls.list compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.interconnects.use compute.networks.access compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.networks.use compute.networks.useExternalIp compute.projects.get compute.regions.* compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.targetVpnGateways.get compute.targetVpnGateways.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnGateways.use compute.vpnTunnels.get compute.vpnTunnels.list compute.zones.* networksecurity.authorizationPolicies.get networksecurity.authorizationPolicies.list networksecurity.authorizationPolicies.use networksecurity.clientTlsPolicies.get networksecurity.clientTlsPolicies.list networksecurity.clientTlsPolicies.use networksecurity.locations.* networksecurity.operations.get networksecurity.operations.list networksecurity.serverTlsPolicies.get networksecurity.serverTlsPolicies.list networksecurity.serverTlsPolicies.use networkservices.endpointConfigSelectors.get networkservices.endpointConfigSelectors.list networkservices.endpointConfigSelectors.use networkservices.httpFilters.get networkservices.httpFilters.list networkservices.httpFilters.use networkservices.httpfilters.get networkservices.httpfilters.list networkservices.httpfilters.use networkservices.locations.* networkservices.operations.get networkservices.operations.list resourcemanager.projects.get resourcemanager.projects.list servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Projekt
`roles/compute.networkViewer`	Compute-Netzwerkbetrachter	Lesezugriff auf alle Netzwerkressourcen Wenn Sie beispielsweise Software haben, die Ihre Netzwerkkonfiguration überprüft, können Sie diese Rolle dem Dienstkonto dieser Software zuweisen.	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalForwardingRules.pscGet compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instances.get compute.instances.getGuestAttributes compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.list compute.instances.listReferrers compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.machineTypes.* compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.projects.get compute.regionBackendServices.get compute.regionBackendServices.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regions.* compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zones.* networksecurity.authorizationPolicies.get networksecurity.authorizationPolicies.Liste networksecurity.clientTlsPolicies.get networksecurity.clientTlsPolicies.list networksecurity.locations.* networksecurity.operations.get networksecurity.operations.list networksecurity.serverTlsPolicies.get networksecurity.serverTlsPolicies.list networkservices.endpointConfigSelectors.get networkservices.endpointConfigSelectors.list networkservices.httpFilters.get networkservices.httpFilters.list networkservices.httpfilters.get networkservices.httpfilters.list networkservices.locations.* networkservices.operations.get networkservices.operations.list resourcemanager.projects.get resourcemanager.projects.list servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Instanz^Beta
`roles/compute.orgFirewallPolicyAdmin`	Administrator von Compute-Firewall-Richtlinien für die Organisation	Vollständige Kontrolle über Compute Engine-Firewall-Richtlinien für die Organisation.	compute.firewallPolicies.cloneRules compute.firewallPolicies.create compute.firewallPolicies.delete compute.firewallPolicies.get compute.firewallPolicies.getIamPolicy compute.firewallPolicies.list compute.firewallPolicies.move compute.firewallPolicies.setIamPolicy compute.firewallPolicies.update compute.firewallPolicies.use compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalOperations.setIamPolicy compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.orgFirewallPolicyUser`	Nutzer von Compute-Firewall-Richtlinien für die Organisation	Aufruf oder Nutzung von Compute Engine-Firewall-Richtlinien zur Verknüpfung mit der Organisation oder Ordnern.	compute.firewallPolicies.get compute.firewallPolicies.list compute.firewallPolicies.use compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.orgSecurityPolicyAdmin`	Administrator von Compute Engine-Sicherheitsrichtlinien für die Organisation	Vollständige Kontrolle über Sicherheitsrichtlinien der Organisation in Compute Engine	compute.firewallPolicies.* compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalOperations.setIamPolicy compute.projects.get compute.securityPolicies.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.orgSecurityPolicyUser`	Nutzer von Compute Engine-Sicherheitsrichtlinien für die Organisation	Aufruf oder Nutzung von Compute Engine-Sicherheitsrichtlinien zur Verknüpfung mit der Organisation oder Ordnern.	compute.firewallPolicies.addAssociation compute.firewallPolicies.get compute.firewallPolicies.list compute.firewallPolicies.removeAssociation compute.firewallPolicies.use compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalOperations.setIamPolicy compute.projects.get compute.securityPolicies.addAssociation compute.securityPolicies.get compute.securityPolicies.list compute.securityPolicies.removeAssociation compute.securityPolicies.use resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.orgSecurityResourceAdmin`	Administrator für Compute-Organisationsressourcen	Vollständige Kontrolle über Verknüpfungen von Compute Engine-Firewall-Richtlinien mit der Organisation oder Ordnern.	compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalOperations.setIamPolicy compute.organizations.listAssociations compute.organizations.setSecurityPolicy compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.osAdminLogin`	Compute OS-Administrator-Login	Berechtigung zur Anmeldung bei einer Compute Engine-Instanz als Administrator.	compute.instances.get compute.instances.list compute.instances.osAdminLogin compute.instances.osLogin compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Instanz^Beta
`roles/compute.osLogin`	Compute OS-Log-in	Kann sich in einer Compute Engine-Instanz als Standardnutzer anmelden.	compute.instances.get compute.instances.list compute.instances.osLogin compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Instanz^Beta
`roles/compute.osLoginExternalUser`	Externer Nutzer von Compute OS-Log-in	Nur auf Organisationsebene verfügbar. Ermöglicht den Zugriff für einen externen Nutzer, um die OS-Login-Informationen der Organisation festzulegen. Diese Rolle berechtigt nicht zum Zugriff auf Instanzen. Externen Nutzern muss eine der erforderlichen OS Login-Rollen zugewiesen werden, damit auf Instanzen mit SSH zugegriffen werden kann.	compute.oslogin.*	Organisation
`roles/compute.packetMirroringAdmin`	Administrator der Compute-Paketspiegelung	Gibt zu spiegelnde Ressourcen an.	compute.networks.mirror compute.projects.get compute.subnetworks.mirror resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.packetMirroringUser`	Nutzer der Compute-Paketspiegelung	Verwendet Compute Engine-Paketspiegelungen.	compute.packetMirrorings.* compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.publicIpAdmin`	Compute Public-IP-Administrator ^Beta	Vollständige Kontrolle der öffentlichen IP-Adressverwaltung für Compute Engine.	compute.addresses.* compute.globalAddresses.* compute.globalPublicDelegatedPrefixes.* compute.publicAdvertisedPrefixes.* compute.publicDelegatedPrefixes.* resourcemanager.projects.get resourcemanager.projects.list
