Informationen zu Rollen

Auf dieser Seite werden IAM-Rollen beschrieben und die vordefinierten Rollen aufgelistet, die Sie Ihren Hauptkonten zuweisen können.

Eine Rolle enthält eine Reihe von Berechtigungen, mit denen Sie bestimmte Aktionen für Google Cloud-Ressourcen vornehmen können. Wenn Sie Hauptkonten Berechtigungen erteilen möchten, einschließlich Nutzern, Gruppen und Dienstkonten, weisen Sie den Hauptkonten Rollen zu.

Voraussetzungen für diese Anleitung

Machen Sie sich mit den grundlegenden Konzepten von IAM vertraut

Rollentypen

Es gibt drei Arten von Rollen in IAM:

Einfache Rollen, zu denen die Rollen "Inhaber", "Bearbeiter" und "Betrachter" gehören und die es schon vor der Einführung von IAM gab.
Vordefinierte Rollen, die detaillierten Zugriff auf einen bestimmten Dienst bieten und von Google Cloud verwaltet werden.
Benutzerdefinierte Rollen, die detaillierten Zugriff gemäß einer vom Nutzer angegebenen Liste von Berechtigungen bieten.

Mit einer der folgenden Methoden können Sie ermitteln, ob eine Berechtigung in einer einfachen, vordefinierten oder benutzerdefinierten Rolle enthalten ist:

Führen Sie den Befehl gcloud iam roles describe aus, um die Berechtigungen der Rolle aufzulisten:
Rufen Sie die REST API-Methode roles.get() auf, um die Berechtigungen in der Rolle aufzulisten.
Nur für einfache und vordefinierte Rollen: Suchen Sie in der Berechtigungsreferenz, ob die Berechtigung von der Rolle gewährt wird.
Nur für vordefinierte Rollen: Suchen Sie auf dieser Seite in den vordefinierten Rollenbeschreibungen, um zu sehen, welche Berechtigungen die Rolle enthält.

In den folgenden Abschnitten werden die einzelnen Rollentypen beschrieben und Beispiele für deren Verwendung gegeben.

Einfache Rollen

Vor der Einführung von IAM gab es mehrere einfache Rollen: "Inhaber", "Bearbeiter" und "Betrachter". Diese Rollen sind konzentrisch, was bedeutet, dass die Inhaberrolle die Berechtigungen der Bearbeiterrolle und die Bearbeiterrolle die Berechtigungen der Betrachterrolle beinhaltet. Sie wurden ursprünglich als „einfache Rollen“ bezeichnet.

In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die die einfachen Rollen in allen Google Cloud-Diensten enthalten:

Definitionen für einfache Rollen

Name	Titel	Berechtigungen
`roles/viewer`	Betrachter	Berechtigungen für schreibgeschützte Aktionen, die sich nicht auf den Status auswirken, z. B. Anzeigen (aber nicht Ändern) vorhandener Ressourcen oder Daten
`roles/editor`	Bearbeiter	Alle Berechtigungen des Betrachters sowie Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. das Ändern vorhandener Ressourcen Hinweis: Die Bearbeiterrolle enthält Berechtigungen zum Erstellen und Löschen von Ressourcen für die meisten Google Cloud-Dienste. Es enthält jedoch nicht die Berechtigung, sämtliche Aktionen für alle Dienste auszuführen. Weitere Informationen dazu, wie Sie prüfen können, ob eine Rolle die erforderlichen Berechtigungen hat, finden Sie auf dieser Seite unter Rollentypen.
`roles/owner`	Inhaber	Alle Berechtigungen des Bearbeiters und Berechtigungen für die folgenden Aktionen: Rollen und Berechtigungen für ein Projekt und alle Ressourcen innerhalb des Projekts verwalten Abrechnung für ein Projekt einrichten Hinweis: Durch das Zuweisen der Inhaberrolle auf Ressourcenebene, z. B. ein Pub/Sub-Thema, wird die Inhaberrolle im übergeordneten Projekt nicht zugewiesen. Wenn Sie die Inhaberrolle auf Organisationsebene zuweisen, können Sie die Metadaten der Organisation nicht aktualisieren. Sie können damit jedoch alle Projekte und andere Ressourcen in dieser Organisation ändern. Hinweis: Wenn Sie einem Nutzer außerhalb Ihrer Organisation die Rolle Inhaber für ein Projekt zuweisen möchten, müssen Sie die Google Cloud Console verwenden, nicht die gcloud CLI. Wenn Ihr Projekt nicht zu einer Organisation gehört, müssen Sie die Console zum Erteilen der Rolle „Inhaber“ verwenden.

Sie können einfache Rollen mit der Console, der API und der gcloud CLI zuweisen. Informationen zum Zuweisen einfacher Rollen für ein Projekt, einen Ordner oder eine Organisation finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten. Informationen zum Zuweisen einfacher Rollen für andere Ressourcen finden Sie unter Zugriff auf andere Ressourcen verwalten.

Vordefinierte Rollen

Zusätzlich zu den einfachen Rollen bietet IAM weitere vordefinierte Rollen, die detaillierten Zugriff auf bestimmte Ressourcen von Google Cloud ermöglichen und unerwünschten Zugriff auf andere Ressourcen verhindern. Vordefinierte Rollen werden von Google erstellt und verwaltet. Google aktualisiert seine Berechtigungen bei Bedarf automatisch, z. B. wenn Google Cloud neue Features oder Dienste hinzufügt.

Die folgende Tabelle enthält diese Rollen, ihre Beschreibung und den Ressourcentyp der untersten Ebene, für den Rollen festgelegt werden. Eine bestimmte Rolle kann diesem Ressourcentyp oder in den meisten Fällen einem übergeordneten Typ in der Google Cloud-Ressourcen-Hierarchie zugewiesen werden.

Sie können demselben Nutzer auf jeder Ebene der Ressourcenhierarchie mehrere Rollen zuweisen. Zum Beispiel kann ein Nutzer die Rollen "Compute-Netzwerkadministrator" und "Logbetrachter" für ein Projekt und auch die Rolle "Pub/Sub-Publisher" für ein Pub/Sub-Thema in diesem Projekt haben. Informationen zum Auflisten der in einer Rolle enthaltenen Berechtigungen finden Sie unter Rollenmetadaten abrufen.

Informationen zur Auswahl der am besten geeigneten vordefinierten Rollen finden Sie unter Vordefinierte Rollen auswählen.

Rollen zur Zugriffsgenehmigung

Rolle	Berechtigungen
Genehmiger für Zugriffsgenehmigungen ^Beta (`roles/accessapproval.approver`) Kann Anfragen für Zugriffsgenehmigungen ansehen und bearbeiten sowie Konfigurationen ansehen	accessapproval.requests.* accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list
Bearbeiter der Konfiguration von Zugriffsgenehmigungen ^Beta (`roles/accessapproval.configEditor`) Kann die Zugriffsgenehmigungskonfiguration aktualisieren	accessapproval.settings.* resourcemanager.projects.get resourcemanager.projects.list
Annullierfunktion für die Zugriffsgenehmigung ^Beta (`roles/accessapproval.invalidator`) Funktion zur Annullierung bereits genehmigter Genehmigungsanfragen	accessapproval.requests.invalidate accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list
Betrachter von Zugriffsgenehmigungen ^Beta (`roles/accessapproval.viewer`) Kann Anfragen für Zugriffsgenehmigungen und Konfigurationen ansehen	accessapproval.requests.get accessapproval.requests.list accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list

Access Context Manager-Rollen

Rolle	Berechtigungen
Administrator für Cloud-Zugriffsbindungen (`roles/accesscontextmanager.gcpAccessAdmin`) Cloud-Zugriffsbindungen erstellen, bearbeiten und ändern.	accesscontextmanager.gcpUserAccessBindings.*
Leser für Cloud-Zugriffsbindungen (`roles/accesscontextmanager.gcpAccessReader`) Lesezugriff auf Cloud-Zugriffsbindungen	accesscontextmanager.gcpUserAccessBindings.get accesscontextmanager.gcpUserAccessBindings.list
Access Context Manager-Administrator (`roles/accesscontextmanager.policyAdmin`) Vollständiger Zugriff auf Richtlinien, Zugriffsebenen und Zugriffszonen	accesscontextmanager.accessLevels.* accesscontextmanager.accessPolicies.* accesscontextmanager.accessZones.* accesscontextmanager.policies.* accesscontextmanager.servicePerimeters.* cloudasset.assets.searchAllResources resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
Access Context Manager-Bearbeiter (`roles/accesscontextmanager.policyEditor`) Schreibzugriff auf Richtlinien. Erstellen, bearbeiten und ändern Sie Zugriffsebenen und -zonen.	accesscontextmanager.accessLevels.* accesscontextmanager.accessPolicies.create accesscontextmanager.accessPolicies.delete accesscontextmanager.accessPolicies.get accesscontextmanager.accessPolicies.getIamPolicy accesscontextmanager.accessPolicies.list accesscontextmanager.accessPolicies.update accesscontextmanager.accessZones.* accesscontextmanager.policies.create accesscontextmanager.policies.delete accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.policies.update accesscontextmanager.servicePerimeters.* cloudasset.assets.searchAllResources resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
Access Context Manager-Leser (`roles/accesscontextmanager.policyReader`) Lesezugriff auf Richtlinien, Zugriffsebenen und Zugriffszonen.	accesscontextmanager.accessLevels.get accesscontextmanager.accessLevels.list accesscontextmanager.accessPolicies.get accesscontextmanager.accessPolicies.getIamPolicy accesscontextmanager.accessPolicies.list accesscontextmanager.accessZones.get accesscontextmanager.accessZones.list accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.servicePerimeters.get accesscontextmanager.servicePerimeters.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
Betrachter der VPC Service Controls-Fehlerbehebung (`roles/accesscontextmanager.vpcScTroubleshooterViewer`)	accesscontextmanager.accessLevels.get accesscontextmanager.accessLevels.list accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.servicePerimeters.get accesscontextmanager.servicePerimeters.list logging.exclusions.get logging.exclusions.list logging.logEntries.list logging.logMetrics.get logging.logMetrics.list logging.logServiceIndexes.list logging.logServices.list logging.logs.list logging.sinks.get logging.sinks.list logging.usage.get resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

Actions-Rollen

Rolle	Berechtigungen
Actions-Administrator (`roles/actions.Admin`) Kann Aktionen bearbeiten und bereitstellen	actions.* firebase.projects.get firebase.projects.update resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use
Actions-Betrachter (`roles/actions.Viewer`) Kann Aktionen aufrufen	actions.agent.get actions.agentVersions.get actions.agentVersions.list firebase.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use

