Auf dieser Seite werden IAM-Rollen beschrieben und die vordefinierten Rollen aufgelistet, die Sie Ihren Hauptkonten zuweisen können.
Eine Rolle enthält eine Reihe von Berechtigungen, mit denen Sie bestimmte Aktionen für Google Cloud-Ressourcen vornehmen können.
Wenn Sie Hauptkonten Berechtigungen erteilen möchten, einschließlich Nutzern, Gruppen und Dienstkonten, weisen Sie den Hauptkonten Rollen zu.
Einfache Rollen, zu denen die Rollen "Inhaber", "Bearbeiter" und "Betrachter" gehören und die es schon vor der Einführung von IAM gab.
Vordefinierte Rollen, die detaillierten Zugriff auf einen bestimmten Dienst bieten und von Google Cloud verwaltet werden.
Benutzerdefinierte Rollen, die detaillierten Zugriff gemäß einer vom Nutzer angegebenen Liste von Berechtigungen bieten.
Mit einer der folgenden Methoden können Sie ermitteln, ob eine Berechtigung in einer einfachen, vordefinierten oder benutzerdefinierten Rolle enthalten ist:
Rufen Sie die REST API-Methode roles.get() auf, um die Berechtigungen in der Rolle aufzulisten.
Nur für einfache und vordefinierte Rollen: Suchen Sie in der Berechtigungsreferenz, ob die Berechtigung von der Rolle gewährt wird.
Nur für vordefinierte Rollen: Suchen Sie auf dieser Seite in den vordefinierten Rollenbeschreibungen, um zu sehen, welche Berechtigungen die Rolle enthält.
In den folgenden Abschnitten werden die einzelnen Rollentypen beschrieben und Beispiele für deren Verwendung gegeben.
Einfache Rollen
Vor der Einführung von IAM gab es mehrere einfache Rollen: "Inhaber", "Bearbeiter" und "Betrachter". Diese Rollen sind konzentrisch, was bedeutet, dass die Inhaberrolle die Berechtigungen der Bearbeiterrolle und die Bearbeiterrolle die Berechtigungen der Betrachterrolle beinhaltet. Sie wurden ursprünglich als „einfache Rollen“ bezeichnet.
In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die die einfachen Rollen in allen Google Cloud-Diensten enthalten:
Definitionen für einfache Rollen
Name
Titel
Berechtigungen
roles/viewer
Betrachter
Berechtigungen für schreibgeschützte Aktionen, die sich nicht auf den Status auswirken, z. B. Anzeigen (aber nicht Ändern) vorhandener Ressourcen oder Daten
roles/editor
Bearbeiter
Alle Berechtigungen des Betrachters sowie Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. das Ändern vorhandener Ressourcen
Hinweis: Die Bearbeiterrolle enthält Berechtigungen zum Erstellen und Löschen von Ressourcen für die meisten Google Cloud-Dienste. Es enthält jedoch nicht die Berechtigung, sämtliche Aktionen für alle Dienste auszuführen. Weitere Informationen dazu, wie Sie prüfen können, ob eine Rolle die erforderlichen Berechtigungen hat, finden Sie auf dieser Seite unter Rollentypen.
roles/owner
Inhaber
Alle Berechtigungen des Bearbeiters und Berechtigungen für die folgenden Aktionen:
Rollen und Berechtigungen für ein Projekt und alle Ressourcen innerhalb des Projekts verwalten
Abrechnung für ein Projekt einrichten
Hinweis:
Durch das Zuweisen der Inhaberrolle auf Ressourcenebene, z. B. ein Pub/Sub-Thema, wird die Inhaberrolle im übergeordneten Projekt nicht zugewiesen.
Wenn Sie die Inhaberrolle auf Organisationsebene zuweisen, können Sie die Metadaten der Organisation nicht aktualisieren. Sie können damit jedoch alle Projekte und andere Ressourcen in dieser Organisation ändern.
Hinweis: Wenn Sie einem Nutzer außerhalb Ihrer Organisation die Rolle Inhaber für ein Projekt zuweisen möchten, müssen Sie die Google Cloud Console verwenden, nicht die gcloud CLI. Wenn Ihr Projekt nicht zu einer Organisation gehört, müssen Sie die Cloud Console zum Erteilen der Rolle „Inhaber“ verwenden.
Sie können einfache Rollen auf Projekt- oder Dienstressourcenebene mithilfe der Cloud Console, der API und der gcloud CLI zuweisen. Eine Anleitung finden Sie unter Zugriff gewähren, ändern und widerrufen.
Zusätzlich zu den einfachen Rollen bietet IAM weitere vordefinierte Rollen, die detaillierten Zugriff auf bestimmte Ressourcen von Google Cloud ermöglichen und unerwünschten Zugriff auf andere Ressourcen verhindern. Vordefinierte Rollen werden von Google erstellt und verwaltet. Google aktualisiert seine Berechtigungen bei Bedarf automatisch, z. B. wenn Google Cloud neue Features oder Dienste hinzufügt.