`roles/compute.securityAdmin`	Compute-Sicherheitsadministrator	Berechtigungen zum Erstellen, Ändern und Löschen von Firewallregeln und SSL-Zertifikaten sowie zum Konfigurieren der Einstellungen von Shielded VM^BETA Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie diese Rolle der Gruppe des Sicherheitsteams zu.	compute.firewallPolicies.* compute.firewalls.* compute.globalOperations.get compute.globalOperations.list compute.instances.getEffectiveFirewalls compute.instances.setShieldedInstanceIntegrityPolicy compute.instances.setShieldedVmIntegrityPolicy compute.instances.updateShieldedInstanceConfig compute.instances.updateShieldedVmConfig compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.list compute.networks.updatePolicy compute.packetMirrorings.* compute.projects.get compute.regionOperations.get compute.regionOperations.list compute.regionSslCertificates.* compute.regions.* compute.routes.get compute.routes.list compute.securityPolicies.* compute.sslCertificates.* compute.sslPolicies.* compute.subnetworks.get compute.subnetworks.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Instanz^Beta
`roles/compute.storageAdmin`	Compute Storage-Administrator	Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken, Images und Snapshots. Wenn in Ihrem Unternehmen beispielsweise ein Mitarbeiter Projekt-Images verwaltet und Sie nicht möchten, dass er die Bearbeiterrolle für das Projekt hat, weisen Sie diese Rolle seinem Konto für das Projekt zu.	compute.diskTypes.* compute.disks.* compute.globalOperations.get compute.globalOperations.list compute.images.* compute.licenseCodes.* compute.licenses.* compute.projects.get compute.regionOperations.get compute.regionOperations.list compute.regions.* compute.resourcePolicies.* compute.snapshots.* compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Laufwerk, Image, Snapshot^Beta
`roles/compute.viewer`	Compute-Betrachter	Lesezugriff zum Abrufen und Auflisten von Compute Engine-Ressourcen, aber ohne die Möglichkeit, die darin gespeicherten Daten zu lesen. Ein Konto mit dieser Rolle kann beispielsweise zwar alle Laufwerke in einem Projekt inventarisieren, aber keine Daten auf diesen Laufwerken lesen.	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute.commitments.get compute.commitments.list compute.diskTypes.* compute.disks.get compute.disks.getIamPolicy compute.disks.list compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewallPolicies.get compute.firewallPolicies.getIamPolicy compute.firewallPolicies.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalForwardingRules.pscGet compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalPublicDelegatedPrefixes.get compute.globalPublicDelegatedPrefixes.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.get compute.images.getFromFamily compute.images.getIamPolicy compute.images.list compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instanceTemplates.get compute.instanceTemplates.getIamPolicy compute.instanceTemplates.list compute.instances.get compute.instances.getEffectiveFirewalls compute.instances.getGuestAttributes compute.instances.getIamPolicy compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.getShieldedInstanceIdentity compute.instances.getShieldedVmIdentity compute.instances.list compute.instances.listReferrers compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.get compute.licenseCodes.getIamPolicy compute.licenseCodes.list compute.licenses.get compute.licenses.getIamPolicy compute.licenses.list compute.machineImages.get compute.machineImages.getIamPolicy compute.machineImages.list compute.machineTypes.* compute.maintenancePolicies.get compute.maintenancePolicies.getIamPolicy compute.maintenancePolicies.list compute.networkEndpointGroups.get compute.networkEndpointGroups.getIamPolicy compute.networkEndpointGroups.list compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.nodeGroups.get compute.nodeGroups.getIamPolicy compute.nodeGroups.list compute.nodeTemplates.get compute.nodeTemplates.getIamPolicy compute.nodeTemplates.list compute.nodeTypes.* compute.organizations.listAssociations compute.projects.get compute.publicAdvertisedPrefixes.get compute.publicAdvertisedPrefixes.list compute.publicDelegatedPrefixes.get compute.publicDelegatedPrefixes.list compute.regionBackendServices.get compute.regionBackendServices.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionOperations.get compute.regionOperations.getIamPolicy compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regionUrlMaps.validate compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.get compute.resourcePolicies.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.securityPolicies.get compute.securityPolicies.getIamPolicy compute.securityPolicies.list compute.snapshots.get compute.snapshots.getIamPolicy compute.snapshots.list compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.getIamPolicy compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.urlMaps.validate compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.getIamPolicy compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Laufwerk, Image, Instanz, Instanzvorlage, Knotengruppe, Knotenvorlage, Snapshot^Beta
`roles/compute.xpnAdmin`	Administrator für freigegebene Compute-VPC	Berechtigung zum Verwalten freigegebener VPC-Hostprojekte, insbesondere die Aktivierung der Hostprojekte und die Verknüpfung freigegebener VPC-Dienstprojekte mit dem Netzwerk des Hostprojekts Auf Organisationsebene kann diese Rolle nur von einem Organisationsadministrator zugewiesen werden. Google Cloud empfiehlt, dass der Administrator für freigegebene VPCs der Inhaber des Hostprojekts einer freigegebenen VPC ist. Der Administrator für freigegebene VPCs ist für die Zuweisung der Rolle "Compute-Netzwerknutzer" (`roles/compute.networkUser`) an Dienstinhaber zuständig und der Inhaber des Hostprojekts der freigegebenen VPC steuert das eigentliche Projekt. Die Verwaltung des Projekts ist einfacher, wenn ein Verantwortlicher (Einzelperson oder Gruppe) beide Rollen übernehmen kann.	compute.globalOperations.get compute.globalOperations.list compute.organizations.administerXpn compute.organizations.disableXpnHost compute.organizations.disableXpnResource compute.organizations.enableXpnHost compute.organizations.enableXpnResource compute.projects.get compute.subnetworks.getIamPolicy compute.subnetworks.setIamPolicy resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list	Ordner
`roles/osconfig.guestPolicyAdmin`	GuestPolicy-Administrator^Beta	Vollständiger Administratorzugriff auf GuestPolicies	osconfig.guestPolicies.* resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.guestPolicyEditor`	GuestPolicy-Bearbeiter^Beta	Bearbeiter von GuestPolicy-Ressourcen	osconfig.guestPolicies.get osconfig.guestPolicies.list osconfig.guestPolicies.update resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.guestPolicyViewer`	GuestPolicy-Betrachter^Beta	Betrachter von GuestPolicy-Ressourcen	osconfig.guestPolicies.get osconfig.guestPolicies.list resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.patchDeploymentAdmin`	PatchDeployment-Administrator	Vollständiger Administratorzugriff auf PatchDeployments	osconfig.patchDeployments.* resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.patchDeploymentViewer`	PatchDeployment-Betrachter	Betrachter von PatchDeployment-Ressourcen	osconfig.patchDeployments.get osconfig.patchDeployments.list resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.patchJobExecutor`	Patch-Job-Executor	Zugriff zum Ausführen von Patch-Jobs	osconfig.patchJobs.* resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.patchJobViewer`	Patch-Job-Betrachter	Abrufen und Auflisten von Patch-Jobs	osconfig.patchJobs.get osconfig.patchJobs.list resourcemanager.projects.get resourcemanager.projects.list