AI Notebooks-Rollen

Rolle	Berechtigungen
Notebooks-Administrator (`roles/notebooks.admin`) Vollständiger Zugriff auf alle Notebooks-Ressourcen Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Instanz	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.getIamPolicy compute.backendServices.list compute.commitments.get compute.commitments.list compute.diskTypes.* compute.disks.get compute.disks.getIamPolicy compute.disks.list compute.disks.listEffectiveTags compute.disks.listTagBindings compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewallPolicies.get compute.firewallPolicies.getIamPolicy compute.firewallPolicies.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalForwardingRules.pscGet compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalPublicDelegatedPrefixes.get compute.globalPublicDelegatedPrefixes.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.get compute.images.getFromFamily compute.images.getIamPolicy compute.images.list compute.images.listEffectiveTags compute.images.listTagBindings compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instanceTemplates.get compute.instanceTemplates.getIamPolicy compute.instanceTemplates.list compute.instances.get compute.instances.getEffectiveFirewalls compute.instances.getGuestAttributes compute.instances.getIamPolicy compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.getShieldedInstanceIdentity compute.instances.getShieldedVmIdentity compute.instances.list compute.instances.listEffectiveTags compute.instances.listReferrers compute.instances.listTagBindings compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.get compute.licenseCodes.getIamPolicy compute.licenseCodes.list compute.licenses.get compute.licenses.getIamPolicy compute.licenses.list compute.machineImages.get compute.machineImages.getIamPolicy compute.machineImages.list compute.machineTypes.* compute.maintenancePolicies.get compute.maintenancePolicies.getIamPolicy compute.maintenancePolicies.list compute.networkEndpointGroups.get compute.networkEndpointGroups.getIamPolicy compute.networkEndpointGroups.list compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.getRegionEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.nodeGroups.get compute.nodeGroups.getIamPolicy compute.nodeGroups.list compute.nodeTemplates.get compute.nodeTemplates.getIamPolicy compute.nodeTemplates.list compute.nodeTypes.* compute.organizations.listAssociations compute.packetMirrorings.get compute.packetMirrorings.list compute.projects.get compute.publicAdvertisedPrefixes.get compute.publicAdvertisedPrefixes.list compute.publicDelegatedPrefixes.get compute.publicDelegatedPrefixes.list compute.regionBackendServices.get compute.regionBackendServices.getIamPolicy compute.regionBackendServices.list compute.regionFirewallPolicies.get compute.regionFirewallPolicies.getIamPolicy compute.regionFirewallPolicies.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionOperations.get compute.regionOperations.getIamPolicy compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regionUrlMaps.validate compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.get compute.resourcePolicies.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.securityPolicies.get compute.securityPolicies.getIamPolicy compute.securityPolicies.list compute.serviceAttachments.get compute.serviceAttachments.list compute.snapshots.get compute.snapshots.getIamPolicy compute.snapshots.list compute.snapshots.listEffectiveTags compute.snapshots.listTagBindings compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.getIamPolicy compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.urlMaps.validate compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.getIamPolicy compute.zoneOperations.list compute.zones.* notebooks.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Notebooks-Legacy-Administrator (`roles/notebooks.legacyAdmin`) Vollständiger Zugriff auf alle Notebooks-Ressourcen über die Compute API.	compute.* notebooks.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Notebooks-Legacy-Betrachter (`roles/notebooks.legacyViewer`) Lesezugriff auf alle Notebooks-Ressourcen über die Compute API.	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.getIamPolicy compute.backendServices.list compute.commitments.get compute.commitments.list compute.diskTypes.* compute.disks.get compute.disks.getIamPolicy compute.disks.list compute.disks.listEffectiveTags compute.disks.listTagBindings compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewallPolicies.get compute.firewallPolicies.getIamPolicy compute.firewallPolicies.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalForwardingRules.pscGet compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalPublicDelegatedPrefixes.get compute.globalPublicDelegatedPrefixes.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.get compute.images.getFromFamily compute.images.getIamPolicy compute.images.list compute.images.listEffectiveTags compute.images.listTagBindings compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instanceTemplates.get compute.instanceTemplates.getIamPolicy compute.instanceTemplates.list compute.instances.get compute.instances.getEffectiveFirewalls compute.instances.getGuestAttributes compute.instances.getIamPolicy compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.getShieldedInstanceIdentity compute.instances.getShieldedVmIdentity compute.instances.list compute.instances.listEffectiveTags compute.instances.listReferrers compute.instances.listTagBindings compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.get compute.licenseCodes.getIamPolicy compute.licenseCodes.list compute.licenses.get compute.licenses.getIamPolicy compute.licenses.list compute.machineImages.get compute.machineImages.getIamPolicy compute.machineImages.list compute.machineTypes.* compute.maintenancePolicies.get compute.maintenancePolicies.getIamPolicy compute.maintenancePolicies.list compute.networkEndpointGroups.get compute.networkEndpointGroups.getIamPolicy compute.networkEndpointGroups.list compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.getRegionEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.nodeGroups.get compute.nodeGroups.getIamPolicy compute.nodeGroups.list compute.nodeTemplates.get compute.nodeTemplates.getIamPolicy compute.nodeTemplates.list compute.nodeTypes.* compute.organizations.listAssociations compute.packetMirrorings.get compute.packetMirrorings.list compute.projects.get compute.publicAdvertisedPrefixes.get compute.publicAdvertisedPrefixes.list compute.publicDelegatedPrefixes.get compute.publicDelegatedPrefixes.list compute.regionBackendServices.get compute.regionBackendServices.getIamPolicy compute.regionBackendServices.list compute.regionFirewallPolicies.get compute.regionFirewallPolicies.getIamPolicy compute.regionFirewallPolicies.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionOperations.get compute.regionOperations.getIamPolicy compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regionUrlMaps.validate compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.get compute.resourcePolicies.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.securityPolicies.get compute.securityPolicies.getIamPolicy compute.securityPolicies.list compute.serviceAttachments.get compute.serviceAttachments.list compute.snapshots.get compute.snapshots.getIamPolicy compute.snapshots.list compute.snapshots.listEffectiveTags compute.snapshots.listTagBindings compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.getIamPolicy compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.urlMaps.validate compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.getIamPolicy compute.zoneOperations.list compute.zones.* notebooks.environments.get notebooks.environments.getIamPolicy notebooks.environments.list notebooks.executions.get notebooks.executions.getIamPolicy notebooks.executions.list notebooks.instances.checkUpgradability notebooks.instances.get notebooks.instances.getHealth notebooks.instances.getIamPolicy notebooks.instances.list notebooks.locations.* notebooks.operations.get notebooks.operations.list notebooks.runtimes.get notebooks.runtimes.getIamPolicy notebooks.runtimes.list notebooks.schedules.get notebooks.schedules.getIamPolicy notebooks.schedules.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Notebooks-Ausführer (`roles/notebooks.runner`) Eingeschränkter Zugriff zum Ausführen geplanter Notebooks.	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.getIamPolicy compute.backendServices.list compute.commitments.get compute.commitments.list compute.diskTypes.* compute.disks.get compute.disks.getIamPolicy compute.disks.list compute.disks.listEffectiveTags compute.disks.listTagBindings compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewallPolicies.get compute.firewallPolicies.getIamPolicy compute.firewallPolicies.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalForwardingRules.pscGet compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalPublicDelegatedPrefixes.get compute.globalPublicDelegatedPrefixes.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.get compute.images.getFromFamily compute.images.getIamPolicy compute.images.list compute.images.listEffectiveTags compute.images.listTagBindings compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instanceTemplates.get compute.instanceTemplates.getIamPolicy compute.instanceTemplates.list compute.instances.get compute.instances.getEffectiveFirewalls compute.instances.getGuestAttributes compute.instances.getIamPolicy compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.getShieldedInstanceIdentity compute.instances.getShieldedVmIdentity compute.instances.list compute.instances.listEffectiveTags compute.instances.listReferrers compute.instances.listTagBindings compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.get compute.licenseCodes.getIamPolicy compute.licenseCodes.list compute.licenses.get compute.licenses.getIamPolicy compute.licenses.list compute.machineImages.get compute.machineImages.getIamPolicy compute.machineImages.list compute.machineTypes.* compute.maintenancePolicies.get compute.maintenancePolicies.getIamPolicy compute.maintenancePolicies.list compute.networkEndpointGroups.get compute.networkEndpointGroups.getIamPolicy compute.networkEndpointGroups.list compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.getRegionEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.nodeGroups.get compute.nodeGroups.getIamPolicy compute.nodeGroups.list compute.nodeTemplates.get compute.nodeTemplates.getIamPolicy compute.nodeTemplates.list compute.nodeTypes.* compute.organizations.listAssociations compute.packetMirrorings.get compute.packetMirrorings.list compute.projects.get compute.publicAdvertisedPrefixes.get compute.publicAdvertisedPrefixes.list compute.publicDelegatedPrefixes.get compute.publicDelegatedPrefixes.list compute.regionBackendServices.get compute.regionBackendServices.getIamPolicy compute.regionBackendServices.list compute.regionFirewallPolicies.get compute.regionFirewallPolicies.getIamPolicy compute.regionFirewallPolicies.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionOperations.get compute.regionOperations.getIamPolicy compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regionUrlMaps.validate compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.get compute.resourcePolicies.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.securityPolicies.get compute.securityPolicies.getIamPolicy compute.securityPolicies.list compute.serviceAttachments.get compute.serviceAttachments.list compute.snapshots.get compute.snapshots.getIamPolicy compute.snapshots.list compute.snapshots.listEffectiveTags compute.snapshots.listTagBindings compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.getIamPolicy compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.urlMaps.validate compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.getIamPolicy compute.zoneOperations.list compute.zones.* notebooks.environments.get notebooks.environments.getIamPolicy notebooks.environments.list notebooks.executions.create notebooks.executions.get notebooks.executions.getIamPolicy notebooks.executions.list notebooks.instances.checkUpgradability notebooks.instances.create notebooks.instances.get notebooks.instances.getHealth notebooks.instances.getIamPolicy notebooks.instances.list notebooks.locations.* notebooks.operations.get notebooks.operations.list notebooks.runtimes.create notebooks.runtimes.get notebooks.runtimes.getIamPolicy notebooks.runtimes.list notebooks.schedules.create notebooks.schedules.get notebooks.schedules.getIamPolicy notebooks.schedules.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Notebooks-Betrachter (`roles/notebooks.viewer`) Lesezugriff auf alle Notebooks-Ressourcen Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Instanz	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.getIamPolicy compute.backendServices.list compute.commitments.get compute.commitments.list compute.diskTypes.* compute.disks.get compute.disks.getIamPolicy compute.disks.list compute.disks.listEffectiveTags compute.disks.listTagBindings compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewallPolicies.get compute.firewallPolicies.getIamPolicy compute.firewallPolicies.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalForwardingRules.pscGet compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalPublicDelegatedPrefixes.get compute.globalPublicDelegatedPrefixes.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.get compute.images.getFromFamily compute.images.getIamPolicy compute.images.list compute.images.listEffectiveTags compute.images.listTagBindings compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instanceTemplates.get compute.instanceTemplates.getIamPolicy compute.instanceTemplates.list compute.instances.get compute.instances.getEffectiveFirewalls compute.instances.getGuestAttributes compute.instances.getIamPolicy compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.getShieldedInstanceIdentity compute.instances.getShieldedVmIdentity compute.instances.list compute.instances.listEffectiveTags compute.instances.listReferrers compute.instances.listTagBindings compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.get compute.licenseCodes.getIamPolicy compute.licenseCodes.list compute.licenses.get compute.licenses.getIamPolicy compute.licenses.list compute.machineImages.get compute.machineImages.getIamPolicy compute.machineImages.list compute.machineTypes.* compute.maintenancePolicies.get compute.maintenancePolicies.getIamPolicy compute.maintenancePolicies.list compute.networkEndpointGroups.get compute.networkEndpointGroups.getIamPolicy compute.networkEndpointGroups.list compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.getRegionEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.nodeGroups.get compute.nodeGroups.getIamPolicy compute.nodeGroups.list compute.nodeTemplates.get compute.nodeTemplates.getIamPolicy compute.nodeTemplates.list compute.nodeTypes.* compute.organizations.listAssociations compute.packetMirrorings.get compute.packetMirrorings.list compute.projects.get compute.publicAdvertisedPrefixes.get compute.publicAdvertisedPrefixes.list compute.publicDelegatedPrefixes.get compute.publicDelegatedPrefixes.list compute.regionBackendServices.get compute.regionBackendServices.getIamPolicy compute.regionBackendServices.list compute.regionFirewallPolicies.get compute.regionFirewallPolicies.getIamPolicy compute.regionFirewallPolicies.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionOperations.get compute.regionOperations.getIamPolicy compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regionUrlMaps.validate compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.get compute.resourcePolicies.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.securityPolicies.get compute.securityPolicies.getIamPolicy compute.securityPolicies.list compute.serviceAttachments.get compute.serviceAttachments.list compute.snapshots.get compute.snapshots.getIamPolicy compute.snapshots.list compute.snapshots.listEffectiveTags compute.snapshots.listTagBindings compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.getIamPolicy compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.urlMaps.validate compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.getIamPolicy compute.zoneOperations.list compute.zones.* notebooks.environments.get notebooks.environments.getIamPolicy notebooks.environments.list notebooks.executions.get notebooks.executions.getIamPolicy notebooks.executions.list notebooks.instances.checkUpgradability notebooks.instances.get notebooks.instances.getHealth notebooks.instances.getIamPolicy notebooks.instances.list notebooks.locations.* notebooks.operations.get notebooks.operations.list notebooks.runtimes.get notebooks.runtimes.getIamPolicy notebooks.runtimes.list notebooks.schedules.get notebooks.schedules.getIamPolicy notebooks.schedules.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

AI Platform-Rollen

Rolle	Berechtigungen
AI Platform-Administrator (`roles/ml.admin`) Vollzugriff auf AI Platform-Ressourcen und die zugehörigen Jobs, Vorgänge, Modelle und Versionen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	ml.* resourcemanager.projects.get
AI Platform-Entwickler (`roles/ml.developer`) Verwendung von AI Platform-Ressourcen zur Erstellung von Modellen, Versionen und Jobs zu Schulungs- und Vorhersagezwecken sowie zum Senden von Online-Vorhersageanfragen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	ml.jobs.create ml.jobs.get ml.jobs.getIamPolicy ml.jobs.list ml.locations.* ml.models.create ml.models.get ml.models.getIamPolicy ml.models.list ml.models.predict ml.operations.get ml.operations.list ml.projects.getConfig ml.studies.* ml.trials.* ml.versions.get ml.versions.list ml.versions.predict resourcemanager.projects.get
AI Platform-Jobinhaber (`roles/ml.jobOwner`) Vollzugriff auf alle Berechtigungen für eine bestimmte Jobressource. Diese Rolle wird dem Nutzer, der den Job erstellt, automatisch zugewiesen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Job	ml.jobs.*
AI Platform-Modellinhaber (`roles/ml.modelOwner`) Vollzugriff auf das Modell und seine Versionen. Diese Rolle wird dem Nutzer, der das Modell erstellt, automatisch zugewiesen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Modell	ml.models.* ml.versions.*
AI Platform-Modellnutzer (`roles/ml.modelUser`) Berechtigung zum Lesen des Modells und seiner Versionen sowie deren Nutzung für die Vorhersage. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Modell	ml.models.get ml.models.predict ml.versions.get ml.versions.list ml.versions.predict
AI Platform-Vorgangsinhaber (`roles/ml.operationOwner`) Vollzugriff auf alle Berechtigungen für eine bestimmte Betriebsressource. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Aktion	ml.operations.*
AI Platform-Betrachter (`roles/ml.viewer`) Lesezugriff auf AI Platform-Ressourcen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	ml.jobs.get ml.jobs.list ml.locations.* ml.models.get ml.models.list ml.operations.get ml.operations.list ml.projects.getConfig ml.studies.get ml.studies.getIamPolicy ml.studies.list ml.trials.get ml.trials.list ml.versions.get ml.versions.list resourcemanager.projects.get

Analytics Hub-Rollen

Rolle	Berechtigungen
Analytics Hub-Administrator ^Beta (`roles/analyticshub.admin`) Data Exchanges und Einträge verwalten	analyticshub.dataExchanges.* analyticshub.listings.create analyticshub.listings.delete analyticshub.listings.get analyticshub.listings.getIamPolicy analyticshub.listings.list analyticshub.listings.setIamPolicy analyticshub.listings.update resourcemanager.projects.get resourcemanager.projects.list
Administrator von Analytics Hub-Einträgen ^Beta (`roles/analyticshub.listingAdmin`) Gewährt vollständige Kontrolle über den Eintrag, einschließlich Aktualisieren, Löschen und Festlegen von ACLs	analyticshub.dataExchanges.get analyticshub.dataExchanges.getIamPolicy analyticshub.dataExchanges.list analyticshub.listings.delete analyticshub.listings.get analyticshub.listings.getIamPolicy analyticshub.listings.list analyticshub.listings.setIamPolicy analyticshub.listings.update resourcemanager.projects.get resourcemanager.projects.list
Analytics Hub-Publisher ^Beta (`roles/analyticshub.publisher`) Kann in Data Exchanges veröffentlichen und daher Einträge erstellen	analyticshub.dataExchanges.get analyticshub.dataExchanges.getIamPolicy analyticshub.dataExchanges.list analyticshub.listings.create analyticshub.listings.get analyticshub.listings.getIamPolicy analyticshub.listings.list resourcemanager.projects.get resourcemanager.projects.list
Analytics Hub-Abonnent ^Beta (`roles/analyticshub.subscriber`) Kann in Data Exchanges suchen und Einträge abonnieren	analyticshub.dataExchanges.get analyticshub.dataExchanges.getIamPolicy analyticshub.dataExchanges.list analyticshub.listings.get analyticshub.listings.getIamPolicy analyticshub.listings.list analyticshub.listings.subscribe resourcemanager.projects.get resourcemanager.projects.list
Analytics Hub-Betrachter ^Beta (`roles/analyticshub.viewer`) Kann in Data Exchanges und Einträgen suchen	analyticshub.dataExchanges.get analyticshub.dataExchanges.getIamPolicy analyticshub.dataExchanges.list analyticshub.listings.get analyticshub.listings.getIamPolicy analyticshub.listings.list resourcemanager.projects.get resourcemanager.projects.list