Die folgende Tabelle enthält diese Rollen, ihre Beschreibung und den Ressourcentyp der untersten Ebene, für den Rollen festgelegt werden. Eine bestimmte Rolle kann diesem Ressourcentyp oder in den meisten Fällen einem übergeordneten Typ in der Google Cloud-Ressourcen-Hierarchie zugewiesen werden.
Sie können demselben Nutzer auf jeder Ebene der Ressourcenhierarchie mehrere Rollen zuweisen. Zum Beispiel kann ein Nutzer die Rollen "Compute-Netzwerkadministrator" und "Logbetrachter" für ein Projekt und auch die Rolle "Pub/Sub-Publisher" für ein Pub/Sub-Thema in diesem Projekt haben. Informationen zum Auflisten der in einer Rolle enthaltenen Berechtigungen finden Sie unter Rollenmetadaten abrufen.
Informationen zur Auswahl der am besten geeigneten vordefinierten Rollen finden Sie unter Vordefinierte Rollen auswählen.
Rollen zur Zugriffsgenehmigung
Rolle
Berechtigungen
Genehmiger für ZugriffsgenehmigungenBeta
(roles/accessapproval.approver)
Kann Anfragen für Zugriffsgenehmigungen ansehen und bearbeiten sowie Konfigurationen ansehen
accessapproval.requests.*
accessapproval.settings.get
resourcemanager.projects.get
resourcemanager.projects.list
Bearbeiter der Konfiguration von ZugriffsgenehmigungenBeta
(roles/accessapproval.configEditor)
Kann die Zugriffsgenehmigungskonfiguration aktualisieren
accessapproval.settings.*
resourcemanager.projects.get
resourcemanager.projects.list
Betrachter von ZugriffsgenehmigungenBeta
(roles/accessapproval.viewer)
Kann Anfragen für Zugriffsgenehmigungen und Konfigurationen ansehen
accessapproval.requests.get
accessapproval.requests.list
accessapproval.settings.get
resourcemanager.projects.get
resourcemanager.projects.list
Access Context Manager-Rollen
Rolle
Berechtigungen
Administrator für Cloud-Zugriffsbindungen
(roles/accesscontextmanager.gcpAccessAdmin)
Cloud-Zugriffsbindungen erstellen, bearbeiten und ändern.
accesscontextmanager.gcpUserAccessBindings.*
Leser für Cloud-Zugriffsbindungen
(roles/accesscontextmanager.gcpAccessReader)
Lesezugriff auf alle Notebooks-Ressourcen über die Compute API.
compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.getIamPolicy
compute.backendServices.list
compute.commitments.get
compute.commitments.list
compute.diskTypes.*
compute.disks.get
compute.disks.getIamPolicy
compute.disks.list
compute.disks.listEffectiveTags
compute.disks.listTagBindings
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.firewallPolicies.get
compute.firewallPolicies.getIamPolicy
compute.firewallPolicies.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalForwardingRules.pscGet
compute.globalNetworkEndpointGroups.get
compute.globalNetworkEndpointGroups.list
compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalPublicDelegatedPrefixes.get
compute.globalPublicDelegatedPrefixes.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.get
compute.images.getFromFamily
compute.images.getIamPolicy
compute.images.list
compute.images.listEffectiveTags
compute.images.listTagBindings
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceTemplates.get
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instances.get
compute.instances.getEffectiveFirewalls
compute.instances.getGuestAttributes
compute.instances.getIamPolicy
compute.instances.getScreenshot
compute.instances.getSerialPortOutput
compute.instances.getShieldedInstanceIdentity
compute.instances.getShieldedVmIdentity
compute.instances.list
compute.instances.listEffectiveTags
compute.instances.listReferrers
compute.instances.listTagBindings
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.licenseCodes.get
compute.licenseCodes.getIamPolicy
compute.licenseCodes.list
compute.licenses.get
compute.licenses.getIamPolicy
compute.licenses.list
compute.machineImages.get
compute.machineImages.getIamPolicy
compute.machineImages.list
compute.machineTypes.*
compute.maintenancePolicies.get
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.networkEndpointGroups.get
compute.networkEndpointGroups.getIamPolicy
compute.networkEndpointGroups.list
compute.networks.get
compute.networks.getEffectiveFirewalls
compute.networks.getRegionEffectiveFirewalls
compute.networks.list
compute.networks.listPeeringRoutes
compute.nodeGroups.get
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTypes.*
compute.organizations.listAssociations
compute.packetMirrorings.get
compute.packetMirrorings.list
compute.projects.get
compute.publicAdvertisedPrefixes.get
compute.publicAdvertisedPrefixes.list
compute.publicDelegatedPrefixes.get
compute.publicDelegatedPrefixes.list
compute.regionBackendServices.get
compute.regionBackendServices.getIamPolicy
compute.regionBackendServices.list
compute.regionFirewallPolicies.get
compute.regionFirewallPolicies.getIamPolicy
compute.regionFirewallPolicies.list
compute.regionHealthCheckServices.get
compute.regionHealthCheckServices.list
compute.regionHealthChecks.get
compute.regionHealthChecks.list
compute.regionNetworkEndpointGroups.get
compute.regionNetworkEndpointGroups.list
compute.regionNotificationEndpoints.get
compute.regionNotificationEndpoints.list
compute.regionOperations.get
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regionSslCertificates.get
compute.regionSslCertificates.list
compute.regionTargetHttpProxies.get
compute.regionTargetHttpProxies.list
compute.regionTargetHttpsProxies.get
compute.regionTargetHttpsProxies.list
compute.regionUrlMaps.get
compute.regionUrlMaps.list
compute.regionUrlMaps.validate
compute.regions.*
compute.reservations.get
compute.reservations.list
compute.resourcePolicies.get
compute.resourcePolicies.list
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.securityPolicies.get
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.serviceAttachments.get
compute.serviceAttachments.list
compute.snapshots.get