Kubernetes Engine-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/container.admin`	Kubernetes Engine-Administrator	Berechtigung zum vollständigen Verwalten von Clustern und den zugehörigen Kubernetes API-Objekten. Zum Festlegen eines Dienstkontos für Knoten müssen Sie auch die Rolle "Dienstkontonutzer" (`roles/iam.serviceAccountUser`) zuweisen.	container.* resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/container.clusterAdmin`	Administrator für Kubernetes Engine-Cluster	Berechtigung zum Verwalten von Clustern. Zum Festlegen eines Dienstkontos für Knoten müssen Sie auch die Rolle "Dienstkontonutzer" (`roles/iam.serviceAccountUser`) zuweisen.	container.clusters.create container.clusters.delete container.clusters.get container.clusters.list container.clusters.update container.operations.* resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/container.clusterViewer`	Kubernetes Engine-Clusterbetrachter	Informationen zum Zugriff auf GKE-Cluster abrufen und auflisten.	container.clusters.get container.clusters.list resourcemanager.projects.get resourcemanager.projects.list
`roles/container.developer`	Kubernetes Engine-Entwickler	Zugriff auf Kubernetes API-Objekte in Clustern	container.apiServices.* container.auditSinks.* container.backendConfigs.* container.bindings.* container.certificateSigningRequests.create container.certificateSigningRequests.delete container.certificateSigningRequests.get container.certificateSigningRequests.list container.certificateSigningRequests.update container.certificateSigningRequests.updateStatus container.clusterRoleBindings.get container.clusterRoleBindings.list container.clusterRoles.get container.clusterRoles.list container.clusters.get container.clusters.list container.componentStatuses.* container.configMaps.* container.controllerRevisions.get container.controllerRevisions.list container.cronJobs.* container.csiDrivers.* container.csiNodeInfos.* container.csiNodes.* container.customResourceDefinitions.* container.daemonSets.* container.deployments.* container.endpointSlices.* container.endpoints.* container.events.* container.frontendConfigs.* container.horizontalPodAutoscalers.* container.ingresses.* container.initializerConfigurations.* container.jobs.* container.leases.* container.limitRanges.* container.localSubjectAccessReviews.* container.managedCertificates.* container.mutatingWebhookConfigurations.get container.mutatingWebhookConfigurations.list container.namespaces.* container.networkPolicies.* container.nodes.* container.persistentVolumeClaims.* container.persistentVolumes.* container.petSets.* container.podDisruptionBudgets.* container.podPresets.* container.podSecurityPolicies.get container.podSecurityPolicies.list container.podTemplates.* container.pods.* container.priorityClasses.* container.replicaSets.* container.replicationControllers.* container.resourceQuotas.* container.roleBindings.get container.roleBindings.list container.roles.get container.roles.list container.runtimeClasses.* container.scheduledJobs.* container.secrets.* container.selfSubjectAccessReviews.* container.selfSubjectRulesReviews.* container.serviceAccounts.* container.services.* container.statefulSets.* container.storageClasses.* container.storageStates.* container.storageVersionMigrations.* container.subjectAccessReviews.* container.thirdPartyObjects.* container.thirdPartyResources.* container.tokenReviews.* container.updateInfos.* container.validatingWebhookConfigurations.get container.validatingWebhookConfigurations.list container.volumeAttachments.* container.volumeSnapshotClasses.* container.volumeSnapshotContents.* container.volumeSnapshots.* resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/container.hostServiceAgentUser`	Nutzer des Dienst-Agents für den Kubernetes Engine-Host	Ermöglicht dem Kubernetes Engine-Dienstkonto im Hostprojekt, freigegebene Netzwerkressourcen für die Clusterverwaltung zu konfigurieren. Gewährt auch Zugriff zum Untersuchen der Firewallregeln im Hostprojekt	compute.firewalls.get container.hostServiceAgent.* dns.networks.bindPrivateDNSPolicy dns.networks.bindPrivateDNSZone
`roles/container.viewer`	Kubernetes Engine Viewer	Lesezugriff auf GKE-Ressourcen	container.apiServices.get container.apiServices.getStatus container.apiServices.list container.auditSinks.get container.auditSinks.list container.backendConfigs.get container.backendConfigs.list container.bindings.get container.bindings.list container.certificateSigningRequests.get container.certificateSigningRequests.getStatus container.certificateSigningRequests.list container.clusterRoleBindings.get container.clusterRoleBindings.list container.clusterRoles.get container.clusterRoles.list container.clusters.get container.clusters.list container.componentStatuses.* container.configMaps.get container.configMaps.list container.controllerRevisions.get container.controllerRevisions.list container.cronJobs.get container.cronJobs.getStatus container.cronJobs.list container.csiDrivers.get container.csiDrivers.list container.csiNodeInfos.get container.csiNodeInfos.list container.csiNodes.get container.csiNodes.list container.customResourceDefinitions.get container.customResourceDefinitions.getStatus container.customResourceDefinitions.list container.daemonSets.get container.daemonSets.getStatus container.daemonSets.list container.deployments.get container.deprovements.getStatus container.deployments.list container.endpointSlices.get container.endpointSlices.list container.endpoints.get container.endpoints.list container.events.get container.events.list container.frontendConfigs.get container.frontendConfigs.list container.horizontalPodAutoscalers.get container.horizontalPodAutoscalers.getStatus container.horizontalPodAutoscalers.list container.ingresses.get container.ingresses.getStatus container.ingresses.list container.initializerConfigurations.get container.initializerConfigurations.list container.jobs.get container.jobs.getStatus container.jobs.list container.leases.get container.leases.list container.limitRanges.get container.limitRanges.list container.managedCertificates.get container.managedCertificates.list container.mutatingWebhookConfigurations.get container.mutatingWebhookConfigurations.list container.namespaces.get container.namespaces.getStatus container.namespaces.list container.networkPolicies.get container.networkPolicies.list container.nodes.get container.nodes.getStatus container.nodes.list container.operations.* container.persistentVolumeClaims.get container.persistentVolumeClaims.getStatus container.persistentVolumeClaims.list container.persistentVolumes.get container.persistentVolumes.getStatus container.persistentVolumes.list container.petSets.get container.petSets.list container.podDisruptionBudgets.get container.podDisruptionBudgets.getStatus container.podDisruptionBudgets.list container.podPresets.get container.podPresets.list container.podSecurityPolicies.get container.podSecurityPolicies.list container.podTemplates.get container.podTemplates.list container.pods.get container.pods.getStatus container.pods.list container.priorityClasses.get container.priorityClasses.list container.replicaSets.get container.replicaSets.getScale container.replicaSets.getStatus container.replicaSets.list container.replicationControllers.get container.replicationControllers.getScale container.replicationControllers.getStatus container.replicationControllers.list container.resourceQuotas.get container.resourceQuotas.getStatus container.resourceQuotas.list container.roleBindings.get container.roleBindings.list container.roles.get container.roles.list container.runtimeClasses.get container.runtimeClasses.list container.scheduledJobs.get container.scheduledJobs.list container.serviceAccounts.get container.serviceAccounts.list container.services.get container.services.getStatus container.services.list container.statefulSets.get container.statefulSets.getStatus container.statefulSets.list container.storageClasses.get container.storageClasses.list container.storageStates.get container.storageStates.list container.storageVersionMigrations.get container.storageVersionMigrations.list container.thirdPartyObjects.get container.thirdPartyObjects.list container.thirdPartyResources.get container.thirdPartyResources.list container.tokenReviews.* container.updateInfos.get container.updateInfos.list container.validatingWebhookConfigurations.get container.validatingWebhookConfigurations.list container.volumeAttachments.get container.volumeAttachments.getStatus container.volumeAttachments.list container.volumeSnapshotClasses.get container.volumeSnapshotClasses.list container.volumeSnapshotContents.get container.volumeSnapshotContents.list container.volumeSnapshots.get container.volumeSnapshots.list resourcemanager.projects.get resourcemanager.projects.list	Projekt