Android Management-Rollen

Rolle	Berechtigungen
Android Management-Nutzer (`roles/androidmanagement.user`) Vollständiger Zugriff zur Verwaltung von Geräten	androidmanagement.enterprises.manage serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Anthos Multi-Cloud-Rollen

Rolle	Berechtigungen
Anthos-Multi-Cloud-Administrator (`roles/gkemulticloud.admin`) Administratorzugriff auf Anthos-Multi-Cloud-Ressourcen.	gkemulticloud.* resourcemanager.projects.get resourcemanager.projects.list
Anthos-Multi-Cloud-Telemetrieschreiber (`roles/gkemulticloud.telemetryWriter`) Gewährt Zugriff, um Clustertelemetriedaten wie Logs, Messwerte und Ressourcenmetadaten zu schreiben.	logging.logEntries.create monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.timeSeries.create opsconfigmonitoring.resourceMetadata.write
Anthos-Multi-Cloud-Betrachter (`roles/gkemulticloud.viewer`) Lesezugriff auf Anthos-Multi-Cloud-Ressourcen.	gkemulticloud.awsClusters.generateAccessToken gkemulticloud.awsClusters.get gkemulticloud.awsClusters.list gkemulticloud.awsNodePools.get gkemulticloud.awsNodePools.list gkemulticloud.awsServerConfigs.get gkemulticloud.azureClients.get gkemulticloud.azureClients.list gkemulticloud.azureClusters.generateAccessToken gkemulticloud.azureClusters.get gkemulticloud.azureClusters.list gkemulticloud.azureNodePools.get gkemulticloud.azureNodePools.list gkemulticloud.azureServerConfigs.get gkemulticloud.operations.get gkemulticloud.operations.list gkemulticloud.operations.wait resourcemanager.projects.get resourcemanager.projects.list

API-Gateway-Rollen

Rolle Berechtigungen

Rolle	Berechtigungen
ApiGateway-Administrator (`roles/apigateway.admin`) Vollständiger Zugriff auf ApiGateway und zugehörige Ressourcen.	apigateway.* monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.list servicemanagement.services.get serviceusage.services.list
ApiGateway-Betrachter (`roles/apigateway.viewer`) Lesezugriff auf ApiGateway und zugehörige Ressourcen.	apigateway.apiconfigs.get apigateway.apiconfigs.getIamPolicy apigateway.apiconfigs.list apigateway.apis.get apigateway.apis.getIamPolicy apigateway.apis.list apigateway.gateways.get apigateway.gateways.getIamPolicy apigateway.gateways.list apigateway.locations.* apigateway.operations.get apigateway.operations.list monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.list servicemanagement.services.get serviceusage.services.list

ApiGateway-Administrator
(roles/apigateway.admin)

Vollständiger Zugriff auf ApiGateway und zugehörige Ressourcen.

apigateway.*
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.services.get
serviceusage.services.list

ApiGateway-Betrachter
(roles/apigateway.viewer)

Lesezugriff auf ApiGateway und zugehörige Ressourcen.

apigateway.apiconfigs.get
apigateway.apiconfigs.getIamPolicy
apigateway.apiconfigs.list
apigateway.apis.get
apigateway.apis.getIamPolicy
apigateway.apis.list
apigateway.gateways.get
apigateway.gateways.getIamPolicy
apigateway.gateways.list
apigateway.locations.*
apigateway.operations.get
apigateway.operations.list
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.services.get
serviceusage.services.list

Apigee-Rollen

Rolle	Berechtigungen
Apigee-Organisationsadministrator (`roles/apigee.admin`) Vollständiger Zugriff auf alle Apigee-Ressourcen-Features	apigee.* monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
Apigee Analytics-Agent (`roles/apigee.analyticsAgent`) Ausgewählte Reihe von Berechtigungen für Apigee Universal Data Collection Agent, um Analysen für eine Apigee-Organisation zu verwalten	apigee.datalocation.get apigee.environments.getDataLocation apigee.runtimeconfigs.get
Apigee Analytics-Bearbeiter (`roles/apigee.analyticsEditor`) Analytics-Editor für ein Apigee-Unternehmen	apigee.datacollectors.* apigee.datastores.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.exports.* apigee.hostqueries.* apigee.hoststats.get apigee.organizations.get apigee.organizations.list apigee.queries.* apigee.reports.* resourcemanager.projects.get resourcemanager.projects.list
Apigee Analytics-Betrachter (`roles/apigee.analyticsViewer`) Analytics-Betrachter für ein Apigee-Unternehmen	apigee.datacollectors.get apigee.datacollectors.list apigee.datastores.get apigee.datastores.list apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.exports.get apigee.exports.list apigee.hostqueries.get apigee.hostqueries.list apigee.hoststats.get apigee.organizations.get apigee.organizations.list apigee.queries.get apigee.queries.list apigee.reports.get apigee.reports.list resourcemanager.projects.get resourcemanager.projects.list
Apigee API-Administrator (`roles/apigee.apiAdminV2`) Vollständiger Lese-/Schreibzugriff auf alle Apigee API-Ressourcen	apigee.apiproductattributes.* apigee.apiproducts.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.keyvaluemapentries.* apigee.keyvaluemaps.* apigee.organizations.get apigee.organizations.list apigee.proxies.* apigee.proxyrevisions.* apigee.sharedflowrevisions.* apigee.sharedflows.* resourcemanager.projects.get resourcemanager.projects.list
Apigee API-Leser (`roles/apigee.apiReaderV2`) Leser von Apigee-Ressourcen	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.keyvaluemapentries.get apigee.keyvaluemapentries.list apigee.keyvaluemaps.list apigee.organizations.get apigee.organizations.list apigee.proxies.get apigee.proxies.list apigee.proxyrevisions.deploy apigee.proxyrevisions.get apigee.proxyrevisions.list apigee.proxyrevisions.undeploy apigee.sharedflowrevisions.deploy apigee.sharedflowrevisions.get apigee.sharedflowrevisions.list apigee.sharedflowrevisions.undeploy apigee.sharedflows.get apigee.sharedflows.list resourcemanager.projects.get resourcemanager.projects.list
Apigee-Entwickler/Administrator (`roles/apigee.developerAdmin`) Entwickleradministrator von Apigee-Ressourcen	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.appkeys.* apigee.apps.* apigee.datacollectors.* apigee.developerappattributes.* apigee.developerapps.* apigee.developerattributes.* apigee.developerbalances.* apigee.developermonetizationconfigs.* apigee.developers.* apigee.developersubscriptions.* apigee.environments.get apigee.environments.getStats apigee.hoststats.get apigee.organizations.get apigee.organizations.list apigee.rateplans.get apigee.rateplans.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
Administrator der Apigee-Umgebung (`roles/apigee.environmentAdmin`) Vollständiger Lese-/Schreibzugriff auf Apigee-Umgebungsressourcen, einschließlich Bereitstellungen.	apigee.archivedeployments.* apigee.datacollectors.get apigee.datacollectors.list apigee.deployments.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getIamPolicy apigee.environments.getStats apigee.environments.list apigee.environments.setIamPolicy apigee.environments.update apigee.flowhooks.* apigee.ingressconfigs.get apigee.keystorealiases.* apigee.keystores.* apigee.keyvaluemaps.* apigee.maskconfigs.* apigee.organizations.get apigee.organizations.list apigee.proxies.get apigee.proxies.list apigee.proxyrevisions.deploy apigee.proxyrevisions.get apigee.proxyrevisions.list apigee.proxyrevisions.undeploy apigee.references.* apigee.resourcefiles.* apigee.sharedflowrevisions.deploy apigee.sharedflowrevisions.get apigee.sharedflowrevisions.list apigee.sharedflowrevisions.undeploy apigee.sharedflows.get apigee.sharedflows.list apigee.targetservers.* apigee.tracesessions.* resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
Apigee-Monetarisierungsadministrator (`roles/apigee.monetizationAdmin`) Alle Berechtigungen im Zusammenhang mit der Monetarisierung	apigee.apiproducts.get apigee.apiproducts.list apigee.developerbalances.* apigee.developermonetizationconfigs.* apigee.developersubscriptions.* apigee.organizations.get apigee.organizations.list apigee.rateplans.* resourcemanager.projects.get resourcemanager.projects.list
Apigee-Portal-Administrator (`roles/apigee.portalAdmin`) Portal-Administrator für eine Apigee-Organisation	apigee.organizations.get apigee.organizations.list apigee.portals.* resourcemanager.projects.get resourcemanager.projects.list
Schreibgeschützter Apigee-Administrator (`roles/apigee.readOnlyAdmin`) Betrachter aller Apigee-Ressourcen	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.appkeys.get apigee.apps.* apigee.archivedeployments.download apigee.archivedeployments.get apigee.archivedeployments.list apigee.caches.list apigee.canaryevaluations.get apigee.datacollectors.get apigee.datacollectors.list apigee.datalocation.get apigee.datastores.get apigee.datastores.list apigee.deployments.get apigee.deployments.list apigee.developerappattributes.get apigee.developerappattributes.list apigee.developerapps.get apigee.developerapps.list apigee.developerattributes.get apigee.developerattributes.list apigee.developerbalances.get apigee.developermonetizationconfigs.get apigee.developers.get apigee.developers.list apigee.developersubscriptions.get apigee.developersubscriptions.list apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getDataLocation apigee.environments.getIamPolicy apigee.environments.getStats apigee.environments.list apigee.exports.get apigee.exports.list apigee.flowhooks.getSharedFlow apigee.flowhooks.list apigee.hostqueries.get apigee.hostqueries.list apigee.hostsecurityreports.get apigee.hostsecurityreports.list apigee.hoststats.get apigee.ingressconfigs.get apigee.instanceattachments.get apigee.instanceattachments.list apigee.instances.get apigee.instances.list apigee.keystorealiases.get apigee.keystorealiases.list apigee.keystores.get apigee.keystores.list apigee.keyvaluemapentries.get apigee.keyvaluemapentries.list apigee.keyvaluemaps.list apigee.maskconfigs.get apigee.operations.* apigee.organizations.get apigee.organizations.list apigee.portals.get apigee.portals.list apigee.proxies.get apigee.proxies.list apigee.proxyrevisions.get apigee.proxyrevisions.list apigee.queries.get apigee.queries.list apigee.rateplans.get apigee.rateplans.list apigee.references.get apigee.references.list apigee.reports.get apigee.reports.list apigee.resourcefiles.get apigee.resourcefiles.list apigee.runtimeconfigs.get apigee.securityProfileEnvironments.computeScore apigee.securityProfiles.* apigee.securityStats.* apigee.securityreports.get apigee.securityreports.list apigee.sharedflowrevisions.get apigee.sharedflowrevisions.list apigee.sharedflows.get apigee.sharedflows.list apigee.targetservers.get apigee.targetservers.list apigee.tracesessions.get apigee.tracesessions.list monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
Apigee-Laufzeit-Agent (`roles/apigee.runtimeAgent`) Ausgewählte Berechtigungen für einen Laufzeit-Agent für den Zugriff auf Apigee-Organisationsressourcen	apigee.canaryevaluations.* apigee.ingressconfigs.get apigee.instances.reportStatus apigee.operations.* apigee.organizations.get apigee.runtimeconfigs.get
Apigee-Sicherheitsadministrator (`roles/apigee.securityAdmin`) Sicherheitsadministrator für eine Apigee-Organisation	apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.list apigee.hostsecurityreports.* apigee.organizations.get apigee.organizations.list apigee.securityProfileEnvironments.* apigee.securityProfiles.* apigee.securityStats.* apigee.securityreports.* resourcemanager.projects.get resourcemanager.projects.list
Apigee-Sicherheitsbetrachter (`roles/apigee.securityViewer`) Sicherheitsbetrachter für eine Apigee-Organisation	apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.list apigee.hostsecurityreports.get apigee.hostsecurityreports.list apigee.organizations.get apigee.organizations.list apigee.securityProfileEnvironments.computeScore apigee.securityProfiles.* apigee.securityStats.* apigee.securityreports.get apigee.securityreports.list resourcemanager.projects.get resourcemanager.projects.list
Apigee Synchronizer Manager (`roles/apigee.synchronizerManager`) Ausgewählte Reihe von Berechtigungen für einen Synchronizer, um Umgebungen in einer Apigee-Organisation zu verwalten	apigee.environments.get apigee.environments.manageRuntime apigee.ingressconfigs.get
Apigee Connect-Administrator (`roles/apigeeconnect.Admin`) Administrator von Apigee Connect	apigeeconnect.connections.list
Apigee Connect Agent (`roles/apigeeconnect.Agent`) Kann einen Apigee Connect-Agent zwischen externen Clustern und Google einrichten.	apigeeconnect.endpoints.connect

Apigee Registry-Rollen

Rolle	Berechtigungen
Cloud Apigee Registry-Administrator ^Beta (`roles/apigeeregistry.admin`) Vollständiger Zugriff auf Registry- und Laufzeitressourcen von Cloud Apigee Registry.	apigeeregistry.* resourcemanager.projects.get resourcemanager.projects.list
Cloud Apigee Registry-Bearbeiter ^Beta (`roles/apigeeregistry.editor`) Bearbeitungszugriff auf Registry-Ressourcen von Cloud Apigee Registry.	Apigeeregistry.apis.create Apigeeregistry.apis.delete Apigeeregistry.apis.get apigeeregistry.apis.getIamPolicy Apigeeregistry.apis.list Apigeeregistry.apis.update Apigeeregistry.artifacts.create Apigeeregistry.artifacts.delete Apigeeregistry.artifacts.get apigeeregistry.artifacts.getIamPolicy Apigeeregistry.artifacts.list Apigeeregistry.artifacts.update apigeeregistry.deployments.* Apigeeregistry.specs.create Apigeeregistry.specs.delete Apigeeregistry.specs.get apigeeregistry.specs.getIamPolicy Apigeeregistry.specs.list Apigeeregistry.specs.update Apigeeregistry.versions.create Apigeeregistry.versions.delete Apigeeregistry.versions.get apigeeregistry.versions.getIamPolicy Apigeeregistry.versions.list Apigeeregistry.versions.update resourcemanager.projects.get resourcemanager.projects.list
Cloud Apigee Registry-Betrachter ^Beta (`roles/apigeeregistry.viewer`) Lesezugriff auf Registry-Ressourcen von Cloud Apigee Registry.	Apigeeregistry.apis.get Apigeeregistry.apis.list Apigeeregistry.artifacts.get Apigeeregistry.artifacts.list Apigeeregistry.deployments.get Apigeeregistry.deployments.list Apigeeregistry.specs.get Apigeeregistry.specs.list Apigeeregistry.versions.get Apigeeregistry.versions.list resourcemanager.projects.get resourcemanager.projects.list
Cloud Apigee Registry-Worker ^Beta (`roles/apigeeregistry.worker`) Die Rolle, die von Apigee Registry-Anwendungs-Workern zum Lesen und Aktualisieren von Apigee Registry-Artefakten verwendet wird.	Apigeeregistry.apis.get Apigeeregistry.apis.list Apigeeregistry.apis.update Apigeeregistry.artifacts.create Apigeeregistry.artifacts.delete Apigeeregistry.artifacts.get Apigeeregistry.artifacts.list Apigeeregistry.artifacts.update Apigeeregistry.deployments.get Apigeeregistry.deployments.list Apigeeregistry.deployments.update Apigeeregistry.specs.get Apigeeregistry.specs.list Apigeeregistry.specs.update Apigeeregistry.versions.get Apigeeregistry.versions.list Apigeeregistry.versions.update resourcemanager.projects.get resourcemanager.projects.list