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.snapshots.listEffectiveTags
compute.snapshots.listTagBindings
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.targetGrpcProxies.get
compute.targetGrpcProxies.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.urlMaps.validate
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zones.*
notebooks.environments.get
notebooks.environments.getIamPolicy
notebooks.environments.list
notebooks.executions.get
notebooks.executions.getIamPolicy
notebooks.executions.list
notebooks.instances.checkUpgradability
notebooks.instances.get
notebooks.instances.getHealth
notebooks.instances.getIamPolicy
notebooks.instances.list
notebooks.locations.*
notebooks.operations.get
notebooks.operations.list
notebooks.runtimes.get
notebooks.runtimes.getIamPolicy
notebooks.runtimes.list
notebooks.schedules.get
notebooks.schedules.getIamPolicy
notebooks.schedules.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Notebooks-Ausführer
(roles/notebooks.runner)
Eingeschränkter Zugriff zum Ausführen geplanter Notebooks.
compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.getIamPolicy
compute.backendServices.list
compute.commitments.get
compute.commitments.list
compute.diskTypes.*
compute.disks.get
compute.disks.getIamPolicy
compute.disks.list
compute.disks.listEffectiveTags
compute.disks.listTagBindings
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.firewallPolicies.get
compute.firewallPolicies.getIamPolicy
compute.firewallPolicies.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalForwardingRules.pscGet
compute.globalNetworkEndpointGroups.get
compute.globalNetworkEndpointGroups.list
compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalPublicDelegatedPrefixes.get
compute.globalPublicDelegatedPrefixes.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.get
compute.images.getFromFamily
compute.images.getIamPolicy
compute.images.list
compute.images.listEffectiveTags
compute.images.listTagBindings
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceTemplates.get
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instances.get
compute.instances.getEffectiveFirewalls
compute.instances.getGuestAttributes
compute.instances.getIamPolicy
compute.instances.getScreenshot
compute.instances.getSerialPortOutput
compute.instances.getShieldedInstanceIdentity
compute.instances.getShieldedVmIdentity
compute.instances.list
compute.instances.listEffectiveTags
compute.instances.listReferrers
compute.instances.listTagBindings
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.licenseCodes.get
compute.licenseCodes.getIamPolicy
compute.licenseCodes.list
compute.licenses.get
compute.licenses.getIamPolicy
compute.licenses.list
compute.machineImages.get
compute.machineImages.getIamPolicy
compute.machineImages.list
compute.machineTypes.*
compute.maintenancePolicies.get
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.networkEndpointGroups.get
compute.networkEndpointGroups.getIamPolicy
compute.networkEndpointGroups.list
compute.networks.get
compute.networks.getEffectiveFirewalls
compute.networks.getRegionEffectiveFirewalls
compute.networks.list
compute.networks.listPeeringRoutes
compute.nodeGroups.get
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTypes.*
compute.organizations.listAssociations
compute.packetMirrorings.get
compute.packetMirrorings.list
compute.projects.get
compute.publicAdvertisedPrefixes.get
compute.publicAdvertisedPrefixes.list
compute.publicDelegatedPrefixes.get
compute.publicDelegatedPrefixes.list
compute.regionBackendServices.get
compute.regionBackendServices.getIamPolicy
compute.regionBackendServices.list
compute.regionFirewallPolicies.get
compute.regionFirewallPolicies.getIamPolicy
compute.regionFirewallPolicies.list
compute.regionHealthCheckServices.get
compute.regionHealthCheckServices.list
compute.regionHealthChecks.get
compute.regionHealthChecks.list
compute.regionNetworkEndpointGroups.get
compute.regionNetworkEndpointGroups.list
compute.regionNotificationEndpoints.get
compute.regionNotificationEndpoints.list
compute.regionOperations.get
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regionSslCertificates.get
compute.regionSslCertificates.list
compute.regionTargetHttpProxies.get
compute.regionTargetHttpProxies.list
compute.regionTargetHttpsProxies.get
compute.regionTargetHttpsProxies.list
compute.regionUrlMaps.get
compute.regionUrlMaps.list
compute.regionUrlMaps.validate
compute.regions.*
compute.reservations.get
compute.reservations.list
compute.resourcePolicies.get
compute.resourcePolicies.list
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.securityPolicies.get
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.serviceAttachments.get
compute.serviceAttachments.list
compute.snapshots.get
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.snapshots.listEffectiveTags
compute.snapshots.listTagBindings
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.targetGrpcProxies.get
compute.targetGrpcProxies.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.urlMaps.validate
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zones.*
notebooks.environments.get
notebooks.environments.getIamPolicy
notebooks.environments.list
notebooks.executions.create
notebooks.executions.get
notebooks.executions.getIamPolicy
notebooks.executions.list
notebooks.instances.checkUpgradability
notebooks.instances.create
notebooks.instances.get
notebooks.instances.getHealth
notebooks.instances.getIamPolicy
notebooks.instances.list
notebooks.locations.*
notebooks.operations.get
notebooks.operations.list
notebooks.runtimes.create
notebooks.runtimes.get
notebooks.runtimes.getIamPolicy
notebooks.runtimes.list
notebooks.schedules.create
notebooks.schedules.get