Container Analysis-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/containeranalysis.admin`	Container Analysis-Administrator	Zugriff auf alle Container Analysis-Ressourcen.	containeranalysis.notes.attachOccurrence containeranalysis.notes.create containeranalysis.notes.delete containeranalysis.notes.get containeranalysis.notes.getIamPolicy containeranalysis.notes.list containeranalysis.notes.setIamPolicy containeranalysis.notes.update containeranalysis.occurrences.* resourcemanager.projects.get resourcemanager.projects.list
`roles/containeranalysis.notes.attacher`	Hinzufüger von Container Analysis-Hinweisen	Kann bei Ereignissen Container Analysis-Hinweise anhängen.	containeranalysis.notes.attachOccurrence containeranalysis.notes.get
`roles/containeranalysis.notes.editor`	Bearbeiter von Container Analysis-Hinweisen	Kann Container Analysis-Hinweise bearbeiten.	containeranalysis.notes.attachOccurrence containeranalysis.notes.create containeranalysis.notes.delete containeranalysis.notes.get containeranalysis.notes.list containeranalysis.notes.update resourcemanager.projects.get resourcemanager.projects.list
`roles/containeranalysis.notes.occurrences.viewer`	Container Analysis-Ereignisse für Betrachter von Hinweisen		containeranalysis.notes.get containeranalysis.notes.listOccurrences
`roles/containeranalysis.notes.viewer`	Betrachter von Container Analysis-Hinweisen	Kann Container Analysis-Hinweise aufrufen.	containeranalysis.notes.get containeranalysis.notes.list resourcemanager.projects.get resourcemanager.projects.list
`roles/containeranalysis.occurrences.editor`	Bearbeiter von Container Analysis-Ereignissen	Kann Container Analysis-Ereignisse bearbeiten.	containeranalysis.occurrences.create containeranalysis.occurrences.delete containeranalysis.occurrences.get containeranalysis.occurrences.list containeranalysis.occurrences.update resourcemanager.projects.get resourcemanager.projects.list
`roles/containeranalysis.occurrences.viewer`	Betrachter von Container Analysis-Ereignissen	Kann Container Analysis-Ereignisse aufrufen.	containeranalysis.occurrences.get containeranalysis.occurrences.list resourcemanager.projects.get resourcemanager.projects.list