App Engine-Rollen

Rolle	Berechtigungen
App Engine-Administrator (`roles/appengine.appAdmin`) Berechtigung zum Lesen/Schreiben/Ändern für die gesamte Anwendungskonfiguration und die Einstellungen Um neue Versionen bereitstellen zu können, muss ein Hauptkonto die Rolle Dienstkontonutzer (`roles/iam.serviceAccountUser`) für das Standarddienstkonto von App Engine haben. und die Rollen „Cloud Build-Bearbeiter“ (`roles/cloudbuild.builds.editor`) und „Cloud Storage-Objekt-Administrator“ (`roles/storage.objectAdmin`) für das Projekt verwenden. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	appengine.applications.get appengine.applications.update appengine.instances.* appengine.memcache.addKey appengine.memcache.flush appengine.memcache.get appengine.memcache.update appengine.operations.* appengine.runtimes.actAsAdmin appengine.services.* appengine.versions.create appengine.versions.delete appengine.versions.get appengine.versions.list appengine.versions.update resourcemanager.projects.get resourcemanager.projects.list
App Engine-Ersteller (`roles/appengine.appCreator`) Fähigkeit zur Erstellung der App Engine-Ressource für das Projekt. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	appengine.applications.create resourcemanager.projects.get resourcemanager.projects.list
App Engine-Betrachter (`roles/appengine.appViewer`) Schreibgeschützter Zugriff auf die gesamte Anwendungskonfiguration und die Einstellungen Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.get appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list
App Engine-Codebetrachter (`roles/appengine.codeViewer`) Lesezugriff auf die gesamte Anwendungskonfiguration, die Einstellungen und den bereitgestellten Quellcode Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.get appengine.versions.getFileContents appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list
App Engine-Bereitsteller (`roles/appengine.deployer`) Schreibgeschützter Zugriff auf die gesamte Anwendungskonfiguration und die Einstellungen Zum Bereitstellen neuer Versionen benötigen Sie außerdem die Rolle Dienstkontonutzer (`roles/iam.serviceAccountUser`) für das Standarddienstkonto von App Engine. und die Rollen „Cloud Build-Bearbeiter“ (`roles/cloudbuild.builds.editor`) und „Cloud Storage-Objekt-Administrator“ (`roles/storage.objectAdmin`) für das Projekt verwenden. Sie können vorhandene Versionen nicht bearbeiten, sondern nur Versionen löschen, die keinen Traffic empfangen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.create appengine.versions.delete appengine.versions.get appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list
App Engine-Dienstadministrator (`roles/appengine.serviceAdmin`) Schreibgeschützter Zugriff auf die gesamte Anwendungskonfiguration und die Einstellungen Schreibberechtigung für Einstellungen auf Modul- und Versionsebene Kann keine neue Version bereitstellen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	appengine.applications.get appengine.instances.* appengine.operations.* appengine.services.* appengine.versions.delete appengine.versions.get appengine.versions.list appengine.versions.update resourcemanager.projects.get resourcemanager.projects.list

Artifact Registry-Rollen

Rolle	Berechtigungen
Artifact Registry-Administrator (`roles/artifactregistry.admin`) Administratorzugriff zum Erstellen und Verwalten von Repositories.	artifactregistry.*
Artifact Registry-Leser (`roles/artifactregistry.reader`) Lesezugriff auf Repositoryelemente.	artifactregistry.dockerimages.* artifactregistry.files.* artifactregistry.locations.* artifactregistry.mavenartifacts.* artifactregistry.npmpackages.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.pythonpackages.* artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.listEffectiveTags artifactregistry.repositories.listTagBindings artifactregistry.tags.get artifactregistry.tags.list artifactregistry.versions.get artifactregistry.versions.list
Repository-Administrator für Artifact Registry (`roles/artifactregistry.repoAdmin`) Zugriff zur Verwaltung von Artefakten in Repositories.	artifactregistry.aptartifacts.create artifactregistry.dockerimages.* artifactregistry.files.* artifactregistry.locations.* artifactregistry.mavenartifacts.* artifactregistry.npmpackages.* artifactregistry.packages.* artifactregistry.pythonpackages.* artifactregistry.repositories.deleteArtifacts artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.listEffectiveTags artifactregistry.repositories.listTagBindings artifactregistry.repositories.uploadArtifacts artifactregistry.tags.* artifactregistry.versions.* artifactregistry.yumartifacts.create
Artifact Registry-Autor (`roles/artifactregistry.writer`) Lese- und Schreibzugriff auf Repositoryelemente.	artifactregistry.aptartifacts.create artifactregistry.dockerimages.* artifactregistry.files.* artifactregistry.locations.* artifactregistry.mavenartifacts.* artifactregistry.npmpackages.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.pythonpackages.* artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.listEffectiveTags artifactregistry.repositories.listTagBindings artifactregistry.repositories.uploadArtifacts artifactregistry.tags.create artifactregistry.tags.get artifactregistry.tags.list artifactregistry.tags.update artifactregistry.versions.get artifactregistry.versions.list artifactregistry.yumartifacts.create

Assured Workloads-Rollen

Rolle	Berechtigungen
Assured Workloads-Administrator (`roles/assuredworkloads.admin`) Gewährt vollständigen Zugriff auf Assured Workloads-Ressourcen, CRM-Ressourcen – Verwaltung von Projekten/Ordnern und Organisationsrichtlinien	assuredworkloads.* logging.cmekSettings.update orgpolicy.policy.* resourcemanager.folders.create resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.create resourcemanager.projects.get resourcemanager.projects.list
Assured Workloads-Bearbeiter (`roles/assuredworkloads.editor`) Gewährt Lese-/Schreibzugriff auf Assured Workloads-Ressourcen, CRM-Ressourcen – Verwaltung von Projekten/Ordnern und Organisationsrichtlinien	assuredworkloads.* orgpolicy.policy.* resourcemanager.folders.create resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.create resourcemanager.projects.get resourcemanager.projects.list
Leser von Assured Workloads (`roles/assuredworkloads.reader`) Gewährt Lesezugriff auf alle Assured Workloads-Ressourcen und CRM-Ressourcen – Projekt/Ordner	assuredworkloads.operations.* assuredworkloads.violations.get assuredworkloads.violations.list assuredworkloads.workload.get assuredworkloads.workload.list resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

AutoML-Rollen

Rolle	Berechtigungen
AutoML-Administrator ^Beta (`roles/automl.admin`) Voller Zugriff auf alle AutoML-Ressourcen Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Dataset Modell	automl.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list
AutoML-Bearbeiter ^Beta (`roles/automl.editor`) Bearbeiter aller AutoML-Ressourcen Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Dataset Modell	automl.annotationSpecs.* automl.annotations.* automl.columnSpecs.* automl.datasets.create automl.datasets.delete automl.datasets.export automl.datasets.get automl.datasets.import automl.datasets.list automl.datasets.update automl.examples.* automl.files.* automl.humanAnnotationTasks.* automl.locations.get automl.locations.list automl.modelEvaluations.* automl.models.create automl.models.delete automl.models.deploy automl.models.export automl.models.get automl.models.list automl.models.predict automl.models.undeploy automl.operations.* automl.tableSpecs.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list
AutoML-Erkennung ^Beta (`roles/automl.predictor`) Erkennen mit Modellen Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Modell	automl.models.predict resourcemanager.projects.get resourcemanager.projects.list
AutoML-Betrachter ^Beta (`roles/automl.viewer`) Betrachter von allen AutoML-Ressourcen Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Dataset Modell	automl.annotationSpecs.get automl.annotationSpecs.list automl.annotations.list automl.columnSpecs.get automl.columnSpecs.list automl.datasets.get automl.datasets.list automl.examples.get automl.examples.list automl.files.list automl.humanAnnotationTasks.get automl.humanAnnotationTasks.list automl.locations.get automl.locations.list automl.modelEvaluations.get automl.modelEvaluations.list automl.models.get automl.models.list automl.operations.get automl.operations.list automl.tableSpecs.get automl.tableSpecs.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list

Back-up für GKE-Rollen

Rolle	Berechtigungen
Sicherung für GKE-Administrator ^Beta (`roles/gkebackup.admin`) Vollständiger Zugriff auf alle Ressourcen von „Sicherung für GKE“.	gkebackup.* resourcemanager.projects.get resourcemanager.projects.list
Sicherung für GKE-Sicherungsadministrator ^Beta (`roles/gkebackup.backupAdmin`) Ermöglicht Administratoren die Verwaltung aller BackupPlan- und Sicherungsressourcen.	gkebackup.backupPlans.* gkebackup.backups.* gkebackup.locations.* gkebackup.operations.get gkebackup.operations.list gkebackup.volumeBackups.* resourcemanager.projects.get resourcemanager.projects.list
Delegierter Sicherungsadministrator von „Sicherung für GKE“ ^Beta (`roles/gkebackup.delegatedBackupAdmin`) Ermöglicht Administratoren die Verwaltung von Sicherungsressourcen für bestimmte BackupPlans	gkebackup.backupPlans.get gkebackup.backups.* gkebackup.volumeBackups.*
Delegierter Wiederherstellungsadministrator von „Sicherung für GKE“ ^Beta (`roles/gkebackup.delegatedRestoreAdmin`) Ermöglicht Administratoren die Verwaltung von Wiederherstellungsressourcen für bestimmte RestorePlans	gkebackup.restorePlans.get gkebackup.restores.* gkebackup.volumeRestores.*
Sicherung für GKE Restore-Administrator ^Beta (`roles/gkebackup.restoreAdmin`) Ermöglicht Administratoren die Verwaltung aller RestorePlan- und Wiederherstellungsressourcen.	gkebackup.backupPlans.get gkebackup.backupPlans.list gkebackup.backups.get gkebackup.backups.list gkebackup.locations.* gkebackup.operations.get gkebackup.operations.list gkebackup.restorePlans.* gkebackup.restores.* gkebackup.volumeBackups.* gkebackup.volumeRestores.* resourcemanager.projects.get resourcemanager.projects.list
Sicherung für GKE-Betrachter ^Beta (`roles/gkebackup.viewer`) Lesezugriff auf alle Ressourcen von „Sicherung für GKE“.	gkebackup.backupPlans.get gkebackup.backupPlans.getIamPolicy gkebackup.backupPlans.list gkebackup.backups.get gkebackup.backups.list gkebackup.locations.* gkebackup.operations.get gkebackup.operations.list gkebackup.restorePlans.get gkebackup.restorePlans.getIamPolicy gkebackup.restorePlans.list gkebackup.restores.get gkebackup.restores.list gkebackup.volumeBackups.* gkebackup.volumeRestores.* resourcemanager.projects.get resourcemanager.projects.list

BeyondCorp-Rollen

Rolle	Berechtigungen
Cloud BeyondCorp-Administrator ^Beta (`roles/beyondcorp.admin`) Vollständiger Zugriff auf alle Cloud BeyondCorp-Ressourcen.	beyondcorp.appConnections.* beyondcorp.appConnectors.* beyondcorp.appGateways.* beyondcorp.clientConnectorServices.create beyondcorp.clientConnectorServices.delete beyondcorp.clientConnectorServices.get beyondcorp.clientConnectorServices.getIamPolicy beyondcorp.clientConnectorServices.list beyondcorp.clientConnectorServices.setIamPolicy beyondcorp.clientConnectorServices.update beyondcorp.clientGateways.* beyondcorp.locations.* beyondcorp.operations.* resourcemanager.projects.get resourcemanager.projects.list
Cloud BeyondCorp Client Connector Admin ^Beta (`roles/beyondcorp.clientConnectorAdmin`) Vollständiger Zugriff auf alle BeyondCorp Client Connector-Ressourcen.	beyondcorp.clientConnectorServices.create beyondcorp.clientConnectorServices.delete beyondcorp.clientConnectorServices.get beyondcorp.clientConnectorServices.getIamPolicy beyondcorp.clientConnectorServices.list beyondcorp.clientConnectorServices.setIamPolicy beyondcorp.clientConnectorServices.update beyondcorp.clientGateways.* resourcemanager.projects.get resourcemanager.projects.list
Nutzer des Cloud BeyondCorp Client Connector-Dienstes ^Beta (`roles/beyondcorp.clientConnectorServiceUser`) Zugriff auf Client Connector-Dienst	beyondcorp.clientConnectorServices.-Zugriff
Betrachter des Cloud BeyondCorp Client Connectors ^Beta (`roles/beyondcorp.clientConnectorViewer`) Lesezugriff auf alle BeyondCorp Client Connector-Ressourcen.	beyondcorp.clientConnectorServices.get beyondcorp.clientConnectorServices.getIamPolicy beyondcorp.clientConnectorServices.list beyondcorp.clientGateways.get beyondcorp.clientGateways.getIamPolicy beyondcorp.clientGateways.list resourcemanager.projects.get resourcemanager.projects.list
Cloud BeyondCorp-Betrachter ^Beta (`roles/beyondcorp.viewer`) Lesezugriff auf alle Cloud BeyondCorp-Ressourcen.	beyondcorp.appConnections.get beyondcorp.appConnections.getIamPolicy beyondcorp.appConnections.list beyondcorp.appConnectors.get beyondcorp.appConnectors.getIamPolicy beyondcorp.appConnectors.list beyondcorp.appGateways.get beyondcorp.appGateways.getIamPolicy beyondcorp.appGateways.list beyondcorp.clientConnectorServices.get beyondcorp.clientConnectorServices.getIamPolicy beyondcorp.clientConnectorServices.list beyondcorp.clientGateways.get beyondcorp.clientGateways.getIamPolicy beyondcorp.clientGateways.list beyondcorp.locations.* beyondcorp.operations.get beyondcorp.operations.list resourcemanager.projects.get resourcemanager.projects.list

