Comprende las funciones

Una función contiene un conjunto de permisos que te permite realizar acciones específicas en los recursos de Google Cloud. A fin de que los permisos estén disponibles para miembros, incluidos usuarios, grupos y cuentas de servicio, debes otorgar funciones a los miembros.

En esta página, se describen las funciones de IAM que puedes otorgar.

Requisitos para esta guía

Comprende los conceptos básicos de IAM

Tipos de funciones

Existen tres tipos de funciones en IAM:

Funciones básicas, que incluyen las funciones de propietario, editor y visualizador que existían antes de la introducción de IAM.
Funciones predefinidas, que proporcionan acceso detallado a un servicio específico y que Google Cloud administra.
Funciones personalizadas, que proporcionan acceso detallado en función de una lista de permisos especificada por el usuario.

Para determinar si un permiso se incluye en una función básica, predefinida o personalizada, puedes usar uno de estos métodos:

Ejecutar el comando gcloud iam roles describe para ver una lista de los permisos en la función.
Llamar al método roles.get() de la API de REST para enumerar los permisos en la función.
Solo para funciones básicas y predefinidas: Busca la referencia de permisos para ver si la función otorga el permiso.
Solo para funciones predefinidas: Busca las descripciones predefinidas de las funciones en esta página a fin de ver qué permisos se incluyen en la función.

En las secciones a continuación, se describe cada tipo de función y se proporcionan ejemplos sobre cómo usarlas.

Funciones básicas

Existen varias funciones básicas que existían antes de la introducción de IAM: propietario, editor y visualizador. Estas funciones son concéntricas; es decir, la función de propietario incluye los permisos de la función de editor y, esta última, incluye los permisos de la función de visualizador. En un principio, se conocían como “funciones básicas”.

En la siguiente tabla, se resumen los permisos que incluyen las funciones básicas en todos los servicios de Google Cloud:

Definiciones de las funciones básicas

Nombre	Cargo	Permisos
`roles/viewer`	Visualizador	Permisos para acciones de solo lectura que no afectan el estado, como leer (pero no modificar) los recursos o datos existentes.
`roles/editor`	Editor	Todos los permisos de la función visualizador, además de los permisos adicionales para acciones que modifican el estado, como el cambio de recursos existentes. Nota: Si bien la función `roles/editor` contiene permisos a fin de crear y borrar recursos para la mayoría de los servicios de Google Cloud, esta no contiene permisos para realizar todas las acciones de todos los servicios. Consulta la sección anterior para obtener más información sobre cómo verificar si una función tiene los permisos que necesitas.
`roles/owner`	Propietario	Todos los permisos de editor, además de los permisos para realizar las acciones siguientes: Administrar funciones y permisos de un proyecto y todos los recursos dentro de este Configurar la facturación de un proyecto Nota: Otorgar la función de propietario a nivel de recurso, como un tema de Pub/Sub, no otorga la función de propietario en el proyecto superior. Otorgar la función de propietario a nivel de la organización, no permite actualizar los metadatos de la organización. Sin embargo, te permite modificar proyectos y otros recursos de esa organización.

Puedes aplicar funciones básicas en los niveles de recursos de proyecto o servicio mediante Cloud Console, la API y la herramienta de gcloud. Consulta Otorga, cambia y revoca el acceso para obtener instrucciones.

Flujo de invitación

No puedes otorgar la función de propietario a un miembro para un proyecto mediante la API de administración de identidades y accesos o la herramienta de línea de comandos de gcloud. Solo se puede agregar propietarios a un proyecto con Cloud Console. Se enviará una invitación al miembro por correo electrónico y deberá aceptarla para convertirse en propietario del proyecto.

Ten en cuenta que los correos electrónicos de invitación no se envían en los casos siguientes:

Cuando asignas una función que no sea la de propietario
Cuando un miembro de la organización agrega otro miembro de su organización como propietario de un proyecto dentro de esa organización

Para ver cómo otorgar funciones con Cloud Console, consulta Otorga, cambia y revoca el acceso.

Funciones predefinidas

Además de las funciones básicas, IAM proporciona funciones predefinidas adicionales que brindan acceso detallado a recursos específicos de Google Cloud y evitan el acceso no deseado a otros recursos. Google crea y mantiene las estas funciones. Google actualiza sus permisos automáticamente, según sea necesario, como cuando Google Cloud agrega funciones o servicios nuevos.

En la tabla siguiente, se enumeran estas funciones, sus descripciones y el tipo de recurso de nivel más bajo en el que se pueden establecer las funciones. Se puede otorgar una función específica a este tipo de recurso o, en la mayoría de los casos, a cualquier tipo superior en la jerarquía de recursos. Se puede asignar varias funciones al mismo usuario. Por ejemplo, el mismo usuario puede tener funciones de administrador de red y de visor de registros en un proyecto y también tener una función de publicador para un tema de Pub/Sub dentro de ese proyecto. Para obtener una lista de los permisos que contiene una función, consulta la página sobre los metadatos de la función.

Funciones de aprobación de acceso

Role	Título	Descripción	Permisos
`roles/accessapproval.approver`	Responsable de aprobación de acceso ^Beta	Capacidad de ver o realizar acciones relativas a las solicitudes de aprobación de acceso y de ver la configuración	accessapproval.requests.* accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list
`roles/accessapproval.configEditor`	Editor de configuración de aprobación de acceso ^Beta	Habilidad de actualizar la configuración de la aprobación de acceso	accessapproval.settings.* resourcemanager.projects.get resourcemanager.projects.list
`roles/accessapproval.viewer`	Visualizador de aprobación de acceso ^Beta	Capacidad de ver las solicitudes de aprobación de acceso y la configuración	accessapproval.requests.get accessapproval.requests.list accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list

Funciones de Access Context Manager

Función	Título	Descripción	Permisos
`roles/accesscontextmanager.gcpAccessAdmin`	Administrador de vinculaciones de acceso a Cloud	Crea, edita y modifica las vinculaciones de acceso de Cloud.	accesscontextmanager.gcpUserAccessBindings.*
`roles/accesscontextmanager.gcpAccessReader`	Lector de vinculaciones de acceso a Cloud	Tiene acceso de lectura a las vinculaciones de acceso a Cloud.	accesscontextmanager.gcpUserAccessBindings.get accesscontextmanager.gcpUserAccessBindings.list
`roles/accesscontextmanager.policyAdmin`	Administrador de Access Context Manager	Tiene acceso total a las políticas, los niveles de acceso y las zonas de acceso	accesscontextmanager.accessLevels.* accesscontextmanager.accessPolicies.* accesscontextmanager.accessZones.* accesscontextmanager.policies.* accesscontextmanager.servicePerimeters.* resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/accesscontextmanager.policyEditor`	Editor de Access Context Manager	Edita el acceso a las políticas. Crea, edita y cambia niveles y zonas de acceso.	accesscontextmanager.accessLevels.* accesscontextmanager.accessPolicies.create accesscontextmanager.accessPolicies.delete accesscontextmanager.accessPolicies.get accesscontextmanager.accessPolicies.getIamPolicy accesscontextmanager.accessPolicies.list accesscontextmanager.accessPolicies.update accesscontextmanager.accessZones.* accesscontextmanager.policies.create accesscontextmanager.policies.delete accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.policies.update accesscontextmanager.servicePerimeters.* resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/accesscontextmanager.policyReader`	Lector de Access Context Manager	Acceso de lectura a las políticas, los niveles de acceso y las zonas de acceso.	accesscontextmanager.accessLevels.get accesscontextmanager.accessLevels.list accesscontextmanager.accessPolicies.get accesscontextmanager.accessPolicies.getIamPolicy accesscontextmanager.accessPolicies.list accesscontextmanager.accessZones.get accesscontextmanager.accessZones.list accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.servicePerimeters.get accesscontextmanager.servicePerimeters.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/accesscontextmanager.vpcScTroubleshooterViewer`	Visualizador del solucionador de problemas de los Controles del servicio de VPC		accesscontextmanager.accessLevels.get accesscontextmanager.accessLevels.list accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.servicePerimeters.get accesscontextmanager.servicePerimeters.list logging.exclusions.get logging.exclusions.list logging.logEntries.list logging.logMetrics.get logging.logMetrics.list logging.logServiceIndexes.* logging.logServices.* logging.logs.list logging.sinks.get logging.sinks.list logging.usage.* resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

Funciones operativas

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/actions.Admin`	Administrador de acciones	Tiene acceso para editar e implementar una acción.	actions.* firebase.projects.get firebase.projects.update resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use
`roles/actions.Viewer`	Visualizador de acciones	Tiene acceso para ver una acción.	actions.agent.get actions.agentVersions.get actions.agentVersions.list firebase.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use

Funciones de administración de Android

Role	Título	Descripción	Permisos	Recurso más bajo
`roles/androidmanagement.user`	Usuario de administración de Android	Acceso total para administrar dispositivos.	androidmanagement.* serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Funciones de la puerta de enlace de API

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/apigateway.admin`	Administrador de ApiGateway ^Beta	Tiene acceso completo a ApiGateway y otros recursos relacionados.	apigateway.* resourcemanager.projects.get resourcemanager.projects.list
`roles/apigateway.viewer`	Visualizador de ApiGateway ^Beta	Tiene acceso de solo lectura a ApiGateway y a otros recursos relacionados.	apigateway.apiconfigs.get apigateway.apiconfigs.getIamPolicy apigateway.apiconfigs.list apigateway.apis.get apigateway.apis.getIamPolicy apigateway.apis.list apigateway.gateways.get apigateway.gateways.getIamPolicy apigateway.gateways.list apigateway.locations.* apigateway.operations.get apigateway.operations.list resourcemanager.projects.get resourcemanager.projects.list

Funciones de Apigee

Función	Título	Descripción	Permisos
`roles/apigee.admin`	Administrador de la organización de Apigee	Acceso completo a todas las funciones de los recursos de Apigee	apigee.* resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
`roles/apigee.analyticsAgent`	Agente de estadísticas de Apigee	Conjunto de permisos seleccionados para que Apigee Universal Data Collection Agent administre las estadísticas en una organización de Apigee	apigee.environments.getDataLocation
`roles/apigee.analyticsEditor`	Editor de estadísticas de Apigee	Editor de estadísticas para una organización de Apigee	apigee.datacollectors.* apigee.datastores.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.exports.* apigee.hostqueries.* apigee.hoststats.* apigee.organizations.get apigee.organizations.list apigee.queries.* apigee.reports.* resourcemanager.projects.get resourcemanager.projects.list
`roles/apigee.analyticsViewer`	Visualizador de estadísticas de Apigee	Visualizador de estadísticas para una organización de Apigee	apigee.datacollectors.get apigee.datacollectors.list apigee.datastores.get apigee.datastores.list apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.exports.get apigee.exports.list apigee.hostqueries.get apigee.hostqueries.list apigee.hoststats.* apigee.organizations.get apigee.organizations.list apigee.queries.get apigee.queries.list apigee.reports.get apigee.reports.list resourcemanager.projects.get resourcemanager.projects.list
`roles/apigee.apiCreator`	Creador de API de Apigee	Creador de recursos de Apigee	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.apps.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.ingressconfigs.* apigee.keyvaluemaps.* apigee.organizations.get apigee.organizations.list apigee.proxies.* apigee.proxyrevisions.* apigee.sharedflowrevisions.* apigee.sharedflows.* apigee.tracesessions.* resourcemanager.projects.get resourcemanager.projects.list
`roles/apigee.deployer`	Implementador de Apigee	Implementador de recursos de Apigee	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.apps.* apigee.datacollectors.get apigee.datacollectors.list apigee.deployments.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getIamPolicy apigee.environments.getStats apigee.environments.list apigee.environments.setIamPolicy apigee.flowhooks.* apigee.ingressconfigs.* apigee.keystorealiases.* apigee.keystores.* apigee.keyvaluemaps.* apigee.maskconfigs.* apigee.organizations.get apigee.organizations.list apigee.proxies.get apigee.proxies.list apigee.proxyrevisions.deploy apigee.proxyrevisions.get apigee.proxyrevisions.list apigee.proxyrevisions.undeploy apigee.references.* apigee.resourcefiles.* apigee.sharedflowrevisions.* apigee.sharedflows.* apigee.targetservers.* apigee.tracesessions.* resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
`roles/apigee.developerAdmin`	Administrador de desarrollo de Apigee	Administrador de desarrollo de recursos de Apigee	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.appkeys.* apigee.datacollectors.* apigee.developerappattributes.* apigee.developerapps.* apigee.developerattributes.* apigee.developers.* apigee.environments.get apigee.environments.getStats apigee.hoststats.* apigee.organizations.get apigee.organizations.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
`roles/apigee.readOnlyAdmin`	Administrador de solo lectura de Apigee	Visualizador de todos los recursos de Apigee	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.appkeys.get apigee.apps.* apigee.caches.list apigee.canaryevaluations.get apigee.datacollectors.get apigee.datacollectors.list apigee.datastores.get apigee.datastores.list apigee.deployments.get apigee.deployments.list apigee.developerappattributes.get apigee.developerappattributes.list apigee.developerapps.get apigee.developerapps.list apigee.developerattributes.get apigee.developerattributes.list apigee.developers.get apigee.developers.list apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getDataLocation apigee.environments.getIamPolicy apigee.environments.getStats apigee.environments.list apigee.exports.get apigee.exports.list apigee.flowhooks.getSharedFlow apigee.flowhooks.list apigee.hostqueries.get apigee.hostqueries.list apigee.hoststats.* apigee.ingressconfigs.* apigee.instanceattachments.get apigee.instanceattachments.list apigee.instances.get apigee.instances.list apigee.keystorealiases.get apigee.keystorealiases.list apigee.keystores.get apigee.keystores.list apigee.keyvaluemaps.list apigee.maskconfigs.get apigee.operations.* apigee.organizations.get apigee.organizations.list apigee.proxies.get apigee.proxies.list apigee.proxyrevisions.get apigee.proxyrevisions.list apigee.queries.get apigee.queries.list apigee.references.get apigee.references.list apigee.reports.get apigee.reports.list apigee.resourcefiles.get apigee.resourcefiles.list apigee.sharedflowrevisions.get apigee.sharedflowrevisions.list apigee.sharedflows.get apigee.sharedflows.list apigee.targetservers.get apigee.targetservers.list apigee.tracesessions.get apigee.tracesessions.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
`roles/apigee.runtimeAgent`	Agente del entorno de ejecución de Apigee	Conjunto de permisos seleccionados para que un agente de entorno de ejecución acceda a los recursos de la organización de Apigee	apigee.canaryevaluations.* apigee.ingressconfigs.* apigee.instances.reportStatus apigee.operations.*
`roles/apigee.synchronizerManager`	Administrador de Synchronizer de Apigee	Conjunto de permisos seleccionados para que Synchronizer administre entornos en una organización de Apigee	apigee.environments.get apigee.environments.manageRuntime apigee.ingressconfigs.*
`roles/apigeeconnect.Admin`	Administrador de Apigee Connect	Administrador de Apigee Connect	apigeeconnect.connections.*
`roles/apigeeconnect.Agent`	Agente de Apigee Connect	Puede configurar un agente de Apigee Connect entre los clústeres externos y Google.	apigeeconnect.endpoints.*