Data Catalog-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/datacatalog.admin`	Data Catalog-Administrator	Vollständiger Zugriff auf alle DataCatalog-Ressourcen	bigquery.datasets.get bigquery.datasets.updateTag bigquery.models.getMetadata bigquery.models.updateTag bigquery.tables.get bigquery.tables.updateTag datacatalog.categories.getIamPolicy datacatalog.categories.setIamPolicy datacatalog.entries.* datacatalog.entryGroups.* datacatalog.tagTemplates.* datacatalog.taxonomies.* pubsub.topics.get pubsub.topics.updateTag resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.categoryAdmin`	Richtlinien-Tag-Administrator^Beta	Taxonomien verwalten	datacatalog.categories.getIamPolicy datacatalog.categories.setIamPolicy datacatalog.taxonomies.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.categoryFineGrainedReader`	Detaillierter Leser^Beta	Lesezugriff auf nach Richtlinie getaggte untergeordnete Ressourcen, z. B. BigQuery-Spalten	datacatalog.categories.fineGrainedGet
`roles/datacatalog.entryGroupCreator`	Ersteller von DataCatalog-Eintragsgruppen	Kann neue Eintragsgruppen erstellen	datacatalog.entryGroups.create datacatalog.entryGroups.get datacatalog.entryGroups.list resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.entryGroupOwner`	Inhaber von Datacatalog-Eintragsgruppen	Vollständiger Zugriff auf Eintragsgruppen	datacatalog.entries.* datacatalog.entryGroups.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.entryOwner`	Inhaber von DataCatalog-Einträgen	Vollständiger Zugriff auf Einträge	datacatalog.entries.* datacatalog.entryGroups.get resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.entryViewer`	Betrachter von DataCatalog-Einträgen	Lesezugriff auf Einträge	datacatalog.entries.get datacatalog.entries.list datacatalog.entryGroups.get resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.tagEditor`	DataCatalog-Tag-Bearbeiter	Bietet die Berechtigung zum Ändern von Tags in Google Cloud-Assets für BigQuery und Pub/Sub	bigquery.datasets.updateTag bigquery.models.updateTag bigquery.tables.updateTag datacatalog.entries.updateTag pubsub.topics.updateTag
`roles/datacatalog.tagTemplateCreator`	Data Catalog-Tag-Vorlagen-Ersteller	Zugriff zum Erstellen von neuen Tag-Vorlagen	datacatalog.tagTemplates.create datacatalog.tagTemplates.get
`roles/datacatalog.tagTemplateOwner`	Data Catalog-Tag-Vorlagen-Inhaber	Vollständiger Zugriff auf Tag-Vorlagen	datacatalog.tagTemplates.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.tagTemplateUser`	Data Catalog-Tag-Vorlagen-Nutzer	Zugriff auf Vorlagen, um Ressourcen zu taggen	datacatalog.tagTemplates.get datacatalog.tagTemplates.getTag datacatalog.tagTemplates.use resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.tagTemplateViewer`	Data Catalog-Tag-Vorlagen-Betrachter	Lesezugriff auf Vorlagen und Tags, die mit den Vorlagen erstellt wurden	datacatalog.tagTemplates.get datacatalog.tagTemplates.getTag resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.viewer`	Data Catalog-Betrachter	Bietet Lesezugriff für Metadaten auf katalogisierte Google Cloud-Assets für BigQuery und Pub/Sub	bigquery.datasets.get bigquery.models.getMetadata bigquery.tables.get datacatalog.entries.get datacatalog.entries.list datacatalog.entryGroups.get datacatalog.entryGroups.list datacatalog.tagTemplates.get datacatalog.tagTemplates.getTag datacatalog.taxonomies.get datacatalog.taxonomies.list pubsub.topics.get resourcemanager.projects.get resourcemanager.projects.list