notebooks.schedules.getIamPolicy
notebooks.schedules.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Notebooks-Betrachter
(roles/notebooks.viewer)
Lesezugriff auf alle Notebooks-Ressourcen
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Instanz
compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.getIamPolicy
compute.backendServices.list
compute.commitments.get
compute.commitments.list
compute.diskTypes.*
compute.disks.get
compute.disks.getIamPolicy
compute.disks.list
compute.disks.listEffectiveTags
compute.disks.listTagBindings
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.firewallPolicies.get
compute.firewallPolicies.getIamPolicy
compute.firewallPolicies.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalForwardingRules.pscGet
compute.globalNetworkEndpointGroups.get
compute.globalNetworkEndpointGroups.list
compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalPublicDelegatedPrefixes.get
compute.globalPublicDelegatedPrefixes.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.get
compute.images.getFromFamily
compute.images.getIamPolicy
compute.images.list
compute.images.listEffectiveTags
compute.images.listTagBindings
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceTemplates.get
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instances.get
compute.instances.getEffectiveFirewalls
compute.instances.getGuestAttributes
compute.instances.getIamPolicy
compute.instances.getScreenshot
compute.instances.getSerialPortOutput
compute.instances.getShieldedInstanceIdentity
compute.instances.getShieldedVmIdentity
compute.instances.list
compute.instances.listEffectiveTags
compute.instances.listReferrers
compute.instances.listTagBindings
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.licenseCodes.get
compute.licenseCodes.getIamPolicy
compute.licenseCodes.list
compute.licenses.get
compute.licenses.getIamPolicy
compute.licenses.list
compute.machineImages.get
compute.machineImages.getIamPolicy
compute.machineImages.list
compute.machineTypes.*
compute.maintenancePolicies.get
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.networkEndpointGroups.get
compute.networkEndpointGroups.getIamPolicy
compute.networkEndpointGroups.list
compute.networks.get
compute.networks.getEffectiveFirewalls
compute.networks.getRegionEffectiveFirewalls
compute.networks.list
compute.networks.listPeeringRoutes
compute.nodeGroups.get
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTypes.*
compute.organizations.listAssociations
compute.packetMirrorings.get
compute.packetMirrorings.list
compute.projects.get
compute.publicAdvertisedPrefixes.get
compute.publicAdvertisedPrefixes.list
compute.publicDelegatedPrefixes.get
compute.publicDelegatedPrefixes.list
compute.regionBackendServices.get
compute.regionBackendServices.getIamPolicy
compute.regionBackendServices.list
compute.regionFirewallPolicies.get
compute.regionFirewallPolicies.getIamPolicy
compute.regionFirewallPolicies.list
compute.regionHealthCheckServices.get
compute.regionHealthCheckServices.list
compute.regionHealthChecks.get
compute.regionHealthChecks.list
compute.regionNetworkEndpointGroups.get
compute.regionNetworkEndpointGroups.list
compute.regionNotificationEndpoints.get
compute.regionNotificationEndpoints.list
compute.regionOperations.get
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regionSslCertificates.get
compute.regionSslCertificates.list
compute.regionTargetHttpProxies.get
compute.regionTargetHttpProxies.list
compute.regionTargetHttpsProxies.get
compute.regionTargetHttpsProxies.list
compute.regionUrlMaps.get
compute.regionUrlMaps.list
compute.regionUrlMaps.validate
compute.regions.*
compute.reservations.get
compute.reservations.list
compute.resourcePolicies.get
compute.resourcePolicies.list
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.securityPolicies.get
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.serviceAttachments.get
compute.serviceAttachments.list
compute.snapshots.get
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.snapshots.listEffectiveTags
compute.snapshots.listTagBindings
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.targetGrpcProxies.get
compute.targetGrpcProxies.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.urlMaps.validate
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zones.*
notebooks.environments.get
notebooks.environments.getIamPolicy
notebooks.environments.list
notebooks.executions.get
notebooks.executions.getIamPolicy
notebooks.executions.list
notebooks.instances.checkUpgradability
notebooks.instances.get
notebooks.instances.getHealth
notebooks.instances.getIamPolicy
notebooks.instances.list
notebooks.locations.*
notebooks.operations.get
notebooks.operations.list
notebooks.runtimes.get
notebooks.runtimes.getIamPolicy
notebooks.runtimes.list
notebooks.schedules.get
notebooks.schedules.getIamPolicy
notebooks.schedules.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
AI Platform-Rollen
Rolle
Berechtigungen
AI Platform-Administrator
(roles/ml.admin)
Vollzugriff auf AI Platform-Ressourcen und die zugehörigen Jobs, Vorgänge, Modelle und Versionen.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Projekt
ml.*
resourcemanager.projects.get
AI Platform-Entwickler
(roles/ml.developer)
Verwendung von AI Platform-Ressourcen zur Erstellung von Modellen, Versionen und Jobs zu Schulungs- und Vorhersagezwecken sowie zum Senden von Online-Vorhersageanfragen.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Projekt
ml.jobs.create
ml.jobs.get
ml.jobs.getIamPolicy
ml.jobs.list
ml.locations.*
ml.models.create
ml.models.get
ml.models.getIamPolicy
ml.models.list
ml.models.predict
ml.operations.get
ml.operations.list
ml.projects.*
ml.studies.*
ml.trials.*
ml.versions.get
ml.versions.list
ml.versions.predict
