Informationen zu Rollen

Eine Rolle enthält eine Reihe von Berechtigungen, mit denen Sie bestimmte Aktionen für Google Cloud-Ressourcen vornehmen können. Wenn Sie Mitgliedern Berechtigungen erteilen möchten, einschließlich Nutzern, Gruppen und Dienstkonten, weisen Sie den Mitgliedern Rollen zu.

Auf dieser Seite werden die IAM-Rollen beschrieben, die Sie zuweisen können.

Voraussetzungen für diese Anleitung

Rollentypen

Es gibt drei Arten von Rollen in IAM:

  • Einfache Rollen, zu denen die Rollen "Inhaber", "Bearbeiter" und "Betrachter" gehören und die es schon vor der Einführung von IAM gab.
  • Vordefinierte Rollen, die detaillierten Zugriff auf einen bestimmten Dienst bieten und von Google Cloud verwaltet werden.
  • Benutzerdefinierte Rollen, die detaillierten Zugriff gemäß einer vom Nutzer angegebenen Liste von Berechtigungen bieten.

Mit einer der folgenden Methoden können Sie ermitteln, ob eine Berechtigung in einer einfachen, vordefinierten oder benutzerdefinierten Rolle enthalten ist:

  • Führen Sie den Befehl gcloud iam roles describe aus, um die Berechtigungen der Rolle aufzulisten:
  • Rufen Sie die REST API-Methode roles.get() auf, um die Berechtigungen in der Rolle aufzulisten.
  • Nur für einfache und vordefinierte Rollen: Suchen Sie in der Berechtigungsreferenz, ob die Berechtigung von der Rolle gewährt wird.
  • Nur für vordefinierte Rollen: Suchen Sie auf dieser Seite in den vordefinierten Rollenbeschreibungen, um zu sehen, welche Berechtigungen die Rolle enthält.

In den folgenden Abschnitten werden die einzelnen Rollentypen beschrieben und Beispiele für deren Verwendung gegeben.

Einfache Rollen

Vor der Einführung von IAM gab es mehrere einfache Rollen: "Inhaber", "Bearbeiter" und "Betrachter". Diese Rollen sind konzentrisch, was bedeutet, dass die Inhaberrolle die Berechtigungen der Bearbeiterrolle und die Bearbeiterrolle die Berechtigungen der Betrachterrolle beinhaltet. Sie wurden ursprünglich als „einfache Rollen“ bezeichnet.

In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die die einfachen Rollen in allen Google Cloud-Diensten enthalten:

Definitionen für einfache Rollen

Name Titel Berechtigungen
roles/viewer Betrachter Berechtigungen für schreibgeschützte Aktionen, die sich nicht auf den Status auswirken, z. B. Anzeigen (aber nicht Ändern) vorhandener Ressourcen oder Daten
roles/editor Bearbeiter Alle Berechtigungen des Betrachters sowie Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. das Ändern vorhandener Ressourcen
Hinweis: Die Rolle „Bearbeiter“ enthält Berechtigungen zum Erstellen und Löschen von Ressourcen für die meisten Google Cloud-Dienste. Sie enthält jedoch nicht die Berechtigungen, alle Aktionen für alle Dienste auszuführen. Weitere Informationen dazu, wie Sie prüfen können, ob eine Rolle die erforderlichen Berechtigungen hat, finden Sie im obigen Abschnitt.
roles/owner Inhaber Alle Berechtigungen des Bearbeiters und Berechtigungen für die folgenden Aktionen:
  • Rollen und Berechtigungen für ein Projekt und alle Ressourcen innerhalb des Projekts verwalten
  • Abrechnung für ein Projekt einrichten
Hinweis:
  • Durch das Zuweisen der Inhaberrolle auf Ressourcenebene, z. B. ein Pub/Sub-Thema, wird die Inhaberrolle im übergeordneten Projekt nicht zugewiesen.
  • Wenn Sie die Inhaberrolle auf Organisationsebene zuweisen, können Sie die Metadaten der Organisation nicht aktualisieren. Sie können damit jedoch Projekte und andere Ressourcen in dieser Organisation ändern.
  • Hinweis: Wenn Sie einem Nutzer außerhalb Ihrer Organisation die Rolle Inhaber für ein Projekt zuweisen möchten, müssen Sie die Google Cloud Console verwenden, nicht das gcloud-Tool. Wenn Ihr Projekt nicht zu einer Organisation gehört, müssen Sie die Cloud Console zum Erteilen der Rolle „Inhaber“ verwenden.

Sie können einfache Rollen auf Projekt- oder Dienstressourcenebene mithilfe der Cloud Console, der API und des gcloud-Tools zuweisen. Eine Anleitung finden Sie unter Zugriff gewähren, ändern und widerrufen.

Weitere Informationen zum Zuweisen von Rollen mit der Cloud Console finden Sie unter Zugriff gewähren, ändern und widerrufen.

Vordefinierte Rollen

Zusätzlich zu den einfachen Rollen bietet IAM weitere vordefinierte Rollen, die detaillierten Zugriff auf bestimmte Ressourcen von Google Cloud ermöglichen und unerwünschten Zugriff auf andere Ressourcen verhindern. Vordefinierte Rollen werden von Google erstellt und verwaltet. Google aktualisiert seine Berechtigungen bei Bedarf automatisch, z. B. wenn Google Cloud neue Features oder Dienste hinzufügt.

Die folgende Tabelle enthält diese Rollen, ihre Beschreibung und den Ressourcentyp der untersten Ebene, für den Rollen festgelegt werden. Eine bestimmte Rolle kann diesem Ressourcentyp oder in den meisten Fällen einem übergeordneten Typ in der Google Cloud-Hierarchie zugewiesen werden. Einem Nutzer können mehrere Rollen zugewiesen werden. Zum Beispiel kann ein Nutzer für ein Projekt die Rollen "Netzwerkadministrator" und "Log-Betrachter" und außerdem die Rolle "Publisher" für ein Pub/Sub-Thema in diesem Projekt haben. Eine Liste der in einer Rolle enthaltenen Berechtigungen finden Sie unter Rollenmetadaten abrufen.

Rollen zur Zugriffsgenehmigung

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/accessapproval.approver Genehmiger für Zugriffsgenehmigungen Beta Kann Anfragen für Zugriffsgenehmigungen ansehen und bearbeiten sowie Konfigurationen ansehen
  • accessapproval.requests.*
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accessapproval.configEditor Bearbeiter der ZugriffsgenehmigungskonfigurationBeta Kann die Zugriffsgenehmigungskonfiguration aktualisieren
  • accessapproval.settings.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accessapproval.viewer Betrachter von ZugriffsgenehmigungenBeta Kann Anfragen für Zugriffsgenehmigungen und Konfigurationen aufrufen
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Access Context Manager-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/accesscontextmanager.gcpAccessAdmin Administrator für Cloud-Zugriffsbindungen Erstellen, bearbeiten und ändern von Cloud-Zugriffsbindungen
  • accesscontextmanager.gcpUserAccessBindings.*
roles/accesscontextmanager.gcpAccessReader Leser für Cloud-Zugriffsbindungen Lesezugriff auf Cloud-Zugriffsbindungen
  • accesscontextmanager.gcpUserAccessBindings.get
  • accesscontextmanager.gcpUserAccessBindings.list
roles/accesscontextmanager.policyAdmin Access Context Manager-Administrator Vollständiger Zugriff auf Richtlinien, Zugriffsebenen und Zugriffszonen
  • accesscontextmanager.accessLevels.*
  • accesscontextmanager.accessPolicies.*
  • accesscontextmanager.accessZones.*
  • accesscontextmanager.policies.*
  • accesscontextmanager.servicePerimeters.*
  • cloudasset.assets.searchAllResources
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accesscontextmanager.policyEditor Access Context Manager-Bearbeiter Schreibzugriff auf Richtlinien. Erstellen, bearbeiten und ändern Sie Zugriffsebenen und -zonen.
  • accesscontextmanager.accessLevels.*
  • accesscontextmanager.accessPolicies.create
  • accesscontextmanager.accessPolicies.delete
  • accesscontextmanager.accessPolicies.get
  • accesscontextmanager.accessPolicies.getIamPolicy
  • accesscontextmanager.accessPolicies.list
  • accesscontextmanager.accessPolicies.update
  • accesscontextmanager.accessZones.*
  • accesscontextmanager.policies.create
  • accesscontextmanager.policies.delete
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.policies.update
  • accesscontextmanager.servicePerimeters.*
  • cloudasset.assets.searchAllResources
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accesscontextmanager.policyReader Access Context Manager-Leser Lesezugriff auf Richtlinien, Zugriffsebenen und Zugriffszonen.
  • accesscontextmanager.accessLevels.get
  • accesscontextmanager.accessLevels.list
  • accesscontextmanager.accessPolicies.get
  • accesscontextmanager.accessPolicies.getIamPolicy
  • accesscontextmanager.accessPolicies.list
  • accesscontextmanager.accessZones.get
  • accesscontextmanager.accessZones.list
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.servicePerimeters.get
  • accesscontextmanager.servicePerimeters.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accesscontextmanager.vpcScTroubleshooterViewer Betrachter der VPC Service Controls-Fehlerbehebung
  • accesscontextmanager.accessLevels.get
  • accesscontextmanager.accessLevels.list
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.servicePerimeters.get
  • accesscontextmanager.servicePerimeters.list
  • logging.exclusions.get
  • logging.exclusions.list
  • logging.logEntries.list
  • logging.logMetrics.get
  • logging.logMetrics.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.sinks.get
  • logging.sinks.list
  • logging.usage.*
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Actions-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/actions.Admin Actions-Administrator Kann Aktionen bearbeiten und bereitstellen
  • actions.*
  • firebase.projects.get
  • firebase.projects.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use
roles/actions.Viewer Actions-Betrachter Kann Aktionen aufrufen
  • actions.agent.get
  • actions.agentVersions.get
  • actions.agentVersions.list
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

Android Management-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/androidmanagement.user Android Management-Nutzer Vollständiger Zugriff zur Verwaltung von Geräten
  • androidmanagement.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Anthos Multi-Cloud-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/gkemulticloud.admin Anthos-Multi-Cloud-Administrator Beta Administrator von Anthos-Multi-Cloud-Ressourcen
  • gkemulticloud.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/gkemulticloud.viewer Anthos-Multi-Cloud-Betrachter Beta Betrachter von Anthos-Multi-Cloud-Ressourcen
  • gkemulticloud.awsClusters.get
  • gkemulticloud.awsClusters.list
  • gkemulticloud.awsNodePools.get
  • gkemulticloud.awsNodePools.list
  • gkemulticloud.awsServerConfigs.*
  • gkemulticloud.azureClients.get
  • gkemulticloud.azureClients.list
  • gkemulticloud.azureClusters.get
  • gkemulticloud.azureClusters.list
  • gkemulticloud.azureNodePools.get
  • gkemulticloud.azureNodePools.list
  • gkemulticloud.azureServerConfigs.*
  • gkemulticloud.operations.get
  • gkemulticloud.operations.list
  • gkemulticloud.operations.wait
  • resourcemanager.projects.get
  • resourcemanager.projects.list

API-Gateway-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/apigateway.admin ApiGateway-Administrator Vollständiger Zugriff auf ApiGateway und zugehörige Ressourcen.
  • apigateway.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigateway.viewer ApiGateway-Betrachter Lesezugriff auf ApiGateway und zugehörige Ressourcen.
  • apigateway.apiconfigs.get
  • apigateway.apiconfigs.getIamPolicy
  • apigateway.apiconfigs.list
  • apigateway.apis.get
  • apigateway.apis.getIamPolicy
  • apigateway.apis.list
  • apigateway.gateways.get
  • apigateway.gateways.getIamPolicy
  • apigateway.gateways.list
  • apigateway.locations.*
  • apigateway.operations.get
  • apigateway.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Apigee-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/apigee.admin Apigee-Organisationsadministrator Vollständiger Zugriff auf alle Apigee-Ressourcen-Features
  • apigee.*
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.analyticsAgent Apigee Analytics-Agent Ausgewählte Reihe von Berechtigungen für Apigee Universal Data Collection Agent, um Analysen für eine Apigee-Organisation zu verwalten
  • apigee.environments.getDataLocation
  • apigee.runtimeconfigs.*
roles/apigee.analyticsEditor Apigee Analytics-Bearbeiter Analytics-Editor für ein Apigee-Unternehmen
  • apigee.datacollectors.*
  • apigee.datastores.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.*
  • apigee.hostqueries.*
  • apigee.hoststats.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.queries.*
  • apigee.reports.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.analyticsViewer Apigee Analytics-Betrachter Analytics-Betrachter für ein Apigee-Unternehmen
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.datastores.get
  • apigee.datastores.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.get
  • apigee.exports.list
  • apigee.hostqueries.get
  • apigee.hostqueries.list
  • apigee.hoststats.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.queries.get
  • apigee.queries.list
  • apigee.reports.get
  • apigee.reports.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.apiAdmin Apigee API-Administrator Vollständiger Lese-/Schreibzugriff auf alle Apigee API-Ressourcen
  • apigee.apiproductattributes.*
  • apigee.apiproducts.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.keyvaluemaps.list
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.*
  • apigee.proxyrevisions.*
  • apigee.sharedflowrevisions.*
  • apigee.sharedflows.*
  • apigee.tracesessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.apiReader Apigee API-Leser Leser von Apigee-Ressourcen
  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.keyvaluemaps.list
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.deploy
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.proxyrevisions.undeploy
  • apigee.sharedflowrevisions.deploy
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflowrevisions.undeploy
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • apigee.tracesessions.get
  • apigee.tracesessions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.developerAdmin Apigee-Entwickler/Administrator Entwickleradministrator von Apigee-Ressourcen
  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.appkeys.*
  • apigee.apps.*
  • apigee.datacollectors.*
  • apigee.developerappattributes.*
  • apigee.developerapps.*
  • apigee.developerattributes.*
  • apigee.developerbalances.*
  • apigee.developermonetizationconfigs.*
  • apigee.developers.*
  • apigee.developersubscriptions.*
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.hoststats.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.rateplans.get
  • apigee.rateplans.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.environmentAdmin Administrator der Apigee-Umgebung Vollständiger Lese-/Schreibzugriff auf Apigee-Umgebungsressourcen, einschließlich Bereitstellungen.
  • apigee.archivedeployments.*
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.deployments.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getIamPolicy
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.environments.setIamPolicy
  • apigee.flowhooks.*
  • apigee.ingressconfigs.*
  • apigee.keystorealiases.*
  • apigee.keystores.*
  • apigee.keyvaluemaps.*
  • apigee.maskconfigs.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.deploy
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.proxyrevisions.undeploy
  • apigee.references.*
  • apigee.resourcefiles.*
  • apigee.sharedflowrevisions.deploy
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflowrevisions.undeploy
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • apigee.targetservers.*
  • apigee.tracesessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.monetizationAdmin Apigee-Monetarisierungsadministrator Alle Berechtigungen im Zusammenhang mit der Monetarisierung
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.developerbalances.*
  • apigee.developermonetizationconfigs.*
  • apigee.developersubscriptions.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.rateplans.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.portalAdmin Apigee-Portal-Administrator Portal-Administrator für eine Apigee-Organisation
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.portals.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.readOnlyAdmin Schreibgeschützter Apigee-Admin Betrachter aller Apigee-Ressourcen
  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.appkeys.get
  • apigee.apps.*
  • apigee.archivedeployments.download
  • apigee.archivedeployments.get
  • apigee.archivedeployments.list
  • apigee.caches.list
  • apigee.canaryevaluations.get
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.datastores.get
  • apigee.datastores.list
  • apigee.deployments.get
  • apigee.deployments.list
  • apigee.developerappattributes.get
  • apigee.developerappattributes.list
  • apigee.developerapps.get
  • apigee.developerapps.list
  • apigee.developerattributes.get
  • apigee.developerattributes.list
  • apigee.developerbalances.get
  • apigee.developermonetizationconfigs.get
  • apigee.developers.get
  • apigee.developers.list
  • apigee.developersubscriptions.get
  • apigee.developersubscriptions.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getDataLocation
  • apigee.environments.getIamPolicy
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.get
  • apigee.exports.list
  • apigee.flowhooks.getSharedFlow
  • apigee.flowhooks.list
  • apigee.hostqueries.get
  • apigee.hostqueries.list
  • apigee.hoststats.*
  • apigee.ingressconfigs.*
  • apigee.instanceattachments.get
  • apigee.instanceattachments.list
  • apigee.instances.get
  • apigee.instances.list
  • apigee.keystorealiases.get
  • apigee.keystorealiases.list
  • apigee.keystores.get
  • apigee.keystores.list
  • apigee.keyvaluemaps.list
  • apigee.maskconfigs.get
  • apigee.operations.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.portals.get
  • apigee.portals.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.queries.get
  • apigee.queries.list
  • apigee.rateplans.get
  • apigee.rateplans.list
  • apigee.references.get
  • apigee.references.list
  • apigee.reports.get
  • apigee.reports.list
  • apigee.resourcefiles.get
  • apigee.resourcefiles.list
  • apigee.runtimeconfigs.*
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • apigee.targetservers.get
  • apigee.targetservers.list
  • apigee.tracesessions.get
  • apigee.tracesessions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.runtimeAgent Apigee-Laufzeit-Agent Ein Gruppe ausgewählter Berechtigungen für einen Laufzeit-Agent zum Zugriff auf Apigee-Organisationsressourcen
  • apigee.canaryevaluations.*
  • apigee.ingressconfigs.*
  • apigee.instances.reportStatus
  • apigee.operations.*
  • apigee.organizations.get
  • apigee.runtimeconfigs.*
roles/apigee.synchronizerManager Apigee Synchronizer Manager Ausgewählte Reihe von Berechtigungen für einen Synchronizer, um Umgebungen in einer Apigee-Organisation zu verwalten
  • apigee.environments.get
  • apigee.environments.manageRuntime
  • apigee.ingressconfigs.*
roles/apigeeconnect.Admin Apigee Connect-Administrator Administrator von Apigee Connect
  • apigeeconnect.connections.*
roles/apigeeconnect.Agent Apigee Connect Agent Kann einen Apigee Connect-Agent zwischen externen Clustern und Google einrichten.
  • apigeeconnect.endpoints.*

App Engine-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/appengine.appAdmin App Engine-Administrator

Berechtigung zum Lesen/Schreiben/Ändern für die gesamte Anwendungskonfiguration und die Einstellungen

Um neue Versionen bereitzustellen, müssen Sie auch die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser) im App Engine-Standarddienstkonto haben.

Für die Bereitstellung des gcloud-Tools benötigen Sie die Rollen "Compute Storage-Administrator" (roles/compute.storageAdmin) und "Cloud Build-Bearbeiter" (roles/cloudbuild.builds.editor) im App Engine Standarddienstkonto.

  • appengine.applications.get
  • appengine.applications.update
  • appengine.instances.*
  • appengine.operations.*
  • appengine.runtimes.*
  • appengine.services.*
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/appengine.appCreator App Engine-Ersteller Fähigkeit zur Erstellung der App Engine-Ressource für das Projekt.
  • appengine.applications.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/appengine.appViewer App Engine-Betrachter Lesezugriff auf die gesamte Anwendungskonfiguration und die Einstellungen.
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.get
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/appengine.codeViewer Betrachter von App Engine-Code Lesezugriff auf die gesamte Anwendungskonfiguration, die Einstellungen und den bereitgestellten Quellcode.
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.get
  • appengine.versions.getFileContents
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/appengine.deployer App Engine-Bereitsteller

Schreibgeschützter Zugriff auf die gesamte Anwendungskonfiguration und die Einstellungen

Um neue Versionen bereitzustellen, müssen Sie auch die Rolle Dienstkontonutzer (roles/iam.serviceAccountUser) im App Engine-Standarddienstkonto haben.

Für die Bereitstellung des gcloud-Tools benötigen Sie die Rollen "Compute Storage-Administrator" (roles/compute.storageAdmin) und "Cloud Build-Bearbeiter" (roles/cloudbuild.builds.editor) im App Engine Standarddienstkonto.

Sie können vorhandene Versionen nicht bearbeiten, sondern nur Versionen löschen, die keinen Traffic empfangen.

  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/appengine.serviceAdmin App Engine-Dienstadministrator

Lesezugriff auf die gesamte Anwendungskonfiguration und die Einstellungen

Schreibberechtigung für Einstellungen auf Modul- und Versionsebene Kann keine neue Version bereitstellen.

  • appengine.applications.get
  • appengine.instances.*
  • appengine.operations.*
  • appengine.services.*
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt

Artifact Registry-Rollen

Role Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/artifactregistry.admin Artifact Registry-AdministratorBeta Administratorzugriff zum Erstellen und Verwalten von Repositories.
  • artifactregistry.*
roles/artifactregistry.reader Artifact Registry-Leser Beta Lesezugriff auf Repositoryelemente.
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.versions.get
  • artifactregistry.versions.list
roles/artifactregistry.repoAdmin Artifact Registry-Repository-AdministratorBeta Zugriff zur Verwaltung von Artefakten in Repositories.
  • artifactregistry.aptartifacts.*
  • artifactregistry.files.*
  • artifactregistry.packages.*
  • artifactregistry.repositories.deleteArtifacts
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.*
  • artifactregistry.versions.*
  • artifactregistry.yumartifacts.*
roles/artifactregistry.writer Artifact Registry-Autor Beta Lese- und Schreibzugriff auf Repositoryelemente.
  • artifactregistry.aptartifacts.*
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list
  • artifactregistry.yumartifacts.*

Assured Workloads-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/assuredworkloads.admin Assured Workloads-Administrator Gewährt vollständigen Zugriff auf Assured Workloads-Ressourcen, CRM-Ressourcen – Verwaltung von Projekten/Ordnern und Organisationsrichtlinien
  • assuredworkloads.*
  • orgpolicy.*
  • resourcemanager.folders.create
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/assuredworkloads.editor Assured Workloads-Bearbeiter Gewährt Lese-/Schreibzugriff auf Assured Workloads-Ressourcen, CRM-Ressourcen – Verwaltung von Projekten/Ordnern und Organisationsrichtlinien
  • assuredworkloads.*
  • orgpolicy.*
  • resourcemanager.folders.create
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/assuredworkloads.reader Leser von Assured Workloads Gewährt Lesezugriff auf alle Assured Workloads-Ressourcen und CRM-Ressourcen – Projekt/Ordner
  • assuredworkloads.operations.*
  • assuredworkloads.workload.get
  • assuredworkloads.workload.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

AutoML-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/automl.admin AutoML-AdministratorBeta Voller Zugriff auf alle AutoML-Ressourcen
  • automl.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Dataset/Modell
roles/automl.editor AutoML-BearbeiterBeta Bearbeiter aller AutoML-Ressourcen
  • automl.annotationSpecs.*
  • automl.annotations.*
  • automl.columnSpecs.*
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.update
  • automl.examples.*
  • automl.humanAnnotationTasks.*
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.*
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.list
  • automl.models.predict
  • automl.models.undeploy
  • automl.operations.*
  • automl.tableSpecs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Dataset/Modell
roles/automl.predictor AutoML-ErkennungBeta Erkennen mit Modellen
  • automl.models.predict
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Modell
roles/automl.viewer AutoML-BetrachterBeta Betrachter von allen AutoML-Ressourcen
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
Dataset/Modell

BigQuery-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/bigquery.admin BigQuery-Administrator Berechtigungen zum Verwalten aller Ressourcen im Projekt. Es können damit alle Daten im Projekt verwaltet und Jobs von anderen Nutzern abgebrochen werden, die im Projekt ausgeführt werden.
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.config.*
  • bigquery.connections.*
  • bigquery.datasets.*
  • bigquery.jobs.*
  • bigquery.models.*
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • bigquery.routines.*
  • bigquery.rowAccessPolicies.create
  • bigquery.rowAccessPolicies.delete
  • bigquery.rowAccessPolicies.getIamPolicy
  • bigquery.rowAccessPolicies.list
  • bigquery.rowAccessPolicies.setIamPolicy
  • bigquery.rowAccessPolicies.update
  • bigquery.savedqueries.*
  • bigquery.tables.*
  • bigquery.transfers.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/bigquery.connectionAdmin BigQuery-Verbindungsadministrator
  • bigquery.connections.*
roles/bigquery.connectionUser BigQuery-Verbindungsnutzer
  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use
roles/bigquery.dataEditor BigQuery-Datenbearbeiter

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren.
  • Die Tabelle oder Ansicht löschen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Metadaten des Datasets lesen und Tabellen im Dataset auflisten.
  • Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen.

Bei Anwendung auf Projekt- oder Organisationsebene können Sie durch diese Rolle zusätzlich neue Datasets erstellen.

  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.delete
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Tabelle oder Ansicht
roles/bigquery.dataOwner BigQuery-Dateninhaber

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten für die Tabelle oder Ansicht lesen und aktualisieren.
  • Tabelle oder Ansicht freigeben.
  • Die Tabelle oder Ansicht löschen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Das Lesen, Aktualisieren und Löschen des Datasets.
  • Tabellen des Datasets erstellen, aktualisieren, abrufen und löschen.

Bei Anwendung auf Projekt- oder Organisationsebene können Sie durch diese Rolle zusätzlich neue Datasets erstellen.

  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.rowAccessPolicies.create
  • bigquery.rowAccessPolicies.delete
  • bigquery.rowAccessPolicies.getIamPolicy
  • bigquery.rowAccessPolicies.list
  • bigquery.rowAccessPolicies.setIamPolicy
  • bigquery.rowAccessPolicies.update
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Tabelle oder Ansicht
roles/bigquery.dataViewer BigQuery-Datenbetrachter

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Daten und Metadaten aus der Tabelle oder Ansicht lesen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Metadaten des Datasets lesen und Tabellen im Dataset auflisten.
  • Daten und Metadaten aus den Tabellen des Datasets lesen.

Bei Anwendung auf Projekt- oder Organisationsebene ermöglicht diese Rolle die Aufzählung aller Datasets im Projekt. Für die Ausführung von Jobs sind jedoch weitere Rollen erforderlich.

  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Tabelle oder Ansicht
roles/bigquery.filteredDataViewer Betrachter von gefilterten BigQuery-Daten Ermöglicht das Ansehen von gefilterten Tabellendaten, die durch eine Zugriffsrichtlinie für Zeilen definiert werden
  • bigquery.rowAccessPolicies.getFilteredData
roles/bigquery.jobUser BigQuery-Jobnutzer Berechtigungen zum Ausführen von Jobs im Projekt, einschließlich Abfragen.
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/bigquery.metadataViewer BigQuery Metadata-Betrachter

Bei Anwendung auf eine Tabelle oder Ansicht gewährt diese Rolle Berechtigungen für:

  • Metadaten aus der Tabelle oder Ansicht lesen.

Diese Rolle kann nicht auf einzelne Modelle oder Routinen angewendet werden.

Bei Anwendung auf ein Dataset gewährt diese Rolle Berechtigungen für:

  • Tabellen und Ansichten im Dataset auflisten.
  • Metadaten aus den Tabellen und Ansichten des Datasets lesen.

Bei Anwendung auf Projekt- oder Organisationsebene gewährt diese Rolle Berechtigungen für:

  • Alle Datasets auflisten und Metadaten für alle Datasets im Projekt lesen.
  • Alle Tabellen und Ansichten auflisten sowie Metadaten für alle Tabellen und Ansichten im Projekt lesen

Für die Ausführung von Jobs sind weitere Rollen erforderlich.

  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Tabelle oder Ansicht
roles/bigquery.readSessionUser BigQuery Read Session-Nutzer Zugriff zum Erstellen und Verwenden von Lesesitzungen
  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceAdmin BigQuery-Ressourcen-Administrator Verwalten Sie alle BigQuery-Ressourcen.
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceEditor BigQuery-Ressourcenbearbeiter Kann alle BigQuery-Ressourcen verwalten, aber keine Kaufentscheidungen treffen.
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceViewer BigQuery-Ressourcenbetrachter Kann alle BigQuery-Ressourcen betrachten, aber keine Änderungen vornehmen oder Kaufentscheidungen treffen.
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.user BigQuery-Nutzer

Bei Anwendung auf ein Dataset ermöglicht diese Rolle das Lesen der Metadaten des Datasets und das Auflisten von Tabellen im Dataset.

Bei Anwendung auf ein Projekt bietet diese Rolle auch die Möglichkeit, Jobs, einschließlich Abfragen, innerhalb des Projekts auszuführen. Ein Mitglied mit dieser Rolle kann seine eigenen Jobs auflisten, seine eigenen Jobs abbrechen und Datasets innerhalb eines Projekts aufzählen. Darüber hinaus ermöglicht die Rolle das Erstellen neuer Datasets im Projekt. Dem Ersteller wird für diese neuen Datasets die Rolle "BigQuery Data-Inhaber" (roles/bigquery.dataOwner) zugewiesen.

  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Dataset

Cloud Bigtable-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/bigtable.admin Bigtable-Administrator Verwaltet alle Instanzen in einem Projekt, darunter auch die Daten, die in den Tabellen gespeichert sind. Kann neue Instanzen erstellen. Vorgesehen für Projektadministratoren.
  • bigtable.*
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
Tabelle
roles/bigtable.reader Bigtable-Leser Erlaubt nur Lesezugriff auf die in den Tabellen gespeicherten Daten. Gedacht für Datenanalysten, Dashboard-Generatoren und anderen Datenanalyse-Szenarien.
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.keyvisualizer.*
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
Tabelle
roles/bigtable.user Bigtable-Nutzer Erlaubt Lese- und Schreibzugriff auf die in den Tabellen gespeicherten Daten. Gedacht für Anwendungsentwickler oder Dienstkontos.
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.keyvisualizer.*
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.mutateRows
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
Tabelle
roles/bigtable.viewer Bigtable-Betrachter Bietet keinen Datenzugriff. Vorgesehen als minimaler Satz von Berechtigungen für den Zugriff auf die Cloud Console für Bigtable.
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
Tabelle

Abrechnungsrollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/billing.admin Rechnungskontoadministrator Berechtigung zum Aufrufen und Verwalten aller Aspekte von Abrechnungskonten
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getPricing
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setIamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.*
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.*
  • commerceoffercatalog.*
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • logging.logEntries.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • recommender.commitmentUtilizationInsights.*
  • recommender.usageCommitmentRecommendations.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
Rechnungskonto
roles/billing.costsManager Kostenverwalter für Rechnungskonto Kann Kosteninformationen von Rechnungskonten aufrufen und exportieren.
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.resourceAssociations.list
roles/billing.creator Rechnungskonto-Ersteller Berechtigung zum Erstellen von Abrechnungskonten
  • billing.accounts.create
  • resourcemanager.organizations.get
Organisation
roles/billing.projectManager Administrator für die Projektabrechnung Berechtigung zum Zuweisen des Abrechnungskontos eines Projekts oder zum Deaktivieren seiner Abrechnung
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
Projekt
roles/billing.user Rechnungskontonutzer Berechtigung zum Verbinden von Projekten mit Abrechnungskonten
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.*
  • billing.resourceAssociations.create
Rechnungskonto
roles/billing.viewer Rechnungskonto-Betrachter Kontoinformationen und Transaktionen im Rechnungskonto aufrufen
  • billing.accounts.get
  • billing.accounts.getIamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getPricing
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.*
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
  • commerceoffercatalog.*
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
Rechnungskonto

Binärautorisierungsrollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/binaryauthorization.attestorsAdmin Administrator von Attestierungen von Binärautorisierungen Administrator der Attestierer von Binärautorisierungen
  • binaryauthorization.attestors.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.attestorsEditor Bearbeiter von Attestierungen von Binärautorisierungen Für Attestierungen von Binärautorisierungen verantwortlicher Bearbeiter
  • binaryauthorization.attestors.create
  • binaryauthorization.attestors.delete
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • binaryauthorization.attestors.update
  • binaryauthorization.attestors.verifyImageAttested
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.attestorsVerifier Verifizierer von Attestierungs-Images von Binärautorisierungen Aufrufer der Attestierungen "VerifyImageAttested" von Binärautorisierungen
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • binaryauthorization.attestors.verifyImageAttested
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.attestorsViewer Betrachter von Attestierungen von Binärautorisierungen Für Attestierungen von Binärautorisierungen verantwortlicher Betrachter
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.policyAdmin Administrator von Richtlinien für Binärautorisierungen Administrator der Richtlinien für Binärautorisierungen
  • binaryauthorization.continuousValidationConfig.*
  • binaryauthorization.policy.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.policyEditor Bearbeiter von Richtlinien für Binärautorisierungen Bearbeiter der Richtlinien für Binärautorisierungen
  • binaryauthorization.continuousValidationConfig.get
  • binaryauthorization.continuousValidationConfig.update
  • binaryauthorization.policy.get
  • binaryauthorization.policy.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.policyViewer Betrachter von Richtlinien für Binärautorisierungen Betrachter der Richtlinien für Binärautorisierungen
  • binaryauthorization.continuousValidationConfig.get
  • binaryauthorization.policy.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Hangouts Chat-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/chat.owner Chatbots-Inhaber Kann Bot-Konfigurationen aufrufen und ändern
  • chat.*
roles/chat.reader Chatbots-Betrachter Kann Bot-Konfigurationen aufrufen
  • chat.bots.get

Cloud-Asset-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudasset.owner Cloud-Asset-Inhaber Kompletter Zugriff auf Cloud-Asset-Metadaten
  • cloudasset.*
  • recommender.cloudAssetInsights.*
  • recommender.locations.*
roles/cloudasset.viewer Cloud-Asset-Betrachter Lesezugriff auf Cloud-Asset-Metadaten
  • cloudasset.assets.*
  • recommender.cloudAssetInsights.get
  • recommender.cloudAssetInsights.list
  • recommender.locations.*

Cloud Build-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudbuild.builds.approver Cloud Build-Genehmiger Alpha Kann ausstehende Builds genehmigen oder ablehnen.
  • cloudbuild.builds.approve
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudbuild.builds.builder Cloud Build-Dienstkonto Berechtigung zum Ausführen von Builds
  • artifactregistry.aptartifacts.*
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list
  • artifactregistry.yumartifacts.*
  • cloudbuild.builds.create
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudbuild.builds.update
  • cloudbuild.workerpools.use
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • pubsub.topics.create
  • pubsub.topics.publish
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update
roles/cloudbuild.builds.editor Cloud Build-Bearbeiter Berechtigung zum Erstellen und Stornieren von Builds
  • cloudbuild.builds.create
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudbuild.builds.update
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/cloudbuild.builds.viewer Cloud Build-Betrachter Berechtigung zum Aufrufen von Builds
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/cloudbuild.workerPoolEditor Bearbeiter von Cloud Build-WorkerPools Kann WorkerPools aktualisieren und ansehen
  • cloudbuild.workerpools.get
  • cloudbuild.workerpools.list
  • cloudbuild.workerpools.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudbuild.workerPoolOwner Inhaber von Cloud Build-WorkerPools Kann WorkerPools erstellen, löschen, aktualisieren und ansehen
  • cloudbuild.workerpools.create
  • cloudbuild.workerpools.delete
  • cloudbuild.workerpools.get
  • cloudbuild.workerpools.list
  • cloudbuild.workerpools.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudbuild.workerPoolUser Nutzer von Cloud Build-WorkerPools Kann Builds im WorkerPool ausführen
  • cloudbuild.workerpools.use
roles/cloudbuild.workerPoolViewer Betrachter von Cloud Build-WorkerPools Kann WorkerPools ansehen
  • cloudbuild.workerpools.get
  • cloudbuild.workerpools.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Data Fusion-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/datafusion.admin Cloud Data Fusion-AdministratorBeta Vollständiger Zugriff auf Cloud Data Fusion-Instanzen, -Namespaces und zugehörige Ressourcen.
  • datafusion.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/datafusion.runner Cloud Data Fusion-Runner Beta Zugriff auf Cloud Data Fusion-Laufzeitressourcen.
  • datafusion.instances.runtime
roles/datafusion.viewer Cloud Data Fusion-BetrachterBeta Schreibzugriff auf Cloud Data Fusion-Instanzen, -Namespaces und zugehörige Ressourcen.
  • datafusion.instances.get
  • datafusion.instances.getIamPolicy
  • datafusion.instances.list
  • datafusion.instances.runtime
  • datafusion.locations.*
  • datafusion.operations.get
  • datafusion.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt

Cloud Debugger-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/clouddebugger.agent Cloud Debugger-AgentBeta Ermöglicht das Registrieren des Debug-Ziels, das Lesen aktiver Haltepunkte und das Melden von Haltepunktergebnissen.
  • clouddebugger.breakpoints.list
  • clouddebugger.breakpoints.listActive
  • clouddebugger.breakpoints.update
  • clouddebugger.debuggees.create
Dienstkonto
roles/clouddebugger.user Cloud Debugger-Nutzer Beta Ermöglicht das Erstellen, Aufrufen, Auflisten und Löschen von Haltepunkten (Snapshots und Logpoints) sowie das Auflisten von Debug-Zielen, d. h. von Komponenten, für die ein Debugging ausgeführt werden soll.
  • clouddebugger.breakpoints.create
  • clouddebugger.breakpoints.delete
  • clouddebugger.breakpoints.get
  • clouddebugger.breakpoints.list
  • clouddebugger.debuggees.list
Projekt

Cloud Document AI-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/documentai.admin Cloud Document AI-Administrator. Beta Gewährt vollständigen Zugriff auf alle Ressourcen in Cloud Document AI
  • documentai.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/documentai.apiUser Cloud DocumentAI API-NutzerBeta Gewährt Zugriff auf die Dokumentverarbeitung in Cloud Document AI
  • documentai.humanReviewConfigs.review
  • documentai.operations.*
  • documentai.processorVersions.processBatch
  • documentai.processorVersions.processOnline
  • documentai.processors.processBatch
  • documentai.processors.processOnline
roles/documentai.editor Cloud DocumentAI-BearbeiterBeta Gewährt Zugriff auf die Nutzung aller Ressourcen in Cloud Document AI
  • documentai.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/documentai.viewer Cloud DocumentAI-Betrachter Beta Gewährt Zugriff auf alle Ressourcen und Prozessdokumente in Cloud Document AI
  • documentai.evaluations.get
  • documentai.evaluations.list
  • documentai.humanReviewConfigs.get
  • documentai.humanReviewConfigs.review
  • documentai.labelerPools.get
  • documentai.labelerPools.list
  • documentai.locations.*
  • documentai.operations.*
  • documentai.processorTypes.*
  • documentai.processorVersions.get
  • documentai.processorVersions.list
  • documentai.processorVersions.processBatch
  • documentai.processorVersions.processOnline
  • documentai.processors.fetchHumanReviewDetails
  • documentai.processors.get
  • documentai.processors.list
  • documentai.processors.processBatch
  • documentai.processors.processOnline
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Functions-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudfunctions.admin Cloud Functions-Administrator Umfassender Zugriff auf Funktionen, Vorgänge und Speicherorte.
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudfunctions.*
  • eventarc.*
  • recommender.locations.*
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • run.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudfunctions.developer Cloud Functions-Entwickler Lese- und Schreibzugriff auf alle funktionsbezogenen Ressourcen.
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudfunctions.functions.call
  • cloudfunctions.functions.create
  • cloudfunctions.functions.delete
  • cloudfunctions.functions.get
  • cloudfunctions.functions.invoke
  • cloudfunctions.functions.list
  • cloudfunctions.functions.sourceCodeGet
  • cloudfunctions.functions.sourceCodeSet
  • cloudfunctions.functions.update
  • cloudfunctions.locations.*
  • cloudfunctions.operations.*
  • eventarc.locations.*
  • eventarc.operations.*
  • eventarc.triggers.create
  • eventarc.triggers.delete
  • eventarc.triggers.get
  • eventarc.triggers.getIamPolicy
  • eventarc.triggers.list
  • eventarc.triggers.undelete
  • eventarc.triggers.update
  • recommender.locations.*
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • run.configurations.*
  • run.locations.*
  • run.revisions.*
  • run.routes.*
  • run.services.create
  • run.services.delete
  • run.services.get
  • run.services.getIamPolicy
  • run.services.list
  • run.services.update
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudfunctions.invoker Cloud Functions-Invoker HTTP-Funktionen mit eingeschränktem Zugriff aufrufen.
  • cloudfunctions.functions.invoke
roles/cloudfunctions.viewer Cloud Functions-Betrachter Schreibgeschützter Zugriff auf Funktionen und Speicherorte.
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudfunctions.functions.get
  • cloudfunctions.functions.list
  • cloudfunctions.locations.*
  • cloudfunctions.operations.*
  • eventarc.locations.*
  • eventarc.operations.get
  • eventarc.operations.list
  • eventarc.triggers.get
  • eventarc.triggers.getIamPolicy
  • eventarc.triggers.list
  • recommender.locations.*
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • run.configurations.*
  • run.locations.*
  • run.revisions.get
  • run.revisions.list
  • run.routes.get
  • run.routes.list
  • run.services.get
  • run.services.getIamPolicy
  • run.services.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Cloud IAP-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/iap.admin IAP-Richtlinienadministrator Ermöglicht vollständigen Zugriff auf Ressourcen von Cloud Identity-Aware Proxy.
  • iap.tunnel.*
  • iap.tunnelInstances.getIamPolicy
  • iap.tunnelInstances.setIamPolicy
  • iap.tunnelZones.*
  • iap.web.getIamPolicy
  • iap.web.setIamPolicy
  • iap.webServiceVersions.getIamPolicy
  • iap.webServiceVersions.setIamPolicy
  • iap.webServices.getIamPolicy
  • iap.webServices.setIamPolicy
  • iap.webTypes.getIamPolicy
  • iap.webTypes.setIamPolicy
Projekt
roles/iap.httpsResourceAccessor Nutzer von IAP-gesicherten Web-Apps Ermöglicht Zugriff auf HTTPS-Ressourcen, die Cloud Identity-Aware Proxy verwenden.
  • iap.webServiceVersions.accessViaIAP
Projekt
roles/iap.settingsAdmin Administrator IAP-Einstellungen Administrator von IAP-Einstellungen.
  • iap.projects.*
  • iap.web.getSettings
  • iap.web.updateSettings
  • iap.webServiceVersions.getSettings
  • iap.webServiceVersions.updateSettings
  • iap.webServices.getSettings
  • iap.webServices.updateSettings
  • iap.webTypes.getSettings
  • iap.webTypes.updateSettings
roles/iap.tunnelResourceAccessor Nutzer IAP-gesicherter Tunnel Ermöglicht Zugriff auf Tunnelressourcen, die Identity-Aware Proxy verwenden.
  • iap.tunnelInstances.accessViaIAP

Cloud IdD-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudiot.admin Cloud IoT-Administrator Uneingeschränkte Kontrolle über alle Cloud IoT-Ressourcen und -Berechtigungen.
  • cloudiot.*
  • cloudiottoken.*
Gerät
roles/cloudiot.deviceController Cloud IoT-Gerätesteuerung Kann Gerätekonfigurationen aktualisieren, aber keine Geräte erstellen oder löschen.
  • cloudiot.devices.get
  • cloudiot.devices.list
  • cloudiot.devices.sendCommand
  • cloudiot.devices.updateConfig
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiottoken.tokensettings.get
Gerät
roles/cloudiot.editor Cloud IdD-Bearbeiter Lese-/Schreibzugriff auf alle Cloud IoT-Ressourcen.
  • cloudiot.devices.*
  • cloudiot.registries.create
  • cloudiot.registries.delete
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiot.registries.update
  • cloudiottoken.*
Gerät
roles/cloudiot.provisioner Cloud IoT-Bereitsteller Kann Geräte in Registries erstellen und löschen, die Registries jedoch nicht ändern, und Geräten die Veröffentlichung in Themen ermöglichen, die mit der IoT-Registry verknüpft sind.
  • cloudiot.devices.*
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiottoken.tokensettings.get
Gerät
roles/cloudiot.viewer Cloud IdD-Betrachter Schreibgeschützter Zugriff auf alle Cloud IdD-Ressourcen.
  • cloudiot.devices.get
  • cloudiot.devices.list
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiottoken.tokensettings.get
Gerät

Cloud Talent Solution-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudjobdiscovery.admin Administrator Zugriff auf Self-Service-Tools von Cloud Talent Solution.
  • cloudjobdiscovery.tools.*
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.jobsEditor Job-Editor Schreibzugriff auf alle Jobdaten in Cloud Talent Solution.
  • cloudjobdiscovery.companies.*
  • cloudjobdiscovery.events.*
  • cloudjobdiscovery.jobs.*
  • cloudjobdiscovery.tenants.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.jobsViewer Jobbetrachter Lesezugriff auf alle Jobdaten in Cloud Talent Solution.
  • cloudjobdiscovery.companies.get
  • cloudjobdiscovery.companies.list
  • cloudjobdiscovery.jobs.get
  • cloudjobdiscovery.jobs.search
  • cloudjobdiscovery.tenants.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.profilesEditor Profilbearbeiter Schreibzugriff auf alle Profildaten in Cloud Talent Solution.
  • cloudjobdiscovery.events.*
  • cloudjobdiscovery.profiles.*
  • cloudjobdiscovery.tenants.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.profilesViewer Profilbetrachter Lesezugriff auf alle Profildaten in Cloud Talent Solution.
  • cloudjobdiscovery.profiles.get
  • cloudjobdiscovery.profiles.search
  • cloudjobdiscovery.tenants.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud KMS-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudkms.admin Cloud KMS-Administrator Vollzugriff auf Cloud-KMS-Ressourcen mit Ausnahme von Verschlüsselungs- und Entschlüsselungsvorgängen
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.destroy
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.cryptoKeyVersions.restore
  • cloudkms.cryptoKeyVersions.update
  • cloudkms.cryptoKeys.*
  • cloudkms.importJobs.*
  • cloudkms.keyRings.*
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
CryptoKey
roles/cloudkms.cryptoKeyDecrypter Cloud KMS CryptoKey-Entschlüsseler Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Entschlüsseln zu verwenden.
  • cloudkms.cryptoKeyVersions.useToDecrypt
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
CryptoKey
roles/cloudkms.cryptoKeyEncrypter Cloud KMS CryptoKey-Verschlüsseler Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Verschlüsseln zu verwenden.
  • cloudkms.cryptoKeyVersions.useToEncrypt
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
CryptoKey
roles/cloudkms.cryptoKeyEncrypterDecrypter Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler Bietet die Möglichkeit, Cloud KMS-Ressourcen nur zum Verschlüsseln und Entschlüsseln zu verwenden.
  • cloudkms.cryptoKeyVersions.useToDecrypt
  • cloudkms.cryptoKeyVersions.useToEncrypt
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
CryptoKey
roles/cloudkms.cryptoOperator Cloud KMS-Crypto-OperatorAlpha Aktiviert alle kryptografischen Vorgänge.
  • cloudkms.cryptoKeyVersions.useToDecrypt
  • cloudkms.cryptoKeyVersions.useToEncrypt
  • cloudkms.cryptoKeyVersions.useToSign
  • cloudkms.cryptoKeyVersions.useToVerify
  • cloudkms.cryptoKeyVersions.viewPublicKey
  • Cloud KMS-Standorte
  • resourcemanager.projects.get
roles/cloudkms.importer Cloud KMS-Importeur Kann folgende Vorgänge ausführen: ImportCryptoKeyVersion, CreateImportJob, ListImportJobs und GetImportJob
  • cloudkms.importJobs.create
  • cloudkms.importJobs.get
  • cloudkms.importJobs.list
  • cloudkms.importJobs.useToImport
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
roles/cloudkms.publicKeyViewer PublicKey-Betrachter für Cloud KMS CryptoKeys Ermöglicht GetPublicKey-Vorgänge.
  • cloudkms.cryptoKeyVersions.viewPublicKey
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
roles/cloudkms.signer Cloud KMS CryptoKey-Signer Aktiviert Anmeldevorgänge.
  • cloudkms.cryptoKeyVersions.useToSign
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
roles/cloudkms.signerVerifier Cloud KMS CryptoKey-Signer/Prüffunktion Kann Anmelde-, Bestätigungs- und GetPublicKey-Vorgänge ausführen.
  • cloudkms.cryptoKeyVersions.useToSign
  • cloudkms.cryptoKeyVersions.useToVerify
  • cloudkms.cryptoKeyVersions.viewPublicKey
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get
roles/cloudkms.verifier Cloud KMS CryptoKey-VerifiziererAlpha Kann Bestätigungs- und GetPublicKey-Vorgänge ausführen.
  • cloudkms.cryptoKeyVersions.useToVerify
  • cloudkms.cryptoKeyVersions.viewPublicKey
  • cloudkms.locations.get
  • cloudkms.locations.list
  • resourcemanager.projects.get

Cloud Marketplace-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/commerceoffercatalog.offersViewer Betrachter von Katalogangeboten für Händler Beta Ermöglicht das Aufrufen von Angeboten
  • commerceoffercatalog.*
roles/commercepricemanagement.privateOffersAdmin Administrator von Private Offers-Handelspreisverwaltung Beta Lässt das Verwalten von Private Offers zu
  • commerceprice.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/commercepricemanagement.viewer Betrachter von Handelspreisverwaltung Beta Ermöglicht die Anzeige von Angeboten, kostenlosen Testversionen und Artikelnummern
  • commerceprice.privateoffers.get
  • commerceprice.privateoffers.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/consumerprocurement.entitlementManager Manager von Nutzer-Beschaffungsberechtigungen Beta Ermöglicht es, Berechtigungen zu verwalten sowie Dienststatus für ein Nutzerprojekt zu aktivieren, zu deaktivieren und zu prüfen.
  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.services.disable
  • serviceusage.services.enable
  • serviceusage.services.get
  • serviceusage.services.list
roles/consumerprocurement.entitlementViewer Betrachter von Nutzer-Beschaffungsberechtigungen Beta Ermöglicht es, Berechtigungen und Dienststatus für ein Nutzerprojekt zu prüfen.
  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.get
  • consumerprocurement.freeTrials.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/consumerprocurement.orderAdmin Administrator von Nutzer-Beschaffungsaufträgen Beta Ermöglicht es, Käufe zu verwalten.
  • commerceoffercatalog.*
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
roles/consumerprocurement.orderViewer Betrachter von Nutzer-Beschaffungsaufträgen Beta Ermöglicht es, Käufe zu prüfen.
  • commerceoffercatalog.*
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list

Rollen für die Cloud-Migration

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudmigration.inframanager Velostrata Manager Beta Compute-VMs zum Ausführen von Velostrata Infrastructure erstellen und verwalten
  • cloudmigration.*
  • compute.addresses.*
  • compute.diskTypes.*
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.list
  • compute.disks.setLabels
  • compute.disks.update
  • compute.disks.use
  • compute.disks.useReadOnly
  • compute.globalOperations.get
  • compute.images.get
  • compute.images.list
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.reset
  • compute.instances.setDiskAutoDelete
  • compute.instances.setLabels
  • compute.instances.setMachineType
  • compute.instances.setMetadata
  • compute.instances.setMinCpuPlatform
  • compute.instances.setScheduling
  • compute.instances.setServiceAccount
  • compute.instances.setTags
  • compute.instances.start
  • compute.instances.startWithEncryptionKey
  • compute.instances.stop
  • compute.instances.update
  • compute.instances.updateNetworkInterface
  • compute.instances.updateShieldedInstanceConfig
  • compute.instances.use
  • compute.licenseCodes.get
  • compute.licenseCodes.list
  • compute.licenseCodes.update
  • compute.licenseCodes.use
  • compute.licenses.get
  • compute.licenses.list
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.nodeGroups.get
  • compute.nodeGroups.list
  • compute.nodeTemplates.list
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regions.*
  • compute.snapshots.create
  • compute.snapshots.delete
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zoneOperations.get
  • compute.zones.*
  • gkehub.endpoints.*
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • storage.buckets.create
  • storage.buckets.delete
  • storage.buckets.get
  • storage.buckets.list
  • storage.buckets.update
roles/cloudmigration.storageaccess Zugriff auf Velostrata Storage Beta Hat Zugriff auf den Migrationsspeicher
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update
roles/cloudmigration.velostrataconnect Velostrata Manager-Verbindungs-Agent Beta Verbindung zwischen Velostrata Manager und Google herstellen
  • cloudmigration.*
  • gkehub.endpoints.*
roles/vmmigration.admin VM-Migrationsadministrator Beta Kann alle VM-Migrationsobjekte aufrufen und bearbeiten.
  • vmmigration.*
roles/vmmigration.viewer VM-Migrationsbetrachter Beta Alle VM-Migrationsobjekte ansehen
  • vmmigration.cloneJobs.get
  • vmmigration.cloneJobs.list
  • vmmigration.cutoverJobs.get
  • vmmigration.cutoverJobs.list
  • vmmigration.datacenterConnectors.get
  • vmmigration.datacenterConnectors.list
  • vmmigration.deployments.get
  • vmmigration.deployments.list
  • vmmigration.groups.get
  • vmmigration.groups.list
  • vmmigration.locations.*
  • vmmigration.migratingVms.get
  • vmmigration.migratingVms.list
  • vmmigration.operations.get
  • vmmigration.operations.list
  • vmmigration.sources.get
  • vmmigration.sources.list
  • vmmigration.targets.get
  • vmmigration.targets.list
  • vmmigration.utilizationReports.get
  • vmmigration.utilizationReports.list

Rollen im privaten Katalog für Cloud

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudprivatecatalog.consumer Katalognutzer Beta Kann Kataloge im Zielressourcenkontext durchsuchen.
  • cloudprivatecatalog.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudprivatecatalogproducer.admin Katalogadministrator Beta Kann den Katalog verwalten und seine Verknüpfungen ansehen.
  • cloudprivatecatalog.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalogproducer.targets.*
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudprivatecatalogproducer.manager Katalogverwalter Beta Kann Verknüpfungen zwischen einem Katalog und einer Zielressource verwalten.
  • cloudprivatecatalog.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.targets.*
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudprivatecatalogproducer.orgAdmin Katalogorganisationsadministrator Beta Kann Einstellungen der Katalogorganisation verwalten.
  • cloudprivatecatalog.*
  • cloudprivatecatalogproducer.*
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Profiler-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudprofiler.agent Cloud Profiler-Agent Cloud Profiler-Agents können sich registrieren und die Profiling-Daten angeben.
  • cloudprofiler.profiles.create
  • cloudprofiler.profiles.update
roles/cloudprofiler.user Cloud Profiler-Nutzer Cloud Profiler-Nutzer können die Profiling-Daten abfragen und anzeigen lassen.
  • cloudprofiler.profiles.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Cloud Scheduler-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudscheduler.admin Cloud Scheduler-Administrator

Vollzugriff auf Jobs und Ausführungen.

Beachten Sie, dass ein Cloud Scheduler-Administrator (oder eine beliebige benutzerdefinierte Rolle mit der Berechtigung "cloudschedulers.job.create") Jobs erstellen kann, die in beliebigen Pub/Sub-Themen im Projekt veröffentlicht werden.

  • appengine.applications.get
  • cloudscheduler.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudscheduler.jobRunner Cloud Scheduler-Jobinitiator Zugriff, um Jobs auszuführen.
  • appengine.applications.get
  • cloudscheduler.jobs.fullView
  • cloudscheduler.jobs.run
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudscheduler.viewer Cloud Scheduler-Betrachter Zugriffsrechte für das Abrufen und Auflisten von Jobs, Ausführungen und Orten.
  • appengine.applications.get
  • cloudscheduler.jobs.fullView
  • cloudscheduler.jobs.get
  • cloudscheduler.jobs.list
  • cloudscheduler.locations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list

Cloud Security Scanner-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudsecurityscanner.editor Web Security Scanner-Bearbeiter Vollständiger Zugriff auf alle Web Security Scanner-Ressourcen
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt
roles/cloudsecurityscanner.runner Web Security Scanner-Runner Lesezugriff auf Scan und ScanRun sowie Möglichkeit zum Starten von Scans
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scanruns.stop
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • cloudsecurityscanner.scans.run
Projekt
roles/cloudsecurityscanner.viewer Web Security Scanner-Betrachter Lesezugriff auf alle Web Security Scanner-Ressourcen
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt

Cloud Services-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/servicebroker.admin Service Broker-Administrator Vollständiger Zugriff auf Service Broker-Ressourcen.
  • servicebroker.
roles/servicebroker.operator Service Broker-Operator Operativer Zugriff auf die ServiceBroker-Ressourcen
  • servicebroker.bindingoperations.*
  • servicebroker.bindings.create
  • servicebroker.bindings.delete
  • servicebroker.bindings.get
  • servicebroker.bindings.list
  • servicebroker.catalogs.create
  • servicebroker.catalogs.delete
  • servicebroker.catalogs.get
  • servicebroker.catalogs.list
  • servicebroker.instanceoperations.*
  • servicebroker.instances.create
  • servicebroker.instances.delete
  • servicebroker.instances.get
  • servicebroker.instances.list
  • servicebroker.instances.update

Cloud SQL-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudsql.admin Cloud SQL-Administrator Bietet uneingeschränkte Kontrolle über Cloud SQL-Ressourcen.
  • cloudsql.*
  • recommender.cloudsqlInstanceDiskUsageTrendInsights.*
  • recommender.cloudsqlInstanceOutOfDiskRecommendations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt
roles/cloudsql.client Cloud SQL-Client Verbindungszugriff auf Cloud SQL-Instanzen
  • cloudsql.instances.connect
  • cloudsql.instances.get
Projekt
roles/cloudsql.editor Cloud SQL-Bearbeiter Uneingeschränkte Kontrolle über vorhandene Cloud SQL-Instanzen, mit Ausnahme der Bearbeitung von Nutzern und SSL-Zertifikaten oder dem Löschen von Ressourcen
  • cloudsql.backupRuns.create
  • cloudsql.backupRuns.get
  • cloudsql.backupRuns.list
  • cloudsql.databases.create
  • cloudsql.databases.get
  • cloudsql.databases.list
  • cloudsql.databases.update
  • cloudsql.instances.addServerCa
  • cloudsql.instances.connect
  • cloudsql.instances.export
  • cloudsql.instances.failover
  • cloudsql.instances.get
  • cloudsql.instances.list
  • cloudsql.instances.listServerCas
  • cloudsql.instances.restart
  • cloudsql.instances.rotateServerCa
  • cloudsql.instances.truncateLog
  • cloudsql.instances.update
  • cloudsql.sslCerts.get
  • cloudsql.sslCerts.list
  • cloudsql.users.list
  • recommender.cloudsqlInstanceDiskUsageTrendInsights.*
  • recommender.cloudsqlInstanceOutOfDiskRecommendations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt
roles/cloudsql.instanceUser Cloud SQL-Instanznutzer Rolle für den Zugriff auf eine Cloud SQL-Instanz
  • cloudsql.instances.get
  • cloudsql.instances.login
roles/cloudsql.viewer Cloud SQL-Betrachter Lesezugriff auf Cloud SQL-Ressourcen
  • cloudsql.backupRuns.get
  • cloudsql.backupRuns.list
  • cloudsql.databases.get
  • cloudsql.databases.list
  • cloudsql.instances.export
  • cloudsql.instances.get
  • cloudsql.instances.list
  • cloudsql.instances.listServerCas
  • cloudsql.sslCerts.get
  • cloudsql.sslCerts.list
  • cloudsql.users.list
  • recommender.cloudsqlInstanceDiskUsageTrendInsights.get
  • recommender.cloudsqlInstanceDiskUsageTrendInsights.list
  • recommender.cloudsqlInstanceOutOfDiskRecommendations.get
  • recommender.cloudsqlInstanceOutOfDiskRecommendations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt

Cloud Tasks-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudtasks.admin Cloud Tasks-AdministratorBeta Vollzugriff auf Warteschlangen und Aufgaben.
  • cloudtasks.*
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.enqueuer Ersteller für Cloud-AufgabenBeta Ermöglicht das Erstellen von Aufgaben.
  • cloudtasks.tasks.create
  • cloudtasks.tasks.fullView
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.queueAdmin Administrator für Cloud-AufgabenwarteschlangenBeta Administratorzugriff auf Warteschlangen.
  • cloudtasks.locations.*
  • cloudtasks.queues.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.taskDeleter Entferner für Cloud-AufgabenBeta Ermöglicht das Löschen von Aufgaben.
  • cloudtasks.tasks.delete
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.taskRunner Task-Runner von Cloud TasksBeta Ermöglicht das Ausführen von Aufgaben.
  • cloudtasks.tasks.fullView
  • cloudtasks.tasks.run
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.viewer Betrachter für Cloud-AufgabenBeta Kann Aufgaben, Warteschlangen und Standorte abrufen und auflisten.
  • cloudtasks.locations.*
  • cloudtasks.queues.get
  • cloudtasks.queues.list
  • cloudtasks.tasks.fullView
  • cloudtasks.tasks.get
  • cloudtasks.tasks.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Trace-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudtrace.admin Cloud Trace-Administrator Ermöglicht vollständigen Zugriff auf die Trace-Konsole und Lese-/Schreibzugriff auf Traces.
  • cloudtrace.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/cloudtrace.agent Cloud Trace-Agent Für Dienstkonten; bietet die Möglichkeit, Traces durch Senden von Daten an Stackdriver Trace zu schreiben.
  • cloudtrace.traces.patch
Projekt
roles/cloudtrace.user Cloud Trace-Nutzer Ermöglicht vollständigen Zugriff auf die Trace-Konsole und Lesezugriff auf Traces.
  • cloudtrace.insights.*
  • cloudtrace.stats.*
  • cloudtrace.tasks.*
  • cloudtrace.traces.get
  • cloudtrace.traces.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt

Cloud Translation-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/cloudtranslate.admin Cloud Translation API-Administrator Vollzugriff auf alle Ressourcen von Cloud Translation
  • automl.models.get
  • automl.models.predict
  • cloudtranslate.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtranslate.editor Cloud Translation API-Bearbeiter Bearbeiter aller Ressourcen von Cloud Translation
  • automl.models.get
  • automl.models.predict
  • cloudtranslate.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtranslate.user Cloud Translation API-Nutzer Nutzer von Cloud Translation- und AutoML-Modellen
  • automl.models.get
  • automl.models.predict
  • cloudtranslate.generalModels.*
  • cloudtranslate.glossaries.batchDocPredict
  • cloudtranslate.glossaries.batchPredict
  • cloudtranslate.glossaries.docPredict
  • cloudtranslate.glossaries.get
  • cloudtranslate.glossaries.list
  • cloudtranslate.glossaries.predict
  • cloudtranslate.languageDetectionModels.*
  • cloudtranslate.locations.*
  • cloudtranslate.operations.get
  • cloudtranslate.operations.list
  • cloudtranslate.operations.wait
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtranslate.viewer Cloud Translation API-Betrachter Betrachter aller Übersetzungsressourcen
  • automl.models.get
  • cloudtranslate.generalModels.get
  • cloudtranslate.glossaries.get
  • cloudtranslate.glossaries.list
  • cloudtranslate.locations.*
  • cloudtranslate.operations.get
  • cloudtranslate.operations.list
  • cloudtranslate.operations.wait
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Workflow-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/workflows.admin Workflow-Administrator Vollständiger Zugriff auf Workflows und zugehörige Ressourcen.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • workflows.*
roles/workflows.editor Workflow-Bearbeiter Lese- und Schreibzugriff auf Workflows und zugehörige Ressourcen.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • workflows.executions.*
  • workflows.locations.*
  • workflows.operations.*
  • workflows.workflows.create
  • workflows.workflows.delete
  • workflows.workflows.get
  • workflows.workflows.getIamPolicy
  • workflows.workflows.list
  • workflows.workflows.update
roles/workflows.invoker Workflow-Aufrufer Berechtigung zum Ausführen von Workflows und zum Verwalten der Ausführungen.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • workflows.executions.*
roles/workflows.viewer Workflow-Betrachter Lesezugriff auf Workflows und zugehörige Ressourcen.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • workflows.executions.get
  • workflows.executions.list
  • workflows.locations.*
  • workflows.operations.get
  • workflows.operations.list
  • workflows.workflows.get
  • workflows.workflows.getIamPolicy
  • workflows.workflows.list

Codelab-API-Schlüsselrollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/codelabapikeys.admin Administrator von Codelab-API-Schlüsseln Beta Vollständiger Zugriff auf API-Schlüssel
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/codelabapikeys.editor Bearbeiter von Codelab-API-Schlüsseln Beta Diese Rolle kann alle Attribute von API-Schlüsseln ansehen und bearbeiten.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/codelabapikeys.viewer Betrachter von Codelab-API-Schlüsseln Beta Diese Rolle kann alle Attribute ansehen außer dem Änderungsverlauf von API-Schlüsseln.
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Cloud Composer-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/composer.ServiceAgentV2Ext Dienst-Agent-Erweiterung für die Cloud Composer v2 API Die Dienst-Agent-Erweiterung für die Cloud Composer v2 API ist eine zusätzliche Rolle, die zum Verwalten von Composer v2-Umgebungen erforderlich ist.
  • iam.serviceAccounts.getIamPolicy
  • iam.serviceAccounts.setIamPolicy
roles/composer.admin Composer-Administrator Bietet uneingeschränkte Kontrolle über Cloud Composer-Ressourcen.
  • composer.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt
roles/composer.environmentAndStorageObjectAdmin Administrator für Umgebung und Storage-Objekte Bietet uneingeschränkte Kontrolle über Cloud Composer-Ressourcen und die Objekte in allen Projekt-Buckets.
  • composer.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.*
Projekt
roles/composer.environmentAndStorageObjectViewer Umgebungsnutzer und Betrachter von Storage-Objekten Bietet die Berechtigung zum Auflisten und Abrufen von Cloud Composer-Umgebungen und -Vorgängen. Bietet Lesezugriff auf Objekte in allen Projekt-Buckets.
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.*
  • composer.operations.get
  • composer.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.get
  • storage.objects.list
Projekt
roles/composer.sharedVpcAgent Composer-Agent für freigegebene VPC Rolle, die dem Dienstkonto des Composer-Agents im Hostprojekt der freigegebenen VPC zugewiesen wurde
  • compute.networks.access
  • compute.networks.addPeering
  • compute.networks.get
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.networks.removePeering
  • compute.networks.updatePeering
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regions.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zones.*
roles/composer.user Composer-Nutzer Berechtigung zum Auflisten und Abrufen von Cloud Composer-Umgebungen und -Vorgängen.
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.*
  • composer.operations.get
  • composer.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt
roles/composer.worker Composer-Worker Berechtigung zum Ausführen einer VM in einer Cloud Composer-Umgebung. Für Dienstkonten bestimmt.
  • artifactregistry.*
  • cloudbuild.builds.create
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudbuild.builds.update
  • cloudbuild.workerpools.use
  • container.*
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.timeSeries.*
  • pubsub.schemas.attach
  • pubsub.schemas.create
  • pubsub.schemas.delete
  • pubsub.schemas.get
  • pubsub.schemas.list
  • pubsub.schemas.validate
  • pubsub.snapshots.create
  • pubsub.snapshots.delete
  • pubsub.snapshots.get
  • pubsub.snapshots.list
  • pubsub.snapshots.seek
  • pubsub.snapshots.update
  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.list
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.detachSubscription
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.topics.publish
  • pubsub.topics.update
  • pubsub.topics.updateTag
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.*
Projekt

Compute Engine-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/compute.admin Compute-Administrator

Vollständige Kontrolle über alle Compute Engine-Ressourcen.

Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle roles/iam.serviceAccountUser zuweisen.

  • compute.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Laufwerk, Image, Instanz, Instanzvorlage, Knotengruppe, Knotenvorlage, SnapshotBeta
roles/compute.imageUser Compute Image-Nutzer

Berechtigung zum Auflisten und Lesen von Images ohne weitere Berechtigungen für das jeweilige Image. Wenn Sie diese Rolle auf Projektebene zuweisen, können Nutzer alle Images im Projekt auflisten sowie Ressourcen wie Instanzen und nichtflüchtige Speicher anhand der Images im Projekt erstellen.

  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
ImageBeta
roles/compute.instanceAdmin Compute-Instanzadministrator (Beta)

Berechtigungen zur Erstellung, Änderung und zum Löschen von VM-Instanzen. Dazu gehören auch Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken sowie zum Konfigurieren der Einstellungen für Shielded VMBETA.

Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle roles/iam.serviceAccountUser zuweisen.

Wenn ein Mitarbeiter in Ihrem Unternehmen beispielsweise VM-Instanzgruppen, aber keine Netzwerk- oder Sicherheitseinstellungen und keine als Dienstkonten ausgeführten Instanzen verwalten muss, können Sie diese Rolle der Organisation, dem Ordner oder dem Projekt mit den Instanzen oder den Instanzen selbst zuweisen.

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers.*
  • compute.diskTypes.*
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.list
  • compute.disks.resize
  • compute.disks.setLabels
  • compute.disks.update
  • compute.disks.use
  • compute.disks.useReadOnly
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalNetworkEndpointGroups.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • compute.instanceGroupManagers.*
  • compute.instanceGroups.*
  • compute.instanceTemplates.*
  • compute.instances.*
  • compute.licenses.get
  • compute.licenses.list
  • compute.machineImages.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regionNetworkEndpointGroups.*
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Laufwerk, Image, Instanz, Instanzvorlage, SnapshotBeta
roles/compute.instanceAdmin.v1 Compute-Instanzadministrator (Version 1)

Uneingeschränkte Kontrolle über Compute Engine-Instanzen, Instanzgruppen, Laufwerke, Snapshots und Images. Lesezugriff auf alle Compute Engine-Netzwerkressourcen.

Wenn Sie einem Nutzer diese Rolle nur auf Instanzebene gewähren, kann er keine neuen Instanzen erstellen.

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers.*
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.diskTypes.*
  • compute.disks.*
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.*
  • compute.instanceGroupManagers.*
  • compute.instanceGroups.*
  • compute.instanceTemplates.*
  • compute.instances.*
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.*
  • compute.licenses.*
  • compute.machineImages.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.projects.setCommonInstanceMetadata
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.*
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.*
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.loadBalancerAdmin Administrator für Compute-Load-BalancerBeta

Berechtigungen zum Erstellen, Ändern und Löschen von Load-Balancern und zugehörigen Ressourcen.

Wenn Ihr Unternehmen beispielsweise ein Load-Balancing-Team hat, das Load-Balancer, SSL-Zertifikate für Load-Balancing-Module, SSL-Richtlinien und andere Load-Balancing-Ressourcen verwaltet, sowie ein separates Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie diese Rolle der Gruppe des Load-Balancing-Teams zu.

  • compute.addresses.*
  • compute.backendBuckets.*
  • compute.backendServices.*
  • compute.forwardingRules.*
  • compute.globalAddresses.*
  • compute.globalForwardingRules.*
  • compute.globalNetworkEndpointGroups.*
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.instanceGroups.*
  • compute.instances.get
  • compute.instances.list
  • compute.instances.use
  • compute.instances.useReadOnly
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.projects.get
  • compute.regionBackendServices.*
  • compute.regionHealthCheckServices.*
  • compute.regionHealthChecks.*
  • compute.regionNetworkEndpointGroups.*
  • compute.regionNotificationEndpoints.*
  • compute.regionSslCertificates.*
  • compute.regionTargetHttpProxies.*
  • compute.regionTargetHttpsProxies.*
  • compute.regionUrlMaps.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.sslCertificates.*
  • compute.sslPolicies.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.targetGrpcProxies.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.urlMaps.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
InstanzBeta
roles/compute.networkAdmin Compute-Netzwerkadministrator

Berechtigungen zum Erstellen, Ändern und Löschen von Netzwerkressourcen mit Ausnahme von Firewallregeln und SSL-Zertifikaten. Die Rolle "Netzwerkadministrator" gewährt Lesezugriff auf Firewallregeln, SSL-Zertifikate und Instanzen für den Aufruf der zugehörigen sitzungsspezifischen IP-Adressen. Mit der Rolle "Netzwerkadministrator" können Nutzer keine Instanzen erstellen, starten, beenden oder löschen.

Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie dieser Gruppe die Rolle des Netzwerkteams zu.

  • compute.acceleratorTypes.*
  • compute.addresses.*
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.*
  • compute.backendServices.*
  • compute.externalVpnGateways.*
  • compute.firewallPolicies.get
  • compute.firewallPolicies.list
  • compute.firewallPolicies.use
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.*
  • compute.globalAddresses.*
  • compute.globalForwardingRules.*
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalNetworkEndpointGroups.use
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.delete
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.globalPublicDelegatedPrefixes.update
  • compute.globalPublicDelegatedPrefixes.updatePolicy
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroupManagers.update
  • compute.instanceGroupManagers.use
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceGroups.update
  • compute.instanceGroups.use
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.instances.updateSecurity
  • compute.instances.use
  • compute.instances.useReadOnly
  • compute.interconnectAttachments.*
  • compute.interconnectLocations.*
  • compute.interconnects.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.list
  • compute.networkEndpointGroups.use
  • compute.networks.*
  • compute.projects.get
  • compute.publicDelegatedPrefixes.delete
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.publicDelegatedPrefixes.update
  • compute.publicDelegatedPrefixes.updatePolicy
  • compute.regionBackendServices.*
  • compute.regionHealthCheckServices.*
  • compute.regionHealthChecks.*
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNetworkEndpointGroups.use
  • compute.regionNotificationEndpoints.*
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.*
  • compute.regionTargetHttpsProxies.*
  • compute.regionUrlMaps.*
  • compute.regions.*
  • compute.routers.*
  • compute.routes.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.serviceAttachments.*
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.*
  • compute.subnetworks.*
  • compute.targetGrpcProxies.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.targetVpnGateways.*
  • compute.urlMaps.*
  • compute.vpnGateways.*
  • compute.vpnTunnels.*
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • networkconnectivity.locations.*
  • networkconnectivity.operations.*
  • networksecurity.*
  • networkservices.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.operations.get
  • servicenetworking.services.addPeering
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • trafficdirector.*
InstanzBeta
roles/compute.networkUser Compute-Netzwerknutzer

Bietet Zugriff auf ein freigegebenes VPC-Netzwerk

Nach der Zugriffserteilung können Dienstinhaber VPC-Netzwerke und Subnetze verwenden, die zum Hostprojekt gehören. Beispielsweise kann ein Netzwerknutzer eine VM-Instanz erstellen, die zu einem Hostprojekt-Netzwerk gehört, ohne jedoch im Hostprojekt neue Netzwerke löschen oder erstellen zu können.

  • compute.addresses.createInternal
  • compute.addresses.deleteInternal
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.useInternal
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.externalVpnGateways.use
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.interconnects.use
  • compute.networks.access
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regions.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnGateways.use
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zones.*
  • networkconnectivity.locations.*
  • networkconnectivity.operations.get
  • networkconnectivity.operations.list
  • networksecurity.authorizationPolicies.get
  • networksecurity.authorizationPolicies.list
  • networksecurity.authorizationPolicies.use
  • networksecurity.clientTlsPolicies.get
  • networksecurity.clientTlsPolicies.list
  • networksecurity.clientTlsPolicies.use
  • networksecurity.locations.*
  • networksecurity.operations.get
  • networksecurity.operations.list
  • networksecurity.serverTlsPolicies.get
  • networksecurity.serverTlsPolicies.list
  • networksecurity.serverTlsPolicies.use
  • networkservices.endpointConfigSelectors.get
  • networkservices.endpointConfigSelectors.list
  • networkservices.endpointConfigSelectors.use
  • networkservices.httpFilters.get
  • networkservices.httpFilters.list
  • networkservices.httpFilters.use
  • networkservices.httpfilters.get
  • networkservices.httpfilters.list
  • networkservices.httpfilters.use
  • networkservices.locations.*
  • networkservices.operations.get
  • networkservices.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt
roles/compute.networkViewer Compute-Netzwerkbetrachter

Lesezugriff auf alle Netzwerkressourcen

Wenn Sie beispielsweise Software haben, die Ihre Netzwerkkonfiguration überprüft, können Sie diese Rolle dem Dienstkonto dieser Software zuweisen.

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.projects.get
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regions.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zones.*
  • networkconnectivity.locations.*
  • networkconnectivity.operations.get
  • networkconnectivity.operations.list
  • networksecurity.authorizationPolicies.get
  • networksecurity.authorizationPolicies.list
  • networksecurity.clientTlsPolicies.get
  • networksecurity.clientTlsPolicies.list
  • networksecurity.locations.*
  • networksecurity.operations.get
  • networksecurity.operations.list
  • networksecurity.serverTlsPolicies.get
  • networksecurity.serverTlsPolicies.list
  • networkservices.endpointConfigSelectors.get
  • networkservices.endpointConfigSelectors.list
  • networkservices.httpFilters.get
  • networkservices.httpFilters.list
  • networkservices.httpfilters.get
  • networkservices.httpfilters.list
  • networkservices.locations.*
  • networkservices.operations.get
  • networkservices.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • trafficdirector.*
InstanzBeta
roles/compute.orgFirewallPolicyAdmin Administrator von Compute-Firewall-Richtlinien für die Organisation Vollständige Kontrolle über Compute Engine-Firewall-Richtlinien für die Organisation.
  • compute.firewallPolicies.cloneRules
  • compute.firewallPolicies.create
  • compute.firewallPolicies.delete
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewallPolicies.move
  • compute.firewallPolicies.setIamPolicy
  • compute.firewallPolicies.update
  • compute.firewallPolicies.use
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setIamPolicy
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionOperations.setIamPolicy
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.orgFirewallPolicyUser Nutzer von Compute-Firewall-Richtlinien für die Organisation Aufruf oder Nutzung von Compute Engine-Firewall-Richtlinien zur Verknüpfung mit der Organisation oder Ordnern.
  • compute.firewallPolicies.get
  • compute.firewallPolicies.list
  • compute.firewallPolicies.use
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.orgSecurityPolicyAdmin Administrator von Compute Engine-Sicherheitsrichtlinien für die Organisation Vollständige Kontrolle über Sicherheitsrichtlinien der Organisation in Compute Engine
  • compute.firewallPolicies.*
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setIamPolicy
  • compute.projects.get
  • compute.securityPolicies.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.orgSecurityPolicyUser Nutzer von Compute Engine-Sicherheitsrichtlinien für die Organisation Aufruf oder Nutzung von Compute Engine-Sicherheitsrichtlinien zur Verknüpfung mit der Organisation oder Ordnern.
  • compute.firewallPolicies.addAssociation
  • compute.firewallPolicies.get
  • compute.firewallPolicies.list
  • compute.firewallPolicies.removeAssociation
  • compute.firewallPolicies.use
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setIamPolicy
  • compute.projects.get
  • compute.securityPolicies.addAssociation
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.removeAssociation
  • compute.securityPolicies.use
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.orgSecurityResourceAdmin Administrator für Compute-Organisationsressourcen Vollständige Kontrolle über Verknüpfungen von Compute Engine-Firewall-Richtlinien mit der Organisation oder Ordnern.
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setIamPolicy
  • compute.organizations.listAssociations
  • compute.organizations.setFirewallPolicy
  • compute.organizations.setSecurityPolicy
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.osAdminLogin Compute OS-Administrator-Login Berechtigung zur Anmeldung bei einer Compute Engine-Instanz als Administrator.
  • compute.instances.get
  • compute.instances.list
  • compute.instances.osAdminLogin
  • compute.instances.osLogin
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
InstanzBeta
roles/compute.osLogin Compute OS-Log-in Kann sich in einer Compute Engine-Instanz als Standardnutzer anmelden.
  • compute.instances.get
  • compute.instances.list
  • compute.instances.osLogin
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
InstanzBeta
roles/compute.osLoginExternalUser Externer Nutzer von Compute OS-Log-in

Nur auf Organisationsebene verfügbar.

Ermöglicht den Zugriff für einen externen Nutzer, um die OS-Login-Informationen der Organisation festzulegen. Diese Rolle berechtigt nicht zum Zugriff auf Instanzen. Externen Nutzern muss eine der erforderlichen OS Login-Rollen zugewiesen werden, damit auf Instanzen mit SSH zugegriffen werden kann.

  • compute.oslogin.*
Organisation
roles/compute.packetMirroringAdmin Administrator der Compute-Paketspiegelung Gibt zu spiegelnde Ressourcen an.
  • compute.instances.updateSecurity
  • compute.networks.mirror
  • compute.projects.get
  • compute.subnetworks.mirror
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.packetMirroringUser Nutzer der Compute-Paketspiegelung Verwendet Compute Engine-Paketspiegelungen.
  • compute.packetMirrorings.*
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.publicIpAdmin Administrator öffentlicher IP-Adressen für Compute Engine Vollständige Kontrolle der öffentlichen IP-Adressverwaltung für Compute Engine.
  • compute.addresses.*
  • compute.globalAddresses.*
  • compute.globalPublicDelegatedPrefixes.*
  • compute.publicAdvertisedPrefixes.*
  • compute.publicDelegatedPrefixes.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/compute.securityAdmin Compute-Sicherheitsadministrator

Berechtigungen zum Erstellen, Ändern und Löschen von Firewallregeln und SSL-Zertifikaten sowie zum Konfigurieren der Einstellungen von Shielded VMBETA

Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie diese Rolle der Gruppe des Sicherheitsteams zu.

  • compute.firewallPolicies.*
  • compute.firewalls.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.instances.getEffectiveFirewalls
  • compute.instances.setShieldedInstanceIntegrityPolicy
  • compute.instances.setShieldedVmIntegrityPolicy
  • compute.instances.updateSecurity
  • compute.instances.updateShieldedInstanceConfig
  • compute.instances.updateShieldedVmConfig
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.updatePolicy
  • compute.packetMirrorings.*
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regionSslCertificates.*
  • compute.regions.*
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.*
  • compute.sslCertificates.*
  • compute.sslPolicies.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
InstanzBeta
roles/compute.storageAdmin Compute Storage-Administrator

Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken, Images und Snapshots.

Wenn in Ihrem Unternehmen beispielsweise ein Mitarbeiter Projekt-Images verwaltet und Sie nicht möchten, dass er die Bearbeiterrolle für das Projekt hat, weisen Sie diese Rolle seinem Konto für das Projekt zu.

  • compute.diskTypes.*
  • compute.disks.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.images.*
  • compute.licenseCodes.*
  • compute.licenses.*
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.resourcePolicies.*
  • compute.snapshots.*
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Laufwerk, Image, SnapshotBeta
roles/compute.viewer Compute-Betrachter

Lesezugriff zum Abrufen und Auflisten von Compute Engine-Ressourcen, aber ohne die Möglichkeit, die darin gespeicherten Daten zu lesen.

Ein Konto mit dieser Rolle kann beispielsweise zwar alle Laufwerke in einem Projekt inventarisieren, aber keine Daten auf diesen Laufwerken lesen.

  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getIamPolicy
  • compute.disks.list
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getIamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getIamPolicy
  • compute.images.list
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getIamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getIamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getIamPolicy
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getIamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getIamPolicy
  • compute.snapshots.list
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getIamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Laufwerk, Image, Instanz, Instanzvorlage, Knotengruppe, Knotenvorlage, SnapshotBeta
roles/compute.xpnAdmin Administrator für freigegebene Compute-VPC

Berechtigung zum Verwalten freigegebener VPC-Hostprojekte, insbesondere die Aktivierung der Hostprojekte und die Verknüpfung freigegebener VPC-Dienstprojekte mit dem Netzwerk des Hostprojekts

Auf Organisationsebene kann diese Rolle nur von einem Organisationsadministrator zugewiesen werden.

Google Cloud empfiehlt, dass der Administrator für freigegebene VPCs der Inhaber des Hostprojekts einer freigegebenen VPC ist. Der Administrator für freigegebene VPCs ist für die Zuweisung der Rolle "Compute-Netzwerknutzer" (roles/compute.networkUser) an Dienstinhaber zuständig und der Inhaber des Hostprojekts der freigegebenen VPC steuert das eigentliche Projekt. Die Verwaltung des Projekts ist einfacher, wenn ein Verantwortlicher (Einzelperson oder Gruppe) beide Rollen übernehmen kann.

  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.organizations.administerXpn
  • compute.organizations.disableXpnHost
  • compute.organizations.disableXpnResource
  • compute.organizations.enableXpnHost
  • compute.organizations.enableXpnResource
  • compute.projects.get
  • compute.subnetworks.getIamPolicy
  • compute.subnetworks.setIamPolicy
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
Ordner
roles/osconfig.guestPolicyAdmin GuestPolicy-AdministratorBeta Vollständiger Administratorzugriff auf GuestPolicies
  • osconfig.guestPolicies.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.guestPolicyEditor GuestPolicy-BearbeiterBeta Bearbeiter von GuestPolicy-Ressourcen
  • osconfig.guestPolicies.get
  • osconfig.guestPolicies.list
  • osconfig.guestPolicies.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.guestPolicyViewer GuestPolicy-BetrachterBeta Betrachter von GuestPolicy-Ressourcen
  • osconfig.guestPolicies.get
  • osconfig.guestPolicies.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.instanceOSPoliciesComplianceViewer InstanceOSPoliciesCompliance-Betrachter Beta Betrachter der Betriebssystemrichtlinien-Compliance von VM-Instanzen
  • osconfig.instanceOSPoliciesCompliances.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.inventoryViewer OS Inventory-Betrachter Beta Betrachter von Betriebssysteminventaren
  • osconfig.inventories.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.osPolicyAssignmentAdmin OSPolicyAssignment-Administrator Beta Vollständiger Administratorzugriff auf Zuweisungen von Betriebssystemrichtlinien
  • osconfig.osPolicyAssignments.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.osPolicyAssignmentEditor OSPolicyAssignment-Bearbeiter Beta Bearbeiter von Zuweisungen von Betriebssystemrichtlinien
  • osconfig.osPolicyAssignments.get
  • osconfig.osPolicyAssignments.list
  • osconfig.osPolicyAssignments.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.osPolicyAssignmentViewer OSPolicyAssignment-Betrachter Beta Betrachter von Zuweisungen von Betriebssystemrichtlinien
  • osconfig.osPolicyAssignments.get
  • osconfig.osPolicyAssignments.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchDeploymentAdmin PatchDeployment-Administrator Vollständiger Administratorzugriff auf PatchDeployments
  • osconfig.patchDeployments.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchDeploymentViewer PatchDeployment-Betrachter Betrachter von PatchDeployment-Ressourcen
  • osconfig.patchDeployments.get
  • osconfig.patchDeployments.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchJobExecutor Patch-Job-Executor Zugriff zum Ausführen von Patch-Jobs
  • osconfig.patchJobs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchJobViewer Patch-Job-Betrachter Abrufen und Auflisten von Patch-Jobs
  • osconfig.patchJobs.get
  • osconfig.patchJobs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.vulnerabilityReportViewer Betrachter des VulnerabilityReports des BetriebssystemsBeta Betrachter des VulnerabilityReports des Betriebssystems
  • osconfig.vulnerabilityReports.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Kubernetes Engine-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/container.admin Kubernetes Engine-Administrator

Berechtigung zum vollständigen Verwalten von Clustern und den zugehörigen Kubernetes API-Objekten.

Zum Festlegen eines Dienstkontos auf Knoten müssen Sie außerdem die Rolle "Dienstkontonutzer" (roles/iam.serviceAccountUser ) im Compute Engine- Standarddienstkonto haben.

  • container.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/container.clusterAdmin Administrator für Kubernetes Engine-Cluster

Berechtigung zum Verwalten von Clustern.

Zum Festlegen eines Dienstkontos auf Knoten müssen Sie außerdem die Rolle "Dienstkontonutzer" (roles/iam.serviceAccountUser ) im Compute Engine- Standarddienstkonto haben.

  • container.clusters.create
  • container.clusters.delete
  • container.clusters.get
  • container.clusters.list
  • container.clusters.update
  • container.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/container.clusterViewer Kubernetes Engine-Clusterbetrachter Informationen zum Zugriff auf GKE-Cluster abrufen und auflisten.
  • container.clusters.get
  • container.clusters.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/container.developer Kubernetes Engine-Entwickler Zugriff auf Kubernetes API-Objekte in Clustern
  • container.apiServices.*
  • container.auditSinks.*
  • container.backendConfigs.*
  • container.bindings.*
  • container.certificateSigningRequests.create
  • container.certificateSigningRequests.delete
  • container.certificateSigningRequests.get
  • container.certificateSigningRequests.list
  • container.certificateSigningRequests.update
  • container.certificateSigningRequests.updateStatus
  • container.clusterRoleBindings.get
  • container.clusterRoleBindings.list
  • container.clusterRoles.get
  • container.clusterRoles.list
  • container.clusters.get
  • container.clusters.list
  • container.componentStatuses.*
  • container.configMaps.*
  • container.controllerRevisions.get
  • container.controllerRevisions.list
  • container.cronJobs.*
  • container.csiDrivers.*
  • container.csiNodeInfos.*
  • container.csiNodes.*
  • container.customResourceDefinitions.*
  • container.daemonSets.*
  • container.deployments.*
  • container.endpointSlices.*
  • container.endpoints.*
  • container.events.*
  • container.frontendConfigs.*
  • container.horizontalPodAutoscalers.*
  • container.ingresses.*
  • container.initializerConfigurations.*
  • container.jobs.*
  • container.leases.*
  • container.limitRanges.*
  • container.localSubjectAccessReviews.*
  • container.managedCertificates.*
  • container.mutatingWebhookConfigurations.get
  • container.mutatingWebhookConfigurations.list
  • container.namespaces.*
  • container.networkPolicies.*
  • container.nodes.*
  • container.persistentVolumeClaims.*
  • container.persistentVolumes.*
  • container.petSets.*
  • container.podDisruptionBudgets.*
  • container.podPresets.*
  • container.podSecurityPolicies.get
  • container.podSecurityPolicies.list
  • container.podTemplates.*
  • container.pods.*
  • container.priorityClasses.*
  • container.replicaSets.*
  • container.replicationControllers.*
  • container.resourceQuotas.*
  • container.roleBindings.get
  • container.roleBindings.list
  • container.roles.get
  • container.roles.list
  • container.runtimeClasses.*
  • container.scheduledJobs.*
  • container.secrets.*
  • container.selfSubjectAccessReviews.*
  • container.selfSubjectRulesReviews.*
  • container.serviceAccounts.*
  • container.services.*
  • container.statefulSets.*
  • container.storageClasses.*
  • container.storageStates.*
  • container.storageVersionMigrations.*
  • container.subjectAccessReviews.*
  • container.thirdPartyObjects.*
  • container.thirdPartyResources.*
  • container.tokenReviews.*
  • container.updateInfos.*
  • container.validatingWebhookConfigurations.get
  • container.validatingWebhookConfigurations.list
  • container.volumeAttachments.*
  • container.volumeSnapshotClasses.*
  • container.volumeSnapshotContents.*
  • container.volumeSnapshots.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt
roles/container.hostServiceAgentUser Nutzer des Dienst-Agents für den Kubernetes Engine-Host Ermöglicht dem Kubernetes Engine-Dienstkonto im Hostprojekt, freigegebene Netzwerkressourcen für die Clusterverwaltung zu konfigurieren. Gewährt auch Zugriff zum Untersuchen der Firewallregeln im Hostprojekt
  • compute.firewalls.get
  • container.hostServiceAgent.*
  • dns.networks.bindDNSResponsePolicy
  • dns.networks.bindPrivateDNSPolicy
  • dns.networks.bindPrivateDNSZone
roles/container.viewer Kubernetes Engine Viewer Lesezugriff auf GKE-Ressourcen
  • container.apiServices.get
  • container.apiServices.getStatus
  • container.apiServices.list
  • container.auditSinks.get
  • container.auditSinks.list
  • container.backendConfigs.get
  • container.backendConfigs.list
  • container.bindings.get
  • container.bindings.list
  • container.certificateSigningRequests.get
  • container.certificateSigningRequests.getStatus
  • container.certificateSigningRequests.list
  • container.clusterRoleBindings.get
  • container.clusterRoleBindings.list
  • container.clusterRoles.get
  • container.clusterRoles.list
  • container.clusters.get
  • container.clusters.list
  • container.componentStatuses.*
  • container.configMaps.get
  • container.configMaps.list
  • container.controllerRevisions.get
  • container.controllerRevisions.list
  • container.cronJobs.get
  • container.cronJobs.getStatus
  • container.cronJobs.list
  • container.csiDrivers.get
  • container.csiDrivers.list
  • container.csiNodeInfos.get
  • container.csiNodeInfos.list
  • container.csiNodes.get
  • container.csiNodes.list
  • container.customResourceDefinitions.get
  • container.customResourceDefinitions.getStatus
  • container.customResourceDefinitions.list
  • container.daemonSets.get
  • container.daemonSets.getStatus
  • container.daemonSets.list
  • container.deployments.get
  • container.deployments.getScale
  • container.deprovements.getStatus
  • container.deployments.list
  • container.endpointSlices.get
  • container.endpointSlices.list
  • container.endpoints.get
  • container.endpoints.list
  • container.events.get
  • container.events.list
  • container.frontendConfigs.get
  • container.frontendConfigs.list
  • container.horizontalPodAutoscalers.get
  • container.horizontalPodAutoscalers.getStatus
  • container.horizontalPodAutoscalers.list
  • container.ingresses.get
  • container.ingresses.getStatus
  • container.ingresses.list
  • container.initializerConfigurations.get
  • container.initializerConfigurations.list
  • container.jobs.get
  • container.jobs.getStatus
  • container.jobs.list
  • container.leases.get
  • container.leases.list
  • container.limitRanges.get
  • container.limitRanges.list
  • container.managedCertificates.get
  • container.managedCertificates.list
  • container.mutatingWebhookConfigurations.get
  • container.mutatingWebhookConfigurations.list
  • container.namespaces.get
  • container.namespaces.getStatus
  • container.namespaces.list
  • container.networkPolicies.get
  • container.networkPolicies.list
  • container.nodes.get
  • container.nodes.getStatus
  • container.nodes.list
  • container.operations.*
  • container.persistentVolumeClaims.get
  • container.persistentVolumeClaims.getStatus
  • container.persistentVolumeClaims.list
  • container.persistentVolumes.get
  • container.persistentVolumes.getStatus
  • container.persistentVolumes.list
  • container.petSets.get
  • container.petSets.list
  • container.podDisruptionBudgets.get
  • container.podDisruptionBudgets.getStatus
  • container.podDisruptionBudgets.list
  • container.podPresets.get
  • container.podPresets.list
  • container.podSecurityPolicies.get
  • container.podSecurityPolicies.list
  • container.podTemplates.get
  • container.podTemplates.list
  • container.pods.get
  • container.pods.getStatus
  • container.pods.list
  • container.priorityClasses.get
  • container.priorityClasses.list
  • container.replicaSets.get
  • container.replicaSets.getScale
  • container.replicaSets.getStatus
  • container.replicaSets.list
  • container.replicationControllers.get
  • container.replicationControllers.getScale
  • container.replicationControllers.getStatus
  • container.replicationControllers.list
  • container.resourceQuotas.get
  • container.resourceQuotas.getStatus
  • container.resourceQuotas.list
  • container.roleBindings.get
  • container.roleBindings.list
  • container.roles.get
  • container.roles.list
  • container.runtimeClasses.get
  • container.runtimeClasses.list
  • container.scheduledJobs.get
  • container.scheduledJobs.list
  • container.serviceAccounts.get
  • container.serviceAccounts.list
  • container.services.get
  • container.services.getStatus
  • container.services.list
  • container.statefulSets.get
  • container.statefulSets.getScale
  • container.statefulSets.getStatus
  • container.statefulSets.list
  • container.storageClasses.get
  • container.storageClasses.list
  • container.storageStates.get
  • container.storageStates.getStatus
  • container.storageStates.list
  • container.storageVersionMigrations.get
  • container.storageVersionMigrations.getStatus
  • container.storageVersionMigrations.list
  • container.thirdPartyObjects.get
  • container.thirdPartyObjects.list
  • container.thirdPartyResources.get
  • container.thirdPartyResources.list
  • container.tokenReviews.*
  • container.updateInfos.get
  • container.updateInfos.list
  • container.validatingWebhookConfigurations.get
  • container.validatingWebhookConfigurations.list
  • container.volumeAttachments.get
  • container.volumeAttachments.getStatus
  • container.volumeAttachments.list
  • container.volumeSnapshotClasses.get
  • container.volumeSnapshotClasses.list
  • container.volumeSnapshotContents.get
  • container.volumeSnapshotContents.getStatus
  • container.volumeSnapshotContents.list
  • container.volumeSnapshots.get
  • container.volumeSnapshots.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
Projekt

Container Analysis-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/containeranalysis.admin Container Analysis-Administrator Zugriff auf alle Container Analysis-Ressourcen.
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.create
  • containeranalysis.notes.delete
  • containeranalysis.notes.get
  • containeranalysis.notes.getIamPolicy
  • containeranalysis.notes.list
  • containeranalysis.notes.setIamPolicy
  • containeranalysis.notes.update
  • containeranalysis.occurrences.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.notes.attacher Hinzufüger von Container Analysis-Hinweisen Kann bei Ereignissen Container Analysis-Hinweise anhängen.
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.get
roles/containeranalysis.notes.editor Bearbeiter von Container Analysis-Hinweisen Kann Container Analysis-Hinweise bearbeiten.
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.create
  • containeranalysis.notes.delete
  • containeranalysis.notes.get
  • containeranalysis.notes.list
  • containeranalysis.notes.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.notes.occurrences.viewer Container Analysis-Ereignisse für Betrachter von Hinweisen
  • containeranalysis.notes.get
  • containeranalysis.notes.listOccurrences