Dataflow-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/dataflow.admin`	Dataflow-Administrator	Minimale Rolle zur Erstellung und Verwaltung von Dataflow-Jobs	compute.machineTypes.get dataflow.* resourcemanager.projects.get resourcemanager.projects.list storage.buckets.get storage.objects.create storage.objects.get storage.objects.list
`roles/dataflow.developer`	Dataflow-Entwickler	Bietet das Ausführen und Bearbeiten von Dataflow-Jobs.	dataflow.* resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/dataflow.viewer`	Dataflow-Betrachter	Bietet Lesezugriff auf alle Ressourcen in Verbindung mit Dataflow.	dataflow.jobs.get dataflow.jobs.list dataflow.messages.* dataflow.metrics.* dataflow.snapshots.get dataflow.snapshots.list resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/dataflow.worker`	Dataflow-Worker	Bietet die erforderlichen Berechtigungen für ein Compute Engine-Dienstkonto, um Arbeitseinheiten für eine Dataflow-Pipeline auszuführen.	compute.instanceGroupManagers.update compute.instances.delete compute.instances.setDiskAutoDelete dataflow.jobs.get logging.logEntries.create storage.objects.create storage.objects.get	Projekt

Cloud Data Labeling-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/datalabeling.admin`	DataLabeling-Dienstadministrator ^Beta	Voller Zugriff auf alle DataLabeling-Ressourcen	datalabeling.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datalabeling.editor`	DataLabeling-Dienstbearbeiter^Beta	Bearbeiter aller DataLabeling-Ressourcen	datalabeling.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datalabeling.viewer`	DataLabeling-Dienstbetrachter ^Beta	Betrachter aller DataLabeling-Ressourcen	datalabeling.annotateddatasets.get datalabeling.annotateddatasets.list datalabeling.annotationspecsets.get datalabeling.annotationspecsets.list datalabeling.dataitems.* datalabeling.datasets.get datalabeling.datasets.list datalabeling.examples.* datalabeling.instructions.get datalabeling.instructions.list datalabeling.operations.get datalabeling.operations.list resourcemanager.projects.get resourcemanager.projects.list

Rollen für die Datenmigration

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/datamigration.admin`	Administrator für die Datenbankmigration^Beta	Vollständiger Zugriff auf alle Ressourcen der Datenbankmigration	datamigration.* resourcemanager.projects.get resourcemanager.projects.list

Dataprep-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/dataprep.projects.user`	Dataprep-Nutzer ^Beta	Verwendung von Dataprep	dataprep.* resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Dataproc-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/dataproc.admin`	Dataproc-Administrator	Umfassende Kontrolle über Dataproc-Ressourcen.	compute.machineTypes.* compute.networks.get compute.networks.list compute.projects.get compute.regions.* compute.zones.* dataproc.autoscalingPolicies.* dataproc.clusters.* dataproc.jobs.* dataproc.operations.* dataproc.workflowTemplates.* resourcemanager.projects.get resourcemanager.projects.list
`roles/dataproc.editor`	Dataproc-Bearbeiter	Bietet Berechtigungen zum Aufrufen der Ressourcen, die zum Verwalten von Dataproc erforderlich sind, beispielsweise Maschinentypen, Netzwerke, Projekte und Zonen.	compute.machineTypes.* compute.networks.get compute.networks.list compute.projects.get compute.regions.* compute.zones.* dataproc.autoscalingPolicies.create dataproc.autoscalingPolicies.delete dataproc.autoscalingPolicies.get dataproc.autoscalingPolicies.list dataproc.autoscalingPolicies.update dataproc.autoscalingPolicies.use dataproc.clusters.create dataproc.clusters.delete dataproc.clusters.get dataproc.clusters.list dataproc.clusters.start dataproc.clusters.stop dataproc.clusters.update dataproc.clusters.use dataproc.jobs.cancel dataproc.jobs.create dataproc.jobs.delete dataproc.jobs.get dataproc.jobs.list dataproc.jobs.update dataproc.operations.delete dataproc.operations.get dataproc.operations.list dataproc.workflowTemplates.create dataproc.workflowTemplates.delete dataproc.workflowTemplates.get dataproc.workflowTemplates.instantiate dataproc.workflowTemplates.instantiateInline dataproc.workflowTemplates.list dataproc.workflowTemplates.update resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/dataproc.hubAgent`	Dataproc Hub-Agent	Kann Dataproc-Ressourcen verwalten. Vorgesehen für Dienstkonten, mit denen Dataproc Hub-Instanzen ausgeführt werden.	compute.instances.get compute.instances.setMetadata compute.instances.setTags compute.zoneOperations.get compute.zones.list dataproc.autoscalingPolicies.get dataproc.autoscalingPolicies.list dataproc.autoscalingPolicies.use dataproc.clusters.create dataproc.clusters.delete dataproc.clusters.get dataproc.clusters.list dataproc.clusters.update dataproc.operations.cancel dataproc.operations.delete dataproc.operations.get dataproc.operations.list iam.serviceAccounts.actAs iam.serviceAccounts.get iam.serviceAccounts.list logging.buckets.get logging.buckets.list logging.exclusions.get logging.exclusions.list logging.locations.* logging.logEntries.create logging.logEntries.list logging.logMetrics.get logging.logMetrics.list logging.logServiceIndexes.* logging.logServices.* logging.logs.list logging.queries.* logging.sinks.get logging.sinks.list logging.usage.* logging.views.get logging.views.list resourcemanager.projects.get resourcemanager.projects.list storage.buckets.get storage.objects.get storage.objects.list
`roles/dataproc.viewer`	Dataproc-Betrachter	Bietet Lesezugriff auf Dataproc-Ressourcen.	compute.machineTypes.get compute.regions.* compute.zones.* dataproc.autoscalingPolicies.get dataproc.autoscalingPolicies.list dataproc.clusters.get dataproc.clusters.list dataproc.jobs.get dataproc.jobs.list dataproc.operations.get dataproc.operations.list dataproc.workflowTemplates.get dataproc.workflowTemplates.list resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/dataproc.worker`	Dataproc-Worker	Bietet Worker-Zugriff auf Dataproc-Ressourcen. Für Dienstkonten gedacht.	dataproc.agents.* dataproc.tasks.* logging.logEntries.create monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.timeSeries.create storage.buckets.get storage.objects.*

Datastore-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/datastore.importExportAdmin`	Cloud Datastore-Import-/Export-Administrator	Vollzugriff für die Verwaltung von Importen und Exporten	appengine.applications.get datastore.databases.export datastore.databases.import datastore.operations.cancel datastore.operations.get datastore.operations.list resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/datastore.indexAdmin`	Cloud Datastore-Index-Administrator	Vollzugriff zur Verwaltung von Indexdefinitionen	appengine.applications.get datastore.indexes.* resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/datastore.owner`	Cloud Datastore-Inhaber	Vollzugriff auf Cloud Datastore-Ressourcen	appengine.applications.get datastore.* resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/datastore.user`	Cloud Datastore-Nutzer	Lese-/Schreibzugriff auf Daten in einer Cloud Datastore-Datenbank	appengine.applications.get datastore.databases.get datastore.entities.* datastore.indexes.list datastore.namespaces.get datastore.namespaces.list datastore.statistics.* resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/datastore.viewer`	Cloud Datastore-Betrachter	Lesezugriff auf Cloud Datastore-Ressourcen	appengine.applications.get datastore.databases.get datastore.databases.list datastore.entities.get datastore.entities.list datastore.indexes.get datastore.indexes.list datastore.namespaces.get datastore.namespaces.list datastore.statistics.* resourcemanager.projects.get resourcemanager.projects.list	Projekt