Funciones de App Engine

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/appengine.appAdmin`	Administrador de App Engine	Acceso de lectura, escritura y modificación a toda la configuración y los ajustes de la aplicación. Para implementar versiones nuevas, también debes otorgar la función de usuario de la cuenta de servicio (`roles/iam.serviceAccountUser`). Si deseas usar la herramienta de `gcloud` para realizar implementaciones, debes agregar las funciones de administrador de almacenamiento (`roles/compute.storageAdmin`) y editor de Cloud Build (`roles/cloudbuild.builds.editor`).	appengine.applications.get appengine.applications.update appengine.instances.* appengine.operations.* appengine.runtimes.* appengine.services.* appengine.versions.create appengine.versions.delete appengine.versions.get appengine.versions.list appengine.versions.update resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/appengine.appCreator`	Creador de App Engine	Puede crear el recurso de App Engine para el proyecto.	appengine.applications.create resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/appengine.appViewer`	Lector de App Engine	Acceso de solo lectura a toda la configuración y a los ajustes de la aplicación.	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.get appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/appengine.codeViewer`	Lector de código de App Engine	Acceso de solo lectura a toda la configuración de la aplicación, a los ajustes y al código fuente implementado.	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.get appengine.versions.getFileContents appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/appengine.deployer`	Implementador de App Engine	Acceso de solo lectura a toda la configuración y los ajustes de la aplicación. Para implementar versiones nuevas, también debes otorgar la función de usuario de la cuenta de servicio (`roles/iam.serviceAccountUser`). Si deseas usar la herramienta de `gcloud` para realizar implementaciones, debes agregar las funciones de administrador de almacenamiento (`roles/compute.storageAdmin`) y editor de Cloud Build (`roles/cloudbuild.builds.editor`). No se pueden modificar las versiones existentes, salvo borrar versiones que no reciben tráfico.	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.create appengine.versions.delete appengine.versions.get appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/appengine.serviceAdmin`	Administrador de servicios de App Engine	Acceso de solo lectura a toda la configuración y a los ajustes de la aplicación. Acceso de escritura a la configuración de nivel de módulo y nivel de versión. No puede implementar una versión nueva.	appengine.applications.get appengine.instances.* appengine.operations.* appengine.services.* appengine.versions.delete appengine.versions.get appengine.versions.list appengine.versions.update resourcemanager.projects.get resourcemanager.projects.list	Proyecto

Funciones de Artifact Registry

Role	Título	Descripción	Permisos
`roles/artifactregistry.admin`	Administrador de Artifact Registry ^Beta	Acceso de administrador para crear y administrar repositorios.	artifactregistry.*
`roles/artifactregistry.reader`	Lector de Artifact Registry ^Beta	Acceso de lectura a los elementos del repositorio.	artifactregistry.files.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.tags.get artifactregistry.tags.list artifactregistry.versions.get artifactregistry.versions.list
`roles/artifactregistry.repoAdmin`	Administrador de repositorio de Artifact Registry ^Beta	Acceso para administrar artefactos en repositorios.	artifactregistry.files.* artifactregistry.packages.* artifactregistry.repositories.deleteArtifacts artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.uploadArtifacts artifactregistry.tags.* artifactregistry.versions.*
`roles/artifactregistry.writer`	Escritor de Artifact Registry ^Beta	Acceso de lectura y escritura a los elementos de los repositorios.	artifactregistry.files.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.uploadArtifacts artifactregistry.tags.create artifactregistry.tags.get artifactregistry.tags.list artifactregistry.tags.update artifactregistry.versions.get artifactregistry.versions.list

Funciones de Assured Workloads

Función	Título	Descripción	Permisos
`roles/assuredworkloads.admin`	Administrador de Assured Workloads	Otorga acceso completo a los recursos de Assured Workloads, incluida la administración de políticas de IAM.	assuredworkloads.* orgpolicy.* resourcemanager.organizations.get resourcemanager.projects.create resourcemanager.projects.get resourcemanager.projects.list
`roles/assuredworkloads.editor`	Editor de Assured Workloads	Otorga acceso de lectura y escritura a los recursos de Assured Workloads.	assuredworkloads.* orgpolicy.* resourcemanager.organizations.get resourcemanager.projects.create resourcemanager.projects.get resourcemanager.projects.list
`roles/assuredworkloads.reader`	Lector de Assured Workloads	Otorga acceso de lectura a todos los recursos de Assured Workloads.	assuredworkloads.operations.* assuredworkloads.workload.get assuredworkloads.workload.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

Funciones de AutoML

Role	Título	Descripción	Permisos	Recurso más bajo
`roles/automl.admin`	Administrador de AutoML^Beta	Acceso total a todos los recursos de AutoML	automl.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list	Conjunto de datos/modelo
`roles/automl.editor`	Editor de AutoML^Beta	Edición de todos los recursos de AutoML	automl.annotationSpecs.* automl.annotations.* automl.columnSpecs.* automl.datasets.create automl.datasets.delete automl.datasets.export automl.datasets.get automl.datasets.import automl.datasets.list automl.datasets.update automl.examples.* automl.humanAnnotationTasks.* automl.locations.get automl.locations.list automl.modelEvaluations.* automl.models.create automl.models.delete automl.models.deploy automl.models.export automl.models.get automl.models.list automl.models.predict automl.models.undeploy automl.operations.* automl.tableSpecs.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list	Conjunto de datos/modelo
`roles/automl.predictor`	Predictor de AutoML^Beta	Predicción mediante modelos	automl.models.predict resourcemanager.projects.get resourcemanager.projects.list	Model
`roles/automl.viewer`	Visualizador de AutoML^Beta	Lector de todos los recursos de AutoML	automl.annotationSpecs.get automl.annotationSpecs.list automl.annotations.list automl.columnSpecs.get automl.columnSpecs.list automl.datasets.get automl.datasets.list automl.examples.get automl.examples.list automl.humanAnnotationTasks.get automl.humanAnnotationTasks.list automl.locations.get automl.locations.list automl.modelEvaluations.get automl.modelEvaluations.list automl.models.get automl.models.list automl.operations.get automl.operations.list automl.tableSpecs.get automl.tableSpecs.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list	Conjunto de datos/modelo

Funciones de BigQuery

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/bigquery.admin`	Administrador de BigQuery	Proporciona permisos para administrar todos los recursos dentro del proyecto. Puede administrar todos los datos dentro del proyecto y cancelar trabajos de otros usuarios que se ejecutan dentro del proyecto.	bigquery.* resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/bigquery.connectionAdmin`	Administrador de conexión de BigQuery		bigquery.connections.*
`roles/bigquery.connectionUser`	Usuario de conexión de BigQuery		bigquery.connections.get bigquery.connections.getIamPolicy bigquery.connections.list bigquery.connections.use
`roles/bigquery.dataEditor`	Editor de datos de BigQuery	Cuando se aplica a una tabla o vista, esta función proporciona permisos para lo siguiente: Leer y actualizar los datos y metadatos de la tabla o vista Borrar la tabla o vista Esta función no se puede aplicar a modelos ni rutinas individuales. Cuando se aplica a un conjunto de datos, esta función proporciona permisos para lo siguiente: Leer los metadatos del conjunto de datos y enumerar las tablas en el conjunto de datos Crear, actualizar, obtener y borrar las tablas del conjunto de datos Cuando se aplica a nivel del proyecto o de la organización, esta función también puede crear conjuntos de datos nuevos.	bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.models.* bigquery.routines.* bigquery.tables.create bigquery.tables.delete bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag resourcemanager.projects.get resourcemanager.projects.list	Tabla o vista
`roles/bigquery.dataOwner`	Propietario de datos de BigQuery	Cuando se aplica a una tabla o vista, esta función proporciona permisos para lo siguiente: Leer y actualizar los datos y metadatos de la tabla o vista Compartir la tabla o vista Borrar la tabla o vista Esta función no se puede aplicar a modelos ni rutinas individuales. Cuando se aplica a un conjunto de datos, esta función proporciona permisos para lo siguiente: Leer, actualizar y borrar el conjunto de datos Crear, actualizar, obtener y borrar las tablas del conjunto de datos Cuando se aplica a nivel del proyecto o de la organización, esta función también puede crear conjuntos de datos nuevos.	bigquery.datasets.* bigquery.models.* bigquery.routines.* bigquery.tables.* resourcemanager.projects.get resourcemanager.projects.list	Tabla o vista
`roles/bigquery.dataViewer`	Visualizador de datos de BigQuery	Cuando se aplica a una tabla o vista, esta función proporciona permisos para lo siguiente: Leer datos y metadatos de la tabla o vista Esta función no se puede aplicar a modelos ni rutinas individuales. Cuando se aplica a un conjunto de datos, esta función proporciona permisos para lo siguiente: Leer los metadatos del conjunto de datos y enumerar las tablas en el conjunto de datos Leer datos y metadatos de las tablas del conjunto de datos Cuando se aplica a nivel del proyecto o de la organización, esta función también puede enumerar todos los conjuntos de datos en el proyecto. Sin embargo, se requieren funciones adicionales para permitir la ejecución de los trabajos.	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list	Tabla o vista
`roles/bigquery.jobUser`	Usuario de trabajo de BigQuery	Proporciona permisos para ejecutar trabajos, incluidas las consultas, dentro del proyecto.	bigquery.jobs.create resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/bigquery.metadataViewer`	Visualizador de metadatos de BigQuery	Cuando se aplica a una tabla o vista, esta función proporciona permisos para lo siguiente: Leer metadatos de la tabla o vista Esta función no se puede aplicar a modelos ni rutinas individuales. Cuando se aplica a un conjunto de datos, esta función proporciona permisos para lo siguiente: Enumerar tablas y vistas en el conjunto de datos Leer los metadatos de las tablas y vistas del conjunto de datos Cuando se aplica a nivel de proyecto o de organización, esta función proporciona permisos para lo siguiente: Enumerar todos los conjuntos de datos y leer los metadatos de todos los conjuntos de datos del proyecto Enumerar todas las tablas y vistas, y leer los metadatos de todas las tablas y vistas del proyecto Se requieren funciones adicionales para permitir la ejecución de trabajos.	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.get bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list	Tabla o vista
`roles/bigquery.readSessionUser`	Usuario de sesión de lectura de BigQuery	Otorga acceso para crear y usar sesiones de lectura.	bigquery.readsessions.* resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.resourceAdmin`	Administrador de recursos de BigQuery	Administra todos los recursos de BigQuery.	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.* bigquery.reservations.* resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.resourceEditor`	Editor de recursos de BigQuery	Tiene permiso para administrar todos los recursos de BigQuery, pero no puede tomar decisiones de compra.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.* bigquery.reservations.* resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.resourceViewer`	Visualizador de recursos de BigQuery	Tiene permiso para visualizar todos los recursos de BigQuery, pero no puede realizar cambios o tomar decisiones de compra.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list resourcemanager.projects.get resourcemanager.projects.list
`roles/bigquery.user`	Usuario de BigQuery	Cuando se aplica a un conjunto de datos, esta función permite leer los metadatos del conjunto de datos y enumerar las tablas en el conjunto de datos. Cuando se aplica a un proyecto, esta función también permite ejecutar trabajos, incluidas las consultas, dentro del proyecto. Un miembro con esta función puede enumerar y cancelar sus propios trabajos y enumerar conjuntos de datos dentro de un proyecto. Además, permite la creación de nuevos conjuntos de datos dentro del proyecto. Al creador se le otorga la función de propietario de datos de BigQuery (`roles/bigquery.dataOwner`) en estos conjuntos de datos nuevos.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.config.get bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.jobs.create bigquery.jobs.list bigquery.models.list bigquery.readsessions.* bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list bigquery.routines.list bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.list bigquery.transfers.get resourcemanager.projects.get resourcemanager.projects.list	Conjunto de datos

Funciones de Cloud Bigtable

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/bigtable.admin`	Administrador de Bigtable	Administra todas las instancias de un proyecto, incluidos los datos almacenados en las tablas. Puede crear instancias nuevas. Orientado a los administradores del proyecto.	bigtable.* monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get	Instancia
`roles/bigtable.reader`	Lector de Bigtable	Proporciona acceso de solo lectura a los datos almacenados en las tablas. Orientado a científicos de datos, generadores de paneles y situaciones de análisis de datos.	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.keyvisualizer.* bigtable.locations.* bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list bigtable.tables.readRows bigtable.tables.sampleRowKeys monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get	Instancia
`roles/bigtable.user`	Usuario de Bigtable	Proporciona acceso de lectura y escritura a los datos almacenados en las tablas. Orientado a desarrolladores de aplicaciones o cuentas de servicio.	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.keyvisualizer.* bigtable.locations.* bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list bigtable.tables.mutateRows bigtable.tables.readRows bigtable.tables.sampleRowKeys monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get	Instancia
`roles/bigtable.viewer`	Usuario de Bigtable sin acceso a datos	No proporciona acceso a los datos. Diseñado como un conjunto mínimo de permisos a fin de acceder a Cloud Console para Cloud Bigtable.	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.locations.* bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get	Instancia

Funciones de facturación

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/billing.admin`	Administrador de cuentas de facturación	Proporciona acceso para ver y administrar todos los aspectos de las cuentas de facturación.	billing.accounts.close billing.accounts.get billing.accounts.getIamPolicy billing.accounts.getPaymentInfo billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.accounts.move billing.accounts.redeemPromotion billing.accounts.removeFromOrganization billing.accounts.reopen billing.accounts.setIamPolicy billing.accounts.update billing.accounts.updatePaymentInfo billing.accounts.updateUsageExportSpec billing.budgets.* billing.credits.* billing.resourceAssociations.* billing.subscriptions.* cloudnotifications.* consumerprocurement.accounts.* consumerprocurement.orders.* dataprocessing.groupcontrols.list logging.logEntries.list logging.logServiceIndexes.* logging.logServices.* logging.logs.list logging.privateLogEntries.* recommender.commitmentUtilizationInsights.* recommender.usageCommitmentRecommendations.* resourcemanager.projects.createBillingAssignment resourcemanager.projects.deleteBillingAssignment	Cuenta de facturación
`roles/billing.creator`	Creador de cuentas de facturación	Proporciona acceso para crear cuentas de facturación.	billing.accounts.create resourcemanager.organizations.get	Organización
`roles/billing.projectManager`	Administrador de facturación del proyecto	Proporciona acceso para asignar la cuenta de facturación de un proyecto o inhabilitar su facturación.	resourcemanager.projects.createBillingAssignment resourcemanager.projects.deleteBillingAssignment	Proyecto
`roles/billing.user`	Usuario de cuenta de facturación	Proporciona acceso para asociar proyectos con cuentas de facturación.	billing.accounts.get billing.accounts.getIamPolicy billing.accounts.list billing.accounts.redeemPromotion billing.credits.* billing.resourceAssociations.create	Cuenta de facturación
`roles/billing.viewer`	Lector de cuentas de facturación	Permite ver las transacciones y la información de los costos de las cuentas de facturación.	billing.accounts.get billing.accounts.getIamPolicy billing.accounts.getPaymentInfo billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.budgets.get billing.budgets.list billing.credits.* billing.resourceAssociations.list billing.subscriptions.get billing.subscriptions.list consumerprocurement.accounts.get consumerprocurement.accounts.list consumerprocurement.orders.get consumerprocurement.orders.list dataprocessing.groupcontrols.list recommender.commitmentUtilizationInsights.get recommender.commitmentUtilizationInsights.list recommender.usageCommitmentRecommendations.get recommender.usageCommitmentRecommendations.list	Cuenta de facturación

Funciones de autorización binaria

Función	Título	Descripción	Permisos
`roles/binaryauthorization.attestorsAdmin`	Administrador de certificadores de autorización binaria ^Beta	Administrador de certificadores de autorización binaria	binaryauthorization.attestors.* resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.attestorsEditor`	Editor de certificadores de autorización binaria ^Beta	Puede editar certificadores de autorización binaria.	binaryauthorization.attestors.create binaryauthorization.attestors.delete binaryauthorization.attestors.get binaryauthorization.attestors.list binaryauthorization.attestors.update binaryauthorization.attestors.verifyImageAttested resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.attestorsVerifier`	Verificador de imagen de certificadores de autorización binaria ^Beta	Puede llamar a VerifyImageAttested de los certificadores de autorización binaria	binaryauthorization.attestors.get binaryauthorization.attestors.list binaryauthorization.attestors.verifyImageAttested resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.attestorsViewer`	Visualizador de certificadores de autorización binaria ^Beta	Puede ver los certificadores de autorización binaria.	binaryauthorization.attestors.get binaryauthorization.attestors.list resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.policyAdmin`	Administrador de política de autorización binaria ^Beta	Puede administrar políticas de autorización binaria.	binaryauthorization.policy.* resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.policyEditor`	Editor de política de autorización binaria ^Beta	Puede editar políticas de autorización binaria.	binaryauthorization.policy.get binaryauthorization.policy.update resourcemanager.projects.get resourcemanager.projects.list
`roles/binaryauthorization.policyViewer`	Visualizador de política de autorización binaria ^Beta	Puede ver políticas de autorización binaria.	binaryauthorization.policy.get resourcemanager.projects.get resourcemanager.projects.list

Funciones de Hangouts Chat

Role	Título	Descripción	Permisos	Recurso más bajo
`roles/chat.owner`	Propietario de chat bots	Puede ver y modificar configuraciones de bot	chat.*
`roles/chat.reader`	Visualizador de chat bots	Puede ver configuraciones de bot	chat.bots.get

Funciones de Cloud Asset

Role	Título	Descripción	Permisos	Recurso más bajo
`roles/cloudasset.owner`	Propietario de recursos de Cloud	Acceso total a los metadatos de los recursos de Cloud	cloudasset.*
`roles/cloudasset.viewer`	Lector de Cloud Asset	Acceso de solo lectura a los metadatos de recursos de nube	cloudasset.assets.*

Funciones de Cloud Build

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/cloudbuild.builds.builder`	Cuenta de servicio de Cloud Build	Proporciona acceso para realizar compilaciones.	artifactregistry.files.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.uploadArtifacts artifactregistry.tags.create artifactregistry.tags.get artifactregistry.tags.list artifactregistry.tags.update artifactregistry.versions.get artifactregistry.versions.list cloudbuild.* containeranalysis.occurrences.create containeranalysis.occurrences.delete containeranalysis.occurrences.get containeranalysis.occurrences.list containeranalysis.occurrences.update logging.logEntries.create pubsub.topics.create pubsub.topics.publish remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update
`roles/cloudbuild.builds.editor`	Editor de Cloud Build	Proporciona acceso para crear y cancelar compilaciones.	cloudbuild.* remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/cloudbuild.builds.viewer`	Visualizador de Cloud Build	Proporciona acceso para ver las compilaciones.	cloudbuild.builds.get cloudbuild.builds.list remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list	Proyecto

Funciones de Cloud Data Fusion

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/datafusion.admin`	Administrador de Cloud Data Fusion ^Beta	Acceso total a las instancias de Cloud Data Fusion y otros recursos relacionados.	datafusion.* resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/datafusion.runner`	Ejecutor de Cloud Data Fusion ^Beta	Brinda acceso a los recursos del entorno de ejecución de Cloud Data Fusion.	datafusion.instances.runtime
`roles/datafusion.viewer`	Visualizador de Cloud Data Fusion ^Beta	Acceso de solo lectura a instancias de Cloud Data Fusion y otros recursos relacionados	datafusion.instances.get datafusion.instances.getIamPolicy datafusion.instances.list datafusion.instances.runtime datafusion.locations.* datafusion.operations.get datafusion.operations.list resourcemanager.projects.get resourcemanager.projects.list	Proyecto

Funciones de Cloud Debugger

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/clouddebugger.agent`	Agente de Depurador de Cloud ^Beta	Proporciona permisos para registrar el destino de depuración, leer interrupciones activas y, también, informar resultados de interrupciones.	clouddebugger.breakpoints.list clouddebugger.breakpoints.listActive clouddebugger.breakpoints.update clouddebugger.debuggees.create	Cuenta de servicio
`roles/clouddebugger.user`	Usuario de Depurador de Cloud ^Beta	Proporciona permisos para crear, ver, generar listas y borrar interrupciones (instantáneas y puntos de registro), así como enumerar destinos de depuración (elementos depurados).	clouddebugger.breakpoints.create clouddebugger.breakpoints.delete clouddebugger.breakpoints.get clouddebugger.breakpoints.list clouddebugger.debuggees.list	Proyecto

Funciones de Cloud DocumentAI

Función	Título	Descripción	Permisos
`roles/documentai.admin`	Administrador de Cloud Document AI ^Beta	Otorga acceso completo a todos los recursos de Cloud DocumentAI.	documentai.* resourcemanager.projects.get resourcemanager.projects.list
`roles/documentai.apiUser`	Usuario de la API de Cloud Document AI ^beta	Otorga acceso para procesar documentos en Cloud DocumentAI.	documentai.humanReviewConfigs.review documentai.operations.* documentai.processors.processBatch documentai.processors.processOnline
`roles/documentai.editor`	Editor de Cloud DocumentAI ^beta	Otorga acceso para usar todos los recursos de Cloud DocumentAI.	documentai.* resourcemanager.projects.get resourcemanager.projects.list
`roles/documentai.viewer`	Visualizador de Cloud DocumentAI ^beta	Otorga acceso para visualizar todos los recursos y procesar documentos en Cloud DocumentAI.	documentai.humanReviewConfigs.get documentai.humanReviewConfigs.review documentai.labelerPools.get documentai.labelerPools.list documentai.locations.* documentai.operations.* documentai.processorTypes.* documentai.processorVersions.get documentai.processorVersions.list documentai.processors.fetchHumanReviewDetails documentai.processors.get documentai.processors.list documentai.processors.processBatch documentai.processors.processOnline resourcemanager.projects.get resourcemanager.projects.list

Funciones de Cloud Functions

Función	Título	Descripción	Permisos
`roles/cloudfunctions.admin`	Administrador de Cloud Functions	Tiene acceso completo a las funciones, operaciones y ubicaciones.	cloudfunctions.* resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/cloudfunctions.developer`	Desarrollador de Cloud Functions	Acceso de lectura y escritura a todos los recursos relacionados con funciones.	cloudfunctions.functions.call cloudfunctions.functions.create cloudfunctions.functions.delete cloudfunctions.functions.get cloudfunctions.functions.invoke cloudfunctions.functions.list cloudfunctions.functions.sourceCodeGet cloudfunctions.functions.sourceCodeSet cloudfunctions.functions.update cloudfunctions.locations.* cloudfunctions.operations.* resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/cloudfunctions.invoker`	Invocador de Cloud Functions	Puede invocar funciones de HTTP con acceso restringido.	cloudfunctions.functions.invoke
`roles/cloudfunctions.viewer`	Visualizador de Cloud Functions	Acceso de solo lectura a las funciones y ubicaciones.	cloudfunctions.functions.get cloudfunctions.functions.list cloudfunctions.locations.* cloudfunctions.operations.* resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Funciones de Cloud IAP

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/iap.admin`	Administrador de políticas de IAP	Proporciona acceso completo a los recursos de Identity-Aware Proxy.	iap.tunnel.* iap.tunnelInstances.getIamPolicy iap.tunnelInstances.setIamPolicy iap.tunnelZones.* iap.web.getIamPolicy iap.web.setIamPolicy iap.webServiceVersions.getIamPolicy iap.webServiceVersions.setIamPolicy iap.webServices.getIamPolicy iap.webServices.setIamPolicy iap.webTypes.getIamPolicy iap.webTypes.setIamPolicy	Proyecto
`roles/iap.httpsResourceAccessor`	Usuario de aplicación web protegida con IAP	Proporciona permiso para acceder a los recursos HTTPS que utiliza Identity-Aware Proxy.	iap.webServiceVersions.accessViaIAP	Proyecto
`roles/iap.settingsAdmin`	Administrador de configuración de IAP	Administrador de la configuración de IAP.	iap.projects.* iap.web.getSettings iap.web.updateSettings iap.webServiceVersions.getSettings iap.webServiceVersions.updateSettings iap.webServices.getSettings iap.webServices.updateSettings iap.webTypes.getSettings iap.webTypes.updateSettings
`roles/iap.tunnelResourceAccessor`	Usuario de túnel protegido con IAP	Proporciona acceso a recursos túnel que usan Identity-Aware Proxy	iap.tunnelInstances.accessViaIAP

Funciones de Cloud IoT

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/cloudiot.admin`	Administrador de Cloud IoT	Control absoluto de todos los recursos y permisos de Cloud IoT.	cloudiot.* cloudiottoken.*	Dispositivo
`roles/cloudiot.deviceController`	Controlador de dispositivo de Cloud IoT	Acceso para actualizar la configuración del dispositivo, pero no para crear o borrar dispositivos.	cloudiot.devices.get cloudiot.devices.list cloudiot.devices.sendCommand cloudiot.devices.updateConfig cloudiot.registries.get cloudiot.registries.list cloudiottoken.tokensettings.get	Dispositivo
`roles/cloudiot.editor`	Editor de Cloud IoT	Acceso de lectura y escritura a todos los recursos de Cloud IoT.	cloudiot.devices.* cloudiot.registries.create cloudiot.registries.delete cloudiot.registries.get cloudiot.registries.list cloudiot.registries.update cloudiottoken.*	Dispositivo
`roles/cloudiot.provisioner`	Aprovisionador de Cloud IoT	Acceso para crear y borrar dispositivos de los registros, pero no para modificar los registros.	cloudiot.devices.* cloudiot.registries.get cloudiot.registries.list cloudiottoken.tokensettings.get	Dispositivo
`roles/cloudiot.viewer`	Lector de Cloud IoT	Acceso de solo lectura a todos los recursos de Cloud IoT.	cloudiot.devices.get cloudiot.devices.list cloudiot.registries.get cloudiot.registries.list cloudiottoken.tokensettings.get	Dispositivo

Funciones de Cloud Talent Solution

Función	Título	Descripción	Permisos
`roles/cloudjobdiscovery.admin`	Administrador	Accede a las herramientas autoservicio de Cloud Talent Solution.	cloudjobdiscovery.tools.* iam.serviceAccounts.list resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudjobdiscovery.jobsEditor`	Editor de trabajos	Acceso de escritura a todos los datos de trabajo en Cloud Talent Solution.	cloudjobdiscovery.companies.* cloudjobdiscovery.events.* cloudjobdiscovery.jobs.* cloudjobdiscovery.tenants.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudjobdiscovery.jobsViewer`	Visualizador de trabajos	Acceso de lectura a todos los datos de trabajo en Cloud Talent Solution.	cloudjobdiscovery.companies.get cloudjobdiscovery.companies.list cloudjobdiscovery.jobs.get cloudjobdiscovery.jobs.search cloudjobdiscovery.tenants.get resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudjobdiscovery.profilesEditor`	Editor de perfiles	Acceso de escritura a todos los datos de perfil en Cloud Talent Solution.	cloudjobdiscovery.events.* cloudjobdiscovery.profiles.* cloudjobdiscovery.tenants.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudjobdiscovery.profilesViewer`	Visualizador de perfiles	Acceso de lectura a todos los datos de perfil en Cloud Talent Solution.	cloudjobdiscovery.profiles.get cloudjobdiscovery.profiles.search cloudjobdiscovery.tenants.get resourcemanager.projects.get resourcemanager.projects.list

Funciones de Cloud KMS

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/cloudkms.admin`	Administrador de Cloud KMS	Proporciona acceso completo a los recursos de Cloud KMS, excepto a las operaciones de encriptación y desencriptación.	cloudkms.cryptoKeyVersions.create cloudkms.cryptoKeyVersions.destroy cloudkms.cryptoKeyVersions.get cloudkms.cryptoKeyVersions.list cloudkms.cryptoKeyVersions.restore cloudkms.cryptoKeyVersions.update cloudkms.cryptoKeys.* cloudkms.importJobs.* cloudkms.keyRings.* resourcemanager.projects.get	CryptoKey
`roles/cloudkms.cryptoKeyDecrypter`	Desencriptador de CryptoKey de Cloud KMS	Proporciona la capacidad de usar los recursos de Cloud KMS solo para operaciones de desencriptación.	cloudkms.cryptoKeyVersions.useToDecrypt resourcemanager.projects.get	CryptoKey
`roles/cloudkms.cryptoKeyEncrypter`	Encriptador de CryptoKey de Cloud KMS	Proporciona la capacidad de usar los recursos de Cloud KMS solo para operaciones de encriptación.	cloudkms.cryptoKeyVersions.useToEncrypt resourcemanager.projects.get	CryptoKey
`roles/cloudkms.cryptoKeyEncrypterDecrypter`	Encriptador y desencriptador de CryptoKey de Cloud KMS	Proporciona la capacidad de usar los recursos de Cloud KMS solo para operaciones de encriptación y desencriptación.	cloudkms.cryptoKeyVersions.useToDecrypt cloudkms.cryptoKeyVersions.useToEncrypt resourcemanager.projects.get	CryptoKey
`roles/cloudkms.importer`	Importador de Cloud KMS	Habilita las operaciones ImportCryptoKeyVersion, CreateImportJob, ListImportJobs y GetImportJob	cloudkms.importJobs.create cloudkms.importJobs.get cloudkms.importJobs.list cloudkms.importJobs.useToImport resourcemanager.projects.get
`roles/cloudkms.publicKeyViewer`	Visualizador de claves CryptoKey públicas de Cloud KMS	Habilita las operaciones GetPublicKey	cloudkms.cryptoKeyVersions.viewPublicKey resourcemanager.projects.get
`roles/cloudkms.signer`	Firmante de CryptoKey de Cloud KMS	Habilita la operación AsymmetricSign	cloudkms.cryptoKeyVersions.useToSign resourcemanager.projects.get
`roles/cloudkms.signerVerifier`	Verificador y firmante de CryptoKey de Cloud KMS	Habilita las operaciones GetPublicKey y AsymmetricSign	cloudkms.cryptoKeyVersions.useToSign cloudkms.cryptoKeyVersions.viewPublicKey resourcemanager.projects.get

Funciones de Cloud Marketplace

Función	Título	Descripción	Permisos
`roles/consumerprocurement.entitlementManager`	Administrador de autorizaciones de adquisición de consumidores ^Beta	Permite administrar autorizaciones y habilitar, inhabilitar e inspeccionar estados de servicio para un proyecto de consumidor.	consumerprocurement.entitlements.* consumerprocurement.freeTrials.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.operations.get serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list
`roles/consumerprocurement.entitlementViewer`	Visualizador de autorizaciones de adquisición de consumidores ^Beta	Permite inspeccionar autorizaciones y estados de servicio para un proyecto de consumidor.	consumerprocurement.entitlements.* consumerprocurement.freeTrials.get consumerprocurement.freeTrials.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list
`roles/consumerprocurement.orderAdmin`	Administrador de pedidos de adquisición de consumidores ^Beta	Permite administrar las compras.	consumerprocurement.accounts.* consumerprocurement.orders.*
`roles/consumerprocurement.orderViewer`	Visualizador de pedidos de adquisición de consumidores ^Beta	Permite inspeccionar las compras.	consumerprocurement.accounts.get consumerprocurement.accounts.list consumerprocurement.orders.get consumerprocurement.orders.list

Funciones de migración a la nube

Función	Título	Descripción	Permisos
`roles/cloudmigration.inframanager`	Velostrata Manager ^Beta	Puede crear y administrar VM de Compute para ejecutar la infraestructura de Velostrata	cloudmigration.* compute.addresses.* compute.diskTypes.* compute.disks.create compute.disks.createSnapshot compute.disks.delete compute.disks.get compute.disks.list compute.disks.setLabels compute.disks.update compute.disks.use compute.disks.useReadOnly compute.globalOperations.get compute.images.get compute.images.list compute.images.useReadOnly compute.instances.attachDisk compute.instances.create compute.instances.delete compute.instances.detachDisk compute.instances.get compute.instances.getSerialPortOutput compute.instances.list compute.instances.reset compute.instances.setDiskAutoDelete compute.instances.setLabels compute.instances.setMachineType compute.instances.setMetadata compute.instances.setMinCpuPlatform compute.instances.setScheduling compute.instances.setServiceAccount compute.instances.setTags compute.instances.start compute.instances.startWithEncryptionKey compute.instances.stop compute.instances.update compute.instances.updateNetworkInterface compute.instances.updateShieldedInstanceConfig compute.instances.use compute.licenseCodes.get compute.licenseCodes.list compute.licenseCodes.update compute.licenseCodes.use compute.licenses.get compute.licenses.list compute.machineTypes.* compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.nodeGroups.get compute.nodeGroups.list compute.nodeTemplates.list compute.projects.get compute.regionOperations.get compute.regions.* compute.snapshots.create compute.snapshots.delete compute.snapshots.get compute.snapshots.setLabels compute.snapshots.useReadOnly compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.zoneOperations.get compute.zones.* gkehub.endpoints.* iam.serviceAccounts.get iam.serviceAccounts.list resourcemanager.projects.get storage.buckets.create storage.buckets.delete storage.buckets.get storage.buckets.list storage.buckets.update
`roles/cloudmigration.storageaccess`	Acceso al almacenamiento de Velostrata ^Beta	Puede acceder al almacenamiento de migración	storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update
`roles/cloudmigration.velostrataconnect`	Agente de conexión de Velostrata Manager ^Beta	Permite establecer una conexión entre Velostrata Manager y Google.	cloudmigration.* gkehub.endpoints.*
`roles/vmmigration.admin`	Administrador de VM Migration ^Beta	Habilidad de visualizar y editar todos los objetos de VM Migration	vmmigration.*
`roles/vmmigration.viewer`	Visualizador de VM Migration ^Beta	Puede ver todos los objetos de VM Migration	vmmigration.deployments.get vmmigration.deployments.list

Funciones del catálogo privado de Cloud

Función	Título	Descripción	Permisos
`roles/cloudprivatecatalog.consumer`	Consumidor de catálogo ^Beta	Puede explorar los catálogos en el contexto de recursos objetivo.	cloudprivatecatalog.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudprivatecatalogproducer.admin`	Administrador de catálogo ^Beta	Puede administrar el catálogo y ver sus asociaciones.	cloudprivatecatalog.* cloudprivatecatalogproducer.associations.* cloudprivatecatalogproducer.catalogAssociations.* cloudprivatecatalogproducer.catalogs.* cloudprivatecatalogproducer.producerCatalogs.* cloudprivatecatalogproducer.products.* cloudprivatecatalogproducer.targets.* resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudprivatecatalogproducer.manager`	Administrador del catálogo ^Beta	Puede administrar asociaciones entre un catálogo y un recurso objetivo.	cloudprivatecatalog.* cloudprivatecatalogproducer.associations.* cloudprivatecatalogproducer.catalogAssociations.* cloudprivatecatalogproducer.catalogs.get cloudprivatecatalogproducer.catalogs.list cloudprivatecatalogproducer.producerCatalogs.get cloudprivatecatalogproducer.producerCatalogs.list cloudprivatecatalogproducer.targets.* resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudprivatecatalogproducer.orgAdmin`	Administrador de la organización de catálogo ^beta	Puede administrar la configuración de la organización del catálogo.	cloudprivatecatalogproducer.settings.* resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

Funciones de Cloud Profiler

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/cloudprofiler.agent`	Agente de Cloud Profiler	Los agentes de Cloud Profiler pueden registrarse y proporcionar los datos de creación de perfiles.	cloudprofiler.profiles.create cloudprofiler.profiles.update
`roles/cloudprofiler.user`	Usuario de Cloud Profiler	Los usuarios de Cloud Profiler pueden consultar y ver los datos de creación de perfiles.	cloudprofiler.profiles.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Funciones de Cloud Scheduler

Función	Título	Descripción	Permisos
`roles/cloudscheduler.admin`	Administrador de Cloud Scheduler	Acceso completo a trabajos y ejecuciones	appengine.applications.get cloudscheduler.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list
`roles/cloudscheduler.jobRunner`	Ejecutor de trabajos de Cloud Scheduler	Acceso para ejecutar trabajos.	appengine.applications.get cloudscheduler.jobs.fullView cloudscheduler.jobs.run resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list
`roles/cloudscheduler.viewer`	Visualizador de Cloud Scheduler	Tiene acceso para obtener y enumerar trabajos, ejecuciones y ubicaciones.	appengine.applications.get cloudscheduler.jobs.fullView cloudscheduler.jobs.get cloudscheduler.jobs.list cloudscheduler.locations.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.get serviceusage.services.list

Funciones de Cloud Security Scanner

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/cloudsecurityscanner.editor`	Editor de Web Security Scanner	Acceso completo a todos los recursos de Web Security Scanner	appengine.applications.get cloudsecurityscanner.* compute.addresses.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Proyecto
`roles/cloudsecurityscanner.runner`	Ejecutor de Web Security Scanner	Tiene acceso de lectura a Scan y ScanRun y puede iniciar análisis.	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.list cloudsecurityscanner.scanruns.stop cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list cloudsecurityscanner.scans.run	Proyecto
`roles/cloudsecurityscanner.viewer`	Visualizador de Web Security Scanner	Acceso de lectura a todos los recursos de Web Security Scanner	cloudsecurityscanner.crawledurls.* cloudsecurityscanner.results.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.getSummary cloudsecurityscanner.scanruns.list cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Proyecto

Funciones de servicios de Cloud

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/servicebroker.admin`	Administrador de Service Broker	Acceso total a los recursos de ServiceBroker.	servicebroker.*
`roles/servicebroker.operator`	Operador de Service Broker	Acceso operativo a los recursos de ServiceBroker.	servicebroker.bindingoperations.* servicebroker.bindings.create servicebroker.bindings.delete servicebroker.bindings.get servicebroker.bindings.list servicebroker.catalogs.create servicebroker.catalogs.delete servicebroker.catalogs.get servicebroker.catalogs.list servicebroker.instanceoperations.* servicebroker.instances.create servicebroker.instances.delete servicebroker.instances.get servicebroker.instances.list servicebroker.instances.update

Funciones de Cloud SQL

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/cloudsql.admin`	Administrador de Cloud SQL	Proporciona control absoluto de los recursos de Cloud SQL.	cloudsql.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Proyecto
`roles/cloudsql.client`	Cliente de Cloud SQL	Proporciona acceso de conectividad a instancias de Cloud SQL.	cloudsql.instances.connect cloudsql.instances.get	Proyecto
`roles/cloudsql.editor`	Editor de Cloud SQL	Proporciona control absoluto de las instancias existentes de Cloud SQL, pero no incluye la modificación de usuarios, certificados SSL ni la eliminación de recursos.	cloudsql.backupRuns.create cloudsql.backupRuns.get cloudsql.backupRuns.list cloudsql.databases.create cloudsql.databases.get cloudsql.databases.list cloudsql.databases.update cloudsql.instances.addServerCa cloudsql.instances.connect cloudsql.instances.export cloudsql.instances.failover cloudsql.instances.get cloudsql.instances.list cloudsql.instances.listServerCas cloudsql.instances.restart cloudsql.instances.rotateServerCa cloudsql.instances.truncateLog cloudsql.instances.update cloudsql.sslCerts.get cloudsql.sslCerts.list cloudsql.users.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Proyecto
`roles/cloudsql.instanceUser`	Usuario de instancia de Cloud SQL	Función que permite el acceso a una instancia de Cloud SQL	cloudsql.instances.get cloudsql.instances.login
`roles/cloudsql.viewer`	Visualizador de Cloud SQL	Proporciona acceso de solo lectura a los recursos de Cloud SQL.	cloudsql.backupRuns.get cloudsql.backupRuns.list cloudsql.databases.get cloudsql.databases.list cloudsql.instances.export cloudsql.instances.get cloudsql.instances.list cloudsql.instances.listServerCas cloudsql.sslCerts.get cloudsql.sslCerts.list cloudsql.users.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Proyecto

Funciones de Cloud Tasks

Función	Título	Descripción	Permisos
`roles/cloudtasks.admin`	Administrador de Cloud Tasks ^Beta	Acceso completo a elementos en cola y tareas.	cloudtasks.* monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.enqueuer`	Agregador de elementos en cola de Cloud Tasks ^Beta	Acceso para crear tareas.	cloudtasks.tasks.create cloudtasks.tasks.fullView resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.queueAdmin`	Administrador de elementos en cola de Cloud Tasks ^Beta	Acceso de administración a elementos en cola.	cloudtasks.locations.* cloudtasks.queues.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.taskDeleter`	Eliminador de tareas de Cloud Tasks ^Beta	Acceso para borrar tareas.	cloudtasks.tasks.delete resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.taskRunner`	Ejecutor de tareas de Cloud Tasks ^Beta	Acceso para ejecutar tareas.	cloudtasks.tasks.fullView cloudtasks.tasks.run resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtasks.viewer`	Visualizador de Cloud Tasks ^Beta	Acceso para obtener y crear listas de tareas, elementos en cola y ubicaciones.	cloudtasks.locations.* cloudtasks.queues.get cloudtasks.queues.list cloudtasks.tasks.fullView cloudtasks.tasks.get cloudtasks.tasks.list monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.list

Funciones de Cloud Trace

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/cloudtrace.admin`	Administrador de Cloud Trace	Proporciona acceso total a la consola de Trace y acceso de lectura y escritura a los seguimientos.	cloudtrace.* resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/cloudtrace.agent`	Agente de Cloud Trace	Para cuentas de servicio. Proporciona la capacidad de escribir seguimientos mediante el envío de los datos a Stackdriver Trace.	cloudtrace.traces.patch	Proyecto
`roles/cloudtrace.user`	Usuario de Cloud Trace	Proporciona acceso total a la consola de Trace y acceso de lectura a los seguimientos.	cloudtrace.insights.* cloudtrace.stats.* cloudtrace.tasks.* cloudtrace.traces.get cloudtrace.traces.list resourcemanager.projects.get resourcemanager.projects.list	Proyecto

Funciones de Cloud Translation

Función	Título	Descripción	Permisos
`roles/cloudtranslate.admin`	Administrador de la API de Cloud Translation	Acceso completo a todos los recursos de Cloud Translation.	automl.models.get automl.models.predict cloudtranslate.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtranslate.editor`	Editor de la API de Cloud Translation	Editor de todos los recursos de Cloud Translation	automl.models.get automl.models.predict cloudtranslate.* resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtranslate.user`	Usuario de la API de Cloud Translation	Usuario de los modelos de Cloud Translation y AutoML.	automl.models.get automl.models.predict cloudtranslate.generalModels.* cloudtranslate.glossaries.batchPredict cloudtranslate.glossaries.get cloudtranslate.glossaries.list cloudtranslate.glossaries.predict cloudtranslate.languageDetectionModels.* cloudtranslate.locations.* cloudtranslate.operations.get cloudtranslate.operations.list cloudtranslate.operations.wait resourcemanager.projects.get resourcemanager.projects.list
`roles/cloudtranslate.viewer`	Visualizador de API de Cloud Translation	Lector de todos los recursos de Translation	automl.models.get cloudtranslate.generalModels.get cloudtranslate.glossaries.get cloudtranslate.glossaries.list cloudtranslate.locations.* cloudtranslate.operations.get cloudtranslate.operations.list cloudtranslate.operations.wait resourcemanager.projects.get resourcemanager.projects.list

Funciones de los flujos de trabajo

Función	Título	Descripción	Permisos
`roles/workflows.admin`	Administrador de flujos de trabajo ^Beta	Tiene acceso completo a los flujos de trabajo y los recursos relacionados.	resourcemanager.projects.get resourcemanager.projects.list workflows.*
`roles/workflows.editor`	Editor de flujos de trabajo ^Beta	Tiene acceso de lectura y escritura a los flujos de trabajo y los recursos relacionados.	resourcemanager.projects.get resourcemanager.projects.list workflows.executions.* workflows.locations.* workflows.operations.* workflows.workflows.create workflows.workflows.delete workflows.workflows.get workflows.workflows.getIamPolicy workflows.workflows.list workflows.workflows.update
`roles/workflows.invoker`	Invocador de flujos de trabajo ^Beta	Tiene acceso para ejecutar los flujos de trabajo y administrar las ejecuciones.	resourcemanager.projects.get resourcemanager.projects.list workflows.executions.*
`roles/workflows.viewer`	Visualizador de flujos de trabajo ^Beta	Tiene acceso de solo lectura a los flujos de trabajo y los recursos relacionados.	resourcemanager.projects.get resourcemanager.projects.list workflows.executions.get workflows.executions.list workflows.locations.* workflows.operations.get workflows.operations.list workflows.workflows.get workflows.workflows.getIamPolicy workflows.workflows.list

Funciones de claves de API de Codelab

Role	Título	Descripción	Permisos
`roles/codelabapikeys.admin`	Administrador de claves de API de Codelab ^Beta	Acceso completo a las claves de API	resourcemanager.projects.get resourcemanager.projects.list
`roles/codelabapikeys.editor`	Editor de claves de API de Codelab ^Beta	Esta función puede ver y editar todas las propiedades de las claves de API.	resourcemanager.projects.get resourcemanager.projects.list
`roles/codelabapikeys.viewer`	Visualizador de claves de API de Codelab ^Beta	Esta función puede ver todas las propiedades, excepto el historial de cambios de las claves de API.	resourcemanager.projects.get resourcemanager.projects.list

Funciones de Cloud Composer

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/composer.admin`	Administrador de Composer	Proporciona control total de los recursos de Cloud Composer.	composer.* serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Proyecto
`roles/composer.environmentAndStorageObjectAdmin`	Administrador de objetos de almacenamiento y entorno	Proporciona control total de los recursos de Cloud Composer y de los objetos en todos los depósitos de proyectos.	composer.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.objects.*	Proyecto
`roles/composer.environmentAndStorageObjectViewer`	Visualizador de objetos de almacenamiento y usuario de entorno	Proporciona los permisos necesarios para enumerar y obtener entornos y operaciones de Cloud Composer. Proporciona acceso de solo lectura a objetos en todos los depósitos de proyectos.	composer.environments.get composer.environments.list composer.imageversions.* composer.operations.get composer.operations.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.objects.get storage.objects.list	Proyecto
`roles/composer.user`	Usuario de Composer	Proporciona los permisos necesarios para enumerar y obtener entornos y operaciones de Cloud Composer.	composer.environments.get composer.environments.list composer.imageversions.* composer.operations.get composer.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Proyecto
`roles/composer.worker`	Trabajador de Composer	Proporciona los permisos necesarios para ejecutar una VM de entorno de Cloud Composer. Pensado para cuentas de servicio.	artifactregistry.* cloudbuild.* container.* containeranalysis.occurrences.create containeranalysis.occurrences.delete containeranalysis.occurrences.get containeranalysis.occurrences.list containeranalysis.occurrences.update logging.logEntries.create monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.timeSeries.* pubsub.snapshots.create pubsub.snapshots.delete pubsub.snapshots.get pubsub.snapshots.list pubsub.snapshots.seek pubsub.snapshots.update pubsub.subscriptions.consume pubsub.subscriptions.create pubsub.subscriptions.delete pubsub.subscriptions.get pubsub.subscriptions.list pubsub.subscriptions.update pubsub.topics.attachSubscription pubsub.topics.create pubsub.topics.delete pubsub.topics.detachSubscription pubsub.topics.get pubsub.topics.list pubsub.topics.publish pubsub.topics.update pubsub.topics.updateTag remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.*	Proyecto

Funciones de Compute Engine

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/compute.admin`	Administrador de Compute	Control total de todos los recursos de Compute Engine. Si el usuario administrará instancias de máquinas virtuales que están configuradas para ejecutarse como una cuenta de servicio, también debes otorgar la función `roles/iam.serviceAccountUser`.	compute.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Disco, imagen, instancia, instanceTemplate, nodeGroup, nodeTemplate, instantánea ^Beta
`roles/compute.imageUser`	Usuario de imagen de Compute	Es un permiso para enumerar y leer imágenes sin necesidad de tener otros permisos en la imagen. Si se otorga esta función a nivel de proyecto, se les permite a los usuarios enumerar todas las imágenes del proyecto y crear recursos basados en estas, como instancias y discos persistentes.	compute.images.get compute.images.getFromFamily compute.images.list compute.images.useReadOnly resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Imagen ^Beta
`roles/compute.instanceAdmin`	Administrador de instancias de Compute (Beta)	Permisos para crear, modificar y borrar instancias de máquina virtual. Esto incluye los permisos para crear, modificar y borrar discos, y también configurar los ajustes de una VM protegida ^BETA. Si el usuario administrará instancias de máquinas virtuales que están configuradas para ejecutarse como una cuenta de servicio, también debes otorgar la función `roles/iam.serviceAccountUser`. Por ejemplo, si tu empresa tiene una persona que administra grupos de instancias de máquinas virtuales, pero no administra la configuración de seguridad o de red ni las instancias que se ejecutan como cuentas de servicio, puedes otorgar esta función en la organización, carpeta o proyecto que contenga las instancias, o puedes otorgarla en instancias individuales.	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.addresses.use compute.autoscalers.* compute.diskTypes.* compute.disks.create compute.disks.createSnapshot compute.disks.delete compute.disks.get compute.disks.list compute.disks.resize compute.disks.setLabels compute.disks.update compute.disks.use compute.disks.useReadOnly compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalNetworkEndpointGroups.* compute.globalOperations.get compute.globalOperations.list compute.images.get compute.images.getFromFamily compute.images.list compute.images.useReadOnly compute.instanceGroupManagers.* compute.instanceGroups.* compute.instanceTemplates.* compute.instances.* compute.licenses.get compute.licenses.list compute.machineImages.* compute.machineTypes.* compute.networkEndpointGroups.* compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.projects.get compute.regionNetworkEndpointGroups.* compute.regionOperations.get compute.regionOperations.list compute.regions.* compute.reservations.get compute.reservations.list compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.targetPools.get compute.targetPools.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Disco, imagen, instancia, instanceTemplate, instantánea ^Beta
`roles/compute.instanceAdmin.v1`	Administrador de instancias de Compute (v1)	Control total de instancias de Compute Engine, grupos de instancias, discos, instantáneas y, también, imágenes. Acceso de lectura a todos los recursos de red de Compute Engine. Si le otorgas esta función a un usuario solo a nivel de instancia, ese usuario no podrá crear instancias nuevas.	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.addresses.use compute.autoscalers.* compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute.diskTypes.* compute.disks.* compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalNetworkEndpointGroups.* compute.globalOperations.get compute.globalOperations.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.* compute.instanceGroupManagers.* compute.instanceGroups.* compute.instanceTemplates.* compute.instances.* compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.* compute.licenses.* compute.machineImages.* compute.machineTypes.* compute.networkEndpointGroups.* compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.projects.get compute.projects.setCommonInstanceMetadata compute.regionBackendServices.get compute.regionBackendServices.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.* compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionOperations.get compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.* compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.snapshots.* compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.loadBalancerAdmin`	Administrador de balanceador de cargas de Compute ^Beta	Permisos para crear, modificar y borrar balanceadores de cargas y recursos asociados. Por ejemplo, si tu empresa tiene un equipo de balanceo de cargas que administra balanceadores de cargas, certificados SSL para balanceadores de cargas, políticas SSL y otros recursos de balanceo de cargas y, además, tiene un equipo independiente de herramientas de redes que administra el resto de los recursos de herramientas de redes, debes otorgar esta función al grupo del equipo de balanceo de cargas.	compute.addresses.* compute.backendBuckets.* compute.backendServices.* compute.forwardingRules.* compute.globalAddresses.* compute.globalForwardingRules.* compute.globalNetworkEndpointGroups.* compute.healthChecks.* compute.httpHealthChecks.* compute.httpsHealthChecks.* compute.instanceGroups.* compute.instances.get compute.instances.list compute.instances.use compute.instances.useReadOnly compute.networkEndpointGroups.* compute.networks.get compute.networks.list compute.networks.use compute.projects.get compute.regionBackendServices.* compute.regionHealthCheckServices.* compute.regionHealthChecks.* compute.regionNetworkEndpointGroups.* compute.regionNotificationEndpoints.* compute.regionSslCertificates.* compute.regionTargetHttpProxies.* compute.regionTargetHttpsProxies.* compute.regionUrlMaps.* compute.securityPolicies.get compute.securityPolicies.list compute.securityPolicies.use compute.sslCertificates.* compute.sslPolicies.* compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.targetGrpcProxies.* compute.targetHttpProxies.* compute.targetHttpsProxies.* compute.targetInstances.* compute.targetPools.* compute.targetSslProxies.* compute.targetTcpProxies.* compute.urlMaps.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Instancia ^Beta
`roles/compute.networkAdmin`	Administrador de red de Compute	Otorga permisos para crear, modificar y borrar recursos de red, excepto reglas de firewall y certificados SSL. La función de administrador de red permite el acceso de solo lectura a las reglas de firewall, certificados SSL y, también, instancias (para ver sus direcciones IP efímeras). La función de administrador de red no permite que un usuario cree, inicie, detenga o borre instancias. Por ejemplo, si tu empresa tiene un equipo de seguridad que administra firewalls y certificados SSL y, además, tiene un equipo de herramientas de redes que administra el resto de los recursos de herramientas de redes, debes otorgar esta función al grupo del equipo de herramientas de redes.	compute.acceleratorTypes.* compute.addresses.* compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.* compute.backendServices.* compute.externalVpnGateways.* compute.firewalls.get compute.firewalls.list compute.forwardingRules.* compute.globalAddresses.* compute.globalForwardingRules.* compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.globalNetworkEndpointGroups.use compute.globalOperations.get compute.globalOperations.list compute.globalPublicDelegatedPrefixes.delete compute.globalPublicDelegatedPrefixes.get compute.globalPublicDelegatedPrefixes.list compute.globalPublicDelegatedPrefixes.update compute.globalPublicDelegatedPrefixes.updatePolicy compute.healthChecks.* compute.httpHealthChecks.* compute.httpsHealthChecks.* compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroupManagers.update compute.instanceGroupManagers.use compute.instanceGroups.get compute.instanceGroups.list compute.instanceGroups.update compute.instanceGroups.use compute.instances.get compute.instances.getGuestAttributes compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.list compute.instances.listReferrers compute.instances.use compute.instances.useReadOnly compute.interconnectAttachments.* compute.interconnectLocations.* compute.interconnects.* compute.machineTypes.* compute.networkEndpointGroups.get compute.networkEndpointGroups.list compute.networkEndpointGroups.use compute.networks.* compute.projects.get compute.publicDelegatedPrefixes.delete compute.publicDelegatedPrefixes.get compute.publicDelegatedPrefixes.list compute.publicDelegatedPrefixes.update compute.publicDelegatedPrefixes.updatePolicy compute.regionBackendServices.* compute.regionHealthCheckServices.* compute.regionHealthChecks.* compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionNetworkEndpointGroups.use compute.regionNotificationEndpoints.* compute.regionOperations.get compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.* compute.regionTargetHttpsProxies.* compute.regionUrlMaps.* compute.regions.* compute.routers.* compute.routes.* compute.securityPolicies.get compute.securityPolicies.list compute.securityPolicies.use compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.* compute.subnetworks.* compute.targetGrpcProxies.* compute.targetHttpProxies.* compute.targetHttpsProxies.* compute.targetInstances.* compute.targetPools.* compute.targetSslProxies.* compute.targetTcpProxies.* compute.targetVpnGateways.* compute.urlMaps.* compute.vpnGateways.* compute.vpnTunnels.* compute.zoneOperations.get compute.zoneOperations.list compute.zones.* networksecurity.* networkservices.* resourcemanager.projects.get resourcemanager.projects.list servicenetworking.operations.get servicenetworking.services.addPeering servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Instancia ^Beta
`roles/compute.networkUser`	Usuario de red de Compute	Proporciona acceso a una red de VPC compartida Una vez otorgado, los propietarios del servicio pueden usar redes y subredes de VPC que pertenecen al proyecto host. Por ejemplo, un usuario de la red puede crear una instancia de VM que pertenezca a una red de proyecto host, pero no puede borrar o crear nuevas redes en el proyecto host.	compute.addresses.createInternal compute.addresses.deleteInternal compute.addresses.get compute.addresses.list compute.addresses.useInternal compute.externalVpnGateways.get compute.externalVpnGateways.list compute.externalVpnGateways.use compute.firewalls.get compute.firewalls.list compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.interconnects.use compute.networks.access compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.networks.use compute.networks.useExternalIp compute.projects.get compute.regions.* compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.targetVpnGateways.get compute.targetVpnGateways.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnGateways.use compute.vpnTunnels.get compute.vpnTunnels.list compute.zones.* networksecurity.authorizationPolicies.get networksecurity.authorizationPolicies.list networksecurity.authorizationPolicies.use networksecurity.clientTlsPolicies.get networksecurity.clientTlsPolicies.list networksecurity.clientTlsPolicies.use networksecurity.locations.* networksecurity.operations.get networksecurity.operations.list networksecurity.serverTlsPolicies.get networksecurity.serverTlsPolicies.list networksecurity.serverTlsPolicies.use networkservices.endpointConfigSelectors.get networkservices.endpointConfigSelectors.list networkservices.endpointConfigSelectors.use networkservices.httpFilters.get networkservices.httpFilters.list networkservices.httpFilters.use networkservices.httpfilters.get networkservices.httpfilters.list networkservices.httpfilters.use networkservices.locations.* networkservices.operations.get networkservices.operations.list resourcemanager.projects.get resourcemanager.projects.list servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Proyecto
`roles/compute.networkViewer`	Lector de red de Compute	Acceso de solo lectura a todos los recursos de herramientas de redes Por ejemplo, si tienes un software que inspecciona la configuración de red, puedes otorgar esta función a la cuenta de servicio de ese software.	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instances.get compute.instances.getGuestAttributes compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.list compute.instances.listReferrers compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.machineTypes.* compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.projects.get compute.regionBackendServices.get compute.regionBackendServices.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regions.* compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zones.* networksecurity.authorizationPolicies.get networksecurity.authorizationPolicies.list networksecurity.clientTlsPolicies.get networksecurity.clientTlsPolicies.list networksecurity.locations.* networksecurity.operations.get networksecurity.operations.list networksecurity.serverTlsPolicies.get networksecurity.serverTlsPolicies.list networkservices.endpointConfigSelectors.get networkservices.endpointConfigSelectors.list networkservices.httpFilters.get networkservices.httpFilters.list networkservices.httpfilters.get networkservices.httpfilters.list networkservices.locations.* networkservices.operations.get networkservices.operations.list resourcemanager.projects.get resourcemanager.projects.list servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Instancia ^Beta
`roles/compute.orgSecurityPolicyAdmin`	Administrador de políticas de seguridad de Compute para la organización	Control total de las Políticas de seguridad de Compute Engine de la organización.	compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalOperations.setIamPolicy compute.projects.get compute.securityPolicies.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.orgSecurityPolicyUser`	Usuario de políticas de seguridad de Compute para la organización	Consulta o usa las políticas de seguridad de Compute Engine para asociarlas con la organización o con las carpetas.	compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalOperations.setIamPolicy compute.projects.get compute.securityPolicies.addAssociation compute.securityPolicies.get compute.securityPolicies.list compute.securityPolicies.removeAssociation compute.securityPolicies.use resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.orgSecurityResourceAdmin`	Administrador de recursos de Compute en la organización	Tiene control completo sobre las asociaciones de la política de firewall de Compute Engine con la organización o con las carpetas.	compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalOperations.setIamPolicy compute.organizations.listAssociations compute.organizations.setSecurityPolicy compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.osAdminLogin`	Acceso de administrador al SO de Compute	Accede a una instancia de Compute Engine como un usuario administrador.	compute.instances.get compute.instances.list compute.instances.osAdminLogin compute.instances.osLogin compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Instancia ^Beta
`roles/compute.osLogin`	Acceso a SO de Compute	Acceso a una instancia de Compute Engine como un usuario estándar.	compute.instances.get compute.instances.list compute.instances.osLogin compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Instancia ^Beta
`roles/compute.osLoginExternalUser`	Usuario externo del acceso al SO de Compute	Disponible solo a nivel de la organización. Acceso para que un usuario externo configure la información de acceso al SO asociada con esta organización. Esta función no otorga acceso a instancias. A los usuarios externos se les debe otorgar una de las funciones de acceso al SO obligatorias para permitirles que accedan a instancias mediante SSH.	compute.oslogin.*	Organización
`roles/compute.packetMirroringAdmin`	Administrador de duplicación de paquetes de Compute	Especifica los recursos que se duplicarán.	compute.networks.mirror compute.projects.get compute.subnetworks.mirror resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.packetMirroringUser`	Usuario de duplicación de paquetes de Compute	Usa duplicaciones de paquetes de Compute Engine.	compute.packetMirrorings.* compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
`roles/compute.publicIpAdmin`	Administrador de IP pública de Compute ^Beta	Control total de la administración de direcciones IP públicas para Compute Engine.	compute.addresses.* compute.globalAddresses.* compute.globalPublicDelegatedPrefixes.* compute.publicAdvertisedPrefixes.* compute.publicDelegatedPrefixes.* resourcemanager.projects.get resourcemanager.projects.list
`roles/compute.securityAdmin`	Administrador de seguridad de Compute	Permisos para crear, modificar y borrar reglas de firewall y certificados SSL, y también para configurar VM protegidas^BETA. Por ejemplo, si tu empresa tiene un equipo de seguridad que administra firewalls y certificados SSL y, además, un equipo de herramientas de redes que administra el resto de los recursos de herramientas de redes, debes otorgar esta función al grupo del equipo de seguridad.	compute.firewalls.* compute.globalOperations.get compute.globalOperations.list compute.instances.getEffectiveFirewalls compute.instances.setShieldedInstanceIntegrityPolicy compute.instances.setShieldedVmIntegrityPolicy compute.instances.updateShieldedInstanceConfig compute.instances.updateShieldedVmConfig compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.list compute.networks.updatePolicy compute.packetMirrorings.* compute.projects.get compute.regionOperations.get compute.regionOperations.list compute.regionSslCertificates.* compute.regions.* compute.routes.get compute.routes.list compute.securityPolicies.* compute.sslCertificates.* compute.sslPolicies.* compute.subnetworks.get compute.subnetworks.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Instancia ^Beta
`roles/compute.storageAdmin`	Administrador de almacenamiento de Compute	Permisos para crear, modificar y borrar imágenes, instantáneas y discos. Por ejemplo, si en tu empresa hay una persona que administra las imágenes del proyecto y no quieres que tenga la función de editor en el proyecto, debes otorgarle esta función a su cuenta en el proyecto.	compute.diskTypes.* compute.disks.* compute.globalOperations.get compute.globalOperations.list compute.images.* compute.licenseCodes.* compute.licenses.* compute.projects.get compute.regionOperations.get compute.regionOperations.list compute.regions.* compute.resourcePolicies.* compute.snapshots.* compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Disco, imagen, instantánea ^Beta
`roles/compute.viewer`	Lector de Compute	Acceso de solo lectura para obtener y mostrar los recursos de Compute Engine, sin poder leer los datos almacenados en ellos. Por ejemplo, una cuenta con esta función podría crear inventarios de todos los discos en un proyecto, pero no podría leer ninguno de los datos de esos discos.	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute.commitments.get compute.commitments.list compute.diskTypes.* compute.disks.get compute.disks.getIamPolicy compute.disks.list compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalPublicDelegatedPrefixes.get compute.globalPublicDelegatedPrefixes.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.get compute.images.getFromFamily compute.images.getIamPolicy compute.images.list compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instanceTemplates.get compute.instanceTemplates.getIamPolicy compute.instanceTemplates.list compute.instances.get compute.instances.getEffectiveFirewalls compute.instances.getGuestAttributes compute.instances.getIamPolicy compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.getShieldedInstanceIdentity compute.instances.getShieldedVmIdentity compute.instances.list compute.instances.listReferrers compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.get compute.licenseCodes.getIamPolicy compute.licenseCodes.list compute.licenses.get compute.licenses.getIamPolicy compute.licenses.list compute.machineImages.get compute.machineImages.getIamPolicy compute.machineImages.list compute.machineTypes.* compute.maintenancePolicies.get compute.maintenancePolicies.getIamPolicy compute.maintenancePolicies.list compute.networkEndpointGroups.get compute.networkEndpointGroups.getIamPolicy compute.networkEndpointGroups.list compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.nodeGroups.get compute.nodeGroups.getIamPolicy compute.nodeGroups.list compute.nodeTemplates.get compute.nodeTemplates.getIamPolicy compute.nodeTemplates.list compute.nodeTypes.* compute.organizations.listAssociations compute.projects.get compute.publicAdvertisedPrefixes.get compute.publicAdvertisedPrefixes.list compute.publicDelegatedPrefixes.get compute.publicDelegatedPrefixes.list compute.regionBackendServices.get compute.regionBackendServices.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionOperations.get compute.regionOperations.getIamPolicy compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regionUrlMaps.validate compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.get compute.resourcePolicies.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.securityPolicies.get compute.securityPolicies.getIamPolicy compute.securityPolicies.list compute.snapshots.get compute.snapshots.getIamPolicy compute.snapshots.list compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.getIamPolicy compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.urlMaps.validate compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.getIamPolicy compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Disco, imagen, instancia, instanceTemplate, nodeGroup, nodeTemplate, instantánea ^Beta
`roles/compute.xpnAdmin`	Administrador de VPC compartida de Compute	Permisos para administrar proyectos host de VPC compartida, que permiten habilitar específicamente los proyectos host y asociar proyectos de servicio de VPC compartida a la red del proyecto host. Al nivel de la organización, solo un administrador de la organización puede otorgar esta función. Google Cloud recomienda que el administrador de VPC compartida sea el propietario del proyecto host de VPC compartida. El administrador de VPC compartida es el responsable de otorgar la función del usuario de red de Compute (`roles/compute.networkUser`) a los propietarios del servicio. Por otro lado, el propietario del proyecto host de VPC compartida controla el proyecto en sí. La administración del proyecto es más sencilla si una única cuenta principal (individual o grupal) puede cumplir ambas funciones.	compute.globalOperations.get compute.globalOperations.list compute.organizations.administerXpn compute.organizations.disableXpnHost compute.organizations.disableXpnResource compute.organizations.enableXpnHost compute.organizations.enableXpnResource compute.projects.get compute.subnetworks.getIamPolicy compute.subnetworks.setIamPolicy resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list	Carpeta
`roles/osconfig.guestPolicyAdmin`	Administrador de GuestPolicy ^Beta	Acceso completo de administrador a GuestPolicies	osconfig.guestPolicies.* resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.guestPolicyEditor`	Editor de GuestPolicy ^Beta	Editor de recursos de GuestPolicy	osconfig.guestPolicies.get osconfig.guestPolicies.list osconfig.guestPolicies.update resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.guestPolicyViewer`	Visualizador de GuestPolicy ^Beta	Visualizador de recursos de GuestPolicy	osconfig.guestPolicies.get osconfig.guestPolicies.list resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.patchDeploymentAdmin`	Administrador de PatchDeployment	Acceso completo de administrador a PatchDeployments	osconfig.patchDeployments.* resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.patchDeploymentViewer`	Visualizador de PatchDeployment	Visualizador de recursos de PatchDeployment	osconfig.patchDeployments.get osconfig.patchDeployments.list resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.patchJobExecutor`	Ejecutor de trabajos de aplicación de parches	Acceso para ejecutar trabajos de aplicación de parches	osconfig.patchJobs.* resourcemanager.projects.get resourcemanager.projects.list
`roles/osconfig.patchJobViewer`	Visualizador de trabajos de aplicación de parches	Obtiene y enumera trabajos de aplicación de parches.	osconfig.patchJobs.get osconfig.patchJobs.list resourcemanager.projects.get resourcemanager.projects.list

Funciones de Kubernetes Engine

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/container.admin`	Administrador de Kubernetes Engine	Proporciona acceso a la administración completa de los clústeres y sus objetos de la API de Kubernetes. Para configurar una cuenta de servicio en los nodos, también debes otorgar la función de usuario de la cuenta de servicio (`roles/iam.serviceAccountUser`).	container.* resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/container.clusterAdmin`	Administrador de clústeres de Kubernetes Engine	Proporciona acceso a la administración de los clústeres. Para configurar una cuenta de servicio en los nodos, también debes otorgar la función de usuario de la cuenta de servicio (`roles/iam.serviceAccountUser`).	container.clusters.create container.clusters.delete container.clusters.get container.clusters.list container.clusters.update container.operations.* resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/container.clusterViewer`	Visualizador de clústeres de Kubernetes Engine	Puede obtener y enumerar clústeres de GKE.	container.clusters.get container.clusters.list resourcemanager.projects.get resourcemanager.projects.list
`roles/container.developer`	Desarrollador de Kubernetes Engine	Proporciona acceso a los objetos de la API de Kubernetes dentro de los clústeres.	container.apiServices.* container.backendConfigs.* container.bindings.* container.certificateSigningRequests.create container.certificateSigningRequests.delete container.certificateSigningRequests.get container.certificateSigningRequests.list container.certificateSigningRequests.update container.certificateSigningRequests.updateStatus container.clusterRoleBindings.get container.clusterRoleBindings.list container.clusterRoles.get container.clusterRoles.list container.clusters.get container.clusters.list container.componentStatuses.* container.configMaps.* container.controllerRevisions.get container.controllerRevisions.list container.cronJobs.* container.csiDrivers.* container.csiNodes.* container.customResourceDefinitions.* container.daemonSets.* container.deployments.* container.endpoints.* container.events.* container.horizontalPodAutoscalers.* container.ingresses.* container.initializerConfigurations.* container.jobs.* container.limitRanges.* container.localSubjectAccessReviews.* container.namespaces.* container.networkPolicies.* container.nodes.* container.persistentVolumeClaims.* container.persistentVolumes.* container.petSets.* container.podDisruptionBudgets.* container.podPresets.* container.podSecurityPolicies.get container.podSecurityPolicies.list container.podTemplates.* container.pods.* container.replicaSets.* container.replicationControllers.* container.resourceQuotas.* container.roleBindings.get container.roleBindings.list container.roles.get container.roles.list container.runtimeClasses.* container.scheduledJobs.* container.secrets.* container.selfSubjectAccessReviews.* container.serviceAccounts.* container.services.* container.statefulSets.* container.storageClasses.* container.subjectAccessReviews.* container.thirdPartyObjects.* container.thirdPartyResources.* container.tokenReviews.* resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/container.hostServiceAgentUser`	Usuario de agente de servicios de host de Kubernetes Engine	Permite que la cuenta de servicio de Kubernetes Engine en el proyecto host configure los recursos de red compartida de la administración de los clústeres. También otorga acceso para inspeccionar las reglas de firewall del proyecto host.	compute.firewalls.get container.hostServiceAgent.*
`roles/container.viewer`	Visualizador de Kubernetes Engine	Proporciona acceso de solo lectura a los recursos de GKE.	container.apiServices.get container.apiServices.list container.backendConfigs.get container.backendConfigs.list container.bindings.get container.bindings.list container.certificateSigningRequests.get container.certificateSigningRequests.list container.clusterRoleBindings.get container.clusterRoleBindings.list container.clusterRoles.get container.clusterRoles.list container.clusters.get container.clusters.list container.componentStatuses.* container.configMaps.get container.configMaps.list container.controllerRevisions.get container.controllerRevisions.list container.cronJobs.get container.cronJobs.getStatus container.cronJobs.list container.csiDrivers.get container.csiDrivers.list container.csiNodes.get container.csiNodes.list container.customResourceDefinitions.get container.customResourceDefinitions.list container.daemonSets.get container.daemonSets.getStatus container.daemonSets.list container.deployments.get container.deployments.getStatus container.deployments.list container.endpoints.get container.endpoints.list container.events.get container.events.list container.horizontalPodAutoscalers.get container.horizontalPodAutoscalers.getStatus container.horizontalPodAutoscalers.list container.ingresses.get container.ingresses.getStatus container.ingresses.list container.initializerConfigurations.get container.initializerConfigurations.list container.jobs.get container.jobs.getStatus container.jobs.list container.limitRanges.get container.limitRanges.list container.namespaces.get container.namespaces.getStatus container.namespaces.list container.networkPolicies.get container.networkPolicies.list container.nodes.get container.nodes.getStatus container.nodes.list container.operations.* container.persistentVolumeClaims.get container.persistentVolumeClaims.getStatus container.persistentVolumeClaims.list container.persistentVolumes.get container.persistentVolumes.getStatus container.persistentVolumes.list container.petSets.get container.petSets.list container.podDisruptionBudgets.get container.podDisruptionBudgets.getStatus container.podDisruptionBudgets.list container.podPresets.get container.podPresets.list container.podSecurityPolicies.get container.podSecurityPolicies.list container.podTemplates.get container.podTemplates.list container.pods.get container.pods.getStatus container.pods.list container.replicaSets.get container.replicaSets.getScale container.replicaSets.getStatus container.replicaSets.list container.replicationControllers.get container.replicationControllers.getScale container.replicationControllers.getStatus container.replicationControllers.list container.resourceQuotas.get container.resourceQuotas.getStatus container.resourceQuotas.list container.roleBindings.get container.roleBindings.list container.roles.get container.roles.list container.runtimeClasses.get container.runtimeClasses.list container.scheduledJobs.get container.scheduledJobs.list container.serviceAccounts.get container.serviceAccounts.list container.services.get container.services.getStatus container.services.list container.statefulSets.get container.statefulSets.getStatus container.statefulSets.list container.storageClasses.get container.storageClasses.list container.thirdPartyObjects.get container.thirdPartyObjects.list container.thirdPartyResources.get container.thirdPartyResources.list container.tokenReviews.* resourcemanager.projects.get resourcemanager.projects.list	Proyecto

Funciones de Container Analysis

Función	Título	Descripción	Permisos
`roles/containeranalysis.admin`	Administrador de Container Analysis	El administrador tiene acceso a todos los recursos de Container Analysis.	containeranalysis.notes.attachOccurrence containeranalysis.notes.create containeranalysis.notes.delete containeranalysis.notes.get containeranalysis.notes.getIamPolicy containeranalysis.notes.list containeranalysis.notes.setIamPolicy containeranalysis.notes.update containeranalysis.occurrences.* resourcemanager.projects.get resourcemanager.projects.list
`roles/containeranalysis.notes.attacher`	Vinculador de notas de Container Analysis	El vinculador puede vincular casos de Container Analysis a las notas.	containeranalysis.notes.attachOccurrence containeranalysis.notes.get
`roles/containeranalysis.notes.editor`	Editor de notas de Container Analysis	El editor puede editar las notas de Container Analysis.	containeranalysis.notes.attachOccurrence containeranalysis.notes.create containeranalysis.notes.delete containeranalysis.notes.get containeranalysis.notes.list containeranalysis.notes.update resourcemanager.projects.get resourcemanager.projects.list
`roles/containeranalysis.notes.occurrences.viewer`	Casos de Container Analysis para el visualizador de notas		containeranalysis.notes.get containeranalysis.notes.listOccurrences
`roles/containeranalysis.notes.viewer`	Visualizador de notas de Container Analysis	El visualizador puede ver las notas de Container Analysis.	containeranalysis.notes.get containeranalysis.notes.list resourcemanager.projects.get resourcemanager.projects.list
`roles/containeranalysis.occurrences.editor`	Editor de casos de Container Analysis	El editor puede editar los casos de Container Analysis.	containeranalysis.occurrences.create containeranalysis.occurrences.delete containeranalysis.occurrences.get containeranalysis.occurrences.list containeranalysis.occurrences.update resourcemanager.projects.get resourcemanager.projects.list
`roles/containeranalysis.occurrences.viewer`	Visualizador de casos de Container Analysis	El visualizador puede ver los casos de Container Analysis.	containeranalysis.occurrences.get containeranalysis.occurrences.list resourcemanager.projects.get resourcemanager.projects.list

Funciones de Data Catalog

Función	Título	Descripción	Permisos
`roles/datacatalog.admin`	Administrador de Data Catalog	Acceso completo a todos los recursos de Data Catalog	bigquery.datasets.get bigquery.datasets.updateTag bigquery.models.getMetadata bigquery.models.updateTag bigquery.tables.get bigquery.tables.updateTag datacatalog.categories.getIamPolicy datacatalog.categories.setIamPolicy datacatalog.entries.* datacatalog.entryGroups.* datacatalog.tagTemplates.* datacatalog.taxonomies.* pubsub.topics.get pubsub.topics.updateTag resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.categoryAdmin`	Administrador de etiquetas de política ^Beta	Administra taxonomías	datacatalog.categories.getIamPolicy datacatalog.categories.setIamPolicy datacatalog.taxonomies.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.categoryFineGrainedReader`	Lector preciso ^Beta	Acceso de lectura a subrecursos etiquetados por una etiqueta de política, por ejemplo, columnas de BigQuery	datacatalog.categories.fineGrainedGet
`roles/datacatalog.entryGroupCreator`	Creador de entryGroup de DataCatalog	Puede crear entryGroups nuevos.	datacatalog.entryGroups.create datacatalog.entryGroups.get datacatalog.entryGroups.list resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.entryGroupOwner`	Propietario de entryGroup de DataCatalog	Acceso completo a entryGroups	datacatalog.entries.* datacatalog.entryGroups.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.entryOwner`	Propietario de entradas de DataCatalog	Acceso completo a las entradas	datacatalog.entries.* datacatalog.entryGroups.get resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.entryViewer`	Visualizador de entradas de DataCatalog	Acceso de lectura a entradas	datacatalog.entries.get datacatalog.entries.list datacatalog.entryGroups.get resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.tagEditor`	Editor de etiquetas de Data Catalog	Proporciona acceso para modificar etiquetas en elementos de Google Cloud para BigQuery y Pub/Sub.	bigquery.datasets.updateTag bigquery.models.updateTag bigquery.tables.updateTag datacatalog.entries.updateTag pubsub.topics.updateTag
`roles/datacatalog.tagTemplateCreator`	Creador de TagTemplate de Data Catalog	Acceso para crear nuevas plantillas de etiquetas	datacatalog.tagTemplates.create datacatalog.tagTemplates.get
`roles/datacatalog.tagTemplateOwner`	Propietario de TagTemplate de Data Catalog	Acceso completo a plantillas de etiquetas	datacatalog.tagTemplates.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.tagTemplateUser`	Usuario de TagTemplate de Data Catalog	Acceso para usar plantillas para etiquetar recursos	datacatalog.tagTemplates.get datacatalog.tagTemplates.getTag datacatalog.tagTemplates.use resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.tagTemplateViewer`	Visualizador de TagTemplate de Data Catalog	Acceso de lectura a plantillas y etiquetas creadas a partir de plantillas	datacatalog.tagTemplates.get datacatalog.tagTemplates.getTag resourcemanager.projects.get resourcemanager.projects.list
`roles/datacatalog.viewer`	Visualizador de Data Catalog	Proporciona acceso de lectura de metadatos a recursos de Google Cloud catalogados para BigQuery y Pub/Sub.	bigquery.datasets.get bigquery.models.getMetadata bigquery.tables.get datacatalog.entries.get datacatalog.entries.list datacatalog.entryGroups.get datacatalog.entryGroups.list datacatalog.tagTemplates.get datacatalog.tagTemplates.getTag datacatalog.taxonomies.get datacatalog.taxonomies.list pubsub.topics.get resourcemanager.projects.get resourcemanager.projects.list

Funciones de Dataflow

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/dataflow.admin`	Administrador de Dataflow	Función mínima para crear y administrar trabajos de Dataflow.	compute.machineTypes.get dataflow.* resourcemanager.projects.get resourcemanager.projects.list storage.buckets.get storage.objects.create storage.objects.get storage.objects.list
`roles/dataflow.developer`	Desarrollador de Dataflow	Proporciona los permisos necesarios para ejecutar y manipular trabajos de Dataflow.	dataflow.* resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/dataflow.viewer`	Visualizador de Dataflow	Proporciona acceso de solo lectura a todos los recursos relacionados con Dataflow.	dataflow.jobs.get dataflow.jobs.list dataflow.messages.* dataflow.metrics.* dataflow.snapshots.get dataflow.snapshots.list resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/dataflow.worker`	Trabajador de Dataflow	Proporciona los permisos necesarios a fin de que una cuenta de servicio de Compute Engine ejecute las unidades de trabajo para una canalización de Dataflow.	compute.instanceGroupManagers.update compute.instances.delete compute.instances.setDiskAutoDelete dataflow.jobs.get logging.logEntries.create storage.objects.create storage.objects.get	Proyecto

Funciones de etiquetado de datos en la nube

Role	Título	Descripción	Permisos
`roles/datalabeling.admin`	Administrador del servicio de DataLabeling ^Beta	Acceso total a todos los recursos de DataLabeling	datalabeling.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datalabeling.editor`	Editor de servicios de DataLabeling ^Beta	Editor de todos los recursos de DataLabeling	datalabeling.* resourcemanager.projects.get resourcemanager.projects.list
`roles/datalabeling.viewer`	Visualizador de servicios de DataLabeling ^Beta	Lector de todos los recursos de DataLabeling	datalabeling.annotateddatasets.get datalabeling.annotateddatasets.list datalabeling.annotationspecsets.get datalabeling.annotationspecsets.list datalabeling.dataitems.* datalabeling.datasets.get datalabeling.datasets.list datalabeling.examples.* datalabeling.instructions.get datalabeling.instructions.list datalabeling.operations.get datalabeling.operations.list resourcemanager.projects.get resourcemanager.projects.list

Funciones de migración de datos

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/datamigration.admin`	Administrador de Database Migration ^Beta	Tiene acceso completo a todos los recursos de Database Migration.	datamigration.* resourcemanager.projects.get resourcemanager.projects.list

Funciones de Dataprep

Role	Título	Descripción	Permisos	Recurso más bajo
`roles/dataprep.projects.user`	Usuario de Dataprep ^Beta	Uso de Dataprep.	dataprep.* resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Funciones de Dataproc

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/dataproc.admin`	Administrador de Dataproc	Control total de los recursos de Dataproc.	compute.machineTypes.* compute.networks.get compute.networks.list compute.projects.get compute.regions.* compute.zones.* dataproc.autoscalingPolicies.* dataproc.clusters.* dataproc.jobs.* dataproc.operations.* dataproc.workflowTemplates.* resourcemanager.projects.get resourcemanager.projects.list
`roles/dataproc.editor`	Editor de Dataproc	Proporciona los permisos necesarios para ver los recursos requeridos a fin de administrar Dataproc, incluidos los tipos de máquinas, redes, proyectos y zonas.	compute.machineTypes.* compute.networks.get compute.networks.list compute.projects.get compute.regions.* compute.zones.* dataproc.autoscalingPolicies.create dataproc.autoscalingPolicies.delete dataproc.autoscalingPolicies.get dataproc.autoscalingPolicies.list dataproc.autoscalingPolicies.update dataproc.autoscalingPolicies.use dataproc.clusters.create dataproc.clusters.delete dataproc.clusters.get dataproc.clusters.list dataproc.clusters.update dataproc.clusters.use dataproc.jobs.cancel dataproc.jobs.create dataproc.jobs.delete dataproc.jobs.get dataproc.jobs.list dataproc.jobs.update dataproc.operations.delete dataproc.operations.get dataproc.operations.list dataproc.workflowTemplates.create dataproc.workflowTemplates.delete dataproc.workflowTemplates.get dataproc.workflowTemplates.instantiate dataproc.workflowTemplates.instantiateInline dataproc.workflowTemplates.list dataproc.workflowTemplates.update resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/dataproc.hubAgent`	Agente de Dataproc Hub	Permite la administración de los recursos de Dataproc. Está destinada a las cuentas de servicio que ejecutan instancias de Dataproc Hub.	compute.instances.get compute.instances.setMetadata compute.instances.setTags compute.zoneOperations.get compute.zones.list dataproc.autoscalingPolicies.get dataproc.autoscalingPolicies.list dataproc.autoscalingPolicies.use dataproc.clusters.create dataproc.clusters.delete dataproc.clusters.get dataproc.clusters.list dataproc.clusters.update dataproc.operations.cancel dataproc.operations.delete dataproc.operations.get dataproc.operations.list iam.serviceAccounts.actAs iam.serviceAccounts.get iam.serviceAccounts.list logging.buckets.get logging.buckets.list logging.exclusions.get logging.exclusions.list logging.locations.* logging.logEntries.create logging.logEntries.list logging.logMetrics.get logging.logMetrics.list logging.logServiceIndexes.* logging.logServices.* logging.logs.list logging.queries.* logging.sinks.get logging.sinks.list logging.usage.* logging.views.get logging.views.list resourcemanager.projects.get resourcemanager.projects.list storage.buckets.get storage.objects.get storage.objects.list
`roles/dataproc.viewer`	Visualizador de Dataproc	Proporciona acceso de solo lectura a los recursos de Dataproc.	compute.machineTypes.get compute.regions.* compute.zones.* dataproc.autoscalingPolicies.get dataproc.autoscalingPolicies.list dataproc.clusters.get dataproc.clusters.list dataproc.jobs.get dataproc.jobs.list dataproc.operations.get dataproc.operations.list dataproc.workflowTemplates.get dataproc.workflowTemplates.list resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/dataproc.worker`	Trabajador de Dataproc	Proporciona acceso de trabajador a los recursos de Dataproc. Se orienta a cuentas de servicio.	dataproc.agents.* dataproc.tasks.* logging.logEntries.create monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.timeSeries.create storage.buckets.get storage.objects.*

Funciones de Datastore

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/datastore.importExportAdmin`	Administrador de importación y exportación de Cloud Datastore	Proporciona acceso completo para administrar importaciones y exportaciones	appengine.applications.get datastore.databases.export datastore.databases.import datastore.operations.cancel datastore.operations.get datastore.operations.list resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/datastore.indexAdmin`	Administrador del índice de Cloud Datastore	Proporciona acceso completo para administrar definiciones de índices	appengine.applications.get datastore.indexes.* resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/datastore.owner`	Propietario de Cloud Datastore	Proporciona acceso completo a los recursos de Datastore.	appengine.applications.get datastore.* resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/datastore.user`	Usuario de Cloud Datastore	Proporciona acceso de lectura y escritura a los datos de una base de datos de Datastore.	appengine.applications.get datastore.databases.get datastore.entities.* datastore.indexes.list datastore.namespaces.get datastore.namespaces.list datastore.statistics.* resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/datastore.viewer`	Visualizador de Cloud Datastore	Proporciona acceso de lectura a los recursos de Datastore.	appengine.applications.get datastore.databases.get datastore.databases.list datastore.entities.get datastore.entities.list datastore.indexes.get datastore.indexes.list datastore.namespaces.get datastore.namespaces.list datastore.statistics.* resourcemanager.projects.get resourcemanager.projects.list	Proyecto

Funciones de Deployment Manager

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/deploymentmanager.editor`	Editor de Deployment Manager	Proporciona los permisos necesarios para crear y administrar implementaciones.	deploymentmanager.compositeTypes.* deploymentmanager.deployments.cancelPreview deploymentmanager.deployments.create deploymentmanager.deployments.delete deploymentmanager.deployments.get deploymentmanager.deployments.list deploymentmanager.deployments.stop deploymentmanager.deployments.update deploymentmanager.manifests.* deploymentmanager.operations.* deploymentmanager.resources.* deploymentmanager.typeProviders.* deploymentmanager.types.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Proyecto
`roles/deploymentmanager.typeEditor`	Editor de tipo de Deployment Manager	Proporciona acceso de lectura y escritura a todos los recursos de Type Registry.	deploymentmanager.compositeTypes.* deploymentmanager.operations.get deploymentmanager.typeProviders.* deploymentmanager.types.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get	Proyecto
`roles/deploymentmanager.typeViewer`	Lector de tipo de Deployment Manager	Proporciona acceso de solo lectura a todos los recursos de Type Registry.	deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.types.get deploymentmanager.types.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get	Proyecto
`roles/deploymentmanager.viewer`	Visualizador de Deployment Manager	Proporciona acceso de solo lectura a todos los recursos relacionados con Deployment Manager.	deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.deployments.get deploymentmanager.deployments.list deploymentmanager.manifests.* deploymentmanager.operations.* deploymentmanager.resources.* deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.types.get deploymentmanager.types.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Proyecto

Funciones de Dialogflow

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/dialogflow.admin`	Administrador de API de Dialogflow	Otorgar a los administradores de la API de Dialogflow que necesitan acceso completo a recursos específicos de Dialogflow. Además, consulta el control de acceso de Dialogflow.	dialogflow.* resourcemanager.projects.get	Proyecto
`roles/dialogflow.client`	Cliente de la API de Dialogflow	Otorgar a los clientes de la API de Dialogflow que realizan ediciones específicas de Dialogflow y detectan llamadas de intent mediante la API. Además, consulta el control de acceso de Dialogflow.	dialogflow.contexts.* dialogflow.sessionEntityTypes.* dialogflow.sessions.*	Proyecto
`roles/dialogflow.consoleAgentEditor`	Editor del agente en la consola de Dialogflow	Otorgar a editores de la consola de Dialogflow que editan agentes existentes. Además, consulta el control de acceso de Dialogflow.	actions.agentVersions.create dialogflow.* resourcemanager.projects.get	Proyecto
`roles/dialogflow.conversationManager`	Administrador de conversaciones de Dialogflow	Puede administrar todos los recursos relacionados con las conversaciones de Dialogflow.
`roles/dialogflow.integrationManager`	Administrador de integración de Dialogflow	Puede agregar, quitar, habilitar o inhabilitar integraciones de Dialogflow.
`roles/dialogflow.reader`	Lector de la API de Dialogflow	Otorgar a los clientes de la API de Dialogflow que realizan llamadas de solo lectura específicas de Dialogflow mediante la API. Además, consulta el control de acceso de Dialogflow.	dialogflow.agents.export dialogflow.agents.get dialogflow.agents.list dialogflow.agents.search dialogflow.contexts.get dialogflow.contexts.list dialogflow.documents.get dialogflow.documents.list dialogflow.entityTypes.get dialogflow.entityTypes.list dialogflow.environments.get dialogflow.environments.list dialogflow.flows.get dialogflow.flows.list dialogflow.fulfillments.get dialogflow.intents.get dialogflow.intents.list dialogflow.knowledgeBases.get dialogflow.knowledgeBases.list dialogflow.operations.* dialogflow.pages.get dialogflow.pages.list dialogflow.sessionEntityTypes.get dialogflow.sessionEntityTypes.list dialogflow.transitionRouteGroups.get dialogflow.transitionRouteGroups.list dialogflow.versions.get dialogflow.versions.list dialogflow.webhooks.get dialogflow.webhooks.list resourcemanager.projects.get	Proyecto

Funciones de Cloud DLP

Función	Título	Descripción	Permisos
`roles/dlp.admin`	Administrador de DLP	Administra DLP, incluidos los trabajos y las plantillas.	dlp.* serviceusage.services.use
`roles/dlp.analyzeRiskTemplatesEditor`	Editor de plantillas de riesgo del análisis de DLP	Edita las plantillas de riesgo de análisis de DLP.	dlp.analyzeRiskTemplates.*
`roles/dlp.analyzeRiskTemplatesReader`	Lector de plantillas de análisis de riesgo de DLP	Lee las plantillas de riesgo del análisis de DLP.	dlp.analyzeRiskTemplates.get dlp.analyzeRiskTemplates.list
`roles/dlp.deidentifyTemplatesEditor`	Editor de plantillas de desidentificación de DLP	Edita las plantillas de desidentificación de DLP.	dlp.deidentifyTemplates.*
`roles/dlp.deidentifyTemplatesReader`	Lector de plantillas de desidentificación de DLP	Lee las plantillas de desidentificación de DLP.	dlp.deidentifyTemplates.get dlp.deidentifyTemplates.list
`roles/dlp.inspectFindingsReader`	Lector de hallazgos de inspección de DLP	Lee los resultados almacenados en DLP.	dlp.inspectFindings.*
`roles/dlp.inspectTemplatesEditor`	Editor de plantillas de inspección de DLP	Edita las plantillas de inspección de DLP.	dlp.inspectTemplates.*
`roles/dlp.inspectTemplatesReader`	Lector de plantillas de inspección de DLP	Lee las plantillas de inspección de DLP.	dlp.inspectTemplates.get dlp.inspectTemplates.list
`roles/dlp.jobTriggersEditor`	Editor de activadores de trabajo de DLP	Edita configuraciones de activadores de trabajo.	dlp.jobTriggers.*
`roles/dlp.jobTriggersReader`	Lector de activadores de trabajo de DLP	Lee activadores de trabajo.	dlp.jobTriggers.get dlp.jobTriggers.list
`roles/dlp.jobsEditor`	Editor de trabajos de DLP	Edita y crea trabajos	dlp.jobs.* dlp.kms.*
`roles/dlp.jobsReader`	Lector de trabajos de DLP	Lee trabajos	dlp.jobs.get dlp.jobs.list
`roles/dlp.reader`	Lector de PPD	Lee entidades de PPD, como trabajos y plantillas.	dlp.analyzeRiskTemplates.get dlp.analyzeRiskTemplates.list dlp.deidentifyTemplates.get dlp.deidentifyTemplates.list dlp.inspectFindings.* dlp.inspectTemplates.get dlp.inspectTemplates.list dlp.jobTriggers.get dlp.jobTriggers.list dlp.jobs.get dlp.jobs.list dlp.storedInfoTypes.get dlp.storedInfoTypes.list
`roles/dlp.storedInfoTypesEditor`	Editor de infotipos almacenados en PPD	Edita infotipos almacenados en DLP.	dlp.storedInfoTypes.*
`roles/dlp.storedInfoTypesReader`	Lector de infotipos almacenados en DLP	Lee infotipos almacenados en PPD.	dlp.storedInfoTypes.get dlp.storedInfoTypes.list
`roles/dlp.user`	Usuario de PPD	Inspecciona, redacta y desidentifica contenido	dlp.kms.* serviceusage.services.use

Funciones de DNS

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/dns.admin`	Administrador de DNS	Proporciona acceso de lectura y escritura a todos los recursos de Cloud DNS.	compute.networks.get compute.networks.list dns.changes.* dns.dnsKeys.* dns.managedZoneOperations.* dns.managedZones.* dns.networks.* dns.policies.create dns.policies.delete dns.policies.get dns.policies.list dns.policies.update dns.projects.* dns.resourceRecordSets.* resourcemanager.projects.get resourcemanager.projects.list	Proyecto
`roles/dns.peer`	Intercambio de tráfico de DNS	Acceso a las redes objetivo con zonas de intercambio de tráfico de DNS	dns.networks.targetWithPeeringZone
`roles/dns.reader`	Lector de DNS	Proporciona acceso de solo lectura a todos los recursos de Cloud DNS.	compute.networks.get dns.changes.get dns.changes.list dns.dnsKeys.* dns.managedZoneOperations.* dns.managedZones.get dns.managedZones.list dns.policies.get dns.policies.list dns.projects.* dns.resourceRecordSets.list resourcemanager.projects.get resourcemanager.projects.list	Proyecto

Funciones de Endpoints

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/endpoints.portalAdmin`	Administrador del portal de Endpoints ^Beta	Proporciona todos los permisos necesarios para agregar, ver y borrar dominios personalizados en la página Extremos > Portal para desarrolladores de Cloud Console. En un portal creado para una API, proporciona el permiso para cambiar la configuración en la pestaña Site Wide en la página Configuración.	endpoints.* resourcemanager.projects.get resourcemanager.projects.list servicemanagement.services.get	Proyecto

Funciones de Error Reporting

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/errorreporting.admin`	Administrador de Error Reporting ^Beta	Proporciona acceso completo a los datos de Error Reporting.	cloudnotifications.* errorreporting.*	Proyecto
`roles/errorreporting.user`	Usuario de Error Reporting ^Beta	Proporciona los permisos para leer y escribir datos de Error Reporting, excepto para enviar nuevos eventos de error.	cloudnotifications.* errorreporting.applications.* errorreporting.errorEvents.delete errorreporting.errorEvents.list errorreporting.groupMetadata.* errorreporting.groups.*	Proyecto
`roles/errorreporting.viewer`	Visualizador de Error Reporting ^Beta	Proporciona acceso de solo lectura a los datos de Error Reporting.	cloudnotifications.* errorreporting.applications.* errorreporting.errorEvents.list errorreporting.groupMetadata.get errorreporting.groups.*	Proyecto
`roles/errorreporting.writer`	Escritor de errores ^Beta	Proporciona los permisos para enviar eventos de error a Error Reporting.	errorreporting.errorEvents.create	Cuenta de servicio

Funciones de Eventarch

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/eventarc.admin`	Administrador de Eventarc ^Beta	Control completo sobre todos los recursos de Eventarc.	eventarc.* resourcemanager.projects.get resourcemanager.projects.list
`roles/eventarc.viewer`	Visualizador de Eventarc ^Beta	Puede ver el estado de todos los recursos de Eventarc, incluidas las políticas de IAM.	eventarc.locations.* eventarc.operations.get eventarc.operations.list eventarc.triggers.get eventarc.triggers.getIamPolicy eventarc.triggers.list resourcemanager.projects.get resourcemanager.projects.list

Funciones de Cloud Filestore

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/file.editor`	Editor de Cloud Filestore ^Beta	Acceso de lectura y escritura a las instancias de Filestore y a los recursos relacionados	file.*
`roles/file.viewer`	Visualizador de Cloud Filestore ^Beta	Acceso de solo lectura a las instancias de Filestore y a los recursos relacionados	file.backups.get file.backups.list file.instances.get file.instances.list file.locations.* file.operations.get file.operations.list

Funciones de Firebase

Función	Título	Descripción	Permisos	Recurso más bajo
`roles/firebase.admin`	Administrador de Firebase	Acceso completo a los productos de Firebase.	apikeys.keys.get apikeys.keys.list apikeys.keys.lookup appengine.applications.get automl.* clientauthconfig.brands.get clientauthconfig.brands.list clientauthconfig.brands.update clientauthconfig.clients.create clientauthconfig.clients.delete clientauthconfig.clients.get clientauthconfig.clients.list clientauthconfig.clients.update cloudconfig.* cloudfunctions.* cloudmessaging.* cloudnotifications.* cloudtestservice.* cloudtoolresults.* datastore.* errorreporting.groups.*