BigQuery-Rollen

Rolle	Berechtigungen
BigQuery-Administrator (`roles/bigquery.admin`) Berechtigungen zum Verwalten aller Ressourcen im Projekt. Es können damit alle Daten im Projekt verwaltet und Jobs von anderen Nutzern abgebrochen werden, die im Projekt ausgeführt werden. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Datasets Zeilenzugriffsrichtlinien Tabellen Aufrufe	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.config.* bigquery.connections.* bigquery.dataPolicies.create bigquery.dataPolicies.delete bigquery.dataPolicies.get bigquery.dataPolicies.getIamPolicy bigquery.dataPolicies.list bigquery.dataPolicies.setIamPolicy bigquery.dataPolicies.update bigquery.datasets.* bigquery.jobs.* bigquery.models.* bigquery.readsessions.* bigquery.reservationAssignments.* bigquery.reservations.* bigquery.routines.* bigquery.rowAccessPolicies.create bigquery.rowAccessPolicies.delete bigquery.rowAccessPolicies.getIamPolicy bigquery.rowAccessPolicies.list bigquery.rowAccessPolicies.overrideTimeTravelRestrictions bigquery.rowAccessPolicies.setIamPolicy bigquery.rowAccessPolicies.update bigquery.savedqueries.* bigquery.tables.* bigquery.transfers.* bigquerymigration.translation.translate resourcemanager.projects.get resourcemanager.projects.list
BigQuery-Verbindungsadministrator (`roles/bigquery.connectionAdmin`)	bigquery.connections.*
BigQuery-Verbindungsnutzer (`roles/bigquery.connectionUser`)	bigquery.connections.get bigquery.connections.getIamPolicy bigquery.connections.list bigquery.connections.use
BigQuery-Datenbearbeiter (`roles/bigquery.dataEditor`) Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für: Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren. Die Tabelle oder Ansicht löschen. Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für: Metadaten des Datasets lesen und Tabellen im Dataset auflisten. Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen. Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht die Rolle zusätzlich das Erstellen neuer Datasets. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Tabelle Anzeigen	bigquery.config.get bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.models.* bigquery.routines.* bigquery.tables.create bigquery.tables.createIndex bigquery.tables.createSnapshot bigquery.tables.delete bigquery.tables.deleteIndex bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list bigquery.tables.restoreSnapshot bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag resourcemanager.projects.get resourcemanager.projects.list
BigQuery-Dateninhaber (`roles/bigquery.dataOwner`) Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für: Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren. Tabelle oder Ansicht freigeben. Die Tabelle oder Ansicht löschen. Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für: Das Lesen, Aktualisieren und Löschen des Datasets. Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen. Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht die Rolle zusätzlich das Erstellen neuer Datasets. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Tabelle Anzeigen	bigquery.config.get bigquery.dataPolicies.create bigquery.dataPolicies.delete bigquery.dataPolicies.get bigquery.dataPolicies.getIamPolicy bigquery.dataPolicies.list bigquery.dataPolicies.setIamPolicy bigquery.dataPolicies.update bigquery.datasets.* bigquery.models.* bigquery.routines.* bigquery.rowAccessPolicies.create bigquery.rowAccessPolicies.delete bigquery.rowAccessPolicies.getIamPolicy bigquery.rowAccessPolicies.list bigquery.rowAccessPolicies.setIamPolicy bigquery.rowAccessPolicies.update bigquery.tables.* resourcemanager.projects.get resourcemanager.projects.list
BigQuery-Datenbetrachter (`roles/bigquery.dataViewer`) Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für: Daten und Metadaten aus der Tabelle oder Ansicht lesen. Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für: Metadaten des Datasets lesen und Tabellen im Dataset auflisten. Daten und Metadaten aus den Tabellen des Datasets lesen. Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht diese Rolle die Aufzählung aller Datasets im Projekt. Für die Ausführung von Jobs sind jedoch weitere Rollen erforderlich. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Tabelle Ansehen	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.createSnapshot bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list
Betrachter von gefilterten BigQuery-Daten (`roles/bigquery.filteredDataViewer`) Ermöglicht das Ansehen von gefilterten Tabellendaten, die durch eine Zugriffsrichtlinie für Zeilen definiert werden	bigquery.rowAccessPolicies.getFilteredData
BigQuery-Jobnutzer (`roles/bigquery.jobUser`) Berechtigungen zum Ausführen von Jobs im Projekt, einschließlich Abfragen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	bigquery.config.get bigquery.jobs.create resourcemanager.projects.get resourcemanager.projects.list
BigQuery-Metadaten-Betrachter (`roles/bigquery.metadataViewer`) Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für: Metadaten aus der Tabelle oder Ansicht lesen. Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden. Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für: Tabellen und Ansichten im Dataset auflisten. Metadaten aus den Tabellen und Ansichten des Datasets lesen. Bei Anwendung auf Projekt- oder Organisationsebene gewährt diese Rolle Berechtigungen für: Alle Datasets auflisten und Metadaten für alle Datasets im Projekt lesen. Alle Tabellen und Ansichten auflisten sowie Metadaten für alle Tabellen und Ansichten im Projekt lesen Für die Ausführung von Jobs sind weitere Rollen erforderlich. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Tabelle Ansehen	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.get bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list
BigQuery-Lesesitzungsnutzer (`roles/bigquery.readSessionUser`) Zugriff zum Erstellen und Verwenden von Lesesitzungen	bigquery.readsessions.* resourcemanager.projects.get resourcemanager.projects.list
BigQuery-Ressourcen-Administrator (`roles/bigquery.resourceAdmin`) Verwalten Sie alle BigQuery-Ressourcen.	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.jobs.listExecutionMetadata bigquery.reservationAssignments.* bigquery.reservations.* recommender.bigqueryCapacityCommitmentsInsights.* recommender.bigqueryCapacityCommitmentsRecommendations.* resourcemanager.projects.get resourcemanager.projects.list
BigQuery-Ressourcenbearbeiter (`roles/bigquery.resourceEditor`) Kann alle BigQuery-Ressourcen verwalten, aber keine Kaufentscheidungen treffen.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.jobs.listExecutionMetadata bigquery.reservationAssignments.* bigquery.reservations.* resourcemanager.projects.get resourcemanager.projects.list
BigQuery-Ressourcenbetrachter (`roles/bigquery.resourceViewer`) Kann alle BigQuery-Ressourcen betrachten, aber keine Änderungen vornehmen oder Kaufentscheidungen treffen.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.jobs.listExecutionMetadata bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list resourcemanager.projects.get resourcemanager.projects.list
BigQuery-Nutzer (`roles/bigquery.user`) Bei Anwendung auf ein Dataset ermöglicht diese Rolle das Lesen der Metadaten des Datasets und das Auflisten von Tabellen im Dataset. Bei Anwendung auf ein Projekt bietet diese Rolle auch die Möglichkeit, Jobs, einschließlich Abfragen, innerhalb des Projekts auszuführen. Ein Hauptkonto mit dieser Rolle kann seine eigenen Jobs auflisten, seine eigenen Jobs abbrechen und Datasets innerhalb eines Projekts aufzählen. Darüber hinaus ermöglicht die Rolle das Erstellen neuer Datasets im Projekt. Dem Ersteller wird für diese neuen Datasets die Rolle "BigQuery Data-Inhaber" (`roles/bigquery.dataOwner`) zugewiesen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Dataset	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.config.get bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.jobs.create bigquery.jobs.list bigquery.models.list bigquery.readsessions.* bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list bigquery.routines.list bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.list bigquery.transfers.get bigquerymigration.translation.translate resourcemanager.projects.get resourcemanager.projects.list
Maskierter Leser ^Beta (`roles/bigquerydatapolicy.maskedReader`) Maskierter Lesezugriff auf Unterressourcen, die durch das Richtlinien-Tag getaggt sind, das einer Datenrichtlinie zugeordnet ist, z. B. BigQuery-Spalten	bigquery.dataPolicies.maskedGet

Abrechnungsrollen

Rolle	Berechtigungen
Rechnungskontoadministrator (`roles/billing.admin`) Berechtigung zum Aufrufen und Verwalten aller Aspekte von Abrechnungskonten Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Rechnungskonto	billing.accounts.close billing.accounts.get billing.accounts.getCarbonInformation billing.accounts.getIamPolicy billing.accounts.getPaymentInfo billing.accounts.getPricing billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.accounts.move billing.accounts.redeemPromotion billing.accounts.removeFromOrganization billing.accounts.reopen billing.accounts.setIamPolicy billing.accounts.update billing.accounts.updatePaymentInfo billing.accounts.updateUsageExportSpec billing.budgets.* billing.credits.list billing.resourceAssociations.* billing.subscriptions.* cloudnotifications.activities.list cloudsupport.properties.get cloudsupport.techCases.* commerceoffercatalog.* consumerprocurement.accounts.* consumerprocurement.consents.* consumerprocurement.orderAttributions.* consumerprocurement.orders.* dataprocessing.datasources.get dataprocessing.datasources.list dataprocessing.groupcontrols.get dataprocessing.groupcontrols.list logging.logEntries.list logging.logServiceIndexes.list logging.logServices.list logging.logs.list logging.privateLogEntries.list recommender.commitmentUtilizationInsights.* recommender.costInsights.* recommender.spendBasedCommitmentInsights.* recommender.spendBasedCommitmentRecommendations.* recommender.usageCommitmentRecommendations.* resourcemanager.projects.createBillingAssignment resourcemanager.projects.deleteBillingAssignment resourcemanager.projects.get resourcemanager.projects.list
Kostenverwalter für Rechnungskonto (`roles/billing.costsManager`) Budgets für ein Rechnungskonto verwalten und Kosteninformationen eines Rechnungskontos aufrufen, analysieren und exportieren. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Rechnungskonto	billing.accounts.get billing.accounts.getIamPolicy billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.accounts.updateUsageExportSpec billing.budgets.* billing.resourceAssociations.list recommender.costInsights.*
Rechnungskonto-Ersteller (`roles/billing.creator`) Berechtigung zum Erstellen von Abrechnungskonten Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Organisation	billing.accounts.create resourcemanager.organizations.get
Administrator für die Projektabrechnung (`roles/billing.projectManager`) Wenn diese Rolle in Kombination mit der Rolle Rechnungskontonutzer zugewiesen wird, kann das Projekt mit dem Rechnungskonto verknüpft oder die Rechnungsstellung deaktiviert werden. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	resourcemanager.projects.createBillingAssignment resourcemanager.projects.deleteBillingAssignment
Rechnungskontonutzer (`roles/billing.user`) Wird die Rolle zusammen mit der Rolle Projektinhaber oder Projektabrechnungs-Manager zugewiesen, können Projekte mit Rechnungskonten verknüpft werden. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Rechnungskonto	billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.accounts.redeemPromotion billing.credits.list billing.resourceAssociations.create
Rechnungskontobetrachter (`roles/billing.viewer`) Kosten- und Preisinformationen, Transaktionen, Empfehlungen zur Abrechnung und Nutzungszusicherung für das Rechnungskonto aufrufen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Rechnungskonto	billing.accounts.get billing.accounts.getCarbonInformation billing.accounts.getIamPolicy billing.accounts.getPaymentInfo billing.accounts.getPricing billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.budgets.get billing.budgets.list billing.credits.list billing.resourceAssociations.list billing.subscriptions.get billing.subscriptions.list commerceoffercatalog.* consumerprocurement.accounts.get consumerprocurement.accounts.list consumerprocurement.consents.check consumerprocurement.consents.list consumerprocurement.orderAttributions.get consumerprocurement.orderAttributions.list consumerprocurement.orders.get consumerprocurement.orders.list dataprocessing.datasources.get dataprocessing.datasources.list dataprocessing.groupcontrols.get dataprocessing.groupcontrols.list recommender.commitmentUtilizationInsights.get recommender.commitmentUtilizationInsights.list recommender.costInsights.get recommender.costInsights.list recommender.spendBasedCommitmentInsights.get recommender.spendBasedCommitmentInsights.list recommender.spendBasedCommitmentRecommendations.get recommender.spendBasedCommitmentRecommendations.list recommender.usageCommitmentRecommendations.get recommender.usageCommitmentRecommendations.list

Binärautorisierungsrollen

Rolle	Berechtigungen
Administrator von Attestierungen von Binärautorisierungen (`roles/binaryauthorization.attestorsAdmin`) Administrator der Attestierer von Binärautorisierungen	binaryauthorization.attestors.* resourcemanager.projects.get resourcemanager.projects.list
Bearbeiter von Attestierungen von Binärautorisierungen (`roles/binaryauthorization.attestorsEditor`) Für Attestierungen von Binärautorisierungen verantwortlicher Bearbeiter	binaryauthorization.attestors.create binaryauthorization.attestors.delete binaryauthorization.attestors.get binaryauthorization.attestors.list binaryauthorization.attestors.update binaryauthorization.attestors.verifyImageAttested resourcemanager.projects.get resourcemanager.projects.list
Verifizierer von Attestierungs-Images von Binärautorisierungen (`roles/binaryauthorization.attestorsVerifier`) Aufrufer der Attestierungen "VerifyImageAttested" von Binärautorisierungen	binaryauthorization.attestors.get binaryauthorization.attestors.list binaryauthorization.attestors.verifyImageAttested resourcemanager.projects.get resourcemanager.projects.list
Betrachter der Attestierer von Binärautorisierungen (`roles/binaryauthorization.attestorsViewer`) Für Attestierungen von Binärautorisierungen verantwortlicher Betrachter	binaryauthorization.attestors.get binaryauthorization.attestors.list resourcemanager.projects.get resourcemanager.projects.list
Administrator von Richtlinien für Binärautorisierungen (`roles/binaryauthorization.policyAdmin`) Administrator der Richtlinien für Binärautorisierungen	binaryauthorization.continuousValidationConfig.* binaryauthorization.platformPolicies.* binaryauthorization.policy.* resourcemanager.projects.get resourcemanager.projects.list
Bearbeiter von Richtlinien für Binärautorisierungen (`roles/binaryauthorization.policyEditor`) Bearbeiter der Richtlinien für Binärautorisierungen	binaryauthorization.continuousValidationConfig.get binaryauthorization.continuousValidationConfig.update binaryauthorization.platformPolicies.* binaryauthorization.policy.evaluatePolicy binaryauthorization.policy.get binaryauthorization.policy.update resourcemanager.projects.get resourcemanager.projects.list
Bewertungsprogramm für Richtlinien für Binärautorisierungen ^Beta (`roles/binaryauthorization.policyEvaluator`) Bewertungsprogramm für Richtlinien für Binärautorisierungen	binaryauthorization.platformPolicies.evaluatePolicy binaryauthorization.platformPolicies.get binaryauthorization.platformPolicies.list binaryauthorization.policy.evaluatePolicy binaryauthorization.policy.get resourcemanager.projects.get resourcemanager.projects.list
Betrachter von Richtlinien für Binärautorisierungen (`roles/binaryauthorization.policyViewer`) Betrachter der Richtlinien für Binärautorisierungen	binaryauthorization.continuousValidationConfig.get binaryauthorization.platformPolicies.get binaryauthorization.platformPolicies.list binaryauthorization.policy.get resourcemanager.projects.get resourcemanager.projects.list