Deployment Manager-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/deploymentmanager.editor`	Deployment Manager-Bearbeiter	Bietet das Erstellen und Verwalten von Bereitstellungen.	deploymentmanager.compositeTypes.* deploymentmanager.deployments.cancelPreview deploymentmanager.deployments.create deploymentmanager.deployments.delete deploymentmanager.deployments.get deploymentmanager.deployments.list deploymentmanager.deployments.stop deploymentmanager.deployments.update deploymentmanager.manifests.* deploymentmanager.operations.* deploymentmanager.resources.* deploymentmanager.typeProviders.* deploymentmanager.types.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Projekt
`roles/deploymentmanager.typeEditor`	Bearbeiter von Deployment Manager-Typ	Bietet Lese- und Schreibzugriff auf alle Ressourcen zur Typregistrierung.	deploymentmanager.compositeTypes.* deploymentmanager.operations.get deploymentmanager.typeProviders.* deploymentmanager.types.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get	Projekt
`roles/deploymentmanager.typeViewer`	Betrachter von Deployment Manager-Typ	Schreibgeschützter Zugriff auf alle Ressourcen zur Typregistrierung	deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.types.get deploymentmanager.types.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get	Projekt
`roles/deploymentmanager.viewer`	Deployment Manager-Betrachter	Bietet Lesezugriff auf alle Deployment Manager-Ressourcen.	deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.deployments.get deploymentmanager.deployments.list deploymentmanager.manifests.* deploymentmanager.operations.* deploymentmanager.resources.* deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.types.get deploymentmanager.types.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Projekt

Dialogflow-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/dialogflow.admin`	Dialogflow API-Administrator	Gewähren Sie Zugriff für Dialogflow API-Administratoren, die vollen Zugriff auf Dialogflow-spezifische Ressourcen benötigen. Siehe auch Dialogflow-Zugriffssteuerung.	dialogflow.* resourcemanager.projects.get	Projekt
`roles/dialogflow.client`	Dialogflow API-Client	Gewähren Sie Zugriff für Dialogflow API-Clients, die Dialogflow-spezifische Änderungen vornehmen und Intent-Aufrufe mit der API erkennen. Siehe auch Dialogflow-Zugriffssteuerung.	dialogflow.contexts.* dialogflow.sessionEntityTypes.* dialogflow.sessions.*	Projekt
`roles/dialogflow.consoleAgentEditor`	Agent-Bearbeiter in Dialogflow-Konsole	Gewähren Sie Zugriff für Bearbeiter der Dialogflow-Konsole, die vorhandene Agents bearbeiten. Siehe auch Dialogflow-Zugriffssteuerung.	actions.agentVersions.create dialogflow.* resourcemanager.projects.get	Projekt
`roles/dialogflow.conversationManager`	Dialogflow Conversation Manager	Kann alle Ressourcen im Zusammenhang mit Dialogflow-Kommunikation verwalten.
`roles/dialogflow.integrationManager`	Dialogflow Integration Manager	Kann Dialogflow-Integrationen hinzufügen, entfernen, aktivieren und deaktivieren.
`roles/dialogflow.reader`	Dialogflow API-Leser	Gewähren Sie Zugriff für Dialogflow API-Clients, die Dialogflow-spezifische schreibgeschützte Aufrufe über die API ausführen. Siehe auch Dialogflow-Zugriffssteuerung.	dialogflow.agents.export dialogflow.agents.get dialogflow.agents.list dialogflow.agents.search dialogflow.contexts.get dialogflow.contexts.list dialogflow.documents.get dialogflow.documents.list dialogflow.entityTypes.get dialogflow.entityTypes.list dialogflow.environments.get dialogflow.environments.list dialogflow.flows.get dialogflow.flows.list dialogflow.fulfillments.get dialogflow.intents.get dialogflow.intents.list dialogflow.knowledgeBases.get dialogflow.knowledgeBases.list dialogflow.operations.* dialogflow.pages.get dialogflow.pages.list dialogflow.sessionEntityTypes.get dialogflow.sessionEntityTypes.list dialogflow.transitionRouteGroups.get dialogflow.transitionRouteGroups.list dialogflow.versions.get dialogflow.versions.list dialogflow.webhooks.get dialogflow.webhooks.list resourcemanager.projects.get	Projekt