resourcemanager.projects.get
AI Platform-Jobinhaber
(roles/ml.jobOwner)
Vollzugriff auf alle Berechtigungen für eine bestimmte Jobressource. Diese Rolle wird dem Nutzer, der den Job erstellt, automatisch zugewiesen.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Job
ml.jobs.*
AI Platform-Modellinhaber
(roles/ml.modelOwner)
Vollzugriff auf das Modell und seine Versionen. Diese Rolle wird dem Nutzer, der das Modell erstellt, automatisch zugewiesen.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Modell
ml.models.*
ml.versions.*
AI Platform-Modellnutzer
(roles/ml.modelUser)
Berechtigung zum Lesen des Modells und seiner Versionen sowie deren Nutzung für die Vorhersage.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Modell
ml.models.get
ml.models.predict
ml.versions.get
ml.versions.list
ml.versions.predict
AI Platform-Vorgangsinhaber
(roles/ml.operationOwner)
Vollzugriff auf alle Berechtigungen für eine bestimmte Betriebsressource.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Aktion
ml.operations.*
AI Platform-Betrachter
(roles/ml.viewer)
Lesezugriff auf AI Platform-Ressourcen.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Berechtigung zum Lesen/Schreiben/Ändern für die gesamte Anwendungskonfiguration und die Einstellungen
Um neue Versionen bereitstellen zu können, muss ein Hauptkonto die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser) für das Standarddienstkonto von App Engine haben. und die Rollen „Cloud Build-Bearbeiter“ (roles/cloudbuild.builds.editor) und „Cloud Storage-Objekt-Administrator“ (roles/storage.objectAdmin) für das Projekt verwenden.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Projekt
appengine.applications.get
appengine.applications.update
appengine.instances.*
appengine.operations.*
appengine.runtimes.*
appengine.services.*
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
appengine.versions.update
resourcemanager.projects.get
resourcemanager.projects.list
App Engine-Ersteller
(roles/appengine.appCreator)
Fähigkeit zur Erstellung der App Engine-Ressource für das Projekt.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Projekt
appengine.applications.create
resourcemanager.projects.get
resourcemanager.projects.list
App Engine-Betrachter
(roles/appengine.appViewer)
Schreibgeschützter Zugriff auf die gesamte Anwendungskonfiguration und die Einstellungen
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Schreibgeschützter Zugriff auf die gesamte Anwendungskonfiguration und die Einstellungen
Zum Bereitstellen neuer Versionen benötigen Sie außerdem die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser) für das Standarddienstkonto von App Engine. und die Rollen „Cloud Build-Bearbeiter“ (roles/cloudbuild.builds.editor) und „Cloud Storage-Objekt-Administrator“ (roles/storage.objectAdmin) für das Projekt verwenden.
Sie können vorhandene Versionen nicht bearbeiten, sondern nur Versionen löschen, die keinen Traffic empfangen.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Gewährt Lese-/Schreibzugriff auf Assured Workloads-Ressourcen, CRM-Ressourcen – Verwaltung von Projekten/Ordnern und Organisationsrichtlinien
assuredworkloads.*
orgpolicy.policy.*
resourcemanager.folders.create
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.projects.create
resourcemanager.projects.get
resourcemanager.projects.list
Leser von Assured Workloads
(roles/assuredworkloads.reader)
Gewährt Lesezugriff auf alle Assured Workloads-Ressourcen und CRM-Ressourcen – Projekt/Ordner
assuredworkloads.operations.*
assuredworkloads.violations.*
assuredworkloads.workload.get
assuredworkloads.workload.list
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
AutoML-Rollen
Rolle
Berechtigungen
AutoML-AdministratorBeta
(roles/automl.admin)
Voller Zugriff auf alle AutoML-Ressourcen
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Dataset
Modell
automl.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list
AutoML-BearbeiterBeta
(roles/automl.editor)
Bearbeiter aller AutoML-Ressourcen
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Dataset
Modell
automl.annotationSpecs.*
automl.annotations.*
automl.columnSpecs.*
automl.datasets.create
automl.datasets.delete
automl.datasets.export
automl.datasets.get
automl.datasets.import
automl.datasets.list
automl.datasets.update
automl.examples.*
automl.humanAnnotationTasks.*
automl.locations.get
automl.locations.list
automl.modelEvaluations.*
automl.models.create
automl.models.delete
automl.models.deploy
automl.models.export
automl.models.get
automl.models.list
automl.models.predict
automl.models.undeploy
automl.operations.*
automl.tableSpecs.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list
AutoML-ErkennungBeta
(roles/automl.predictor)
Erkennen mit Modellen
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Modell
automl.models.predict
resourcemanager.projects.get
resourcemanager.projects.list
AutoML-BetrachterBeta
(roles/automl.viewer)
Betrachter von allen AutoML-Ressourcen
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Dataset
Modell
automl.annotationSpecs.get
automl.annotationSpecs.list
automl.annotations.list
automl.columnSpecs.get
automl.columnSpecs.list
automl.datasets.get
automl.datasets.list
automl.examples.get
automl.examples.list
automl.humanAnnotationTasks.get
automl.humanAnnotationTasks.list
automl.locations.get
automl.locations.list
automl.modelEvaluations.get
automl.modelEvaluations.list
automl.models.get
automl.models.list
automl.operations.get
automl.operations.list
automl.tableSpecs.get
automl.tableSpecs.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list
Back-up für GKE-Rollen
Rolle
Berechtigungen
Sicherung für GKE-AdministratorBeta
(roles/gkebackup.admin)
Vollständiger Zugriff auf alle Ressourcen von „Sicherung für GKE“.