CA Service-Rollen

Rolle	Berechtigungen
CA Service-Administrator (`roles/privateca.admin`) Vollständiger Zugriff auf alle CA Service-Ressourcen.	privateca.* resourcemanager.projects.get resourcemanager.projects.list storage.buckets.create
CA Service-Auditor (`roles/privateca.auditor`) Lesezugriff auf alle CA Service-Ressourcen.	privateca.caPools.get privateca.caPools.getIamPolicy privateca.caPools.list privateca.certificateAuthorities.get privateca.certificateAuthorities.getIamPolicy privateca.certificateAuthorities.list privateca.certificateRevocationLists.get privateca.certificateRevocationLists.getIamPolicy privateca.certificateRevocationLists.list privateca.certificateTemplates.get privateca.certificateTemplates.getIamPolicy privateca.certificateTemplates.list privateca.certificates.get privateca.certificates.getIamPolicy privateca.certificates.list privateca.locations.* privateca.operations.get privateca.operations.list privateca.reusableConfigs.get privateca.reusableConfigs.getIamPolicy privateca.reusableConfigs.list resourcemanager.projects.get resourcemanager.projects.list
Operation Manager für CA Service (`roles/privateca.caManager`) CAs erstellen und verwalten, Zertifikate aufheben, Zertifikatvorlagen erstellen und Lesezugriff auf CA-Dienstressourcen.	privateca.caPools.create privateca.caPools.delete privateca.caPools.get privateca.caPools.getIamPolicy privateca.caPools.list privateca.caPools.update privateca.certificateAuthorities.create privateca.certificateAuthorities.delete privateca.certificateAuthorities.get privateca.certificateAuthorities.getIamPolicy privateca.certificateAuthorities.list privateca.certificateAuthorities.update privateca.certificateRevocationLists.get privateca.certificateRevocationLists.getIamPolicy privateca.certificateRevocationLists.list privateca.certificateRevocationLists.update privateca.certificateTemplates.create privateca.certificateTemplates.delete privateca.certificateTemplates.get privateca.certificateTemplates.getIamPolicy privateca.certificateTemplates.list privateca.certificateTemplates.update privateca.certificates.get privateca.certificates.getIamPolicy privateca.certificates.list privateca.certificates.update privateca.locations.* privateca.operations.get privateca.operations.list privateca.reusableConfigs.create privateca.reusableConfigs.delete privateca.reusableConfigs.get privateca.reusableConfigs.getIamPolicy privateca.reusableConfigs.list privateca.reusableConfigs.update resourcemanager.projects.get resourcemanager.projects.list storage.buckets.create
Zertifikatverwalter für CA Service (`roles/privateca.certificateManager`) Zertifikate erstellen und Lesezugriff auf CA Service-Ressourcen.	privateca.caPools.get privateca.caPools.getIamPolicy privateca.caPools.list privateca.certificateAuthorities.get privateca.certificateAuthorities.getIamPolicy privateca.certificateAuthorities.list privateca.certificateRevocationLists.get privateca.certificateRevocationLists.getIamPolicy privateca.certificateRevocationLists.list privateca.certificateTemplates.get privateca.certificateTemplates.getIamPolicy privateca.certificateTemplates.list privateca.certificates.create privateca.certificates.get privateca.certificates.getIamPolicy privateca.certificates.list privateca.locations.* privateca.operations.get privateca.operations.list privateca.reusableConfigs.get privateca.reusableConfigs.getIamPolicy privateca.reusableConfigs.list resourcemanager.projects.get resourcemanager.projects.list
CA Service-Zertifikatsanfragesteller (`roles/privateca.certificateRequester`) Zertifikate von CA Service anfordern.	privateca.certificates.create
Nutzer der CA Service-Zertifikatsvorlage (`roles/privateca.templateUser`) Zertifikatsvorlagen lesen, auflisten und verwenden.	privateca.certificateTemplates.get privateca.certificateTemplates.list privateca.certificateTemplates.use
Anfragesteller des CA Service-Arbeitslastzertifikats (`roles/privateca.workloadCertificateRequester`) Zertifikate von CA Service mit der Identität des Anrufers anfordern.	privateca.certificates.createForSelf

Zertifikatmanager-Rollen

Rolle	Berechtigungen
Zertifikatmanager-Bearbeiter (`roles/certificatemanager.editor`) Bearbeitungszugriff auf alle Zertifikatmanager-Ressourcen.	certificatemanager.certmapentries.create certificatemanager.certmapentries.get certificatemanager.certmapentries.getIamPolicy certificatemanager.certmapentries.list certificatemanager.certmapentries.update certificatemanager.certmaps.create certificatemanager.certmaps.get certificatemanager.certmaps.getIamPolicy certificatemanager.certmaps.list certificatemanager.certmaps.update certificatemanager.certmaps.use certificatemanager.certs.create certificatemanager.certs.delete certificatemanager.certs.getIamPolicy certificatemanager.certs.list certificatemanager.certs.update certificatemanager.certs.use certificatemanager.dnsauthorizations.create certificatemanager.dnsauthorizations.get certificatemanager.dnsauthorizations.getIamPolicy certificatemanager.dnsauthorizations.list certificatemanager.dnsauthorizations.update certificatemanager.dnsauthorizations.use certificatemanager.locations.* certificatemanager.operations.get certificatemanager.operations.list resourcemanager.projects.get resourcemanager.projects.list
Zertifikatmanager-Inhaber (`roles/certificatemanager.owner`) Vollzugriff auf alle Zertifikatmanager-Ressourcen.	certificatemanager.* resourcemanager.projects.get resourcemanager.projects.list
Zertifikatmanager-Betrachter (`roles/certificatemanager.viewer`) Lesezugriff auf alle Zertifikatmanager-Ressourcen.	certificatemanager.certmapentries.get certificatemanager.certmapentries.getIamPolicy certificatemanager.certmapentries.list certificatemanager.certmaps.get certificatemanager.certmaps.getIamPolicy certificatemanager.certmaps.list certificatemanager.certs.delete certificatemanager.certs.getIamPolicy certificatemanager.certs.list certificatemanager.dnsauthorizations.get certificatemanager.dnsauthorizations.getIamPolicy certificatemanager.dnsauthorizations.list certificatemanager.locations.* certificatemanager.operations.get certificatemanager.operations.list resourcemanager.projects.get resourcemanager.projects.list

Cloud AlloyDB-Rollen

Rolle	Berechtigungen
Cloud AlloyDB-Administrator ^Beta (`roles/alloydb.admin`) Uneingeschränkter Zugriff auf alle Cloud AlloyDB-Ressourcen.	alloydb.* resourcemanager.projects.get resourcemanager.projects.list
Cloud AlloyDB-Client ^Beta (`roles/alloydb.client`) Verbindungszugriff auf Cloud AlloyDB-Instanzen.	alloydb.clusters.generateClientCertificate alloydb.clusters.get alloydb.instances.connect alloydb.instances.get resourcemanager.projects.get resourcemanager.projects.list
Cloud AlloyDB-Betrachter ^Beta (`roles/alloydb.viewer`) Lesezugriff auf alle Cloud AlloyDB-Ressourcen.	alloydb.backups.get alloydb.backups.list alloydb.clusters.get alloydb.clusters.list alloydb.instances.get alloydb.instances.list alloydb.locations.* alloydb.operations.get alloydb.operations.list alloydb.supportedDatabaseFlags.* resourcemanager.projects.get resourcemanager.projects.list

Cloud-Asset-Rollen

Rolle	Berechtigungen
Cloud-Asset-Inhaber (`roles/cloudasset.owner`) Kompletter Zugriff auf Cloud-Asset-Metadaten	cloudasset.* recommender.cloudAssetInsights.* recommender.locations.*
Cloud-Asset-Betrachter (`roles/cloudasset.viewer`) Lesezugriff auf Cloud-Asset-Metadaten	cloudasset.assets.* recommender.cloudAssetInsights.get recommender.cloudAssetInsights.list recommender.locations.*

Cloud BackupDR-Rollen

Rolle	Berechtigungen
Administrator von Sicherungen und Notfallwiederherstellungen (`roles/backupdr.admin`) Vollständige Kontrolle über Sicherungs- und Notfallwiederherstellungsressourcen, einschließlich ACL-Konfiguration über die Verwaltungskonsole.	backupdr.* resourcemanager.projects.get resourcemanager.projects.list
Nutzer von Sicherungen und Notfallwiederherstellungen (`roles/backupdr.user`) Ermöglicht Zugriff auf die Verwaltungskonsole. Die detaillierten Berechtigungen für Sicherungen und Notfallwiederherstellungen hängen von der ACL-Konfiguration ab, die der Administrator von Sicherungen und Notfallwiederherstellungen in der Verwaltungskonsole bereitstellt.	backupdr.managementServers.backupAccess backupdr.managementServers.get backupdr.managementServers.getIamPolicy backupdr.managementServers.list backupdr.operations.get backupdr.operations.list resourcemanager.projects.get resourcemanager.projects.list
Betrachter von Sicherungen und Notfallwiederherstellungen (`roles/backupdr.viewer`) Lesezugriff auf Sicherungs- und Notfallwiederherstellungsressourcen.	backupdr.locations.* backupdr.managementServers.get backupdr.managementServers.getIamPolicy backupdr.managementServers.list backupdr.operations.get backupdr.operations.list resourcemanager.projects.get resourcemanager.projects.list

Cloud Bigtable-Rollen

Rolle	Berechtigungen
Bigtable-Administrator (`roles/bigtable.admin`) Verwaltet alle Bigtable-Instanzen in einem Projekt, darunter auch die Daten, die in den Tabellen gespeichert sind. Kann neue Instanzen erstellen. Gedacht für Projektadministratoren. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Tabelle	bigtable.* monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get
Bigtable-Leser (`roles/bigtable.reader`) Erlaubt nur Lesezugriff auf die in den Bigtable-Tabellen gespeicherten Daten. Gedacht für Datenanalysten, Dashboard-Generatoren und anderen Datenanalyse-Szenarien. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Tabelle	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.keyvisualizer.* bigtable.locations.list bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list bigtable.tables.readRows bigtable.tables.sampleRowKeys monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get
Bigtable-Nutzer (`roles/bigtable.user`) Erlaubt Lese- und Schreibzugriff auf die in den Bigtable-Tabellen gespeicherten Daten. Gedacht für Anwendungsentwickler oder Dienstkontos. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Tabelle	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.keyvisualizer.* bigtable.locations.list bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list bigtable.tables.mutateRows bigtable.tables.readRows bigtable.tables.sampleRowKeys monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get
Bigtable-Betrachter (`roles/bigtable.viewer`) Bietet keinen Datenzugriff. Vorgesehen als minimaler Satz von Berechtigungen für den Zugriff auf die Cloud Console für Bigtable. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Tabelle	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.locations.list bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get

Cloud Build-Rollen

Rolle	Berechtigungen
Cloud Build-Genehmiger (`roles/cloudbuild.builds.approver`) Kann ausstehende Builds genehmigen oder ablehnen.	cloudbuild.builds.approve cloudbuild.builds.get cloudbuild.builds.list remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list
Cloud Build-Dienstkonto (`roles/cloudbuild.builds.builder`) Berechtigung zum Ausführen von Builds	artifactregistry.aptartifacts.create artifactregistry.dockerimages.* artifactregistry.files.* artifactregistry.locations.* artifactregistry.mavenartifacts.* artifactregistry.npmpackages.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.pythonpackages.* artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.listEffectiveTags artifactregistry.repositories.listTagBindings artifactregistry.repositories.uploadArtifacts artifactregistry.tags.create artifactregistry.tags.get artifactregistry.tags.list artifactregistry.tags.update artifactregistry.versions.get artifactregistry.versions.list artifactregistry.yumartifacts.create cloudbuild.builds.create cloudbuild.builds.get cloudbuild.builds.list cloudbuild.builds.update cloudbuild.workerpools.use containeranalysis.occurrences.create containeranalysis.occurrences.delete containeranalysis.occurrences.get containeranalysis.occurrences.list containeranalysis.occurrences.update logging.logEntries.create logging.logEntries.list logging.privateLogEntries.list logging.views.access pubsub.topics.create pubsub.topics.publish remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update
Cloud Build-Bearbeiter (`roles/cloudbuild.builds.editor`) Berechtigung zum Erstellen und Stornieren von Builds Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	cloudbuild.builds.create cloudbuild.builds.get cloudbuild.builds.list cloudbuild.builds.update remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list
Cloud Build-Betrachter (`roles/cloudbuild.builds.viewer`) Berechtigung zum Aufrufen von Builds Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	cloudbuild.builds.get cloudbuild.builds.list remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list
Bearbeiter von Cloud Build-Integrationen (`roles/cloudbuild.integrationsEditor`) Kann Integrationen aktualisieren	cloudbuild.integrations.get cloudbuild.integrations.list cloudbuild.integrations.update resourcemanager.projects.get resourcemanager.projects.list
Inhaber von Cloud Build-Integrationen (`roles/cloudbuild.integrationsOwner`) Kann Integrationen erstellen/löschen	cloudbuild.integrations.* compute.firewalls.create compute.firewalls.get compute.firewalls.list compute.networks.get compute.networks.updatePolicy compute.regions.get compute.subnetworks.get compute.subnetworks.list resourcemanager.projects.get resourcemanager.projects.list
Betrachter von Cloud Build-Integrationen (`roles/cloudbuild.integrationsViewer`) Kann Integrationen ansehen	cloudbuild.integrations.get cloudbuild.integrations.list resourcemanager.projects.get resourcemanager.projects.list
Bearbeiter von Cloud Build-WorkerPools (`roles/cloudbuild.workerPoolEditor`) Kann WorkerPools aktualisieren und ansehen	cloudbuild.workerpools.get cloudbuild.workerpools.list cloudbuild.workerpools.update resourcemanager.projects.get resourcemanager.projects.list
Inhaber von Cloud Build-WorkerPools (`roles/cloudbuild.workerPoolOwner`) Kann WorkerPools erstellen, löschen, aktualisieren und ansehen	cloudbuild.workerpools.create cloudbuild.workerpools.delete cloudbuild.workerpools.get cloudbuild.workerpools.list cloudbuild.workerpools.update resourcemanager.projects.get resourcemanager.projects.list
Nutzer von Cloud Build-WorkerPools (`roles/cloudbuild.workerPoolUser`) Kann Builds im WorkerPool ausführen	cloudbuild.workerpools.use
Betrachter von Cloud Build-WorkerPools (`roles/cloudbuild.workerPoolViewer`) Kann WorkerPools ansehen	cloudbuild.workerpools.get cloudbuild.workerpools.list resourcemanager.projects.get resourcemanager.projects.list

Cloud Composer-Rollen

Rolle	Berechtigungen
Dienst-Agent-Erweiterung für die Cloud Composer v2 API (`roles/composer.ServiceAgentV2Ext`) Die Dienst-Agent-Erweiterung für die Cloud Composer v2 API ist eine zusätzliche Rolle, die zum Verwalten von Composer v2-Umgebungen erforderlich ist.	iam.serviceAccounts.getIamPolicy iam.serviceAccounts.setIamPolicy
Composer-Administrator (`roles/composer.admin`) Uneingeschränkte Kontrolle über Cloud Composer-Ressourcen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	composer.* serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Administrator für Umgebung und Storage-Objekte (`roles/composer.environmentAndStorageObjectAdmin`) Uneingeschränkte Kontrolle über Cloud Composer-Ressourcen und die Objekte in allen Projekt-Buckets. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	composer.* orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.multipartUploads.* storage.objects.*
Umgebungsnutzer und Betrachter von Storage-Objekten (`roles/composer.environmentAndStorageObjectViewer`) Berechtigung zum Auflisten und Abrufen von Cloud Composer-Umgebungen und -Vorgängen. Lesezugriff auf Objekte in allen Projekt-Buckets. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	composer.dags.* composer.environments.get composer.environments.list composer.imageversions.list composer.operations.get composer.operations.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.objects.get storage.objects.list
Composer-Agent für freigegebene VPC (`roles/composer.sharedVpcAgent`) Rolle, die dem Dienstkonto des Composer-Agents im Hostprojekt der freigegebenen VPC zugewiesen wurde	compute.networks.access compute.networks.addPeering compute.networks.get compute.networks.list compute.networks.listPeeringRoutes compute.networks.removePeering compute.networks.updatePeering compute.networks.use compute.networks.useExternalIp compute.projects.get compute.regions.* compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.zones.*
Composer-Nutzer (`roles/composer.user`) Berechtigung zum Auflisten und Abrufen von Cloud Composer-Umgebungen und -Vorgängen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	composer.dags.* composer.environments.get composer.environments.list composer.imageversions.list composer.operations.get composer.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Composer-Worker (`roles/composer.worker`) Berechtigung zum Ausführen einer VM in einer Cloud Composer-Umgebung. Für Dienstkonten bestimmt. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	artifactregistry.* cloudbuild.builds.create cloudbuild.builds.get cloudbuild.builds.list cloudbuild.builds.update cloudbuild.workerpools.use composer.environments.get container.* containeranalysis.occurrences.create containeranalysis.occurrences.delete containeranalysis.occurrences.get containeranalysis.occurrences.list containeranalysis.occurrences.update logging.logEntries.create logging.logEntries.list logging.privateLogEntries.list logging.views.access monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.timeSeries.* orgpolicy.policy.get pubsub.schemas.attach pubsub.schemas.create pubsub.schemas.delete pubsub.schemas.get pubsub.schemas.list pubsub.schemas.validate pubsub.snapshots.create pubsub.snapshots.delete pubsub.snapshots.get pubsub.snapshots.list pubsub.snapshots.seek pubsub.snapshots.update pubsub.subscriptions.consume pubsub.subscriptions.create pubsub.subscriptions.delete pubsub.subscriptions.get pubsub.subscriptions.list pubsub.subscriptions.update pubsub.topics.attachSubscription pubsub.topics.create pubsub.topics.delete pubsub.topics.detachSubscription pubsub.topics.get pubsub.topics.list pubsub.topics.publish pubsub.topics.update pubsub.topics.updateTag remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.multipartUploads.* storage.objects.*

Cloud Connectors-Rollen

Rolle Berechtigungen

Rolle	Berechtigungen
Connector-Administrator (`roles/connectors.admin`) Vollständiger Zugriff auf alle Ressourcen des Connectors-Dienstes.	Connectors* resourcemanager.projects.get resourcemanager.projects.list
Connectors-Betrachter (`roles/connectors.viewer`) Lesezugriff auf alle Connectors-Ressourcen.	connectors.connections.get connectors.connections.getConnectionSchemaMetadata connectors.connections.getIamPolicy connectors.connections.getRuntimeActionSchema connectors.connections.getRuntimeEntitySchema connectors.connections.list connectors.connectors.* connectors.locations.* connectors.operations.get connectors.operations.list connectors.providers.* connectors.runtimeconfig.get connectors.versions.* resourcemanager.projects.get resourcemanager.projects.list

Connector-Administrator
(roles/connectors.admin)

Vollständiger Zugriff auf alle Ressourcen des Connectors-Dienstes.

Connectors*
resourcemanager.projects.get
resourcemanager.projects.list

Connectors-Betrachter
(roles/connectors.viewer)

Lesezugriff auf alle Connectors-Ressourcen.

connectors.connections.get
connectors.connections.getConnectionSchemaMetadata
connectors.connections.getIamPolicy
connectors.connections.getRuntimeActionSchema
connectors.connections.getRuntimeEntitySchema
connectors.connections.list
connectors.connectors.*
connectors.locations.*
connectors.operations.get
connectors.operations.list
connectors.providers.*
connectors.runtimeconfig.get
connectors.versions.*
resourcemanager.projects.get
resourcemanager.projects.list

Cloud Data Fusion-Rollen

Rolle Berechtigungen

Rolle	Berechtigungen
Cloud Data Fusion-Administrator ^Beta (`roles/datafusion.admin`) Vollständiger Zugriff auf Cloud Data Fusion-Instanzen, -Namespaces und zugehörige Ressourcen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	datafusion.* resourcemanager.projects.get resourcemanager.projects.list
Cloud Data Fusion-Runner ^Beta (`roles/datafusion.runner`) Zugriff auf Cloud Data Fusion-Laufzeitressourcen.	datafusion.instances.runtime
Cloud Data Fusion-Betrachter ^Beta (`roles/datafusion.viewer`) Schreibzugriff auf Cloud Data Fusion-Instanzen, -Namespaces und zugehörige Ressourcen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	datafusion.instances.get datafusion.instances.getIamPolicy datafusion.instances.list datafusion.instances.runtime datafusion.locations.* datafusion.operations.get datafusion.operations.list resourcemanager.projects.get resourcemanager.projects.list

Cloud Data Fusion-Administrator ^Beta
(roles/datafusion.admin)

Vollständiger Zugriff auf Cloud Data Fusion-Instanzen, -Namespaces und zugehörige Ressourcen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

Projekt

datafusion.*
resourcemanager.projects.get
resourcemanager.projects.list

Cloud Data Fusion-Runner ^Beta
(roles/datafusion.runner)

Zugriff auf Cloud Data Fusion-Laufzeitressourcen.

datafusion.instances.runtime

Cloud Data Fusion-Betrachter ^Beta
(roles/datafusion.viewer)

Schreibzugriff auf Cloud Data Fusion-Instanzen, -Namespaces und zugehörige Ressourcen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

Projekt

datafusion.instances.get
datafusion.instances.getIamPolicy
datafusion.instances.list
datafusion.instances.runtime
datafusion.locations.*
datafusion.operations.get
datafusion.operations.list
resourcemanager.projects.get
resourcemanager.projects.list

Cloud Data Labeling-Rollen

Rolle	Berechtigungen
Data Labeling Service-Administrator ^Beta (`roles/datalabeling.admin`) Vollständiger Zugriff auf alle Data Labeling-Ressourcen	datalabeling.* resourcemanager.projects.get resourcemanager.projects.list
Data Labeling Service-Bearbeiter ^Beta (`roles/datalabeling.editor`) Bearbeiter aller Data Labeling-Ressourcen	datalabeling.* resourcemanager.projects.get resourcemanager.projects.list
Data Labeling Service-Betrachter ^Beta (`roles/datalabeling.viewer`) Betrachter aller Data Labeling-Ressourcen	datalabeling.annotateddatasets.get datalabeling.annotateddatasets.list datalabeling.annotationspecsets.get datalabeling.annotationspecsets.list datalabeling.dataitems.* datalabeling.datasets.get datalabeling.datasets.list datalabeling.examples.* datalabeling.instructions.get datalabeling.instructions.list datalabeling.operations.get datalabeling.operations.list resourcemanager.projects.get resourcemanager.projects.list

Cloud Dataplex-Rollen

Rolle	Berechtigungen
Dataplex-Administrator (`roles/dataplex.admin`) Vollständiger Zugriff auf alle Dataplex-Ressourcen.	cloudasset.assets.analyzeIamPolicy cloudasset.assets.searchAllIamPolicies cloudasset.assets.searchAllResources dataplex.assetActions.list dataplex.assets.create dataplex.assets.delete dataplex.assets.get dataplex.assets.getIamPolicy dataplex.assets.list dataplex.assets.setIamPolicy dataplex.assets.update dataplex.content.* dataplex.entities.* dataplex.environments.* dataplex.lakeActions.list dataplex.lakes.* dataplex.locations.* dataplex.operations.* dataplex.partitions.* dataplex.tasks.* dataplex.zoneActions.list dataplex.zones.* resourcemanager.projects.get resourcemanager.projects.list
Dataplex-Dateninhaber (`roles/dataplex.dataOwner`) Inhaberzugriff auf Daten. Wird nur den Dataplex-Ressourcen „Lake“, „Zone“ oder „Asset“ gewährt.	dataplex.assets.ownData dataplex.assets.readData dataplex.assets.writeData
Dataplex-Datenleser (`roles/dataplex.dataReader`) Lesezugriff auf Daten. Wird nur den Dataplex-Ressourcen „Lake“, „Zone“ oder „Asset“ gewährt.	dataplex.assets.readData
Dataplex-Datenautor (`roles/dataplex.dataWriter`) Schreibzugriff auf Daten. Wird nur den Dataplex-Ressourcen „Lake“, „Zone“ oder „Asset“ gewährt.	dataplex.assets.writeData
Dataplex-Entwickler (`roles/dataplex.developer`) Ermöglicht das Ausführen von Arbeitslasten zur Datenanalyse in einem Lake.	dataplex.content.* dataplex.environments.execute dataplex.environments.get dataplex.environments.list dataplex.tasks.cancel dataplex.tasks.create dataplex.tasks.delete dataplex.tasks.get dataplex.tasks.list dataplex.tasks.update
Dataplex-Bearbeiter (`roles/dataplex.editor`) Schreibzugriff auf Dataplex-Ressourcen.	cloudasset.assets.analyzeIamPolicy dataplex.assetActions.list dataplex.assets.create dataplex.assets.delete dataplex.assets.get dataplex.assets.getIamPolicy dataplex.assets.list dataplex.assets.update dataplex.content.delete dataplex.content.get dataplex.content.getIamPolicy dataplex.content.list dataplex.environments.create dataplex.environments.delete dataplex.environments.get dataplex.environments.getIamPolicy dataplex.environments.list dataplex.environments.update dataplex.lakeActions.list dataplex.lakes.create dataplex.lakes.delete dataplex.lakes.get dataplex.lakes.getIamPolicy dataplex.lakes.list dataplex.lakes.update dataplex.operations.* dataplex.tasks.cancel dataplex.tasks.create dataplex.tasks.delete dataplex.tasks.get dataplex.tasks.getIamPolicy dataplex.tasks.list dataplex.tasks.update dataplex.zoneActions.list dataplex.zones.create dataplex.zones.delete dataplex.zones.get dataplex.zones.getIamPolicy dataplex.zones.list dataplex.zones.update
Dataplex-Metadatenleser (`roles/dataplex.metadataReader`) Lesezugriff auf Metadaten.	dataplex.assets.get dataplex.assets.list dataplex.entities.get dataplex.entities.list dataplex.partitions.get dataplex.partitions.list dataplex.zones.get dataplex.zones.list
Autor von Dataplex-Metadaten (`roles/dataplex.metadataWriter`) Lese- und Schreibzugriff auf Metadaten.	dataplex.assets.get dataplex.assets.list dataplex.entities.* dataplex.partitions.* dataplex.zones.get dataplex.zones.list
Inhaber von Dataplex-Speicherdaten (`roles/dataplex.storageDataOwner`) Inhaberzugriff auf Daten. Sollte nicht direkt verwendet werden. Diese Rolle wird von Dataplex für verwaltete Ressourcen wie Cloud Storage-Buckets, BigQuery-Datasets usw. gewährt.	bigquery.datasets.get bigquery.models.create bigquery.models.delete bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.models.updateData bigquery.models.updateMetadata bigquery.routines.create bigquery.routines.delete bigquery.routines.get bigquery.routines.list bigquery.routines.update bigquery.tables.create bigquery.tables.createSnapshot bigquery.tables.delete bigquery.tables.deleteSnapshot bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.list bigquery.tables.restoreSnapshot bigquery.tables.update bigquery.tables.updateData storage.buckets.get storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update
Leser von Dataplex-Speicherdaten (`roles/dataplex.storageDataReader`) Lesezugriff auf Daten. Sollte nicht direkt verwendet werden. Diese Rolle wird von Dataplex für verwaltete Ressourcen wie Cloud Storage-Buckets, BigQuery-Datasets usw. gewährt.	bigquery.datasets.get bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.list storage.buckets.get storage.objects.get storage.objects.list
Autor von Dataplex-Speicherdaten (`roles/dataplex.storageDataWriter`) Schreibzugriff auf Daten. Sollte nicht direkt verwendet werden. Diese Rolle wird von Dataplex für verwaltete Ressourcen wie Cloud Storage-Buckets, BigQuery-Datasets usw. gewährt.	bigquery.tables.updateData storage.objects.create storage.objects.delete storage.objects.update
Dataplex-Betrachter (`roles/dataplex.viewer`) Lesezugriff auf Dataplex-Ressourcen.	cloudasset.assets.analyzeIamPolicy dataplex.assetActions.list dataplex.assets.get dataplex.assets.getIamPolicy dataplex.assets.list dataplex.content.get dataplex.content.getIamPolicy dataplex.content.list dataplex.environments.get dataplex.environments.getIamPolicy dataplex.environments.list dataplex.lakeActions.list dataplex.lakes.get dataplex.lakes.getIamPolicy dataplex.lakes.list dataplex.operations.get dataplex.operations.list dataplex.tasks.get dataplex.tasks.getIamPolicy dataplex.tasks.list dataplex.zoneActions.list dataplex.zones.get dataplex.zones.getIamPolicy dataplex.zones.list