Cloud DLP-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/dlp.admin`	DLP-Administrator	Verwalten Sie DLP einschließlich Jobs und Vorlagen.	dlp.* serviceusage.services.use
`roles/dlp.analyzeRiskTemplatesEditor`	Bearbeiter von DLP-Risikoanalysevorlagen	DLP-Analyse-Risikovorlagen bearbeiten.	dlp.analyzeRiskTemplates.*
`roles/dlp.analyzeRiskTemplatesReader`	Leser von DLP-Risikoanalysevorlagen	DLP-Risikoanalysevorlagen lesen.	dlp.analyzeRiskTemplates.get dlp.analyzeRiskTemplates.list
`roles/dlp.deidentifyTemplatesEditor`	DLP-De-identify-Vorlageneditor	DLP-DE-identify-Vorlagen bearbeiten.	dlp.deidentifyTemplates.*
`roles/dlp.deidentifyTemplatesReader`	Leser von DLP-De-identify-Vorlagen	DLP-de-identify-Vorlagen lesen.	dlp.deidentifyTemplates.get dlp.deidentifyTemplates.list
`roles/dlp.inspectFindingsReader`	Leser von DLP-Prüfungsergebnissen	Gespeicherte DLP-Ergebnisse lesen.	dlp.inspectFindings.*
`roles/dlp.inspectTemplatesEditor`	Mitbearbeiter von DLP-Prüfungsvorlagen	DLP-Prüfungsvorlagen lesen.	dlp.inspectTemplates.*
`roles/dlp.inspectTemplatesReader`	Leser von DLP-Prüfungsvorlagen	DLP Prüfungsvorlagen lesen.	dlp.inspectTemplates.get dlp.inspectTemplates.list
`roles/dlp.jobTriggersEditor`	DLP-Job-Trigger-Bearbeiter	Job-Trigger-Konfigurationen bearbeiten.	dlp.jobTriggers.*
`roles/dlp.jobTriggersReader`	Leser von DLP-Job-Triggern	Job-Trigger lesen.	dlp.jobTriggers.get dlp.jobTriggers.list
`roles/dlp.jobsEditor`	DLP-Jobs-Bearbeiter	Jobs bearbeiten und erstellen	dlp.jobs.* dlp.kms.*
`roles/dlp.jobsReader`	Leser von DLP-Jobs	Jobs lesen	dlp.jobs.get dlp.jobs.list
`roles/dlp.reader`	DLP-Leser	Lesen von DLP-Entitäten wie Jobs oder Vorlagen.	dlp.analyzeRiskTemplates.get dlp.analyzeRiskTemplates.list dlp.deidentifyTemplates.get dlp.deidentifyTemplates.list dlp.inspectFindings.* dlp.inspectTemplates.get dlp.inspectTemplates.list dlp.jobTriggers.get dlp.jobTriggers.list dlp.jobs.get dlp.jobs.list dlp.storedInfoTypes.get dlp.storedInfoTypes.list
`roles/dlp.storedInfoTypesEditor`	Bearbeiter von für DLP gespeicherten InfoTypes	Für DLP gespeicherte InfoTypes bearbeiten.	dlp.storedInfoTypes.*
`roles/dlp.storedInfoTypesReader`	Leser von für DLP gespeicherte InfoTypes	Für DLP gespeicherte InfoTypes lesen.	dlp.storedInfoTypes.get dlp.storedInfoTypes.list
`roles/dlp.user`	DLP-Nutzer	Inhalte prüfen, entfernen und ihre Identifizierung aufheben	dlp.kms.* serviceusage.services.use

DNS-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/dns.admin`	DNS-Administrator	Lese- und Schreibzugriff auf alle Cloud DNS-Ressourcen	compute.networks.get compute.networks.list dns.changes.* dns.dnsKeys.* dns.managedZoneOperations.* dns.managedZones.* dns.networks.* dns.policies.create dns.policies.delete dns.policies.get dns.policies.list dns.policies.update dns.projects.* dns.resourceRecordSets.* resourcemanager.projects.get resourcemanager.projects.list	Projekt
`roles/dns.peer`	DNS-Peer	Zugriff auf Zielnetzwerke mit DNS-Peering-Zonen	dns.networks.targetWithPeeringZone
`roles/dns.reader`	DNS-Leser	Lesezugriff auf alle Cloud DNS-Ressourcen	compute.networks.get dns.changes.get dns.changes.list dns.dnsKeys.* dns.managedZoneOperations.* dns.managedZones.get dns.managedZones.list dns.policies.get dns.policies.list dns.projects.* dns.resourceRecordSets.list resourcemanager.projects.get resourcemanager.projects.list	Projekt

Cloud Domains-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/domains.admin`	Cloud Domains-Administrator^Beta	Vollständiger Zugriff auf Cloud Domains Registrations und zugehörige Ressourcen.	domains.* resourcemanager.projects.get resourcemanager.projects.list
`roles/domains.viewer`	Cloud Domains-Betrachter^Beta	Lesezugriff auf Cloud Domains Registrations und zugehörige Ressourcen.	domains.locations.* domains.operations.get domains.operations.list domains.registrations.get domains.registrations.getIamPolicy domains.registrations.list resourcemanager.projects.get resourcemanager.projects.list

Earth Engine-Rollen

Rolle	Titel	Beschreibung	Berechtigungen
`roles/earthengine.admin`	Earth Engine-Ressourcenadministrator ^Beta	Vollständiger Zugriff auf Earth Engine-Ressourcenfunktionen	earthengine.* resourcemanager.projects.get resourcemanager.projects.list
`roles/earthengine.viewer`	Earth Engine-Ressourcen-Betrachter ^Beta	Betrachter aller Earth-Engine-Ressourcen	earthengine.assets.get earthengine.assets.getIamPolicy earthengine.assets.list earthengine.computations.* earthengine.filmstripthumbnails.get earthengine.maps.get earthengine.operations.get earthengine.operations.list earthengine.tables.get earthengine.thumbnails.get earthengine.videothumbnails.get resourcemanager.projects.get resourcemanager.projects.list
`roles/earthengine.writer`	Earth Engine-Ressourcenautor ^Beta	Autor aller Earth-Engine-Ressourcen	earthengine.assets.create earthengine.assets.delete earthengine.assets.get earthengine.assets.getIamPolicy earthengine.assets.list earthengine.assets.update earthengine.computations.* earthengine.exports.* earthengine.filmstripthumbnails.* earthengine.imports.* earthengine.maps.* earthengine.operations.* earthengine.tables.* earthengine.thumbnails.* earthengine.videothumbnails.* resourcemanager.projects.get resourcemanager.projects.list

Endpoints-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/endpoints.portalAdmin`	Endpoints-Portal-Administrator ^Beta	Alle Berechtigungen zum Hinzufügen, Aufrufen und Löschen benutzerdefinierter Domains auf der Seite Endpoints > Entwicklerportal der Cloud Console. Ermöglicht in einem für eine API erstellten Portal das Ändern der Einstellungen auf dem Tab Gesamte Website der Seite Einstellungen.	endpoints.* resourcemanager.projects.get resourcemanager.projects.list servicemanagement.services.get	Projekt

Error Reporting-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/errorreporting.admin`	Error Reporting-Administrator^Beta	Bietet uneingeschränkten Zugriff auf Error Reporting-Daten.	cloudnotifications.*