gkebackup.*
resourcemanager.projects.get
resourcemanager.projects.list
Sicherung für GKE-SicherungsadministratorBeta
(roles/gkebackup.backupAdmin)
Ermöglicht Administratoren die Verwaltung aller BackupPlan- und Sicherungsressourcen.
gkebackup.backupPlans.*
gkebackup.backups.*
gkebackup.locations.*
gkebackup.operations.get
gkebackup.operations.list
gkebackup.volumeBackups.*
resourcemanager.projects.get
resourcemanager.projects.list
Delegierter Sicherungsadministrator von „Sicherung für GKE“Beta
(roles/gkebackup.delegatedBackupAdmin)
Ermöglicht Administratoren die Verwaltung von Sicherungsressourcen für bestimmte BackupPlans
gkebackup.backupPlans.get
gkebackup.backups.*
gkebackup.volumeBackups.*
Delegierter Wiederherstellungsadministrator von „Sicherung für GKE“Beta
(roles/gkebackup.delegatedRestoreAdmin)
Ermöglicht Administratoren die Verwaltung von Wiederherstellungsressourcen für bestimmte RestorePlans
gkebackup.restorePlans.get
gkebackup.restores.*
gkebackup.volumeRestores.*
Sicherung für GKE Restore-AdministratorBeta
(roles/gkebackup.restoreAdmin)
Ermöglicht Administratoren die Verwaltung aller RestorePlan- und Wiederherstellungsressourcen.
gkebackup.backupPlans.get
gkebackup.backupPlans.list
gkebackup.backups.get
gkebackup.backups.list
gkebackup.locations.*
gkebackup.operations.get
gkebackup.operations.list
gkebackup.restorePlans.*
gkebackup.restores.*
gkebackup.volumeBackups.*
gkebackup.volumeRestores.*
resourcemanager.projects.get
resourcemanager.projects.list
Sicherung für GKE-BetrachterBeta
(roles/gkebackup.viewer)
Lesezugriff auf alle Ressourcen von „Sicherung für GKE“.
gkebackup.backupPlans.get
gkebackup.backupPlans.getIamPolicy
gkebackup.backupPlans.list
gkebackup.backups.get
gkebackup.backups.list
gkebackup.locations.*
gkebackup.operations.get
gkebackup.operations.list
gkebackup.restorePlans.get
gkebackup.restorePlans.getIamPolicy
gkebackup.restorePlans.list
gkebackup.restores.get
gkebackup.restores.list
gkebackup.volumeBackups.*
gkebackup.volumeRestores.*
resourcemanager.projects.get
resourcemanager.projects.list
BigQuery-Rollen
Rolle
Berechtigungen
BigQuery-Administrator
(roles/bigquery.admin)
Berechtigungen zum Verwalten aller Ressourcen im Projekt. Es können damit alle Daten im Projekt verwaltet und Jobs von anderen Nutzern abgebrochen werden, die im Projekt ausgeführt werden.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:
Daten und Metadaten aus der Tabelle oder Ansicht lesen.
Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.
Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:
Metadaten des Datasets lesen und Tabellen im Dataset auflisten.
Daten und Metadaten aus den Tabellen des Datasets lesen.
Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht diese Rolle die Aufzählung aller Datasets im Projekt. Für die Ausführung von Jobs sind jedoch weitere Rollen erforderlich.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Tabelle
Ansehen
bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.models.export
bigquery.models.getData
bigquery.models.getMetadata
bigquery.models.list
bigquery.routines.get
bigquery.routines.list
bigquery.tables.createSnapshot
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.getIamPolicy
bigquery.tables.list
resourcemanager.projects.get
resourcemanager.projects.list
Betrachter von gefilterten BigQuery-Daten
(roles/bigquery.filteredDataViewer)
Ermöglicht das Ansehen von gefilterten Tabellendaten, die durch eine Zugriffsrichtlinie für Zeilen definiert werden
bigquery.rowAccessPolicies.getFilteredData
BigQuery-Jobnutzer
(roles/bigquery.jobUser)
Berechtigungen zum Ausführen von Jobs im Projekt, einschließlich Abfragen.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Kann alle BigQuery-Ressourcen betrachten, aber keine Änderungen vornehmen oder Kaufentscheidungen treffen.
bigquery.bireservations.get
bigquery.capacityCommitments.get
bigquery.capacityCommitments.list
bigquery.jobs.get
bigquery.jobs.list
bigquery.jobs.listAll
bigquery.jobs.listExecutionMetadata
bigquery.reservationAssignments.list
bigquery.reservationAssignments.search
bigquery.reservations.get
bigquery.reservations.list
resourcemanager.projects.get
resourcemanager.projects.list
BigQuery-Nutzer
(roles/bigquery.user)
Bei Anwendung auf ein Dataset ermöglicht diese Rolle das Lesen der Metadaten des Datasets und das Auflisten von Tabellen im Dataset.
Bei Anwendung auf ein Projekt bietet diese Rolle auch die Möglichkeit, Jobs, einschließlich Abfragen, innerhalb des Projekts auszuführen. Ein Hauptkonto mit dieser Rolle kann seine eigenen Jobs auflisten, seine eigenen Jobs abbrechen und Datasets innerhalb eines Projekts aufzählen. Darüber hinaus ermöglicht die Rolle das Erstellen neuer Datasets im Projekt. Dem Ersteller wird für diese neuen Datasets die Rolle "BigQuery Data-Inhaber" (roles/bigquery.dataOwner) zugewiesen.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Maskierter Lesezugriff auf Unterressourcen, die durch das Richtlinien-Tag getaggt sind, das einer Datenrichtlinie zugeordnet ist, z. B. BigQuery-Spalten
bigquery.dataPolicies.maskedGet
Abrechnungsrollen
Rolle
Berechtigungen
Rechnungskontoadministrator
(roles/billing.admin)
Berechtigung zum Aufrufen und Verwalten aller Aspekte von Abrechnungskonten
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Rechnungskonto
billing.accounts.close
billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.getPaymentInfo
billing.accounts.getPricing
billing.accounts.getSpendingInformation
billing.accounts.getUsageExportSpec
billing.accounts.list
billing.accounts.move
billing.accounts.redeemPromotion
billing.accounts.removeFromOrganization
billing.accounts.reopen
billing.accounts.setIamPolicy
billing.accounts.update
billing.accounts.updatePaymentInfo
billing.accounts.updateUsageExportSpec
billing.budgets.*
billing.credits.*
billing.resourceAssociations.*
billing.subscriptions.*
cloudnotifications.*
commerceoffercatalog.*
consumerprocurement.accounts.*
consumerprocurement.orderAttributions.*
consumerprocurement.orders.*
dataprocessing.datasources.get
dataprocessing.datasources.list
dataprocessing.groupcontrols.get
dataprocessing.groupcontrols.list
logging.logEntries.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.privateLogEntries.*
recommender.commitmentUtilizationInsights.*
recommender.costInsights.*
recommender.spendBasedCommitmentInsights.*
recommender.spendBasedCommitmentRecommendations.*
recommender.usageCommitmentRecommendations.*
resourcemanager.projects.createBillingAssignment
resourcemanager.projects.deleteBillingAssignment
Kostenverwalter für Rechnungskonto
(roles/billing.costsManager)
Budgets für ein Rechnungskonto verwalten und Kosteninformationen eines Rechnungskontos aufrufen, analysieren und exportieren.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Rechnungskonto
billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.getSpendingInformation
billing.accounts.getUsageExportSpec
billing.accounts.list
billing.accounts.updateUsageExportSpec
billing.budgets.*
billing.resourceAssociations.list
recommender.costInsights.*
Rechnungskonto-Ersteller
(roles/billing.creator)
Berechtigung zum Erstellen von Abrechnungskonten
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Organisation
billing.accounts.create
resourcemanager.organizations.get
Administrator für die Projektabrechnung
(roles/billing.projectManager)
Wenn diese Rolle in Kombination mit der Rolle Rechnungskontonutzer zugewiesen wird, kann das Projekt mit dem Rechnungskonto verknüpft oder die Rechnungsstellung deaktiviert werden.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Projekt
resourcemanager.projects.createBillingAssignment
resourcemanager.projects.deleteBillingAssignment
Rechnungskontonutzer
(roles/billing.user)
Wird die Rolle zusammen mit der Rolle Projektinhaber oder Projektabrechnungs-Manager zugewiesen, können Projekte mit Rechnungskonten verknüpft werden.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Rechnungskonto
billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.list
billing.accounts.redeemPromotion
billing.credits.*
billing.resourceAssociations.create
Rechnungskontobetrachter
(roles/billing.viewer)
Kosten- und Preisinformationen, Transaktionen, Empfehlungen zur Abrechnung und Nutzungszusicherung für das Rechnungskonto aufrufen.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Lesezugriff auf alle Zertifikatmanager-Ressourcen.