Cloud Debugger-Rollen

Rolle Berechtigungen

Rolle	Berechtigungen
Cloud Debugger-Agent ^Beta (`roles/clouddebugger.agent`) Ermöglicht das Registrieren des Debug-Ziels, das Lesen aktiver Haltepunkte und das Melden von Haltepunktergebnissen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Dienstkonto	clouddebugger.breakpoints.list clouddebugger.breakpoints.listActive clouddebugger.breakpoints.update clouddebugger.debuggees.create
Cloud Debugger-Nutzer ^Beta (`roles/clouddebugger.user`) Ermöglicht das Erstellen, Aufrufen, Auflisten und Löschen von Haltepunkten (Snapshots und Logpoints) sowie das Auflisten von Debug-Zielen, d. h. von Komponenten, für die ein Debugging ausgeführt werden soll. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	clouddebugger.breakpoints.create clouddebugger.breakpoints.delete clouddebugger.breakpoints.get clouddebugger.breakpoints.list clouddebugger.debuggees.list

Cloud Debugger-Agent ^Beta
(roles/clouddebugger.agent)

Ermöglicht das Registrieren des Debug-Ziels, das Lesen aktiver Haltepunkte und das Melden von Haltepunktergebnissen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

Dienstkonto

clouddebugger.breakpoints.list
clouddebugger.breakpoints.listActive
clouddebugger.breakpoints.update
clouddebugger.debuggees.create

Cloud Debugger-Nutzer ^Beta
(roles/clouddebugger.user)

Ermöglicht das Erstellen, Aufrufen, Auflisten und Löschen von Haltepunkten (Snapshots und Logpoints) sowie das Auflisten von Debug-Zielen, d. h. von Komponenten, für die ein Debugging ausgeführt werden soll.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

Projekt

clouddebugger.breakpoints.create
clouddebugger.breakpoints.delete
clouddebugger.breakpoints.get
clouddebugger.breakpoints.list
clouddebugger.debuggees.list

Cloud Deployment-Rollen

Rolle	Berechtigungen
Cloud Deploy-Administrator ^Beta (`roles/clouddeploy.admin`) Vollständige Kontrolle über Cloud Deploy-Ressourcen.	clouddeploy.* resourcemanager.projects.get resourcemanager.projects.list
Cloud Deploy-Genehmiger ^Beta (`roles/clouddeploy.approver`) Berechtigung zum Genehmigen oder Ablehnen von Rollouts.	clouddeploy.locations.* clouddeploy.operations.* clouddeploy.rollouts.approve clouddeploy.rollouts.get clouddeploy.rollouts.list resourcemanager.projects.get resourcemanager.projects.list
Cloud Deploy-Entwickler ^Beta (`roles/clouddeploy.developer`) Berechtigung zum Verwalten der Bereitstellungskonfiguration ohne Berechtigung für den Zugriff auf Betriebsressourcen wie Ziele.	clouddeploy.deliveryPipelines.create clouddeploy.deliveryPipelines.get clouddeploy.deliveryPipelines.getIamPolicy clouddeploy.deliveryPipelines.list clouddeploy.deliveryPipelines.update clouddeploy.locations.* clouddeploy.operations.* clouddeploy.releases.* clouddeploy.rollouts.get clouddeploy.rollouts.list resourcemanager.projects.get resourcemanager.projects.list
Cloud Deploy-Runner ^Beta (`roles/clouddeploy.jobRunner`) Berechtigung zum Ausführen von Cloud Deploy-Arbeiten ohne Berechtigung zum Senden an ein Ziel.	logging.logEntries.create storage.objects.create storage.objects.get storage.objects.list
Cloud Deploy-Operator ^Beta (`roles/clouddeploy.operator`) Berechtigung zum Verwalten der Bereitstellungskonfiguration.	clouddeploy.deliveryPipelines.create clouddeploy.deliveryPipelines.get clouddeploy.deliveryPipelines.getIamPolicy clouddeploy.deliveryPipelines.list clouddeploy.deliveryPipelines.update clouddeploy.locations.* clouddeploy.operations.* clouddeploy.releases.* clouddeploy.rollouts.create clouddeploy.rollouts.get clouddeploy.rollouts.list clouddeploy.targets.create clouddeploy.targets.get clouddeploy.targets.getIamPolicy clouddeploy.targets.list clouddeploy.targets.update resourcemanager.projects.get resourcemanager.projects.list
Cloud Deploy-Releaser ^Beta (`roles/clouddeploy.releaser`) Berechtigung zum Erstellen von Cloud Deploy-Releases und -Rollouts.	clouddeploy.deliveryPipelines.get clouddeploy.locations.* clouddeploy.operations.* clouddeploy.releases.create clouddeploy.releases.get clouddeploy.releases.list clouddeploy.rollouts.create clouddeploy.rollouts.get clouddeploy.rollouts.list clouddeploy.targets.get resourcemanager.projects.get resourcemanager.projects.list
Cloud Deploy-Betrachter ^Beta (`roles/clouddeploy.viewer`) Kann Cloud Deploy-Ressourcen aufrufen.	clouddeploy.config.get clouddeploy.deliveryPipelines.get clouddeploy.deliveryPipelines.getIamPolicy clouddeploy.deliveryPipelines.list clouddeploy.locations.* clouddeploy.operations.get clouddeploy.operations.list clouddeploy.releases.get clouddeploy.releases.list clouddeploy.rollouts.get clouddeploy.rollouts.list clouddeploy.targets.get clouddeploy.targets.getIamPolicy clouddeploy.targets.list resourcemanager.projects.get resourcemanager.projects.list

Cloud DLP-Rollen

Rolle	Berechtigungen
DLP-Administrator (`roles/dlp.admin`) DLP einschließlich Jobs und Vorlagen verwalten.	dlp.* serviceusage.services.use
Bearbeiter von DLP-Risikoanalysevorlagen (`roles/dlp.analyzeRiskTemplatesEditor`) DLP-Analyse-Risikovorlagen bearbeiten.	dlp.analyzeRiskTemplates.*
Leser von DLP-Risikoanalysevorlagen (`roles/dlp.analyzeRiskTemplatesReader`) DLP-Risikoanalysevorlagen lesen.	dlp.analyzeRiskTemplates.get dlp.analyzeRiskTemplates.list
Leser von DLP-Spaltendatenprofilen (`roles/dlp.columnDataProfilesReader`) DLP-Spaltenprofile lesen.	dlp.columnDataProfiles.*
Leser von DLP-Datenprofilen (`roles/dlp.dataProfilesReader`) DLP-Profile lesen.	dlp.columnDataProfiles.* dlp.projectDataProfiles.* dlp.tableDataProfiles.*
DLP-De-identify-Vorlageneditor (`roles/dlp.deidentifyTemplatesEditor`) DLP-DE-identify-Vorlagen bearbeiten.	dlp.deidentifyTemplates.*
Leser von DLP-De-identify-Vorlagen (`roles/dlp.deidentifyTemplatesReader`) DLP-de-identify-Vorlagen lesen.	dlp.deidentifyTemplates.get dlp.deidentifyTemplates.list
DLP-Kostenschätzung (`roles/dlp.estimatesAdmin`) DLP-Kostenschätzungen verwalten.	dlp.estimates.*
Leser von DLP-Prüfungsergebnissen (`roles/dlp.inspectFindingsReader`) Gespeicherte DLP-Ergebnisse lesen.	dlp.inspectFindings.list
Bearbeiter von DLP-Prüfungsvorlagen (`roles/dlp.inspectTemplatesEditor`) DLP-Prüfungsvorlagen lesen.	dlp.inspectTemplates.*
Leser von DLP-Prüfungsvorlagen (`roles/dlp.inspectTemplatesReader`) DLP Prüfungsvorlagen lesen.	dlp.inspectTemplates.get dlp.inspectTemplates.list
DLP-Job-Trigger-Bearbeiter (`roles/dlp.jobTriggersEditor`) Job-Trigger-Konfigurationen bearbeiten.	dlp.jobTriggers.*
DLP-Job-Trigger-Leser (`roles/dlp.jobTriggersReader`) Job-Trigger lesen.	dlp.jobTriggers.get dlp.jobTriggers.list
DLP-Jobs-Bearbeiter (`roles/dlp.jobsEditor`) Jobs bearbeiten und erstellen	dlp.jobs.* dlp.kms.encrypt
DLP-Jobs-Leser (`roles/dlp.jobsReader`) Jobs lesen	dlp.jobs.get dlp.jobs.list
Treiber von DLP-Organisationsdatenprofilen (`roles/dlp.orgdriver`) Berechtigungen, die vom DLP-Dienstkonto zum Generieren von Datenprofilen in einer Organisation oder einem Ordner benötigt werden.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.config.get bigquery.connections.updateTag bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.jobs.create bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.jobs.listExecutionMetadata bigquery.models.* bigquery.readsessions.* bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list bigquery.routines.* bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.create bigquery.tables.createIndex bigquery.tables.createSnapshot bigquery.tables.delete bigquery.tables.deleteIndex bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list bigquery.tables.restoreSnapshot bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag bigquery.transfers.get bigquerymigration.translation.translate cloudasset.assets.* datacatalog.categories.fineGrainedGet datacatalog.entries.updateTag datacatalog.tagTemplates.create datacatalog.tagTemplates.get datacatalog.tagTemplates.getTag datacatalog.tagTemplates.use dlp.* pubsub.topics.updateTag recommender.cloudAssetInsights.get recommender.cloudAssetInsights.list recommender.locations.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use
Leser von DLP-Projektdatenprofilen (`roles/dlp.projectDataProfilesReader`) DLP-Projektprofile lesen.	dlp.projectDataProfiles.*
Treiber von DLP-Projektdatenprofilen (`roles/dlp.projectdriver`) Berechtigungen, die vom DLP-Dienstkonto zum Generieren von Datenprofilen in einem Projekt benötigt werden.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.config.get bigquery.connections.updateTag bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.jobs.create bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.jobs.listExecutionMetadata bigquery.models.* bigquery.readsessions.* bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list bigquery.routines.* bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.create bigquery.tables.createIndex bigquery.tables.createSnapshot bigquery.tables.delete bigquery.tables.deleteIndex bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list bigquery.tables.restoreSnapshot bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag bigquery.transfers.get bigquerymigration.translation.translate cloudasset.assets.* datacatalog.categories.fineGrainedGet datacatalog.entries.updateTag datacatalog.tagTemplates.create datacatalog.tagTemplates.get datacatalog.tagTemplates.getTag datacatalog.tagTemplates.use dlp.* pubsub.topics.updateTag recommender.cloudAssetInsights.get recommender.cloudAssetInsights.list recommender.locations.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use
DLP-Leser (`roles/dlp.reader`) Lesen von DLP-Entitäten wie Jobs oder Vorlagen.	dlp.analyzeRiskTemplates.get dlp.analyzeRiskTemplates.list dlp.deidentifyTemplates.get dlp.deidentifyTemplates.list dlp.inspectFindings.list dlp.inspectTemplates.get dlp.inspectTemplates.list dlp.jobTriggers.get dlp.jobTriggers.list dlp.jobs.get dlp.jobs.list dlp.locations.* dlp.storedInfoTypes.get dlp.storedInfoTypes.list
Bearbeiter von für DLP gespeicherten InfoTypes (`roles/dlp.storedInfoTypesEditor`) Für DLP gespeicherte InfoTypes bearbeiten.	dlp.storedInfoTypes.*
Leser von für DLP gespeicherte InfoTypes (`roles/dlp.storedInfoTypesReader`) Für DLP gespeicherte InfoTypes lesen.	dlp.storedInfoTypes.get dlp.storedInfoTypes.list
Leser von DLP-Tabellendatenprofilen (`roles/dlp.tableDataProfilesReader`) DLP-Tabellenprofile lesen.	dlp.tableDataProfiles.*
DLP-Nutzer (`roles/dlp.user`) Inhalte prüfen, entfernen und ihre Identifizierung aufheben	dlp.kms.encrypt dlp.locations.* serviceusage.services.use

Cloud Domains-Rollen

Rolle	Berechtigungen
Cloud Domains-Administrator (`roles/domains.admin`) Vollständiger Zugriff auf Cloud Domains Registrations und zugehörige Ressourcen.	domains.* resourcemanager.projects.get resourcemanager.projects.list
Cloud Domains-Betrachter (`roles/domains.viewer`) Lesezugriff auf Cloud Domains Registrations und zugehörige Ressourcen.	domains.locations.* domains.operations.get domains.operations.list domains.registrations.get domains.registrations.getIamPolicy domains.registrations.list domains.registrations.listEffectiveTags domains.registrations.listTagBindings resourcemanager.projects.get resourcemanager.projects.list

Cloud Filestore-Rollen

Rolle	Berechtigungen
Cloud Filestore-Bearbeiter ^Beta (`roles/file.editor`) Lese- und Schreibzugriff auf Filestore-Instanzen und zugehörige Ressourcen.	file.*
Cloud Filestore-Betrachter ^Beta (`roles/file.viewer`) Schreibzugriff auf Filestore-Instanzen und zugehörige Ressourcen.	file.backups.get file.backups.list file.backups.listEffectiveTags file.backups.listTagBindings file.instances.get file.instances.list file.instances.listEffectiveTags file.instances.listTagBindings file.locations.* file.operations.get file.operations.list file.snapshots.listEffectiveTags file.snapshots.listTagBindings

Cloud Functions-Rollen

Rolle	Berechtigungen
Cloud Functions-Administrator (`roles/cloudfunctions.admin`) Umfassender Zugriff auf Funktionen, Vorgänge und Speicherorte.	cloudbuild.builds.get cloudbuild.builds.list cloudfunctions.* eventarc.* recommender.locations.* recommender.runServiceIdentityInsights.* recommender.runServiceIdentityRecommendations.* remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list run.* serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Cloud Functions-Entwickler (`roles/cloudfunctions.developer`)