certificatemanager.certmapentries.get
certificatemanager.certmapentries.getIamPolicy
certificatemanager.certmapentries.list
certificatemanager.certmaps.get
certificatemanager.certmaps.getIamPolicy
certificatemanager.certmaps.list
certificatemanager.certs.delete
certificatemanager.certs.getIamPolicy
certificatemanager.certs.list
certificatemanager.dnsauthorizations.get
certificatemanager.dnsauthorizations.getIamPolicy
certificatemanager.dnsauthorizations.list
certificatemanager.locations.*
certificatemanager.operations.get
certificatemanager.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
Cloud-Asset-Rollen
Rolle
Berechtigungen
Cloud-Asset-Inhaber
(roles/cloudasset.owner)
Kompletter Zugriff auf Cloud-Asset-Metadaten
cloudasset.*
recommender.cloudAssetInsights.*
recommender.locations.*
Cloud-Asset-Betrachter
(roles/cloudasset.viewer)
Lesezugriff auf Cloud-Asset-Metadaten
cloudasset.assets.*
recommender.cloudAssetInsights.get
recommender.cloudAssetInsights.list
recommender.locations.*
Cloud Bigtable-Rollen
Rolle
Berechtigungen
Bigtable-Administrator
(roles/bigtable.admin)
Verwaltet alle Instanzen in einem Projekt, darunter auch die Daten, die in den Tabellen gespeichert sind. Kann neue Instanzen erstellen. Gedacht für Projektadministratoren.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Tabelle
bigtable.*
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Bigtable-Leser
(roles/bigtable.reader)
Erlaubt nur Lesezugriff auf die in den Tabellen gespeicherten Daten. Gedacht für Datenanalysten, Dashboard-Generatoren und anderen Datenanalyse-Szenarien.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Tabelle
bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.backups.get
bigtable.backups.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.keyvisualizer.*
bigtable.locations.*
bigtable.tables.checkConsistency
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
bigtable.tables.readRows
bigtable.tables.sampleRowKeys
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Bigtable-Nutzer
(roles/bigtable.user)
Erlaubt Lese- und Schreibzugriff auf die in den Tabellen gespeicherten Daten. Gedacht für Anwendungsentwickler oder Dienstkontos.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Tabelle
bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.backups.get
bigtable.backups.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.keyvisualizer.*
bigtable.locations.*
bigtable.tables.checkConsistency
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
bigtable.tables.mutateRows
bigtable.tables.readRows
bigtable.tables.sampleRowKeys
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Bigtable-Betrachter
(roles/bigtable.viewer)
Bietet keinen Datenzugriff. Vorgesehen als minimaler Satz von Berechtigungen für den Zugriff auf die Cloud Console für Bigtable.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
Autor von Dataplex-Metadaten
(roles/dataplex.metadataWriter)
Lese- und Schreibzugriff auf Metadaten.
dataplex.assets.get
dataplex.assets.list
dataplex.entities.*
dataplex.partitions.*
dataplex.zones.get
dataplex.zones.list
Inhaber von Dataplex-Speicherdaten
(roles/dataplex.storageDataOwner)
Inhaberzugriff auf Daten. Sollte nicht direkt verwendet werden. Diese Rolle wird von Dataplex für verwaltete Ressourcen wie Cloud Storage-Buckets, BigQuery-Datasets usw. gewährt.
bigquery.datasets.get
bigquery.models.create
bigquery.models.delete
bigquery.models.export
bigquery.models.getData
bigquery.models.getMetadata
bigquery.models.list
bigquery.models.updateData
bigquery.models.updateMetadata
bigquery.routines.create
bigquery.routines.delete
bigquery.routines.get
bigquery.routines.list
bigquery.routines.update
bigquery.tables.create
bigquery.tables.createSnapshot
bigquery.tables.delete
bigquery.tables.deleteSnapshot
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.list
bigquery.tables.restoreSnapshot
bigquery.tables.update
bigquery.tables.updateData
storage.buckets.get
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.update
Leser von Dataplex-Speicherdaten
(roles/dataplex.storageDataReader)
Lesezugriff auf Daten. Sollte nicht direkt verwendet werden. Diese Rolle wird von Dataplex für verwaltete Ressourcen wie Cloud Storage-Buckets, BigQuery-Datasets usw. gewährt.
bigquery.datasets.get
bigquery.models.export
bigquery.models.getData
bigquery.models.getMetadata
bigquery.models.list
bigquery.routines.get
bigquery.routines.list
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.list
storage.buckets.get
storage.objects.get
storage.objects.list
Autor von Dataplex-Speicherdaten
(roles/dataplex.storageDataWriter)
Schreibzugriff auf Daten. Sollte nicht direkt verwendet werden. Diese Rolle wird von Dataplex für verwaltete Ressourcen wie Cloud Storage-Buckets, BigQuery-Datasets usw. gewährt.
Ermöglicht das Erstellen, Aufrufen, Auflisten und Löschen von Haltepunkten (Snapshots und Logpoints) sowie das Auflisten von Debug-Zielen, d. h. von Komponenten, für die ein Debugging ausgeführt werden soll.
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: