Comprende las funciones

Cuando una identidad llama a una API de Google Cloud Platform, Cloud Identity and Access Management exige que esta tenga los permisos necesarios para usar el recurso. Puedes otorgar permisos si asignas funciones a un usuario, a un grupo o una cuenta de servicio.

En esta página, se describen las funciones de Cloud IAM que puedes asignar a las identidades para que accedan a los recursos de Cloud Platform.

Requisitos previos para esta guía

Tipos de funciones

Existen tres tipos de funciones en Cloud IAM:

  • Funciones básicas que incluyen las funciones de propietario, editor y lector que existían antes de la introducción de Cloud IAM
  • Funciones predefinidas administradas por GCP y proporcionan acceso detallado a un servicio específico
  • Funciones personalizadas que proporcionan acceso detallado según una lista de permisos especificada por el usuario

Para determinar si se incluyen uno o más permisos en una función básica, predefinida o personalizada, puedes usar uno de los métodos siguientes:

En las secciones a continuación, se describe cada tipo de función y se proporcionan ejemplos sobre cómo usarlos.

Funciones básicas

Hay tres funciones que existían antes de la introducción de Cloud IAM: la de propietario, editor y lector. Estas funciones son concéntricas; es decir, la función de propietario incluye los permisos en la función de editor y esta última incluye los permisos en la función de lector.

En la tabla siguiente, se resumen los permisos que incluyen las funciones básicas en todos los servicios de GCP:

Definiciones de funciones básicas

Nombre Cargo Permisos
roles/viewer Lector Permisos para acciones de solo lectura que no afectan el estado, como leer (pero no modificar) los recursos o datos existentes.
roles/editor Editor Todos los permisos de la función de lector además de los permisos adicionales para acciones que modifican el estado, como el cambio de recursos existentes.
Nota: Aunque la función de roles/editor contiene los permisos para crear y borrar recursos en la mayoría de los servicios de GCP, algunos servicios (como Cloud Source Repositories y Stackdriver) no incluyen estos permisos. Consulta la sección anterior para obtener más información sobre cómo verificar si una función tiene los permisos que necesitas.
roles/owner Propietario Todos los permisos de editor además de los permisos para realizar las acciones siguientes:
  • Administrar funciones y permisos de un proyecto y todos los recursos dentro de este
  • Configurar la facturación de un proyecto
Nota:
  • Si se asigna la función de propietario a nivel de recursos, como un tema de Cloud Pub/Sub, no se la otorga al proyecto principal.
  • La función de propietario no contiene ningún permiso para el recurso de la organización. Por lo tanto, si se otorga la función de propietario a nivel de la organización, esto no te permite actualizar los metadatos de la organización. Sin embargo, sí te permite modificar proyectos bajo esa organización.

Puedes aplicar funciones básicas en los niveles de proyecto o servicio con GCP Console, la API y la herramienta de línea de comandos de gcloud.

Flujo de invitación

No puedes asignar la función de propietario a un miembro para un proyecto con la API de Cloud IAM o la herramienta de línea de comandos de gcloud. Solo puedes agregar propietarios a un proyecto con GCP Console. Se enviará una invitación al miembro por correo electrónico y este deberá aceptarla para que se convierta en propietario del proyecto.

Ten en cuenta que los correos electrónicos de invitación no se envían en los casos siguientes:

  • Cuando asignas una función que no sea la de propietario
  • Cuando un miembro de la organización agrega otro miembro de su organización como propietario de un proyecto dentro de esa

Funciones predefinidas

Además de las funciones básicas, Cloud IAM proporciona funciones predefinidas adicionales que brindan acceso detallado a recursos específicos de Google Cloud Platform y evitan el acceso no deseado a otros recursos.

En la tabla siguiente, se enumeran estas funciones, sus descripciones y el tipo de recurso de nivel más bajo en el que se pueden establecer las funciones. Se puede asignar una función en particular para este tipo de recurso o, en la mayoría de los casos, cualquier tipo que se encuentre por encima de este en la jerarquía de GCP. Puedes asignar varias funciones al mismo usuario. Por ejemplo, el mismo usuario puede tener funciones de administrador de red y de visor de registros en un proyecto y también tener una función de publicador para un tema de Pub/Sub dentro de ese proyecto. Para obtener una lista de los permisos que contiene una función, consulta Cómo obtener los metadatos de la función.

Funciones de administración de Android

Función Cargo Descripción Permisos Recurso más bajo
roles/
androidmanagement.user		 Usuario de administración de Android Acceso total para administrar dispositivos. androidmanagement.*
serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Funciones de App Engine
Función Cargo Descripción Permisos Recurso más bajo
roles/
appengine.appAdmin		 Administrador de App Engine Acceso de lectura, escritura y modificación a todos los ajustes y configuración de la aplicación. appengine.applications.get
appengine.applications.update appengine.instances.* appengine.operations.* appengine.runtimes.* appengine.services.* appengine.versions.create appengine.versions.delete appengine.versions.get appengine.versions.list appengine.versions.update resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
appengine.appViewer		 Visualizador de App Engine Acceso de solo lectura a todos los ajustes y configuración de la aplicación. appengine.applications.get
appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.get appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
appengine.codeViewer		 Lector de código de App Engine Acceso de solo lectura a toda la configuración de la aplicación, a los ajustes y al código fuente implementado. appengine.applications.get
appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.get appengine.versions.getFileContents appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
appengine.deployer		 Implementador de App Engine Acceso de solo lectura a todos los ajustes y configuración de la aplicación.

Acceso de solo escritura para crear una versión nueva. No puede modificar las versiones existentes, a menos que sea a fin de borrar versiones que no reciban tráfico.

Nota: La función de implementador de App Engine (roles/appengine.deployer) solo otorga el permiso adecuado para implementar con la API de Administrador de App Engine. Para usar otras herramientas de App Engine, como los comandos de gcloud, también debes tener las funciones de administrador de Compute Storage (roles/compute.storageAdmin) y editor de Cloud Build (cloudbuild.builds.editor). 		appengine.applications.get
appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.create appengine.versions.delete appengine.versions.get appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
appengine.serviceAdmin		 Administrador de servicios de App Engine Acceso de solo lectura a todos los ajustes y configuración de la aplicación.
Acceso de escritura a la configuración de nivel de módulo y nivel de versión. No puede implementar una versión nueva. 		appengine.applications.get
appengine.instances.* appengine.operations.* appengine.services.* appengine.versions.delete appengine.versions.get appengine.versions.list appengine.versions.update resourcemanager.projects.get resourcemanager.projects.list		 Proyecto

Funciones de AutoML

Función Cargo Descripción Permisos Recurso más bajo
roles/
automl.admin		 Administrador de AutoMLBeta Acceso total a todos los recursos de AutoML automl.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list
roles/
automl.editor		 Editor de AutoMLBeta Edición de todos los recursos de AutoML automl.annotationSpecs.*
automl.annotations.* automl.columnSpecs.* automl.datasets.create automl.datasets.delete automl.datasets.export automl.datasets.get automl.datasets.import automl.datasets.list automl.datasets.update automl.examples.* automl.humanAnnotationTasks.* automl.locations.get automl.locations.list automl.modelEvaluations.* automl.models.create automl.models.delete automl.models.deploy automl.models.export automl.models.get automl.models.list automl.models.predict automl.models.undeploy automl.operations.* automl.tableSpecs.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list
roles/
automl.predictor		 Predictor de AutoMLBeta Predicción mediante modelos automl.models.predict
resourcemanager.projects.get resourcemanager.projects.list
roles/
automl.viewer		 Visualizador de AutoMLBeta Visualizador de todos los recursos de AutoML automl.annotationSpecs.get
automl.annotationSpecs.list automl.annotations.list automl.columnSpecs.get automl.columnSpecs.list automl.datasets.get automl.datasets.list automl.examples.get automl.examples.list automl.humanAnnotationTasks.get automl.humanAnnotationTasks.list automl.locations.get automl.locations.list automl.modelEvaluations.get automl.modelEvaluations.list automl.models.get automl.models.list automl.operations.get automl.operations.list automl.tableSpecs.get automl.tableSpecs.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list

Funciones de BigQuery
Función Cargo Descripción Permisos Recurso más bajo
roles/
bigquery.admin		 Administrador de BigQuery Proporciona permisos para administrar todos los recursos dentro del proyecto. Puede administrar todos los datos dentro del proyecto y cancelar trabajos de otros usuarios que se ejecutan dentro del proyecto. bigquery.*
resourcemanager.projects.get resourcemanager.projects.list 		Proyecto
roles/
bigquery.connectionAdmin		 Administrador de conexión de BigQuery Beta bigquery.connections.*
roles/
bigquery.connectionUser		 Usuario de conexión de BigQuery Beta bigquery.connections.get
bigquery.connections.getIamPolicy bigquery.connections.list bigquery.connections.use
roles/
bigquery.dataEditor		 Editor de datos de BigQuery

Cuando se aplica a un conjunto de datos, el Editor de datos proporciona los permisos para lo siguiente:

  • Leer los metadatos del conjunto de datos y hacer una lista de las tablas del conjunto de datos
  • Crear, actualizar, obtener y borrar las tablas del conjunto de datos

Cuando se aplica a nivel del proyecto o de la organización, esta función también puede crear conjuntos de datos nuevos.

 bigquery.datasets.create
bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.datasets.updateTag
bigquery.models.*
bigquery.routines.*
bigquery.tables.create
bigquery.tables.delete
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.list
bigquery.tables.update
bigquery.tables.updateData
bigquery.tables.updateTag
resourcemanager.projects.get
resourcemanager.projects.list
 Conjunto de datos
roles/
bigquery.dataOwner		 Propietario de datos de BigQuery

Cuando se aplica a un conjunto de datos, el Propietario de datos proporciona permisos para lo siguiente:

  • Leer, actualizar y borrar el conjunto de datos
  • Crear, actualizar, obtener y borrar las tablas del conjunto de datos

Cuando se aplica a nivel del proyecto o de la organización, esta función también puede crear conjuntos de datos nuevos.

 bigquery.datasets.*
bigquery.models.* bigquery.routines.* bigquery.tables.* resourcemanager.projects.get resourcemanager.projects.list 		Conjunto de datos
roles/
bigquery.dataViewer		 Visualizador de datos de BigQuery

Cuando se aplica a un conjunto de datos, el Visualizador de datos proporciona permisos para lo siguiente:

  • Leer los metadatos del conjunto de datos y hacer una lista de las tablas del conjunto de datos
  • Leer datos y metadatos de las tablas del conjunto de datos

Cuando se aplica a nivel del proyecto o de la organización, esta función también puede enumerar todos los conjuntos de datos en el proyecto. Sin embargo, se requieren funciones adicionales para permitir la ejecución de los trabajos.

bigquery.datasets.get
bigquery.datasets.getIamPolicy bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list 		Conjunto de datos
roles/
bigquery.jobUser		 Usuario de trabajo de BigQuery Proporciona permisos para ejecutar trabajos, incluidas las consultas, dentro del proyecto. La función Usuario de trabajo puede enumerar y cancelar sus propios trabajos. bigquery.jobs.create
resourcemanager.projects.get resourcemanager.projects.list 		Proyecto
roles/
bigquery.metadataViewer		 Visualizador de metadatos de BigQuery

Cuando se aplica a nivel de proyecto o de la organización, el Visualizador de metadatos proporciona permisos para lo siguiente:

  • Crear una lista de todos los conjuntos de datos y leer los metadatos de todos los conjuntos de datos del proyecto
  • Crear una lista de todas las tablas y vistas, y leer los metadatos de todas las tablas y vistas del proyecto

Se requieren funciones adicionales para permitir la ejecución de trabajos.

 bigquery.datasets.get
bigquery.datasets.getIamPolicy bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.get bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list 		Proyecto
roles/
bigquery.readSessionUser		 Usuario de sesión de lectura de BigQuery Beta Otorga acceso para crear y usar sesiones de lectura. bigquery.readsessions.*
resourcemanager.projects.get resourcemanager.projects.list
roles/
bigquery.user		 Usuario de BigQuery Proporciona permisos para ejecutar trabajos, incluidas las consultas, dentro del proyecto. La función de usuario te permite enumerar o cancelar tus propios trabajos y enumerar conjuntos de datos dentro de un proyecto. Además, te permite crear conjuntos de datos nuevos dentro del proyecto; al creador se le otorga la función bigquery.dataOwner para estos conjuntos nuevos. bigquery.config.get
bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.jobs.create bigquery.jobs.list bigquery.models.list bigquery.readsessions.* bigquery.routines.list bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.list bigquery.transfers.get resourcemanager.projects.get resourcemanager.projects.list 		Proyecto

Funciones de facturación

Función Cargo Descripción Permisos Recurso más bajo
roles/
billing.admin		 Administrador de cuenta de facturación Proporciona acceso para ver y administrar todos los aspectos de las cuentas de facturación. billing.accounts.close
billing.accounts.get billing.accounts.getIamPolicy billing.accounts.getPaymentInfo billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.accounts.move billing.accounts.redeemPromotion billing.accounts.removeFromOrganization billing.accounts.reopen billing.accounts.setIamPolicy billing.accounts.update billing.accounts.updatePaymentInfo billing.accounts.updateUsageExportSpec billing.budgets.* billing.credits.* billing.resourceAssociations.* billing.subscriptions.* cloudnotifications.* logging.logEntries.list logging.logServiceIndexes.* logging.logServices.* logging.logs.list logging.privateLogEntries.* resourcemanager.projects.createBillingAssignment resourcemanager.projects.deleteBillingAssignment 		Cuenta de facturación
roles/
billing.creator		 Creador de la cuenta de facturación Proporciona acceso para crear cuentas de facturación. billing.accounts.create
resourcemanager.organizations.get 		Proyecto
roles/
billing.projectManager		 Administrador de facturación del proyecto Proporciona acceso para asignar la cuenta de facturación de un proyecto o inhabilitar su facturación. resourcemanager.projects.createBillingAssignment
resourcemanager.projects.deleteBillingAssignment 		Proyecto
roles/
billing.user		 Usuario de la cuenta de facturación Proporciona acceso para asociar proyectos con cuentas de facturación. billing.accounts.get
billing.accounts.getIamPolicy billing.accounts.list billing.accounts.redeemPromotion billing.credits.* billing.resourceAssociations.create 		Cuenta de facturación
roles/
billing.viewer		 Visualizador de cuentas de facturación Visualiza las transacciones y la información de los costos de las cuentas de facturación. billing.accounts.get
billing.accounts.getIamPolicy billing.accounts.getPaymentInfo billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.budgets.get billing.budgets.list billing.credits.* billing.resourceAssociations.list billing.subscriptions.get billing.subscriptions.list 		Organización
Cuenta de facturación

Funciones de Autorización binaria
Función Cargo Descripción Permisos Recurso más bajo
roles/
binaryauthorization.attestorsAdmin		 Administrador de certificadores de Autorización binariaBeta Administrador de certificadores de Autorización binaria binaryauthorization.attestors.*
resourcemanager.projects.get resourcemanager.projects.list
roles/
binaryauthorization.attestorsEditor		 Editor de certificadores de Autorización binaria Beta Editor de certificadores de Autorización binaria binaryauthorization.attestors.create
binaryauthorization.attestors.delete binaryauthorization.attestors.get binaryauthorization.attestors.list binaryauthorization.attestors.update binaryauthorization.attestors.verifyImageAttested resourcemanager.projects.get resourcemanager.projects.list
roles/
binaryauthorization.attestorsVerifier		 Verificador de imagen de certificadores de Autorización binariaBeta Emisor de certificadores de Autorización binaria binaryauthorization.attestors.get
binaryauthorization.attestors.list binaryauthorization.attestors.verifyImageAttested resourcemanager.projects.get resourcemanager.projects.list
roles/
binaryauthorization.attestorsViewer		 Visualizador de certificadores de Autorización binariaBeta Visualizador de certificadores de Autorización binaria binaryauthorization.attestors.get
binaryauthorization.attestors.list resourcemanager.projects.get resourcemanager.projects.list
roles/
binaryauthorization.policyAdmin		 Administrador de política de Autorización binariaBeta Administrador de política de Autorización binaria binaryauthorization.policy.*
resourcemanager.projects.get resourcemanager.projects.list
roles/
binaryauthorization.policyEditor		 Editor de política de Autorización binariaBeta Editor de política de Autorización binaria binaryauthorization.policy.get
binaryauthorization.policy.update resourcemanager.projects.get resourcemanager.projects.list
roles/
binaryauthorization.policyViewer		 Visualizador de política de Autorización binariaBeta Visualizador de política de Autorización binaria binaryauthorization.policy.get
resourcemanager.projects.get resourcemanager.projects.list

Funciones de Cloud Asset

Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudasset.owner		 Propietario de recursos de CloudBeta Acceso total a los metadatos de los recursos de Cloud cloudasset.*
roles/
cloudasset.viewer		 Visualizador de recursos de Cloud Acceso de solo lectura a los metadatos de recursos de Cloud cloudasset.assets.*

Funciones de Cloud Bigtable
Función Cargo Descripción Permisos Recurso más bajo
roles/
bigtable.admin		 Administrador de Bigtable Administra todas las instancias de un proyecto, incluidos los datos almacenados en las tablas. Puede crear instancias nuevas. Orientado a los administradores del proyecto. bigtable.*
monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get		 Instancia
roles/
bigtable.reader		 Lector de Bigtable Proporciona acceso de solo lectura a los datos almacenados en las tablas. Pensado para científicos de datos, generadores de paneles y otras situaciones de análisis de datos. bigtable.appProfiles.get
bigtable.appProfiles.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.locations.* bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list bigtable.tables.readRows bigtable.tables.sampleRowKeys monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get		 Instancia
roles/
bigtable.user		 Usuario de Bigtable Proporciona acceso de lectura y escritura a los datos almacenados en las tablas. Pensado para desarrolladores de aplicaciones o cuentas de servicio. bigtable.appProfiles.get
bigtable.appProfiles.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.locations.* bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list bigtable.tables.mutateRows bigtable.tables.readRows bigtable.tables.sampleRowKeys monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get		 Instancia
roles/
bigtable.viewer		 Usuario de Bigtable sin acceso a datos No proporciona acceso a los datos. Diseñado como un conjunto mínimo de permisos a fin de acceder a Cloud Console para Bigtable. bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.locations.*
bigtable.tables.checkConsistency
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
 Instancia

Funciones de Cloud Build
Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudbuild.builds.builder		 Cuenta de servicio de Cloud Build Puede realizar compilaciones cloudbuild.*
logging.logEntries.create pubsub.topics.create pubsub.topics.publish remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update
roles/
cloudbuild.builds.editor		 Editor de Cloud Build Proporciona acceso para crear y cancelar compilaciones. cloudbuild.*
remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
cloudbuild.builds.viewer		 Visualizador de Cloud Build Proporciona acceso para ver las compilaciones. cloudbuild.builds.get
cloudbuild.builds.list remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list		 Proyecto

Funciones de Cloud Composer
Función Cargo Descripción Permisos Recurso más bajo
roles/
composer.admin		 Administrador de Composer Proporciona control total de los recursos de Cloud Composer. composer.*
serviceusage.quotas.get serviceusage.services.get serviceusage.services.list 		Proyecto
roles/
composer.environmentAndStorageObjectAdmin		 Administrador de objetos de almacenamiento y entorno Proporciona control total de los recursos de Cloud Composer y de los objetos en todos los depósitos de proyectos. composer.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.objects.* 		Proyecto
roles/
composer.environmentAndStorageObjectViewer		 Visualizador de objetos de almacenamiento y usuario de entorno Proporciona los permisos necesarios para enumerar y obtener entornos y operaciones de Cloud Composer. Proporciona acceso de solo lectura a los objetos en todos los depósitos de proyectos. composer.environments.get
composer.environments.list
composer.imageversions.*
composer.operations.get
composer.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.objects.get
storage.objects.list
 Proyecto
roles/
composer.user		 Usuario de Composer Proporciona los permisos necesarios para obtener y crear listas de entornos y operaciones de Cloud Composer. composer.environments.get
composer.environments.list composer.imageversions.* composer.operations.get composer.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list 		Proyecto
roles/
composer.worker		 Trabajador de Composer Proporciona los permisos necesarios para ejecutar una VM de entorno de Cloud Composer. Se otorga para cuentas de servicio. cloudbuild.*
container.* logging.logEntries.create monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.timeSeries.create pubsub.snapshots.create pubsub.snapshots.delete pubsub.snapshots.get pubsub.snapshots.list pubsub.snapshots.seek pubsub.snapshots.update pubsub.subscriptions.consume pubsub.subscriptions.create pubsub.subscriptions.delete pubsub.subscriptions.get pubsub.subscriptions.list pubsub.subscriptions.update pubsub.topics.attachSubscription pubsub.topics.create pubsub.topics.delete pubsub.topics.get pubsub.topics.list pubsub.topics.publish pubsub.topics.update pubsub.topics.updateTag remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.*		 Proyecto

Funciones de Cloud DLP
Función Cargo Descripción Permisos Recurso más bajo
roles/
dlp.admin		 Administrador de DLP Administra DLP, incluidos trabajos y plantillas. dlp.*
serviceusage.services.use
roles/
dlp.analyzeRiskTemplatesEditor		 Editor de plantillas de riesgo del análisis de DLP Edita las plantillas de riesgo de análisis de DLP. dlp.analyzeRiskTemplates.*
roles/
dlp.analyzeRiskTemplatesReader		 Lector de plantillas de riesgo del análisis de DLP Lee las plantillas de riesgo del análisis de DLP. dlp.analyzeRiskTemplates.get
dlp.analyzeRiskTemplates.list
roles/
dlp.deidentifyTemplatesEditor		 Editor de plantillas de desidentificación de DLP Edita las plantillas de desidentificación de DLP. dlp.deidentifyTemplates.*
roles/
dlp.deidentifyTemplatesReader		 Lector de plantillas de desidentificación de DLP Lee las plantillas de desidentificación de DLP. dlp.deidentifyTemplates.get
dlp.deidentifyTemplates.list
roles/
dlp.inspectTemplatesEditor		 Editor de plantillas de inspección de DLP Edita las plantillas de inspección de DLP. dlp.inspectTemplates.*
roles/
dlp.inspectTemplatesReader		 Lector de plantillas de inspección de DLP Lee las plantillas de inspección de DLP. dlp.inspectTemplates.get
dlp.inspectTemplates.list
roles/
dlp.jobTriggersEditor		 Editor de activadores de trabajo de DLP Edita configuraciones de activadores de trabajo. dlp.jobTriggers.*
roles/
dlp.jobTriggersReader		 Lector de activadores de trabajo de DLP Lee activadores de trabajo. dlp.jobTriggers.get
dlp.jobTriggers.list
roles/
dlp.jobsEditor		 Editor de trabajos de DLP Edita y crea trabajos dlp.jobs.*
dlp.kms.*
roles/
dlp.jobsReader		 Lector de trabajos de DLP Lee trabajos dlp.jobs.get
dlp.jobs.list
roles/
dlp.reader		 Lector de DLP Lee entidades de DLP, como trabajos y plantillas. dlp.analyzeRiskTemplates.get
dlp.analyzeRiskTemplates.list dlp.deidentifyTemplates.get dlp.deidentifyTemplates.list dlp.inspectTemplates.get dlp.inspectTemplates.list dlp.jobTriggers.get dlp.jobTriggers.list dlp.jobs.get dlp.jobs.list dlp.storedInfoTypes.get dlp.storedInfoTypes.list
roles/
dlp.storedInfoTypesEditor		 Editor de infotipos almacenados en DLP Edita infotipos almacenados en DLP. dlp.storedInfoTypes.*
roles/
dlp.storedInfoTypesReader		 Lector de infotipos almacenados en DLP Lee infotipos almacenados en DLP. dlp.storedInfoTypes.get
dlp.storedInfoTypes.list
roles/
dlp.user		 Usuario de DLP Inspecciona, redacta y desidentifica contenido dlp.kms.*
serviceusage.services.use

Funciones de Cloud Filestore

Función Cargo Descripción Permisos Recurso más bajo
roles/
file.editor		 Editor de Cloud Filestore Beta Acceso de lectura y escritura a las instancias de Filestore y a los recursos relacionados file.*
roles/
file.viewer		 Visualizador de Cloud Filestore Beta Acceso de solo lectura a las instancias de Filestore y a los recursos relacionados file.instances.get
file.instances.list file.locations.* file.operations.get file.operations.list file.snapshots.get file.snapshots.list

Funciones de Cloud Functions

Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudfunctions.admin		 Administrador de Cloud FunctionsBeta Acceso completo a las funciones, operaciones y ubicaciones cloudfunctions.*
resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
roles/
cloudfunctions.developer		 Desarrollador de Cloud FunctionsBeta Acceso de lectura y escritura a todos los recursos relacionados con funciones cloudfunctions.functions.call
cloudfunctions.functions.create cloudfunctions.functions.delete cloudfunctions.functions.get cloudfunctions.functions.invoke cloudfunctions.functions.list cloudfunctions.functions.sourceCodeGet cloudfunctions.functions.sourceCodeSet cloudfunctions.functions.update cloudfunctions.locations.* cloudfunctions.operations.* resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
roles/
cloudfunctions.invoker		 Invocador de Cloud FunctionsBeta Capacidad de invocar funciones de HTTP con acceso restringido cloudfunctions.functions.invoke
roles/
cloudfunctions.viewer		 Visualizador de Cloud FunctionsBeta Acceso de solo lectura a las funciones y ubicaciones cloudfunctions.functions.get
cloudfunctions.functions.list cloudfunctions.locations.* cloudfunctions.operations.* resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Funciones de Cloud IAP
Función Cargo Descripción Permisos Recurso más bajo
roles/
iap.admin		 Administrador de políticas de IAP Proporciona acceso completo a los recursos de Cloud Identity-Aware Proxy. iap.tunnel.*
iap.tunnelInstances.getIamPolicy iap.tunnelInstances.setIamPolicy iap.tunnelZones.* iap.web.getIamPolicy iap.web.setIamPolicy iap.webServiceVersions.getIamPolicy iap.webServiceVersions.setIamPolicy iap.webServices.getIamPolicy iap.webServices.setIamPolicy iap.webTypes.getIamPolicy iap.webTypes.setIamPolicy		 Proyecto
roles/
iap.httpsResourceAccessor		 Usuario de aplicación web protegida con IAP Proporciona permiso para acceder a los recursos HTTPS que utiliza Identity-Aware Proxy. iap.webServiceVersions.accessViaIAP
 Proyecto
roles/
iap.settingsAdmin		 Administrador de configuración de IAP Administrador de configuración de IAP. iap.projects.*
iap.web.getSettings iap.web.updateSettings iap.webServiceVersions.getSettings iap.webServiceVersions.updateSettings iap.webServices.getSettings iap.webServices.updateSettings iap.webTypes.getSettings iap.webTypes.updateSettings
roles/
iap.tunnelResourceAccessor		 Usuario de túnel protegido con IAP Proporciona acceso a recursos túnel que usan Identity-Aware Proxy iap.tunnelInstances.accessViaIAP

Funciones de Cloud IoT
Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudiot.admin		 Administrador de Cloud IoT Control absoluto de todos los recursos y permisos de Cloud IoT. cloudiot.*
cloudiottoken.*		 Dispositivo
roles/
cloudiot.deviceController		 Controlador de dispositivo de Cloud IoT Acceso para actualizar la configuración de los dispositivos, pero no para crear o borrar dispositivos. cloudiot.devices.get
cloudiot.devices.list cloudiot.devices.sendCommand cloudiot.devices.updateConfig cloudiot.registries.get cloudiot.registries.list cloudiottoken.tokensettings.get		 Dispositivo
roles/
cloudiot.editor		 Editor de Cloud IoT Acceso de lectura y escritura a todos los recursos de Cloud IoT. cloudiot.devices.*
cloudiot.registries.create cloudiot.registries.delete cloudiot.registries.get cloudiot.registries.list cloudiot.registries.update cloudiottoken.*		 Dispositivo
roles/
cloudiot.provisioner		 Aprovisionador de Cloud IoT Acceso para crear y borrar dispositivos de los registros, pero no para modificar los registros. cloudiot.devices.*
cloudiot.registries.get cloudiot.registries.list cloudiottoken.tokensettings.get		 Dispositivo
roles/
cloudiot.viewer		 Visualizador de Cloud IoT Acceso de solo lectura a todos los recursos de Cloud IoT. cloudiot.devices.get
cloudiot.devices.list cloudiot.registries.get cloudiot.registries.list cloudiottoken.tokensettings.get		 Dispositivo

Funciones de Cloud KMS
Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudkms.admin		 Administrador de Cloud KMS Proporciona acceso completo a los recursos de KMS, excepto a las operaciones de encriptación y desencriptación. cloudkms.cryptoKeyVersions.create
cloudkms.cryptoKeyVersions.destroy cloudkms.cryptoKeyVersions.get cloudkms.cryptoKeyVersions.list cloudkms.cryptoKeyVersions.restore cloudkms.cryptoKeyVersions.update cloudkms.cryptoKeys.* cloudkms.importJobs.* cloudkms.keyRings.* resourcemanager.projects.get		 CryptoKey
roles/
cloudkms.cryptoKeyDecrypter		 Desencriptador de CryptoKey de Cloud KMS Proporciona la capacidad de usar los recursos de Cloud KMS solo para operaciones de desencriptación. cloudkms.cryptoKeyVersions.useToDecrypt
resourcemanager.projects.get
 CryptoKey
roles/
cloudkms.cryptoKeyEncrypter		 Encriptador de CryptoKey de Cloud KMS Proporciona la capacidad de usar los recursos de KMS solo para operaciones de encriptación. cloudkms.cryptoKeyVersions.useToEncrypt
resourcemanager.projects.get		 CryptoKey
roles/
cloudkms.cryptoKeyEncrypterDecrypter		 Encriptador y desencriptador de CryptoKey de Cloud KMS Proporciona la capacidad de usar los recursos de KMS solo para operaciones de encriptación y desencriptación. cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt resourcemanager.projects.get		 CryptoKey
roles/
cloudkms.importer		 Importador de Cloud KMS Habilita las operaciones ImportCryptoKeyVersion, CreateImportJob, ListImportJobs y GetImportJob cloudkms.importJobs.create
cloudkms.importJobs.get cloudkms.importJobs.list cloudkms.importJobs.useToImport resourcemanager.projects.get
roles/
cloudkms.publicKeyViewer		 Visualizador de claves CryptoKey públicas de Cloud KMS Habilita las operaciones GetPublicKey cloudkms.cryptoKeyVersions.viewPublicKey
resourcemanager.projects.get
roles/
cloudkms.signer		 Firmante de CryptoKey de Cloud KMS Habilita la operación AsymmetricSign cloudkms.cryptoKeyVersions.useToSign
resourcemanager.projects.get
roles/
cloudkms.signerVerifier		 Verificador y firmante de CryptoKey de Cloud KMS Habilita las operaciones GetPublicKey y AsymmetricSign cloudkms.cryptoKeyVersions.useToSign
cloudkms.cryptoKeyVersions.viewPublicKey resourcemanager.projects.get

Funciones del catálogo privado de Cloud

Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudprivatecatalog.consumer		 Consumidor de catálogo Beta Puede explorar los catálogos en el contexto de recursos objetivo. cloudprivatecatalog.*
roles/
cloudprivatecatalogproducer.admin		 Administrador de catálogo Beta Puede administrar el catálogo y ver sus asociaciones. cloudprivatecatalogproducer.associations.*
cloudprivatecatalogproducer.catalogs.* resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get
roles/
cloudprivatecatalogproducer.manager		 Gerente de catálogo Beta Puede administrar asociaciones entre un catálogo y un recurso objetivo. cloudprivatecatalog.*
cloudprivatecatalogproducer.associations.* cloudprivatecatalogproducer.catalogs.get cloudprivatecatalogproducer.catalogs.list cloudprivatecatalogproducer.targets.* resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get

Funciones de Cloud SQL
Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudsql.admin		 Administrador de Cloud SQL Proporciona control absoluto de los recursos de Cloud SQL. cloudsql.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list		 Proyecto
roles/
cloudsql.client		 Cliente de Cloud SQL Proporciona acceso de conectividad a instancias de Cloud SQL. cloudsql.instances.connect
cloudsql.instances.get		 Proyecto
roles/
cloudsql.editor		 Editor de Cloud SQL Proporciona control absoluto de las instancias existentes de Cloud SQL, pero no incluye la modificación de usuarios ni certificados SSL, ni la eliminación de recursos. cloudsql.backupRuns.create
cloudsql.backupRuns.get cloudsql.backupRuns.list cloudsql.databases.create cloudsql.databases.get cloudsql.databases.list cloudsql.databases.update cloudsql.instances.addServerCa cloudsql.instances.connect cloudsql.instances.export cloudsql.instances.failover cloudsql.instances.get cloudsql.instances.list cloudsql.instances.listServerCas cloudsql.instances.restart cloudsql.instances.rotateServerCa cloudsql.instances.truncateLog cloudsql.instances.update cloudsql.sslCerts.get cloudsql.sslCerts.list cloudsql.users.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list		 Proyecto
roles/
cloudsql.viewer		 Visualizador de Cloud SQL Proporciona acceso de solo lectura a los recursos de Cloud SQL. cloudsql.backupRuns.get
cloudsql.backupRuns.list cloudsql.databases.get cloudsql.databases.list cloudsql.instances.export cloudsql.instances.get cloudsql.instances.list cloudsql.instances.listServerCas cloudsql.sslCerts.get cloudsql.sslCerts.list cloudsql.users.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list		 Proyecto

Funciones de Cloud Scheduler
Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudscheduler.admin		 Administrador de Cloud SchedulerBeta Acceso completo a trabajos y ejecuciones cloudscheduler.*
resourcemanager.projects.get resourcemanager.projects.list
roles/
cloudscheduler.jobRunner		 Ejecutor de trabajos de Cloud SchedulerBeta Acceso para ejecutar trabajos cloudscheduler.jobs.fullView
cloudscheduler.jobs.run resourcemanager.projects.get resourcemanager.projects.list
roles/
cloudscheduler.viewer		 Visualizador de Cloud SchedulerBeta Acceso para obtener y crear listas de trabajos, ejecuciones y ubicaciones cloudscheduler.jobs.fullView
cloudscheduler.jobs.get cloudscheduler.jobs.list cloudscheduler.locations.* resourcemanager.projects.get resourcemanager.projects.list

Funciones de Cloud Security Scanner
Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudsecurityscanner.editor		 Editor de Cloud Security Scanner Acceso completo a todos los recursos de Cloud Security Scanner appengine.applications.get
cloudsecurityscanner.* compute.addresses.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
roles/
cloudsecurityscanner.runner		 Ejecutor de Cloud Security Scanner Acceso de lectura a Scan y ScanRun, y capacidad para iniciar análisis cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.list cloudsecurityscanner.scanruns.stop cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list cloudsecurityscanner.scans.run
roles/
cloudsecurityscanner.viewer		 Visualizador de Cloud Security Scanner Acceso de lectura a todos los recursos de Cloud Security Scanner cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.results.* cloudsecurityscanner.scanruns.get cloudsecurityscanner.scanruns.getSummary cloudsecurityscanner.scanruns.list cloudsecurityscanner.scans.get cloudsecurityscanner.scans.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Funciones de servicios de Cloud

Función Cargo Descripción Permisos Recurso más bajo
roles/
servicebroker.admin		 Administrador de agente del servicio Beta Acceso total a los recursos de ServiceBroker servicebroker.*
roles/
servicebroker.operator		 Operador de agente del servicio Beta Acceso operativo a los recursos de ServiceBroker servicebroker.bindingoperations.*
servicebroker.bindings.create servicebroker.bindings.delete servicebroker.bindings.get servicebroker.bindings.list servicebroker.catalogs.create servicebroker.catalogs.delete servicebroker.catalogs.get servicebroker.catalogs.list servicebroker.instanceoperations.* servicebroker.instances.create servicebroker.instances.delete servicebroker.instances.get servicebroker.instances.list servicebroker.instances.update

Funciones de Cloud Spanner
Función Cargo Descripción Permisos Recurso más bajo
roles/
spanner.admin		 Administrador de Cloud Spanner Permiso para otorgar y revocar permisos a otros principales; asignar y borrar recursos cobrables; emitir, enumerar o modificar operaciones en recursos; leer y escribir en bases de datos; y obtener metadatos del proyecto. monitoring.timeSeries.list
resourcemanager.projects.get resourcemanager.projects.list spanner.*		 Proyecto
roles/
spanner.databaseAdmin		 Administrador de base de datos de Cloud Spanner Permiso para obtener o enumerar todos los recursos de Spanner en un proyecto; crear, enumerar o borrar bases de datos; otorgar o revocar el acceso a las bases de datos del proyecto; y leer y escribir en todas las bases de datos de Spanner en el proyecto. monitoring.timeSeries.list
resourcemanager.projects.get resourcemanager.projects.list spanner.databaseOperations.* spanner.databases.* spanner.instances.get spanner.instances.getIamPolicy spanner.instances.list spanner.sessions.*		 Proyecto
roles/
spanner.databaseReader		 Lector de base de datos de Cloud Spanner Permiso para leer de la base de datos de Cloud Spanner, ejecutar consultas de SQL en la base de datos y ver el esquema. spanner.databases.beginReadOnlyTransaction
spanner.databases.getDdl spanner.databases.read spanner.databases.select spanner.sessions.*		 Base de datos
roles/
spanner.databaseUser		 Usuario de base de datos de Cloud Spanner Permiso para leer y escribir en la base de datos de Cloud Spanner, ejecutar consultas de SQL en la base de datos, y ver y actualizar el esquema. spanner.databaseOperations.*
spanner.databases.beginOrRollbackReadWriteTransaction spanner.databases.beginReadOnlyTransaction spanner.databases.getDdl spanner.databases.read spanner.databases.select spanner.databases.updateDdl spanner.databases.write spanner.sessions.*		 Base de datos
roles/
spanner.viewer		 Visualizador de Cloud Spanner Permiso para ver todas las instancias y bases de datos de Cloud Spanner, pero no modificarlas ni leerlas. monitoring.timeSeries.list
resourcemanager.projects.get resourcemanager.projects.list spanner.databases.list spanner.instanceConfigs.* spanner.instances.get spanner.instances.list		 Proyecto

Funciones de Cloud TPU

Función Cargo Descripción Permisos Recurso más bajo
roles/
tpu.admin		 Administrador de TPU Acceso total a los nodos TPU y a los recursos relacionados resourcemanager.projects.get
resourcemanager.projects.list tpu.*
roles/
tpu.viewer		 Visualizador de TPU Acceso de solo lectura a los nodos TPU y a los recursos relacionados resourcemanager.projects.get
resourcemanager.projects.list tpu.acceleratortypes.* tpu.locations.* tpu.nodes.get tpu.nodes.list tpu.operations.* tpu.tensorflowversions.*

Funciones de Cloud Talent Solution
Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudjobdiscovery.admin		 Registros Acceso a las herramientas de autoservicio de Cloud Job Discovery cloudjobdiscovery.tools.*
iam.serviceAccounts.list resourcemanager.projects.get resourcemanager.projects.list
roles/
cloudjobdiscovery.jobsEditor		 Editor de trabajos Acceso de escritura a todos los datos de Cloud Job Discovery. cloudjobdiscovery.companies.*
cloudjobdiscovery.events.* cloudjobdiscovery.jobs.* resourcemanager.projects.get resourcemanager.projects.list
roles/
cloudjobdiscovery.jobsViewer		 Visualizador de trabajos Acceso de lectura a todos los datos de Cloud Job Discovery cloudjobdiscovery.companies.get
cloudjobdiscovery.companies.list cloudjobdiscovery.jobs.get cloudjobdiscovery.jobs.search resourcemanager.projects.get resourcemanager.projects.list
roles/
cloudjobdiscovery.profilesEditor		 Editor de perfiles Acceso de escritura a todos los datos de perfil en Cloud Talent Solution. cloudjobdiscovery.events.*
cloudjobdiscovery.profiles.* cloudjobdiscovery.tenants.* resourcemanager.projects.get resourcemanager.projects.list
roles/
cloudjobdiscovery.profilesViewer		 Visualizador de perfiles Acceso de lectura a todos los datos de perfil en Cloud Talent Solution. cloudjobdiscovery.profiles.get
cloudjobdiscovery.profiles.search cloudjobdiscovery.tenants.get resourcemanager.projects.get resourcemanager.projects.list

Funciones de Cloud Tasks
Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudtasks.admin		 Administrador de Cloud Tasks Beta Acceso completo a elementos en cola y tareas. cloudtasks.*
resourcemanager.projects.get resourcemanager.projects.list
roles/
cloudtasks.enqueuer		 Agregador de elementos en cola de Cloud Tasks Beta Acceso para crear tareas. cloudtasks.tasks.create
cloudtasks.tasks.fullView resourcemanager.projects.get resourcemanager.projects.list
roles/
cloudtasks.queueAdmin		 Administrador de elementos en cola de Cloud Tasks Beta Acceso de administración a elementos en cola. cloudtasks.locations.*
cloudtasks.queues.* resourcemanager.projects.get resourcemanager.projects.list
roles/
cloudtasks.taskDeleter		 Eliminador de tareas de Cloud Tasks Beta Acceso para borrar tareas. cloudtasks.tasks.delete
resourcemanager.projects.get resourcemanager.projects.list
roles/
cloudtasks.taskRunner		 Ejecutor de tareas de Cloud Tasks Beta Acceso para ejecutar tareas. cloudtasks.tasks.fullView
cloudtasks.tasks.run resourcemanager.projects.get resourcemanager.projects.list
roles/
cloudtasks.viewer		 Visualizador de Cloud Tasks Beta Acceso para obtener y crear listas de tareas, elementos en cola y ubicaciones. cloudtasks.locations.*
cloudtasks.queues.get cloudtasks.queues.list cloudtasks.tasks.fullView cloudtasks.tasks.get cloudtasks.tasks.list resourcemanager.projects.get resourcemanager.projects.list

Funciones de Cloud Trace

Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudtrace.admin		 Administrador de Cloud Trace Proporciona acceso total a la consola de Trace y acceso de lectura y escritura a los seguimientos. cloudtrace.*
resourcemanager.projects.get resourcemanager.projects.list 		Proyecto
roles/
cloudtrace.agent		 Agente de Cloud Trace Para cuentas de servicio. Proporciona la capacidad de escribir seguimientos mediante el envío de los datos a Stackdriver Trace. cloudtrace.traces.patch
 Proyecto
roles/
cloudtrace.user		 Usuario de Cloud Trace Proporciona acceso total a la consola de Trace y acceso de lectura a los seguimientos. cloudtrace.insights.*
cloudtrace.stats.* cloudtrace.tasks.* cloudtrace.traces.get cloudtrace.traces.list resourcemanager.projects.get resourcemanager.projects.list 		Proyecto

Funciones de claves de API de Codelab

Función Cargo Descripción Permisos Recurso más bajo
roles/
codelabapikeys.admin		 Administrador de claves de API de Codelab Beta Acceso completo a las claves de API resourcemanager.projects.get
resourcemanager.projects.list
roles/
codelabapikeys.editor		 Editor de claves de API de Codelab Beta Esta función permite ver y editar todas las propiedades de las claves de API. resourcemanager.projects.get
resourcemanager.projects.list
roles/
codelabapikeys.viewer		 Visualizador de claves de API de Codelab Beta Esta función permite ver todas las propiedades, excepto el historial de cambios de las claves de API. resourcemanager.projects.get
resourcemanager.projects.list

Funciones de Compute Engine
Función Cargo Descripción Permisos Recurso más bajo
roles/
compute.admin		 Administrador de Compute

Control total de todos los recursos de Compute Engine.

Si el usuario administrará instancias de máquinas virtuales que están configuradas para ejecutarse como una cuenta de servicio, también debes otorgar la función roles/iam.serviceAccountUser.

 compute.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list		 Disco, imagen, instancia, instanceTemplate, nodeGroup, nodeTemplate, instantánea Beta
roles/
compute.imageUser		 Usuario de imagen de Compute

Permiso para mostrar y leer imágenes sin tener otros permisos en la imagen. Si les otorgas la función compute.imageUser a nivel del proyecto, los usuarios pueden generar listas de las imágenes del proyecto y crear recursos, como instancias y discos persistentes, según las imágenes del proyecto.

compute.images.get
compute.images.getFromFamily compute.images.list compute.images.useReadOnly resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list 		Imagen Beta
roles/
compute.instanceAdmin		 Administrador de instancias de Compute (Beta)

Permisos para crear, modificar y borrar instancias de máquinas virtuales. Esto incluye los permisos para crear, modificar y borrar discos, y también configurar los ajustes de una VM protegida BETA.

Si el usuario administrará instancias de máquinas virtuales que están configuradas para ejecutarse como una cuenta de servicio, también debes otorgar la función roles/iam.serviceAccountUser.

Por ejemplo, si tu empresa tiene una persona que administra grupos de instancias de máquinas virtuales, pero no administra la red, la configuración de seguridad ni las instancias que se ejecutan como cuentas de servicio, puedes otorgar esta función en la organización, carpeta o proyecto que contenga las instancias, o puedes otorgarla en instancias individuales.

 compute.acceleratorTypes.*
compute.addresses.get compute.addresses.list compute.addresses.use compute.autoscalers.* compute.diskTypes.* compute.disks.create compute.disks.createSnapshot compute.disks.delete compute.disks.get compute.disks.list compute.disks.resize compute.disks.setLabels compute.disks.update compute.disks.use compute.disks.useReadOnly compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalOperations.get compute.globalOperations.list compute.images.get compute.images.getFromFamily compute.images.list compute.images.useReadOnly compute.instanceGroupManagers.* compute.instanceGroups.* compute.instanceTemplates.* compute.instances.* compute.licenses.get compute.licenses.list compute.machineTypes.* compute.networkEndpointGroups.* compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.projects.get compute.regionOperations.get compute.regionOperations.list compute.regions.* compute.reservations.get compute.reservations.list compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.targetPools.get compute.targetPools.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list 		Disco, imagen, instancia, instanceTemplate, instantánea Beta
roles/
compute.instanceAdmin.v1		 Administrador de instancias de Compute (v1) Control total de instancias de Compute Engine, grupos de instancias, discos, instantáneas y, también, imágenes. Acceso de lectura a todos los recursos de red de Compute Engine.

Si le otorgas a un usuario esta función solo a un nivel de instancia, ese usuario no podrá crear instancias nuevas.

 compute.acceleratorTypes.*
compute.addresses.get compute.addresses.list compute.addresses.use compute.autoscalers.* compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute.diskTypes.* compute.disks.* compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalOperations.get compute.globalOperations.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.* compute.instanceGroupManagers.* compute.instanceGroups.* compute.instanceTemplates.* compute.instances.* compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.* compute.licenses.* compute.machineTypes.* compute.networkEndpointGroups.* compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.projects.get compute.projects.setCommonInstanceMetadata compute.regionBackendServices.get compute.regionBackendServices.list compute.regionOperations.get compute.regionOperations.list compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.* compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.snapshots.* compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
roles/
compute.loadBalancerAdmin		 Administrador de balanceador de cargas de Compute Beta

Permisos para crear, modificar y borrar balanceadores de cargas y recursos asociados.

Por ejemplo, si tu empresa tiene un equipo de balanceo de cargas que administra balanceadores de cargas, certificados SSL para balanceadores de cargas, políticas SSL y otros recursos, y un equipo de red separado que administra el resto de los recursos de red, otorga la función loadBalancerAdmin al grupo del equipo de balanceo de cargas.

 compute.addresses.*
compute.backendBuckets.* compute.backendServices.* compute.forwardingRules.* compute.globalAddresses.* compute.globalForwardingRules.* compute.healthChecks.* compute.httpHealthChecks.* compute.httpsHealthChecks.* compute.instanceGroups.* compute.instances.get compute.instances.list compute.instances.use compute.networkEndpointGroups.* compute.networks.get compute.networks.list compute.networks.use compute.projects.get compute.regionBackendServices.* compute.securityPolicies.get compute.securityPolicies.list compute.securityPolicies.use compute.sslCertificates.* compute.sslPolicies.* compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.targetHttpProxies.* compute.targetHttpsProxies.* compute.targetInstances.* compute.targetPools.* compute.targetSslProxies.* compute.targetTcpProxies.* compute.urlMaps.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list 		Instancia Beta
roles/
compute.networkAdmin		 Administrador de red de Compute

Otorga permisos para crear, modificar y borrar recursos de red, excepto reglas de firewall y certificados SSL. La función de administrador de red permite el acceso de solo lectura a las reglas de firewall, certificados SSL y, también, instancias (para ver sus direcciones IP efímeras). La función de administrador de red no permite que un usuario cree, inicie, detenga ni borre instancias.

Por ejemplo, si tu empresa tiene un equipo de seguridad que administra firewalls y certificados SSL y un equipo de red que administra el resto de los recursos de red, otorga al grupo del equipo de red la función networkAdmin.

 compute.addresses.*
compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.* compute.backendServices.* compute.externalVpnGateways.* compute.firewalls.get compute.firewalls.list compute.forwardingRules.* compute.globalAddresses.* compute.globalForwardingRules.* compute.globalOperations.get compute.globalOperations.list compute.healthChecks.* compute.httpHealthChecks.* compute.httpsHealthChecks.* compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroupManagers.update compute.instanceGroupManagers.use compute.instanceGroups.get compute.instanceGroups.list compute.instanceGroups.update compute.instanceGroups.use compute.instances.get compute.instances.getGuestAttributes compute.instances.getSerialPortOutput compute.instances.list compute.instances.listReferrers compute.instances.use compute.interconnectAttachments.* compute.interconnectLocations.* compute.interconnects.* compute.networkEndpointGroups.get compute.networkEndpointGroups.list compute.networkEndpointGroups.use compute.networks.* compute.projects.get compute.regionBackendServices.* compute.regionOperations.get compute.regionOperations.list compute.regions.* compute.routers.* compute.routes.* compute.securityPolicies.get compute.securityPolicies.list compute.securityPolicies.use compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.* compute.subnetworks.* compute.targetHttpProxies.* compute.targetHttpsProxies.* compute.targetInstances.* compute.targetPools.* compute.targetSslProxies.* compute.targetTcpProxies.* compute.targetVpnGateways.* compute.urlMaps.* compute.vpnGateways.* compute.vpnTunnels.* compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list servicenetworking.operations.get servicenetworking.services.addPeering servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list 		Instancia Beta
roles/
compute.networkUser		 Usuario de red de Compute

Proporciona acceso a una red de VPC compartida

Una vez otorgado, los propietarios del servicio pueden usar redes y subredes de VPC que pertenecen al proyecto host. Por ejemplo, un usuario de la red puede crear una instancia de VM que pertenezca a una red de proyecto host, pero no puede borrar ni crear nuevas redes en este proyecto.

compute.addresses.createInternal
compute.addresses.deleteInternal compute.addresses.get compute.addresses.list compute.addresses.useInternal compute.externalVpnGateways.get compute.externalVpnGateways.list compute.externalVpnGateways.use compute.firewalls.get compute.firewalls.list compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.interconnects.use compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.projects.get compute.regions.* compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.targetVpnGateways.get compute.targetVpnGateways.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnGateways.use compute.vpnTunnels.get compute.vpnTunnels.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list		 Proyecto
roles/
compute.networkViewer		 Visualizador de red de Compute

Acceso de solo lectura a todos los recursos de red

Por ejemplo, si tienes un software que inspecciona tu configuración de red, podrías otorgar la función networkViewer a la cuenta de servicio de ese software.

 compute.addresses.get
compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instances.get compute.instances.getGuestAttributes compute.instances.getSerialPortOutput compute.instances.list compute.instances.listReferrers compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.networks.get compute.networks.list compute.projects.get compute.regionBackendServices.get compute.regionBackendServices.list compute.regions.* compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list 		Instancia Beta
roles/
compute.orgSecurityPolicyAdmin		 Administrador de la Política de seguridad de Compute para la organización Beta Control total de las políticas de seguridad de Compute Engine de la organización. compute.globalOperations.get
compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalOperations.setIamPolicy compute.projects.get compute.securityPolicies.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
roles/
compute.orgSecurityPolicyUser		 Usuario de la Política de Seguridad de la Organización de Compute Beta Consulta o usa las políticas de seguridad de Compute Engine para asociarlas con la organización o con las carpetas. compute.globalOperations.get
compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalOperations.setIamPolicy compute.projects.get compute.securityPolicies.get compute.securityPolicies.list compute.securityPolicies.use resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
roles/
compute.orgSecurityResourceAdmin		 Administrador de recursos de Compute en la organización Beta Control total de las asociaciones de la Política de Seguridad de Compute Engine con la organización o con las carpetas. compute.globalOperations.get
compute.globalOperations.getIamPolicy compute.globalOperations.list compute.globalOperations.setIamPolicy compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
roles/
compute.osAdminLogin		 Acceso de administrador al SO de Compute

Acceso a una instancia de Compute Engine como un usuario administrador.

 compute.instances.get
compute.instances.list compute.instances.osAdminLogin compute.instances.osLogin compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list 		Instancia Beta
roles/
compute.osLogin		 Acceso a SO de Compute

Acceso a una instancia de Compute Engine como un usuario estándar.

 compute.instances.get
compute.instances.list compute.instances.osLogin compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list 		Instancia Beta
roles/
compute.osLoginExternalUser		 Acceso de usuario externo a SO de Compute

Disponible solo a nivel de la organización.

Acceso para que un usuario externo configure la información de acceso al SO asociada con esta organización. Esta función no otorga acceso a instancias. A los usuarios externos se les debe otorgar una de las funciones de acceso al SO obligatorias para permitirles que accedan a instancias mediante SSH.

compute.oslogin.*
 Organización
roles/
compute.packetMirroringAdmin		 Administrador de duplicación de paquetes de Compute Alfa Especifica los recursos para duplicar. compute.networks.mirror
compute.projects.get compute.subnetworks.mirror resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
roles/
compute.packetMirroringUser		 Usuario de duplicación de paquetes de Compute Alfa Usa duplicaciones de paquetes de Compute Engine. compute.packetMirrorings.*
compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
roles/
compute.securityAdmin		 Administrador de seguridad de Compute

Permisos para crear, modificar y borrar reglas de firewall y certificados SSL, y también configurar VM protegidas BETA.

Por ejemplo, si tu empresa tiene un equipo de seguridad que administra firewalls y certificados SSL y un equipo de red que administra el resto de los recursos de red, otórgale al grupo del equipo de seguridad la función securityAdmin.

 compute.firewalls.*
compute.globalOperations.get compute.globalOperations.list compute.instances.setShieldedInstanceIntegrityPolicy compute.instances.setShieldedVmIntegrityPolicy compute.instances.updateShieldedInstanceConfig compute.instances.updateShieldedVmConfig compute.networks.get compute.networks.list compute.networks.updatePolicy compute.packetMirrorings.* compute.projects.get compute.regionOperations.get compute.regionOperations.list compute.regions.* compute.routes.get compute.routes.list compute.securityPolicies.* compute.sslCertificates.* compute.sslPolicies.* compute.subnetworks.get compute.subnetworks.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list 		Instancia Beta
roles/
compute.storageAdmin		 Administrador de almacenamiento de Compute

Permisos para crear, modificar y borrar discos, imágenes y, también, instantáneas.

Por ejemplo, si tu empresa tiene a una persona que administra las imágenes del proyecto y no quieres que tenga la función de editor en el proyecto, otórgale a su cuenta la función storageAdmin en el proyecto.

 compute.diskTypes.*
compute.disks.* compute.globalOperations.get compute.globalOperations.list compute.images.* compute.licenseCodes.* compute.licenses.* compute.projects.get compute.regionOperations.get compute.regionOperations.list compute.regions.* compute.resourcePolicies.* compute.snapshots.* compute.zoneOperations.get compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list 		Disco, imagen, instantánea Beta
roles/
compute.viewer		 Visualizador de Compute

Acceso de solo lectura para obtener y mostrar los recursos de Compute Engine, sin poder leer los datos almacenados en ellos.

Por ejemplo, una cuenta con esta función podría crear inventarios de todos los discos en un proyecto, pero no podría leer ninguno de los datos de esos discos.

 compute.acceleratorTypes.*
compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute.commitments.get compute.commitments.list compute.diskTypes.* compute.disks.get compute.disks.getIamPolicy compute.disks.list compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalOperations.get compute.globalOperations.getIamPolicy compute.globalOperations.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.get compute.images.getFromFamily compute.images.getIamPolicy compute.images.list compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instanceTemplates.get compute.instanceTemplates.getIamPolicy compute.instanceTemplates.list compute.instances.get compute.instances.getGuestAttributes compute.instances.getIamPolicy compute.instances.getSerialPortOutput compute.instances.getShieldedInstanceIdentity compute.instances.getShieldedVmIdentity compute.instances.list compute.instances.listReferrers compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.get compute.licenseCodes.getIamPolicy compute.licenseCodes.list compute.licenses.get compute.licenses.getIamPolicy compute.licenses.list compute.machineTypes.* compute.maintenancePolicies.get compute.maintenancePolicies.getIamPolicy compute.maintenancePolicies.list compute.networkEndpointGroups.get compute.networkEndpointGroups.getIamPolicy compute.networkEndpointGroups.list compute.networks.get compute.networks.list compute.nodeGroups.get compute.nodeGroups.getIamPolicy compute.nodeGroups.list compute.nodeTemplates.get compute.nodeTemplates.getIamPolicy compute.nodeTemplates.list compute.nodeTypes.* compute.projects.get compute.regionBackendServices.get compute.regionBackendServices.list compute.regionOperations.get compute.regionOperations.getIamPolicy compute.regionOperations.list compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.get compute.resourcePolicies.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.securityPolicies.get compute.securityPolicies.getIamPolicy compute.securityPolicies.list compute.snapshots.get compute.snapshots.getIamPolicy compute.snapshots.list compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.getIamPolicy compute.subnetworks.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.urlMaps.validate compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.getIamPolicy compute.zoneOperations.list compute.zones.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list 		Disco, imagen, instancia, instanceTemplate, nodeGroup, nodeTemplate, instantánea Beta
roles/
compute.xpnAdmin		 Administrador de VPC compartida de Compute

Permisos para administrar proyectos host de VPC compartida, que permiten habilitar específicamente los proyectos host y asociar proyectos de servicio de VPC compartida a la red del proyecto host.

Solo un administrador puede otorgar esta función a nivel de la organización.

Google Cloud recomienda que el administrador de VPC compartida sea el propietario del proyecto host de VPC compartida. Este administrador es responsable de otorgar la función compute.networkUser a los propietarios de los servicios, y el propietario del proyecto host de VPC compartida controla el proyecto en sí. Administrar el proyecto es más fácil si una única cuenta principal (un individuo o un grupo) puede cumplir ambas funciones.

compute.globalOperations.get
compute.globalOperations.list compute.organizations.* compute.projects.get compute.subnetworks.getIamPolicy compute.subnetworks.setIamPolicy resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list 		Organización

Funciones de Container Analysis
Función Cargo Descripción Permisos Recurso más bajo
roles/
containeranalysis.admin		 Administrador de Container Analysis Alfa Acceso a todos los recursos. resourcemanager.projects.get
resourcemanager.projects.list
roles/
containeranalysis.notes.attacher		 Encargado de agregar notas de Container Analysis Alfa Puede agregar casos a las notas
roles/
containeranalysis.notes.editor		 Editor de notas de Container Analysis Alfa Puede editar notas de Container Analysis resourcemanager.projects.get
resourcemanager.projects.list
roles/
containeranalysis.notes.viewer		 Visualizador de notas de Container Analysis Alfa Puede ver notas de Container Analysis resourcemanager.projects.get
resourcemanager.projects.list
roles/
containeranalysis.occurrences.editor		 Editor de casos de Container Analysis Alfa Puede editar los casos de Container Analysis resourcemanager.projects.get
resourcemanager.projects.list
roles/
containeranalysis.occurrences.viewer		 Visualizador de casos de Container Analysis Alfa Puede ver los casos de Container Analysis resourcemanager.projects.get
resourcemanager.projects.list

Funciones de DNS
Función Cargo Descripción Permisos Recurso más bajo
roles/
dns.admin		 Administrador de DNS Proporciona acceso de lectura y escritura a todos los recursos de Cloud DNS. compute.networks.get
compute.networks.list dns.changes.* dns.dnsKeys.* dns.managedZoneOperations.* dns.managedZones.* dns.networks.* dns.policies.create dns.policies.delete dns.policies.get dns.policies.list dns.policies.update dns.projects.* dns.resourceRecordSets.* resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
dns.peer		 Par de DNS Beta Acceso a las redes objetivo con zonas de intercambio de tráfico de DNS dns.networks.targetWithPeeringZone
roles/
dns.reader		 Lector de DNS Proporciona acceso de solo lectura a todos los recursos de Cloud DNS. compute.networks.get
dns.changes.get dns.changes.list dns.dnsKeys.* dns.managedZoneOperations.* dns.managedZones.get dns.managedZones.list dns.policies.get dns.policies.list dns.projects.* dns.resourceRecordSets.list resourcemanager.projects.get resourcemanager.projects.list		 Proyecto

Funciones de Dataflow
Función Cargo Descripción Permisos Recurso más bajo
roles/
dataflow.admin		 Administrador de Dataflow Función mínima para crear y administrar trabajos de Dataflow. compute.machineTypes.get
dataflow.* resourcemanager.projects.get resourcemanager.projects.list storage.buckets.get storage.objects.create storage.objects.get storage.objects.list
roles/
dataflow.developer		 Desarrollador de Dataflow Proporciona los permisos necesarios para ejecutar y manipular trabajos de Dataflow. dataflow.*
resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
dataflow.viewer		 Visualizador de Dataflow Proporciona acceso de solo lectura a todos los recursos relacionados con Dataflow. dataflow.jobs.get
dataflow.jobs.list dataflow.messages.* dataflow.metrics.* resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
dataflow.worker		 Trabajador de Dataflow Proporciona los permisos necesarios a fin de que una cuenta de servicio de Compute Engine ejecute las unidades de trabajo para una canalización de Dataflow. compute.instanceGroupManagers.update
compute.instances.delete compute.instances.setDiskAutoDelete dataflow.jobs.get logging.logEntries.create storage.objects.create storage.objects.get		 Proyecto

Funciones de Dataprep

Función Cargo Descripción Permisos Recurso más bajo
roles/
dataprep.projects.user		 Usuario de Dataprep Beta Uso de Dataprep. dataprep.*
resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Funciones de Dataproc
Función Cargo Descripción Permisos Recurso más bajo
roles/
dataproc.admin		 Administrador de Dataproc Control total de los recursos de Dataproc. compute.machineTypes.*
compute.networks.get compute.networks.list compute.projects.get compute.regions.* compute.zones.* dataproc.clusters.* dataproc.jobs.* dataproc.operations.* dataproc.workflowTemplates.* resourcemanager.projects.get resourcemanager.projects.list
roles/
dataproc.editor		 Editor de Dataproc Proporciona los permisos necesarios para ver los recursos requeridos a fin de administrar Dataproc, incluidos los tipos de máquinas, redes, proyectos y zonas. compute.machineTypes.*
compute.networks.get compute.networks.list compute.projects.get compute.regions.* compute.zones.* dataproc.clusters.create dataproc.clusters.delete dataproc.clusters.get dataproc.clusters.list dataproc.clusters.update dataproc.clusters.use dataproc.jobs.cancel dataproc.jobs.create dataproc.jobs.delete dataproc.jobs.get dataproc.jobs.list dataproc.jobs.update dataproc.operations.delete dataproc.operations.get dataproc.operations.list dataproc.workflowTemplates.create dataproc.workflowTemplates.delete dataproc.workflowTemplates.get dataproc.workflowTemplates.instantiate dataproc.workflowTemplates.instantiateInline dataproc.workflowTemplates.list dataproc.workflowTemplates.update resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
dataproc.viewer		 Visualizador de Dataproc Acceso de solo lectura a los recursos de Dataproc. compute.machineTypes.get
compute.regions.* compute.zones.get dataproc.clusters.get dataproc.clusters.list dataproc.jobs.get dataproc.jobs.list dataproc.operations.get dataproc.operations.list dataproc.workflowTemplates.get dataproc.workflowTemplates.list resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
dataproc.worker		 Trabajador de Dataproc Acceso a los trabajadores a Dataproc. Destinado a las cuentas de servicio. dataproc.agents.*
dataproc.tasks.* logging.logEntries.create monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.timeSeries.create storage.buckets.get storage.objects.*

Funciones de Datastore
Función Cargo Descripción Permisos Recurso más bajo
roles/
datastore.importExportAdmin		 Administrador de importación y exportación de Cloud Datastore Proporciona acceso completo para administrar importaciones y exportaciones. appengine.applications.get
datastore.databases.export datastore.databases.import datastore.operations.cancel datastore.operations.get datastore.operations.list resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
datastore.indexAdmin		 Administrador del índice de Cloud Datastore Proporciona acceso completo para administrar definiciones de índices. appengine.applications.get
datastore.indexes.* resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
datastore.owner		 Propietario de Cloud Datastore Proporciona acceso completo a los recursos de Datastore. appengine.applications.get
datastore.* resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
datastore.user		 Usuario de Cloud Datastore Proporciona acceso de lectura y escritura a los datos de una base de datos de Cloud Datastore. appengine.applications.get
datastore.databases.get datastore.entities.* datastore.indexes.list datastore.namespaces.get datastore.namespaces.list datastore.statistics.* resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
datastore.viewer		 Visualizador de Cloud Datastore Proporciona acceso de lectura a los recursos de Datastore. appengine.applications.get
datastore.databases.get datastore.databases.list datastore.entities.get datastore.entities.list datastore.indexes.get datastore.indexes.list datastore.namespaces.get datastore.namespaces.list datastore.statistics.* resourcemanager.projects.get resourcemanager.projects.list		 Proyecto

Funciones de Deployment Manager
Función Cargo Descripción Permisos Recurso más bajo
roles/
deploymentmanager.editor		 Editor de Deployment Manager Proporciona los permisos necesarios para crear y administrar implementaciones. deploymentmanager.compositeTypes.*
deploymentmanager.deployments.cancelPreview deploymentmanager.deployments.create deploymentmanager.deployments.delete deploymentmanager.deployments.get deploymentmanager.deployments.list deploymentmanager.deployments.stop deploymentmanager.deployments.update deploymentmanager.manifests.* deploymentmanager.operations.* deploymentmanager.resources.* deploymentmanager.typeProviders.* deploymentmanager.types.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list		 Proyecto
roles/
deploymentmanager.typeEditor		 Editor de tipo de Deployment Manager Proporciona acceso de lectura y escritura a todos los recursos de Type Registry. deploymentmanager.compositeTypes.*
deploymentmanager.operations.get deploymentmanager.typeProviders.* deploymentmanager.types.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get		 Proyecto
roles/
deploymentmanager.typeViewer		 Visualizador de tipo de Deployment Manager Proporciona acceso de solo lectura a todos los recursos de Type Registry. deploymentmanager.compositeTypes.get
deploymentmanager.compositeTypes.list deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.types.get deploymentmanager.types.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get		 Proyecto
roles/
deploymentmanager.viewer		 Visualizador de Deployment Manager Proporciona acceso de solo lectura a todos los recursos relacionados con Deployment Manager. deploymentmanager.compositeTypes.get
deploymentmanager.compositeTypes.list deploymentmanager.deployments.get deploymentmanager.deployments.list deploymentmanager.manifests.* deploymentmanager.operations.* deploymentmanager.resources.* deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.types.get deploymentmanager.types.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list		 Proyecto

Funciones de Dialogflow
Función Cargo Descripción Permisos Recurso más bajo
roles/
dialogflow.admin		 Administrador de la API de Dialogflow Acceso completo a los recursos de Dialogflow (solo API). Utiliza la función básica roles/owner o roles/editor para acceder a la API y a la consola de Dialogflow (comúnmente necesaria a fin de crear un agente desde la consola de Dialogflow). dialogflow.*
resourcemanager.projects.get		 Proyecto
roles/
dialogflow.client		 Cliente de la API de Dialogflow Acceso del cliente a los recursos de Dialogflow (solo API). Esto otorga permiso para detectar intents y leer o escribir propiedades de sesión (contextos, tipos de entidad de sesión, entre otros). dialogflow.contexts.*
dialogflow.sessionEntityTypes.* dialogflow.sessions.*		 Proyecto
roles/
dialogflow.consoleAgentEditor		 Editor del agente en la consola de Dialogflow Puede editar el agente en la consola de Dialogflow actions.agentVersions.create
dialogflow.* resourcemanager.projects.get
roles/
dialogflow.reader		 Lector de la API de Dialogflow Acceso de lectura a los recursos de Dialogflow (solo API). No se puede detectar el intent. Usa la roles/viewerfunción básica para acceder de manera similar a la API y a la consola de Dialogflow. dialogflow.agents.export
dialogflow.agents.get dialogflow.agents.search dialogflow.contexts.get dialogflow.contexts.list dialogflow.documents.get dialogflow.documents.list dialogflow.entityTypes.get dialogflow.entityTypes.list dialogflow.intents.get dialogflow.intents.list dialogflow.knowledgeBases.get dialogflow.knowledgeBases.list dialogflow.operations.* dialogflow.sessionEntityTypes.get dialogflow.sessionEntityTypes.list resourcemanager.projects.get		 Proyecto

Funciones de Endpoints

Función Cargo Descripción Permisos Recurso más bajo
roles/
endpoints.portalAdmin		 Administrador del portal de Endpoints Beta Proporciona todos los permisos necesarios para agregar, ver y borrar dominios personalizados en la página Endpoints > Portal de desarrolladores en GCP Console. En un portal creado para una API, proporciona el permiso para cambiar la configuración en la pestaña Todo el sitio en la página Configuración. endpoints.*
resourcemanager.projects.get resourcemanager.projects.list servicemanagement.services.get 		Proyecto

Funciones de Error Reporting
Función Cargo Descripción Permisos Recurso más bajo
roles/
errorreporting.admin		 Administrador de Error Reporting Beta Proporciona acceso completo a los datos de Error Reporting. cloudnotifications.*
errorreporting.*		 Proyecto
roles/
errorreporting.user		 Usuario de Error Reporting Beta Proporciona los permisos para leer y escribir datos de Error Reporting, excepto para enviar nuevos eventos de error. cloudnotifications.*
errorreporting.applications.* errorreporting.errorEvents.delete errorreporting.errorEvents.list errorreporting.groupMetadata.* errorreporting.groups.*		 Proyecto
roles/
errorreporting.viewer		 Visualizador de Error Reporting Beta Proporciona acceso de solo lectura a los datos de Error Reporting. cloudnotifications.*
errorreporting.applications.* errorreporting.errorEvents.list errorreporting.groupMetadata.get errorreporting.groups.*		 Proyecto
roles/
errorreporting.writer		 Escritor de errores Beta Proporciona los permisos para enviar eventos de error a Error Reporting. errorreporting.errorEvents.create
 Cuenta de servicio

Funciones de Firebase
Función Cargo Descripción Permisos Recurso más bajo
roles/
firebase.admin		 Administrador de Firebase Acceso completo a los productos de Firebase appengine.applications.get
automl.* clientauthconfig.brands.get clientauthconfig.brands.list clientauthconfig.brands.update clientauthconfig.clients.create clientauthconfig.clients.delete clientauthconfig.clients.get clientauthconfig.clients.list clientauthconfig.clients.update cloudconfig.* cloudfunctions.* cloudmessaging.* cloudnotifications.* cloudtestservice.* cloudtoolresults.* datastore.* errorreporting.groups.* firebase.* firebaseabt.* firebaseanalytics.* firebaseappdistro.* firebaseauth.* firebasecrash.* firebasecrashlytics.* firebasedatabase.* firebasedynamiclinks.* firebaseextensions.* firebasehosting.* firebaseinappmessaging.* firebaseml.* firebasenotifications.* firebaseperformance.* firebasepredictions.* firebaserules.* logging.logEntries.list monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list runtimeconfig.configs.create runtimeconfig.configs.delete runtimeconfig.configs.get runtimeconfig.configs.list runtimeconfig.configs.update runtimeconfig.operations.* runtimeconfig.variables.create runtimeconfig.variables.delete runtimeconfig.variables.get runtimeconfig.variables.list runtimeconfig.variables.update runtimeconfig.variables.watch runtimeconfig.waiters.create runtimeconfig.waiters.delete runtimeconfig.waiters.get runtimeconfig.waiters.list runtimeconfig.waiters.update serviceusage.apiKeys.get serviceusage.apiKeys.getProjectForKey serviceusage.apiKeys.list serviceusage.operations.get serviceusage.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.buckets.* storage.objects.*
roles/
firebase.analyticsAdmin		 Administrador de Firebase Analytics Acceso completo a Google Analytics para Firebase cloudnotifications.*
firebase.billingPlans.get firebase.clients.get firebase.links.list firebase.projects.get firebaseanalytics.* firebaseextensions.configs.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
roles/
firebase.analyticsViewer		 Visualizador de Firebase Analytics Acceso de lectura a Google Analytics para Firebase cloudnotifications.*
firebase.billingPlans.get firebase.clients.get firebase.links.list firebase.projects.get firebaseanalytics.resources.googleAnalyticsReadAndAnalyze firebaseextensions.configs.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
roles/
firebase.developAdmin		 Administrador de Firebase Develop Acceso completo a los productos de Firebase Develop y Analytics appengine.applications.get
automl.* clientauthconfig.brands.get clientauthconfig.brands.list clientauthconfig.brands.update clientauthconfig.clients.get clientauthconfig.clients.list cloudfunctions.* cloudnotifications.* datastore.* errorreporting.groups.* firebase.billingPlans.get firebase.clients.get firebase.links.list firebase.projects.get firebaseanalytics.* firebaseauth.* firebasedatabase.* firebaseextensions.configs.list firebasehosting.* firebaseml.* firebaserules.* logging.logEntries.list monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list runtimeconfig.configs.create runtimeconfig.configs.delete runtimeconfig.configs.get runtimeconfig.configs.list runtimeconfig.configs.update runtimeconfig.operations.* runtimeconfig.variables.create runtimeconfig.variables.delete runtimeconfig.variables.get runtimeconfig.variables.list runtimeconfig.variables.update runtimeconfig.variables.watch runtimeconfig.waiters.create runtimeconfig.waiters.delete runtimeconfig.waiters.get runtimeconfig.waiters.list runtimeconfig.waiters.update serviceusage.apiKeys.get serviceusage.apiKeys.getProjectForKey serviceusage.apiKeys.list serviceusage.operations.get serviceusage.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.buckets.* storage.objects.*
roles/
firebase.developViewer		 Visualizador de Firebase Develop Acceso de lectura a los productos de Firebase Develop y Analytics automl.annotationSpecs.get
automl.annotationSpecs.list automl.annotations.list automl.columnSpecs.get automl.columnSpecs.list automl.datasets.get automl.datasets.list automl.examples.get automl.examples.list automl.humanAnnotationTasks.get automl.humanAnnotationTasks.list automl.locations.get automl.locations.list automl.modelEvaluations.get automl.modelEvaluations.list automl.models.get automl.models.list automl.operations.get automl.operations.list automl.tableSpecs.get automl.tableSpecs.list clientauthconfig.brands.get clientauthconfig.brands.list cloudfunctions.functions.get cloudfunctions.functions.list cloudfunctions.locations.* cloudfunctions.operations.* cloudnotifications.* datastore.databases.get datastore.databases.getIamPolicy datastore.databases.list datastore.entities.get datastore.entities.list datastore.indexes.get datastore.indexes.list datastore.namespaces.get datastore.namespaces.getIamPolicy datastore.namespaces.list datastore.statistics.* errorreporting.groups.* firebase.billingPlans.get firebase.clients.get firebase.links.list firebase.projects.get firebaseanalytics.resources.googleAnalyticsReadAndAnalyze firebaseauth.configs.get firebaseauth.users.get firebasedatabase.instances.get firebasedatabase.instances.list firebaseextensions.configs.list firebasehosting.sites.get firebasehosting.sites.list firebaseml.compressionjobs.get firebaseml.compressionjobs.list firebaseml.models.get firebaseml.models.list firebaseml.modelversions.get firebaseml.modelversions.list firebaserules.releases.get firebaserules.releases.list firebaserules.rulesets.get firebaserules.rulesets.list logging.logEntries.list monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list serviceusage.operations.get serviceusage.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.buckets.get storage.buckets.getIamPolicy storage.buckets.list storage.objects.get storage.objects.getIamPolicy storage.objects.list
roles/
firebase.growthAdmin		 Administrador de Firebase Grow Acceso completo a los productos de Firebase Grow y Analytics clientauthconfig.clients.get
clientauthconfig.clients.list cloudconfig.* cloudmessaging.* cloudnotifications.* firebase.billingPlans.get firebase.clients.get firebase.links.list firebase.projects.get firebaseabt.* firebaseanalytics.* firebasedynamiclinks.* firebaseextensions.configs.list firebaseinappmessaging.* firebasenotifications.* firebasepredictions.* monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list serviceusage.operations.get serviceusage.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
roles/
firebase.growthViewer		 Visualizador de Firebase Grow Acceso de lectura a los productos de Firebase Grow y Analytics cloudconfig.configs.get
cloudnotifications.* firebase.billingPlans.get firebase.clients.get firebase.links.list firebase.projects.get firebaseabt.experimentresults.* firebaseabt.experiments.get firebaseabt.experiments.list firebaseabt.projectmetadata.* firebaseanalytics.resources.googleAnalyticsReadAndAnalyze firebasedynamiclinks.destinations.list firebasedynamiclinks.domains.get firebasedynamiclinks.domains.list firebasedynamiclinks.links.get firebasedynamiclinks.links.list firebasedynamiclinks.stats.* firebaseextensions.configs.list firebaseinappmessaging.campaigns.get firebaseinappmessaging.campaigns.list firebasenotifications.messages.get firebasenotifications.messages.list firebasepredictions.predictions.list monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list serviceusage.operations.get serviceusage.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
roles/
firebase.qualityAdmin		 Administrador de Firebase Quality Acceso completo a los productos de Firebase Quality y Analytics cloudnotifications.*
firebase.billingPlans.get firebase.clients.get firebase.links.list firebase.projects.get firebaseanalytics.* firebaseappdistro.* firebasecrash.* firebasecrashlytics.* firebaseextensions.configs.list firebaseperformance.* monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list serviceusage.operations.get serviceusage.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
roles/
firebase.qualityViewer		 Visualizador de Firebase Quality Acceso de lectura a los productos de Firebase Quality y Analytics cloudnotifications.*
firebase.billingPlans.get firebase.clients.get firebase.links.list firebase.projects.get firebaseanalytics.resources.googleAnalyticsReadAndAnalyze firebaseappdistro.groups.list firebaseappdistro.releases.list firebaseappdistro.testers.list firebasecrash.reports.* firebasecrashlytics.config.get firebasecrashlytics.data.* firebasecrashlytics.issues.get firebasecrashlytics.issues.list firebasecrashlytics.sessions.* firebaseextensions.configs.list firebaseperformance.data.* monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list serviceusage.operations.get serviceusage.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
roles/
firebase.viewer		 Visualizador de Firebase Acceso de solo lectura a los productos de Firebase automl.annotationSpecs.get
automl.annotationSpecs.list automl.annotations.list automl.columnSpecs.get automl.columnSpecs.list automl.datasets.get automl.datasets.list automl.examples.get automl.examples.list automl.humanAnnotationTasks.get automl.humanAnnotationTasks.list automl.locations.get automl.locations.list automl.modelEvaluations.get automl.modelEvaluations.list automl.models.get automl.models.list automl.operations.get automl.operations.list automl.tableSpecs.get automl.tableSpecs.list clientauthconfig.brands.get clientauthconfig.brands.list cloudconfig.configs.get cloudfunctions.functions.get cloudfunctions.functions.list cloudfunctions.locations.* cloudfunctions.operations.* cloudnotifications.* cloudtestservice.environmentcatalog.* cloudtestservice.matrices.get cloudtoolresults.executions.get cloudtoolresults.executions.list cloudtoolresults.histories.get cloudtoolresults.histories.list cloudtoolresults.settings.get cloudtoolresults.steps.get cloudtoolresults.steps.list datastore.databases.get datastore.databases.getIamPolicy datastore.databases.list datastore.entities.get datastore.entities.list datastore.indexes.get datastore.indexes.list datastore.namespaces.get datastore.namespaces.getIamPolicy datastore.namespaces.list datastore.statistics.* errorreporting.groups.* firebase.billingPlans.get firebase.clients.get firebase.links.list firebase.projects.get firebaseabt.experimentresults.* firebaseabt.experiments.get firebaseabt.experiments.list firebaseabt.projectmetadata.* firebaseanalytics.resources.googleAnalyticsReadAndAnalyze firebaseappdistro.groups.list firebaseappdistro.releases.list firebaseappdistro.testers.list firebaseauth.configs.get firebaseauth.users.get firebasecrash.reports.* firebasecrashlytics.config.get firebasecrashlytics.data.* firebasecrashlytics.issues.get firebasecrashlytics.issues.list firebasecrashlytics.sessions.* firebasedatabase.instances.get firebasedatabase.instances.list firebasedynamiclinks.destinations.list firebasedynamiclinks.domains.get firebasedynamiclinks.domains.list firebasedynamiclinks.links.get firebasedynamiclinks.links.list firebasedynamiclinks.stats.* firebaseextensions.configs.list firebasehosting.sites.get firebasehosting.sites.list firebaseinappmessaging.campaigns.get firebaseinappmessaging.campaigns.list firebaseml.compressionjobs.get firebaseml.compressionjobs.list firebaseml.models.get firebaseml.models.list firebaseml.modelversions.get firebaseml.modelversions.list firebasenotifications.messages.get firebasenotifications.messages.list firebaseperformance.data.* firebasepredictions.predictions.list firebaserules.releases.get firebaserules.releases.list firebaserules.rulesets.get firebaserules.rulesets.list logging.logEntries.list monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list serviceusage.operations.get serviceusage.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.buckets.get storage.buckets.getIamPolicy storage.buckets.list storage.objects.get storage.objects.getIamPolicy storage.objects.list

Funciones de Firebase Crash Reporting

Función Cargo Descripción Permisos Recurso más bajo
roles/
firebasecrash.symbolMappingsAdmin		 Encargado de subir símbolos de Firebase Crash Acceso completo de lectura y escritura a los recursos de archivo de asignación de símbolos para Firebase Crash Reporting. firebase.clients.get
resourcemanager.projects.get

Funciones de Genomics

Función Cargo Descripción Permisos Recurso más bajo
roles/
genomics.admin		 Administrador de Genomics Acceso completo a los conjuntos de datos y a las operaciones de Genomics genomics.*
roles/
genomics.editor		 Editor de Genomics Acceso para leer y editar conjuntos de datos y operaciones de Genomics genomics.datasets.create
genomics.datasets.delete genomics.datasets.get genomics.datasets.list genomics.datasets.update genomics.operations.*
roles/
genomics.pipelinesRunner		 Ejecutor de canalización de Genomics Acceso total para trabajar con canalizaciones de Genomics genomics.operations.*
roles/
genomics.viewer		 Visualizador de Genomics Acceso para ver los conjuntos de datos y las operaciones de Genomics genomics.datasets.get
genomics.datasets.list genomics.operations.get genomics.operations.list

Funciones de IAM

Función Cargo Descripción Permisos Recurso más bajo
roles/
iam.securityAdmin		 Administrador de seguridad Función de administrador de seguridad, con permisos para obtener y configurar cualquier política de IAM. accessapproval.requests.list
accesscontextmanager.accessLevels.list
accesscontextmanager.accessPolicies.getIamPolicy
accesscontextmanager.accessPolicies.list
accesscontextmanager.accessPolicies.setIamPolicy
accesscontextmanager.accessZones.list
accesscontextmanager.policies.getIamPolicy
accesscontextmanager.policies.list
accesscontextmanager.policies.setIamPolicy
accesscontextmanager.servicePerimeters.list
actions.agentVersions.list
apigee.apiproductattributes.list
apigee.apiproducts.list
apigee.apps.list
apigee.deployments.list
apigee.developerappattributes.list
apigee.developerapps.list
apigee.developerattributes.list
apigee.developers.list
apigee.environments.getIamPolicy
apigee.environments.list
apigee.environments.setIamPolicy
apigee.flowhooks.list
apigee.keystorealiases.list
apigee.keystores.list
apigee.keyvaluemaps.list
apigee.organizations.list
apigee.proxies.list
apigee.proxyrevisions.list
apigee.queries.list
apigee.references.list
apigee.reports.list
apigee.resourcefiles.list
apigee.sharedflowrevisions.list
apigee.sharedflows.list
apigee.targetservers.list
apigee.tracesessions.list
appengine.instances.list
appengine.memcache.list
appengine.operations.list
appengine.services.list
appengine.versions.list
automl.annotationSpecs.list
automl.annotations.list
automl.columnSpecs.list
automl.datasets.getIamPolicy
automl.datasets.list
automl.datasets.setIamPolicy
automl.examples.list
automl.humanAnnotationTasks.list
automl.locations.getIamPolicy
automl.locations.list
automl.locations.setIamPolicy
automl.modelEvaluations.list
automl.models.getIamPolicy
automl.models.list
automl.models.setIamPolicy
automl.operations.list
automl.tableSpecs.list
automlrecommendations.apiKeys.list
automlrecommendations.catalogItems.list
automlrecommendations.catalogs.list
automlrecommendations.events.list
automlrecommendations.placements.list
automlrecommendations.recommendations.*
bigquery.connections.getIamPolicy
bigquery.connections.list
bigquery.connections.setIamPolicy
bigquery.datasets.getIamPolicy
bigquery.datasets.setIamPolicy
bigquery.jobs.list
bigquery.models.list
bigquery.routines.list
bigquery.savedqueries.list
bigquery.tables.list
bigtable.appProfiles.list
bigtable.clusters.list
bigtable.instances.getIamPolicy
bigtable.instances.list
bigtable.instances.setIamPolicy
bigtable.locations.*
bigtable.tables.list
billing.accounts.getIamPolicy
billing.accounts.list
billing.accounts.setIamPolicy
billing.budgets.list
billing.credits.*
billing.resourceAssociations.list
billing.subscriptions.list
binaryauthorization.attestors.getIamPolicy
binaryauthorization.attestors.list
binaryauthorization.attestors.setIamPolicy
binaryauthorization.policy.getIamPolicy
binaryauthorization.policy.setIamPolicy
clientauthconfig.brands.list
clientauthconfig.clients.list
cloudasset.feeds.list
cloudbuild.builds.list
clouddebugger.breakpoints.list
clouddebugger.debuggees.list
cloudfunctions.functions.getIamPolicy
cloudfunctions.functions.list
cloudfunctions.functions.setIamPolicy
cloudfunctions.locations.*
cloudfunctions.operations.list
cloudiot.devices.list
cloudiot.registries.getIamPolicy
cloudiot.registries.list
cloudiot.registries.setIamPolicy
cloudjobdiscovery.companies.list
cloudkms.cryptoKeyVersions.list
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.list
cloudkms.cryptoKeys.setIamPolicy
cloudkms.importJobs.getIamPolicy
cloudkms.importJobs.list
cloudkms.importJobs.setIamPolicy
cloudkms.keyRings.getIamPolicy
cloudkms.keyRings.list
cloudkms.keyRings.setIamPolicy
cloudnotifications.*
cloudprivatecatalogproducer.associations.list
cloudprivatecatalogproducer.catalogs.getIamPolicy
cloudprivatecatalogproducer.catalogs.list
cloudprivatecatalogproducer.catalogs.setIamPolicy
cloudprofiler.profiles.list
cloudscheduler.jobs.list
cloudscheduler.locations.list
cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.results.list
cloudsecurityscanner.scanruns.list
cloudsecurityscanner.scans.list
cloudsql.backupRuns.list
cloudsql.databases.list
cloudsql.instances.list
cloudsql.sslCerts.list
cloudsql.users.list
cloudsupport.accounts.getIamPolicy
cloudsupport.accounts.list
cloudsupport.accounts.setIamPolicy
cloudtasks.locations.list
cloudtasks.queues.getIamPolicy
cloudtasks.queues.list
cloudtasks.queues.setIamPolicy
cloudtasks.tasks.list
cloudtoolresults.executions.list
cloudtoolresults.histories.list
cloudtoolresults.steps.list
cloudtrace.insights.list
cloudtrace.tasks.list
cloudtrace.traces.list
cloudtranslate.glossaries.list
cloudtranslate.locations.list
cloudtranslate.operations.list
composer.environments.list
composer.imageversions.*
composer.operations.list
compute.acceleratorTypes.list
compute.addresses.list
compute.autoscalers.list
compute.backendBuckets.list
compute.backendServices.list
compute.commitments.list
compute.diskTypes.list
compute.disks.getIamPolicy
compute.disks.list
compute.disks.setIamPolicy
compute.externalVpnGateways.list
compute.firewalls.list
compute.forwardingRules.list
compute.globalAddresses.list
compute.globalForwardingRules.list
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalOperations.setIamPolicy
compute.healthChecks.list
compute.httpHealthChecks.list
compute.httpsHealthChecks.list
compute.images.getIamPolicy
compute.images.list
compute.images.setIamPolicy
compute.instanceGroupManagers.list
compute.instanceGroups.list
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instanceTemplates.setIamPolicy
compute.instances.getIamPolicy
compute.instances.list
compute.instances.setIamPolicy
compute.interconnectAttachments.list
compute.interconnectLocations.list
compute.interconnects.list
compute.licenseCodes.getIamPolicy
compute.licenseCodes.list
compute.licenseCodes.setIamPolicy
compute.licenses.getIamPolicy
compute.licenses.list
compute.licenses.setIamPolicy
compute.machineTypes.list
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.maintenancePolicies.setIamPolicy
compute.networkEndpointGroups.getIamPolicy
compute.networkEndpointGroups.list
compute.networkEndpointGroups.setIamPolicy
compute.networks.list
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeGroups.setIamPolicy
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTemplates.setIamPolicy
compute.nodeTypes.list
compute.regionBackendServices.list
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regionOperations.setIamPolicy
compute.regions.list
compute.reservations.list
compute.resourcePolicies.list
compute.routers.list
compute.routes.list
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.securityPolicies.setIamPolicy
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.snapshots.setIamPolicy
compute.sslCertificates.list
compute.sslPolicies.list
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.subnetworks.setIamPolicy
compute.targetHttpProxies.list
compute.targetHttpsProxies.list
compute.targetInstances.list
compute.targetPools.list
compute.targetSslProxies.list
compute.targetTcpProxies.list
compute.targetVpnGateways.list
compute.urlMaps.list
compute.vpnGateways.list
compute.vpnTunnels.list
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zoneOperations.setIamPolicy
compute.zones.list
container.apiServices.list
container.backendConfigs.list
container.bindings.list
container.certificateSigningRequests.list
container.clusterRoleBindings.list
container.clusterRoles.list
container.clusters.list
container.componentStatuses.list
container.configMaps.list
container.controllerRevisions.list
container.cronJobs.list
container.csiDrivers.list
container.csiNodes.list
container.customResourceDefinitions.list
container.daemonSets.list
container.deployments.list
container.endpoints.list
container.events.list
container.horizontalPodAutoscalers.list
container.ingresses.list
container.initializerConfigurations.list
container.jobs.list
container.limitRanges.list
container.localSubjectAccessReviews.list
container.namespaces.list
container.networkPolicies.list
container.nodes.list
container.operations.list
container.persistentVolumeClaims.list
container.persistentVolumes.list
container.petSets.list
container.podDisruptionBudgets.list
container.podPresets.list
container.podSecurityPolicies.list
container.podTemplates.list
container.pods.list
container.replicaSets.list
container.replicationControllers.list
container.resourceQuotas.list
container.roleBindings.list
container.roles.list
container.runtimeClasses.list
container.scheduledJobs.list
container.secrets.list
container.selfSubjectAccessReviews.list
container.serviceAccounts.list
container.services.list
container.statefulSets.list
container.storageClasses.list
container.subjectAccessReviews.list
container.thirdPartyObjects.list
container.thirdPartyResources.list
datacatalog.categories.getIamPolicy
datacatalog.categories.setIamPolicy
datacatalog.entries.getIamPolicy
datacatalog.entries.setIamPolicy
datacatalog.entryGroups.getIamPolicy
datacatalog.entryGroups.setIamPolicy
datacatalog.tagTemplates.getIamPolicy
datacatalog.tagTemplates.setIamPolicy
datacatalog.taxonomies.getIamPolicy
datacatalog.taxonomies.list
datacatalog.taxonomies.setIamPolicy
dataflow.jobs.list
dataflow.messages.*
datafusion.instances.getIamPolicy
datafusion.instances.list
datafusion.instances.setIamPolicy
datafusion.locations.list
datafusion.operations.list
datalabeling.annotateddatasets.list
datalabeling.annotationspecsets.list
datalabeling.dataitems.list
datalabeling.datasets.list
datalabeling.examples.list
datalabeling.instructions.list
datalabeling.operations.list
dataproc.agents.list
dataproc.clusters.getIamPolicy
dataproc.clusters.list
dataproc.clusters.setIamPolicy
dataproc.jobs.getIamPolicy
dataproc.jobs.list
dataproc.jobs.setIamPolicy
dataproc.operations.getIamPolicy
dataproc.operations.list
dataproc.operations.setIamPolicy
dataproc.workflowTemplates.getIamPolicy
dataproc.workflowTemplates.list
dataproc.workflowTemplates.setIamPolicy
dataprocessing.featurecontrols.list
datastore.databases.getIamPolicy
datastore.databases.list
datastore.databases.setIamPolicy
datastore.entities.list
datastore.indexes.list
datastore.locations.list
datastore.namespaces.getIamPolicy
datastore.namespaces.list
datastore.namespaces.setIamPolicy
datastore.operations.list
datastore.statistics.list
deploymentmanager.compositeTypes.list
deploymentmanager.deployments.getIamPolicy
deploymentmanager.deployments.list
deploymentmanager.deployments.setIamPolicy
deploymentmanager.manifests.list
deploymentmanager.operations.list
deploymentmanager.resources.list
deploymentmanager.typeProviders.list
deploymentmanager.types.list
dialogflow.contexts.list
dialogflow.documents.list
dialogflow.entityTypes.list
dialogflow.intents.list
dialogflow.knowledgeBases.list
dialogflow.sessionEntityTypes.list
dlp.analyzeRiskTemplates.list
dlp.deidentifyTemplates.list
dlp.inspectTemplates.list
dlp.jobTriggers.list
dlp.jobs.list
dlp.storedInfoTypes.list
dns.changes.list
dns.dnsKeys.list
dns.managedZoneOperations.list
dns.managedZones.list
dns.policies.getIamPolicy
dns.policies.list
dns.policies.setIamPolicy
dns.resourceRecordSets.list
errorreporting.applications.*
errorreporting.errorEvents.list
errorreporting.groups.*
file.instances.list
file.locations.list
file.operations.list
file.snapshots.list
firebase.links.list
firebaseabt.experiments.list
firebaseappdistro.groups.list
firebaseappdistro.releases.list
firebaseappdistro.testers.list
firebasecrashlytics.issues.list
firebasedatabase.instances.list
firebasedynamiclinks.destinations.list
firebasedynamiclinks.domains.list
firebasedynamiclinks.links.list
firebaseextensions.configs.list
firebasehosting.sites.list
firebaseinappmessaging.campaigns.list
firebaseml.compressionjobs.list
firebaseml.models.list
firebaseml.modelversions.list
firebasenotifications.messages.list
firebasepredictions.predictions.list
firebaserules.releases.list
firebaserules.rulesets.list
genomics.datasets.getIamPolicy
genomics.datasets.list
genomics.datasets.setIamPolicy
genomics.operations.list
gkehub.locations.list
gkehub.memberships.getIamPolicy
gkehub.memberships.list
gkehub.memberships.setIamPolicy
gkehub.operations.list
healthcare.datasets.getIamPolicy
healthcare.datasets.list
healthcare.datasets.setIamPolicy
healthcare.dicomStores.getIamPolicy
healthcare.dicomStores.list
healthcare.dicomStores.setIamPolicy
healthcare.fhirStores.getIamPolicy
healthcare.fhirStores.list
healthcare.fhirStores.setIamPolicy
healthcare.hl7V2Messages.list
healthcare.hl7V2Stores.getIamPolicy
healthcare.hl7V2Stores.list
healthcare.hl7V2Stores.setIamPolicy
healthcare.operations.list
iam.roles.get
iam.roles.list
iam.serviceAccountKeys.list
iam.serviceAccounts.get
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.list
iam.serviceAccounts.setIamPolicy
iap.tunnel.*
iap.tunnelInstances.getIamPolicy
iap.tunnelInstances.setIamPolicy
iap.tunnelZones.*
iap.web.getIamPolicy
iap.web.setIamPolicy
iap.webServiceVersions.getIamPolicy
iap.webServiceVersions.setIamPolicy
iap.webServices.getIamPolicy
iap.webServices.setIamPolicy
iap.webTypes.getIamPolicy
iap.webTypes.setIamPolicy
lifesciences.operations.list
logging.exclusions.list
logging.logEntries.list
logging.logMetrics.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.privateLogEntries.*
logging.sinks.list
managedidentities.domains.getIamPolicy
managedidentities.domains.list
managedidentities.domains.setIamPolicy
managedidentities.locations.list
managedidentities.operations.list
ml.jobs.getIamPolicy
ml.jobs.list
ml.jobs.setIamPolicy
ml.locations.list
ml.models.getIamPolicy
ml.models.list
ml.models.setIamPolicy
ml.operations.list
ml.versions.list
monitoring.alertPolicies.list
monitoring.dashboards.list
monitoring.groups.list
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.list
monitoring.publicWidgets.list
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.list
netappcloudvolumes.activeDirectories.list
netappcloudvolumes.ipRanges.*
netappcloudvolumes.jobs.list
netappcloudvolumes.regions.*
netappcloudvolumes.serviceLevels.*
netappcloudvolumes.snapshots.list
netappcloudvolumes.volumes.list
notebooks.environments.getIamPolicy
notebooks.environments.list
notebooks.environments.setIamPolicy
notebooks.instances.getIamPolicy
notebooks.instances.list
notebooks.instances.setIamPolicy
notebooks.locations.list
notebooks.operations.list
proximitybeacon.attachments.list
proximitybeacon.beacons.getIamPolicy
proximitybeacon.beacons.list
proximitybeacon.beacons.setIamPolicy
proximitybeacon.namespaces.getIamPolicy
proximitybeacon.namespaces.list
proximitybeacon.namespaces.setIamPolicy
pubsub.snapshots.getIamPolicy
pubsub.snapshots.list
pubsub.snapshots.setIamPolicy
pubsub.subscriptions.getIamPolicy
pubsub.subscriptions.list
pubsub.subscriptions.setIamPolicy
pubsub.topics.getIamPolicy
pubsub.topics.list
pubsub.topics.setIamPolicy
recommender.computeInstanceGroupManagerMachineTypeRecommendations.list
recommender.computeInstanceMachineTypeRecommendations.list
recommender.iamPolicyRecommendations.list
recommender.locations.list
redis.instances.list
redis.locations.list
redis.operations.list
redisenterprisecloud.databases.list
redisenterprisecloud.subscriptions.list
remotebuildexecution.instances.list
remotebuildexecution.workerpools.list
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.folders.setIamPolicy
resourcemanager.organizations.getIamPolicy
resourcemanager.organizations.setIamPolicy
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
resourcemanager.projects.setIamPolicy
run.configurations.list
run.locations.*
run.revisions.list
run.routes.list
run.services.getIamPolicy
run.services.list
run.services.setIamPolicy
runtimeconfig.configs.getIamPolicy
runtimeconfig.configs.list
runtimeconfig.configs.setIamPolicy
runtimeconfig.operations.list
runtimeconfig.variables.getIamPolicy
runtimeconfig.variables.list
runtimeconfig.variables.setIamPolicy
runtimeconfig.waiters.getIamPolicy
runtimeconfig.waiters.list
runtimeconfig.waiters.setIamPolicy
secretmanager.locations.list
secretmanager.secrets.getIamPolicy
secretmanager.secrets.list
secretmanager.secrets.setIamPolicy
secretmanager.versions.list
securitycenter.assets.list
securitycenter.findings.list
securitycenter.sources.getIamPolicy
securitycenter.sources.list
securitycenter.sources.setIamPolicy
servicebroker.bindingoperations.list
servicebroker.bindings.getIamPolicy
servicebroker.bindings.list
servicebroker.bindings.setIamPolicy
servicebroker.catalogs.getIamPolicy
servicebroker.catalogs.list
servicebroker.catalogs.setIamPolicy
servicebroker.instanceoperations.list
servicebroker.instances.getIamPolicy
servicebroker.instances.list
servicebroker.instances.setIamPolicy
serviceconsumermanagement.tenancyu.list
servicemanagement.consumerSettings.getIamPolicy
servicemanagement.consumerSettings.list
servicemanagement.consumerSettings.setIamPolicy
servicemanagement.services.getIamPolicy
servicemanagement.services.list
servicemanagement.services.setIamPolicy
servicenetworking.operations.list
serviceusage.apiKeys.list
serviceusage.operations.list
serviceusage.services.list
source.repos.getIamPolicy
source.repos.list
source.repos.setIamPolicy
spanner.databaseOperations.list
spanner.databases.getIamPolicy
spanner.databases.list
spanner.databases.setIamPolicy
spanner.instanceConfigs.list
spanner.instanceOperations.list
spanner.instances.getIamPolicy
spanner.instances.list
spanner.instances.setIamPolicy
spanner.sessions.list
storage.buckets.getIamPolicy
storage.buckets.list
storage.buckets.setIamPolicy
storage.hmacKeys.list
storage.objects.getIamPolicy
storage.objects.list
storage.objects.setIamPolicy
storagetransfer.jobs.list
storagetransfer.operations.list
tpu.acceleratortypes.list
tpu.locations.list
tpu.nodes.list
tpu.operations.list
tpu.tensorflowversions.list
vmmigration.deployments.list
vpcaccess.connectors.list
vpcaccess.locations.*
vpcaccess.operations.list
roles/
iam.securityReviewer		 Revisor de seguridad Proporciona permisos para generar listas de todos los recursos y sus políticas de Cloud IAM. accessapproval.requests.list
accesscontextmanager.accessLevels.list
accesscontextmanager.accessPolicies.getIamPolicy
accesscontextmanager.accessPolicies.list
accesscontextmanager.accessZones.list
accesscontextmanager.policies.getIamPolicy
accesscontextmanager.policies.list
accesscontextmanager.servicePerimeters.list
actions.agentVersions.list
apigee.apiproductattributes.list
apigee.apiproducts.list
apigee.apps.list
apigee.deployments.list
apigee.developerappattributes.list
apigee.developerapps.list
apigee.developerattributes.list
apigee.developers.list
apigee.environments.getIamPolicy
apigee.environments.list
apigee.flowhooks.list
apigee.keystorealiases.list
apigee.keystores.list
apigee.keyvaluemaps.list
apigee.organizations.list
apigee.proxies.list
apigee.proxyrevisions.list
apigee.queries.list
apigee.references.list
apigee.reports.list
apigee.resourcefiles.list
apigee.sharedflowrevisions.list
apigee.sharedflows.list
apigee.targetservers.list
apigee.tracesessions.list
appengine.instances.list
appengine.memcache.list
appengine.operations.list
appengine.services.list
appengine.versions.list
automl.annotationSpecs.list
automl.annotations.list
automl.columnSpecs.list
automl.datasets.getIamPolicy
automl.datasets.list
automl.examples.list
automl.humanAnnotationTasks.list
automl.locations.getIamPolicy
automl.locations.list
automl.modelEvaluations.list
automl.models.getIamPolicy
automl.models.list
automl.operations.list
automl.tableSpecs.list
automlrecommendations.apiKeys.list
automlrecommendations.catalogItems.list
automlrecommendations.catalogs.list
automlrecommendations.events.list
automlrecommendations.placements.list
automlrecommendations.recommendations.*
bigquery.connections.getIamPolicy
bigquery.connections.list
bigquery.datasets.getIamPolicy
bigquery.jobs.list
bigquery.models.list
bigquery.routines.list
bigquery.savedqueries.list
bigquery.tables.list
bigtable.appProfiles.list
bigtable.clusters.list
bigtable.instances.getIamPolicy
bigtable.instances.list
bigtable.locations.*
bigtable.tables.list
billing.accounts.getIamPolicy
billing.accounts.list
billing.budgets.list
billing.credits.*
billing.resourceAssociations.list
billing.subscriptions.list
binaryauthorization.attestors.getIamPolicy
binaryauthorization.attestors.list
binaryauthorization.policy.getIamPolicy
clientauthconfig.brands.list
clientauthconfig.clients.list
cloudasset.feeds.list
cloudbuild.builds.list
clouddebugger.breakpoints.list
clouddebugger.debuggees.list
cloudfunctions.functions.getIamPolicy
cloudfunctions.functions.list
cloudfunctions.locations.*
cloudfunctions.operations.list
cloudiot.devices.list
cloudiot.registries.getIamPolicy
cloudiot.registries.list
cloudjobdiscovery.companies.list
cloudkms.cryptoKeyVersions.list
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.list
cloudkms.importJobs.getIamPolicy
cloudkms.importJobs.list
cloudkms.keyRings.getIamPolicy
cloudkms.keyRings.list
cloudnotifications.*
cloudprivatecatalogproducer.associations.list
cloudprivatecatalogproducer.catalogs.getIamPolicy
cloudprivatecatalogproducer.catalogs.list
cloudprofiler.profiles.list
cloudscheduler.jobs.list
cloudscheduler.locations.list
cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.results.list
cloudsecurityscanner.scanruns.list
cloudsecurityscanner.scans.list
cloudsql.backupRuns.list
cloudsql.databases.list
cloudsql.instances.list
cloudsql.sslCerts.list
cloudsql.users.list
cloudsupport.accounts.getIamPolicy
cloudsupport.accounts.list
cloudtasks.locations.list
cloudtasks.queues.getIamPolicy
cloudtasks.queues.list
cloudtasks.tasks.list
cloudtoolresults.executions.list
cloudtoolresults.histories.list
cloudtoolresults.steps.list
cloudtrace.insights.list
cloudtrace.tasks.list
cloudtrace.traces.list
cloudtranslate.glossaries.list
cloudtranslate.locations.list
cloudtranslate.operations.list
composer.environments.list
composer.imageversions.*
composer.operations.list
compute.acceleratorTypes.list
compute.addresses.list
compute.autoscalers.list
compute.backendBuckets.list
compute.backendServices.list
compute.commitments.list
compute.diskTypes.list
compute.disks.getIamPolicy
compute.disks.list
compute.externalVpnGateways.list
compute.firewalls.list
compute.forwardingRules.list
compute.globalAddresses.list
compute.globalForwardingRules.list
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.healthChecks.list
compute.httpHealthChecks.list
compute.httpsHealthChecks.list
compute.images.getIamPolicy
compute.images.list
compute.instanceGroupManagers.list
compute.instanceGroups.list
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instances.getIamPolicy
compute.instances.list
compute.interconnectAttachments.list
compute.interconnectLocations.list
compute.interconnects.list
compute.licenseCodes.getIamPolicy
compute.licenseCodes.list
compute.licenses.getIamPolicy
compute.licenses.list
compute.machineTypes.list
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.networkEndpointGroups.getIamPolicy
compute.networkEndpointGroups.list
compute.networks.list
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTypes.list
compute.regionBackendServices.list
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regions.list
compute.reservations.list
compute.resourcePolicies.list
compute.routers.list
compute.routes.list
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.sslCertificates.list
compute.sslPolicies.list
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.targetHttpProxies.list
compute.targetHttpsProxies.list
compute.targetInstances.list
compute.targetPools.list
compute.targetSslProxies.list
compute.targetTcpProxies.list
compute.targetVpnGateways.list
compute.urlMaps.list
compute.vpnGateways.list
compute.vpnTunnels.list
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zones.list
container.apiServices.list
container.backendConfigs.list
container.bindings.list
container.certificateSigningRequests.list
container.clusterRoleBindings.list
container.clusterRoles.list
container.clusters.list
container.componentStatuses.list
container.configMaps.list
container.controllerRevisions.list
container.cronJobs.list
container.csiDrivers.list
container.csiNodes.list
container.customResourceDefinitions.list
container.daemonSets.list
container.deployments.list
container.endpoints.list
container.events.list
container.horizontalPodAutoscalers.list
container.ingresses.list
container.initializerConfigurations.list
container.jobs.list
container.limitRanges.list
container.localSubjectAccessReviews.list
container.namespaces.list
container.networkPolicies.list
container.nodes.list
container.operations.list
container.persistentVolumeClaims.list
container.persistentVolumes.list
container.petSets.list
container.podDisruptionBudgets.list
container.podPresets.list
container.podSecurityPolicies.list
container.podTemplates.list
container.pods.list
container.replicaSets.list
container.replicationControllers.list
container.resourceQuotas.list
container.roleBindings.list
container.roles.list
container.runtimeClasses.list
container.scheduledJobs.list
container.secrets.list
container.selfSubjectAccessReviews.list
container.serviceAccounts.list
container.services.list
container.statefulSets.list
container.storageClasses.list
container.subjectAccessReviews.list
container.thirdPartyObjects.list
container.thirdPartyResources.list
datacatalog.categories.getIamPolicy
datacatalog.entries.getIamPolicy
datacatalog.entryGroups.getIamPolicy
datacatalog.tagTemplates.getIamPolicy
datacatalog.taxonomies.getIamPolicy
datacatalog.taxonomies.list
dataflow.jobs.list
dataflow.messages.*
datafusion.instances.getIamPolicy
datafusion.instances.list
datafusion.locations.list
datafusion.operations.list
datalabeling.annotateddatasets.list
datalabeling.annotationspecsets.list
datalabeling.dataitems.list
datalabeling.datasets.list
datalabeling.examples.list
datalabeling.instructions.list
datalabeling.operations.list
dataproc.agents.list
dataproc.clusters.getIamPolicy
dataproc.clusters.list
dataproc.jobs.getIamPolicy
dataproc.jobs.list
dataproc.operations.getIamPolicy
dataproc.operations.list
dataproc.workflowTemplates.getIamPolicy
dataproc.workflowTemplates.list
dataprocessing.featurecontrols.list
datastore.databases.getIamPolicy
datastore.databases.list
datastore.entities.list
datastore.indexes.list
datastore.locations.list
datastore.namespaces.getIamPolicy
datastore.namespaces.list
datastore.operations.list
datastore.statistics.list
deploymentmanager.compositeTypes.list
deploymentmanager.deployments.getIamPolicy
deploymentmanager.deployments.list
deploymentmanager.manifests.list
deploymentmanager.operations.list
deploymentmanager.resources.list
deploymentmanager.typeProviders.list
deploymentmanager.types.list
dialogflow.contexts.list
dialogflow.documents.list
dialogflow.entityTypes.list
dialogflow.intents.list
dialogflow.knowledgeBases.list
dialogflow.sessionEntityTypes.list
dlp.analyzeRiskTemplates.list
dlp.deidentifyTemplates.list
dlp.inspectTemplates.list
dlp.jobTriggers.list
dlp.jobs.list
dlp.storedInfoTypes.list
dns.changes.list
dns.dnsKeys.list
dns.managedZoneOperations.list
dns.managedZones.list
dns.policies.getIamPolicy
dns.policies.list
dns.resourceRecordSets.list
errorreporting.applications.*
errorreporting.errorEvents.list
errorreporting.groups.*
file.instances.list
file.locations.list
file.operations.list
file.snapshots.list
firebase.links.list
firebaseabt.experiments.list
firebaseappdistro.groups.list
firebaseappdistro.releases.list
firebaseappdistro.testers.list
firebasecrashlytics.issues.list
firebasedatabase.instances.list
firebasedynamiclinks.destinations.list
firebasedynamiclinks.domains.list
firebasedynamiclinks.links.list
firebaseextensions.configs.list
firebasehosting.sites.list
firebaseinappmessaging.campaigns.list
firebaseml.compressionjobs.list
firebaseml.models.list
firebaseml.modelversions.list
firebasenotifications.messages.list
firebasepredictions.predictions.list
firebaserules.releases.list
firebaserules.rulesets.list
genomics.datasets.getIamPolicy
genomics.datasets.list
genomics.operations.list
gkehub.locations.list
gkehub.memberships.getIamPolicy
gkehub.memberships.list
gkehub.operations.list
healthcare.datasets.getIamPolicy
healthcare.datasets.list
healthcare.dicomStores.getIamPolicy
healthcare.dicomStores.list
healthcare.fhirStores.getIamPolicy
healthcare.fhirStores.list
healthcare.hl7V2Messages.list
healthcare.hl7V2Stores.getIamPolicy
healthcare.hl7V2Stores.list
healthcare.operations.list
iam.roles.get
iam.roles.list
iam.serviceAccountKeys.list
iam.serviceAccounts.get
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.list
iap.tunnel.getIamPolicy
iap.tunnelInstances.getIamPolicy
iap.tunnelZones.getIamPolicy
iap.web.getIamPolicy
iap.webServiceVersions.getIamPolicy
iap.webServices.getIamPolicy
iap.webTypes.getIamPolicy
lifesciences.operations.list
logging.exclusions.list
logging.logEntries.list
logging.logMetrics.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.privateLogEntries.*
logging.sinks.list
managedidentities.domains.getIamPolicy
managedidentities.domains.list
managedidentities.locations.list
managedidentities.operations.list
ml.jobs.getIamPolicy
ml.jobs.list
ml.locations.list
ml.models.getIamPolicy
ml.models.list
ml.operations.list
ml.versions.list
monitoring.alertPolicies.list
monitoring.dashboards.list
monitoring.groups.list
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.list
monitoring.publicWidgets.list
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.list
netappcloudvolumes.activeDirectories.list
netappcloudvolumes.ipRanges.*
netappcloudvolumes.jobs.list
netappcloudvolumes.regions.*
netappcloudvolumes.serviceLevels.*
netappcloudvolumes.snapshots.list
netappcloudvolumes.volumes.list
notebooks.environments.getIamPolicy
notebooks.environments.list
notebooks.instances.getIamPolicy
notebooks.instances.list
notebooks.locations.list
notebooks.operations.list
proximitybeacon.attachments.list
proximitybeacon.beacons.getIamPolicy
proximitybeacon.beacons.list
proximitybeacon.namespaces.getIamPolicy
proximitybeacon.namespaces.list
pubsub.snapshots.getIamPolicy
pubsub.snapshots.list
pubsub.subscriptions.getIamPolicy
pubsub.subscriptions.list
pubsub.topics.getIamPolicy
pubsub.topics.list
recommender.computeInstanceGroupManagerMachineTypeRecommendations.list
recommender.computeInstanceMachineTypeRecommendations.list
recommender.iamPolicyRecommendations.list
recommender.locations.list
redis.instances.list
redis.locations.list
redis.operations.list
redisenterprisecloud.databases.list
redisenterprisecloud.subscriptions.list
remotebuildexecution.instances.list
remotebuildexecution.workerpools.list
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.getIamPolicy
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
run.configurations.list
run.locations.*
run.revisions.list
run.routes.list
run.services.getIamPolicy
run.services.list
runtimeconfig.configs.getIamPolicy
runtimeconfig.configs.list
runtimeconfig.operations.list
runtimeconfig.variables.getIamPolicy
runtimeconfig.variables.list
runtimeconfig.waiters.getIamPolicy
runtimeconfig.waiters.list
secretmanager.locations.list
secretmanager.secrets.getIamPolicy
secretmanager.secrets.list
secretmanager.versions.list
securitycenter.assets.list
securitycenter.findings.list
securitycenter.sources.getIamPolicy
securitycenter.sources.list
servicebroker.bindingoperations.list
servicebroker.bindings.getIamPolicy
servicebroker.bindings.list
servicebroker.catalogs.getIamPolicy
servicebroker.catalogs.list
servicebroker.instanceoperations.list
servicebroker.instances.getIamPolicy
servicebroker.instances.list
serviceconsumermanagement.tenancyu.list
servicemanagement.consumerSettings.getIamPolicy
servicemanagement.consumerSettings.list
servicemanagement.services.getIamPolicy
servicemanagement.services.list
servicenetworking.operations.list
serviceusage.apiKeys.list
serviceusage.operations.list
serviceusage.services.list
source.repos.getIamPolicy
source.repos.list
spanner.databaseOperations.list
spanner.databases.getIamPolicy
spanner.databases.list
spanner.instanceConfigs.list
spanner.instanceOperations.list
spanner.instances.getIamPolicy
spanner.instances.list
spanner.sessions.list
storage.buckets.getIamPolicy
storage.buckets.list
storage.hmacKeys.list
storage.objects.getIamPolicy
storage.objects.list
storagetransfer.jobs.list
storagetransfer.operations.list
tpu.acceleratortypes.list
tpu.locations.list
tpu.nodes.list
tpu.operations.list
tpu.tensorflowversions.list
vmmigration.deployments.list
vpcaccess.connectors.list
vpcaccess.locations.*
vpcaccess.operations.list
 Disco, imagen, instancia, instanceTemplate, nodeGroup, nodeTemplate, instantánea Beta

Funciones de Kubernetes Engine

Función Cargo Descripción Permisos Recurso más bajo
roles/
container.admin		 Administrador de Kubernetes Engine Proporciona acceso a la administración completa de los clústeres del contenedor y sus objetos de la API de Kubernetes. container.*
resourcemanager.projects.get resourcemanager.projects.list 		Proyecto
roles/
container.clusterAdmin		 Administrador de clústeres de Kubernetes Engine Brinda acceso a la administración de clústeres del contenedor. container.clusters.create
container.clusters.delete container.clusters.get container.clusters.list container.clusters.update container.operations.* resourcemanager.projects.get resourcemanager.projects.list 		Proyecto
roles/
container.clusterViewer		 Visualizador de clústeres de Kubernetes Engine Acceso de solo lectura a los clústeres de Kubernetes container.clusters.get
container.clusters.list resourcemanager.projects.get resourcemanager.projects.list
roles/
container.developer		 Desarrollador de Kubernetes Engine Proporciona acceso completo a los objetos de la API de Kubernetes dentro de los clústeres del contenedor. container.apiServices.*
container.backendConfigs.* container.bindings.* container.certificateSigningRequests.create container.certificateSigningRequests.delete container.certificateSigningRequests.get container.certificateSigningRequests.list container.certificateSigningRequests.update container.certificateSigningRequests.updateStatus container.clusterRoleBindings.get container.clusterRoleBindings.list container.clusterRoles.get container.clusterRoles.list container.clusters.get container.clusters.list container.componentStatuses.* container.configMaps.* container.controllerRevisions.get container.controllerRevisions.list container.cronJobs.* container.csiDrivers.* container.csiNodes.* container.customResourceDefinitions.* container.daemonSets.* container.deployments.* container.endpoints.* container.events.* container.horizontalPodAutoscalers.* container.ingresses.* container.initializerConfigurations.* container.jobs.* container.limitRanges.* container.localSubjectAccessReviews.* container.namespaces.* container.networkPolicies.* container.nodes.* container.persistentVolumeClaims.* container.persistentVolumes.* container.petSets.* container.podDisruptionBudgets.* container.podPresets.* container.podSecurityPolicies.get container.podSecurityPolicies.list container.podTemplates.* container.pods.* container.replicaSets.* container.replicationControllers.* container.resourceQuotas.* container.roleBindings.get container.roleBindings.list container.roles.get container.roles.list container.runtimeClasses.* container.scheduledJobs.* container.secrets.* container.selfSubjectAccessReviews.* container.serviceAccounts.* container.services.* container.statefulSets.* container.storageClasses.* container.subjectAccessReviews.* container.thirdPartyObjects.* container.thirdPartyResources.* container.tokenReviews.* resourcemanager.projects.get resourcemanager.projects.list 		Proyecto
roles/
container.hostServiceAgentUser		 Usuario de agente de servicios de host de Kubernetes Engine Acceso de uso del agente de servicios de host de Kubernetes Engine compute.firewalls.get
container.hostServiceAgent.*
roles/
container.viewer		 Visualizador de Kubernetes Engine Proporciona acceso de solo lectura a los recursos de GKE. container.apiServices.get
container.apiServices.list container.backendConfigs.get container.backendConfigs.list container.bindings.get container.bindings.list container.certificateSigningRequests.get container.certificateSigningRequests.list container.clusterRoleBindings.get container.clusterRoleBindings.list container.clusterRoles.get container.clusterRoles.list container.clusters.get container.clusters.list container.componentStatuses.* container.configMaps.get container.configMaps.list container.controllerRevisions.get container.controllerRevisions.list container.cronJobs.get container.cronJobs.getStatus container.cronJobs.list container.csiDrivers.get container.csiDrivers.list container.csiNodes.get container.csiNodes.list container.customResourceDefinitions.get container.customResourceDefinitions.list container.daemonSets.get container.daemonSets.getStatus container.daemonSets.list container.deployments.get container.deployments.getStatus container.deployments.list container.endpoints.get container.endpoints.list container.events.get container.events.list container.horizontalPodAutoscalers.get container.horizontalPodAutoscalers.getStatus container.horizontalPodAutoscalers.list container.ingresses.get container.ingresses.getStatus container.ingresses.list container.initializerConfigurations.get container.initializerConfigurations.list container.jobs.get container.jobs.getStatus container.jobs.list container.limitRanges.get container.limitRanges.list container.namespaces.get container.namespaces.getStatus container.namespaces.list container.networkPolicies.get container.networkPolicies.list container.nodes.get container.nodes.getStatus container.nodes.list container.operations.* container.persistentVolumeClaims.get container.persistentVolumeClaims.getStatus container.persistentVolumeClaims.list container.persistentVolumes.get container.persistentVolumes.getStatus container.persistentVolumes.list container.petSets.get container.petSets.list container.podDisruptionBudgets.get container.podDisruptionBudgets.getStatus container.podDisruptionBudgets.list container.podPresets.get container.podPresets.list container.podSecurityPolicies.get container.podSecurityPolicies.list container.podTemplates.get container.podTemplates.list container.pods.get container.pods.getStatus container.pods.list container.replicaSets.get container.replicaSets.getScale container.replicaSets.getStatus container.replicaSets.list container.replicationControllers.get container.replicationControllers.getScale container.replicationControllers.getStatus container.replicationControllers.list container.resourceQuotas.get container.resourceQuotas.getStatus container.resourceQuotas.list container.roleBindings.get container.roleBindings.list container.roles.get container.roles.list container.runtimeClasses.get container.runtimeClasses.list container.scheduledJobs.get container.scheduledJobs.list container.serviceAccounts.get container.serviceAccounts.list container.services.get container.services.getStatus container.services.list container.statefulSets.get container.statefulSets.getStatus container.statefulSets.list container.storageClasses.get container.storageClasses.list container.thirdPartyObjects.get container.thirdPartyObjects.list container.thirdPartyResources.get container.thirdPartyResources.list container.tokenReviews.* resourcemanager.projects.get resourcemanager.projects.list 		Proyecto

Funciones de Logging
Función Cargo Descripción Permisos Recurso más bajo
roles/
logging.admin		 Administrador de Logging Proporciona todos los permisos necesarios para usar todas las características de Stackdriver Logging. logging.*
resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
logging.configWriter		 Escritor de configuración de registros Proporciona permisos para leer y escribir las configuraciones de las métricas basadas en registros y receptores a fin de exportar registros. logging.exclusions.*
logging.logMetrics.* logging.logServiceIndexes.* logging.logServices.* logging.logs.list logging.sinks.* resourcemanager.projects.get resourcemanager.projects.list		 Proyecto
roles/
logging.logWriter		 Escritor de registros Proporciona los permisos para escribir entradas de registro. logging.logEntries.create
 Proyecto
roles/
logging.privateLogViewer		 Visor de registros privado Proporciona los permisos de la función visor de registros y, además, brinda acceso de solo lectura para las entradas de registro en registros privados. logging.exclusions.get
logging.exclusions.list logging.logEntries.list logging.logMetrics.get logging.logMetrics.list logging.logServiceIndexes.* logging.logServices.* logging.logs.list logging.privateLogEntries.* logging.sinks.get logging.sinks.list logging.usage.* resourcemanager.projects.get		 Proyecto
roles/
logging.viewer		 Visor de registros Proporciona acceso para ver los registros. logging.exclusions.get
logging.exclusions.list logging.logEntries.list logging.logMetrics.get logging.logMetrics.list logging.logServiceIndexes.* logging.logServices.* logging.logs.list logging.sinks.get logging.sinks.list logging.usage.* resourcemanager.projects.get		 Proyecto

Funciones de Machine Learning Engine
Función Cargo Descripción Permisos Recurso más bajo
roles/
ml.admin		 Administrador de ML Engine Proporciona acceso completo a los recursos de AI Platform, y a sus trabajos, operaciones, modelos y versiones. ml.*
resourcemanager.projects.get		 Proyecto
roles/
ml.developer		 Desarrollador de ML Engine Permite usar los recursos de AI Platform a fin de crear modelos, versiones y trabajos para capacitación y predicción, además de enviar solicitudes de predicción en línea. ml.jobs.create
ml.jobs.get ml.jobs.getIamPolicy ml.jobs.list ml.locations.* ml.models.create ml.models.get ml.models.getIamPolicy ml.models.list ml.models.predict ml.operations.get ml.operations.list ml.projects.* ml.versions.get ml.versions.list ml.versions.predict resourcemanager.projects.get 		Proyecto
roles/
ml.jobOwner		 Propietario de trabajo de ML Engine Proporciona acceso total a todos los permisos para un recurso de trabajo en particular. Esta función se otorga de forma automática al usuario que crea el trabajo. ml.jobs.*
 Trabajo
roles/
ml.modelOwner		 Propietario del modelo de ML Engine Proporciona acceso total al modelo y sus versiones. Esta función se otorga automáticamente al usuario que crea el modelo. ml.models.*
ml.versions.*		 Modelo
roles/
ml.modelUser		 Usuario de modelo de ML Engine Proporciona permisos para leer el modelo y sus versiones, y usarlos en la predicción. ml.models.get
ml.models.predict ml.versions.get ml.versions.list ml.versions.predict		 Modelo
roles/
ml.operationOwner		 Propietario de operación de ML Engine Proporciona acceso total a todos los permisos para un recurso de operación en particular. ml.operations.*
 Operación
roles/
ml.viewer		 Visualizador de ML Engine Proporciona acceso de solo lectura a los recursos de AI Platform. ml.jobs.get
ml.jobs.list ml.locations.* ml.models.get ml.models.list ml.operations.get ml.operations.list ml.projects.* ml.versions.get ml.versions.list resourcemanager.projects.get		 Proyecto

Funciones de Memorystore Redis
Función Cargo Descripción Permisos Recurso más bajo
roles/
redis.admin		 Administrador de Redis para Cloud MemorystoreBeta Control total de todos los recursos de Memorystore. compute.networks.list
redis.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use		 Instancia
roles/
redis.editor		 Editor de Redis para Cloud MemorystoreBeta Administra las instancias de Memorystore. No se pueden crear ni borrar instancias. compute.networks.list
redis.instances.get redis.instances.list redis.instances.update redis.locations.* redis.operations.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use		 Instancia
roles/
redis.viewer		 Visualizador de Redis para Cloud MemorystoreBeta Acceso de solo lectura a todos los recursos de Memorystore. redis.instances.get
redis.instances.list redis.locations.* redis.operations.get redis.operations.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use		 Instancia

Funciones de Monitoring
Función Cargo Descripción Permisos Recurso más bajo
roles/
monitoring.admin		 Administrador de Monitoring Proporciona el mismo acceso que roles/monitoring.editor. cloudnotifications.*
monitoring.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable stackdriver.* 		Proyecto
roles/
monitoring.alertPolicyEditor		 Editor de política de alertas de MonitoringBeta Acceso de lectura y escritura a las políticas de alertas monitoring.alertPolicies.*
roles/
monitoring.alertPolicyViewer		 Visualizador de política de alertas de MonitoringBeta Acceso de solo lectura a las políticas de alertas monitoring.alertPolicies.get
monitoring.alertPolicies.list
roles/
monitoring.editor		 Editor de Monitoring Proporciona acceso completo a la información sobre todos los datos y la configuración de supervisión. cloudnotifications.*
monitoring.alertPolicies.* monitoring.dashboards.* monitoring.groups.* monitoring.metricDescriptors.* monitoring.monitoredResourceDescriptors.* monitoring.notificationChannelDescriptors.* monitoring.notificationChannels.create monitoring.notificationChannels.delete monitoring.notificationChannels.get monitoring.notificationChannels.list monitoring.notificationChannels.sendVerificationCode monitoring.notificationChannels.update monitoring.notificationChannels.verify monitoring.publicWidgets.* monitoring.timeSeries.* monitoring.uptimeCheckConfigs.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.enable stackdriver.* 		Proyecto
roles/
monitoring.metricWriter		 Escritor de métricas de Monitoring Proporciona acceso de solo escritura a las métricas. Esta función proporciona exactamente los permisos que necesitan el agente de Stackdriver y otros sistemas que envían métricas. monitoring.metricDescriptors.create
monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.timeSeries.create 		Proyecto
roles/
monitoring.notificationChannelEditor		 Editor de canal de notificación de MonitoringBeta Acceso de lectura y escritura a los canales de notificación monitoring.notificationChannelDescriptors.*
monitoring.notificationChannels.create monitoring.notificationChannels.delete monitoring.notificationChannels.get monitoring.notificationChannels.list monitoring.notificationChannels.sendVerificationCode monitoring.notificationChannels.update monitoring.notificationChannels.verify
roles/
monitoring.notificationChannelViewer		 Visualizador de canal de notificación de MonitoringBeta Acceso de solo lectura a los canales de notificación monitoring.notificationChannelDescriptors.*
monitoring.notificationChannels.get monitoring.notificationChannels.list
roles/
monitoring.uptimeCheckConfigEditor		 Editor de configuración de verificaciones de tiempo de actividad de MonitoringBeta Acceso de lectura y escritura a las configuraciones de verificaciones de tiempo de actividad monitoring.uptimeCheckConfigs.*
roles/
monitoring.uptimeCheckConfigViewer		 Visualizador de configuración de verificaciones de tiempo de actividad de MonitoringBeta Acceso de solo lectura a las configuraciones de verificación de tiempo de actividad monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
roles/
monitoring.viewer		 Visualizador de Monitoring Proporciona acceso de solo lectura para obtener y mostrar información sobre todos los datos de supervisión y configuraciones. cloudnotifications.*
monitoring.alertPolicies.get monitoring.alertPolicies.list monitoring.dashboards.get monitoring.dashboards.list monitoring.groups.get monitoring.groups.list monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.notificationChannelDescriptors.* monitoring.notificationChannels.get monitoring.notificationChannels.list monitoring.publicWidgets.get monitoring.publicWidgets.list monitoring.timeSeries.list monitoring.uptimeCheckConfigs.get monitoring.uptimeCheckConfigs.list resourcemanager.projects.get resourcemanager.projects.list stackdriver.projects.get 		Proyecto

Funciones de políticas de la organización

Función Cargo Descripción Permisos Recurso más bajo
roles/
axt.admin		 Administrador de la Transparencia de acceso Habilita la Transparencia de acceso en la organización. axt.*
resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
roles/
orgpolicy.policyAdmin		 Administrador de políticas de la organización Proporciona acceso para definir qué restricciones quiere poner una organización en los ajustes de los recursos de la nube mediante la configuración de políticas de la organización. orgpolicy.*
 Organización
roles/
orgpolicy.policyViewer		 Visualizador de políticas de la organización Proporciona acceso para ver las políticas de la organización sobre los recursos. orgpolicy.policy.get
 Organización

Otras funciones
Función Cargo Descripción Permisos Recurso más bajo
roles/
dataprocessing.admin		 Administrador de recursos de los controles de procesamiento de datos Beta Administrador que puede administrar completamente la configuración de los controles de procesamiento de datos y ver todos los datos de las fuentes de datos. dataprocessing.*
roles/
dataprocessing.iamAccessHistoryExporter		 Exportador de procesamiento de datos de historial de acceso de IAM Beta Exportador de procesamiento de datos que puede exportar el historial de acceso de IAM con BigQuery. dataprocessing.iamaccesshistory.*
roles/
firebasecrash.symbolMappingsAdmin		 Encargado de subir símbolos de Firebase Crash Acceso completo de lectura y escritura a los recursos de archivo de asignación de símbolos para Firebase Crash Reporting. firebase.clients.get
resourcemanager.projects.get
roles/
mobilecrashreporting.symbolMappingsAdmin		 Encargado de subir símbolos de Firebase Crash (obsoleto) Acceso completo de lectura/escritura a los recursos de archivos de asignación de símbolos para Firebase Crash Reporting. La función está obsoleta a favor de firebasecrash.symbolMappingsAdmin firebase.clients.get
resourcemanager.projects.get
roles/
remotebuildexecution.actionCacheWriter		 Escritor de la caché de acciones de ejecución de compilación remota Beta Escritor de la caché de acciones de ejecución de compilación remota remotebuildexecution.actions.set
remotebuildexecution.blobs.create
roles/
remotebuildexecution.artifactAdmin		 Administrador de artefactos de ejecución de compilación remota Beta Administrador de artefactos de ejecución de compilación remota remotebuildexecution.actions.create
remotebuildexecution.actions.delete remotebuildexecution.actions.get remotebuildexecution.blobs.* remotebuildexecution.logstreams.*
roles/
remotebuildexecution.artifactCreator		 Creador de artefactos de ejecución de compilación remota Beta Creador de artefactos de ejecución de compilación remota remotebuildexecution.actions.create
remotebuildexecution.actions.get remotebuildexecution.blobs.* remotebuildexecution.logstreams.*
roles/
remotebuildexecution.artifactViewer		 Visualizador de artefactos de ejecución de compilación remota Beta Visualizador de artefacto de ejecución de compilación remota remotebuildexecution.actions.get
remotebuildexecution.blobs.get remotebuildexecution.logstreams.get
roles/
remotebuildexecution.configurationAdmin		 Administrador de configuración de ejecución de compilación remota Beta Administrador de configuración de ejecución de compilación remota remotebuildexecution.instances.*
remotebuildexecution.workerpools.*
roles/
remotebuildexecution.configurationViewer		 Visualizador de configuración de ejecución de compilación remota Beta Visualizador de configuración de ejecución de compilación remota remotebuildexecution.instances.get
remotebuildexecution.instances.list remotebuildexecution.workerpools.get remotebuildexecution.workerpools.list
roles/
remotebuildexecution.logstreamWriter		 Escritor de transmisión de registros de ejecución de compilación remota Beta Escritor de transmisión de registros de ejecución de compilación remota remotebuildexecution.logstreams.create
remotebuildexecution.logstreams.update
roles/
remotebuildexecution.worker		 Trabajador de ejecución de compilación remota Beta Trabajador de ejecución de compilación remota remotebuildexecution.actions.update
remotebuildexecution.blobs.* remotebuildexecution.botsessions.* remotebuildexecution.logstreams.create remotebuildexecution.logstreams.update
roles/
resourcemanager.organizationCreator		 Creador de organizaciones Acceso para crear y enumerar organizaciones.
roles/
runtimeconfig.admin		 Administrador de Cloud RuntimeConfig Acceso completo a los recursos de RuntimeConfig. runtimeconfig.*
roles/
subscribewithgoogledeveloper.developer		 Desarrollador de Suscríbete con Google Beta Acceso a las herramientas para desarrolladores de Suscríbete con Google. resourcemanager.projects.get
resourcemanager.projects.list subscribewithgoogledeveloper.*

Funciones de proyecto

Función Cargo Descripción Permisos Recurso más bajo
roles/
browser		 Navegador Acceso de lectura para navegar en la jerarquía de un proyecto, incluidas la carpeta, la organización y la política de Cloud IAM. Esta función no incluye el permiso para ver los recursos del proyecto. resourcemanager.folders.get
resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list 		Proyecto

Funciones de Proximity Beacon
Función Cargo Descripción Permisos Recurso más bajo
roles/
proximitybeacon.attachmentEditor		 Editor de archivos adjuntos del pixel contador Puede crear y borrar archivos adjuntos, enumerar y obtener los píxeles contadores de un proyecto, y enumerar los espacios de nombres de un proyecto. proximitybeacon.attachments.*
proximitybeacon.beacons.get proximitybeacon.beacons.list proximitybeacon.namespaces.list resourcemanager.projects.get resourcemanager.projects.list
roles/
proximitybeacon.attachmentPublisher		 Publicador del archivo adjunto del pixel contador Otorga los permisos necesarios para usar el pixel contador y crear archivos adjuntos en espacios de nombres que no pertenezcan a este proyecto. proximitybeacon.beacons.attach
proximitybeacon.beacons.get proximitybeacon.beacons.list resourcemanager.projects.get resourcemanager.projects.list
roles/
proximitybeacon.attachmentViewer		 Visualizador de archivos adjuntos del pixel contador Puede ver todos los archivos adjuntos de un espacio de nombres, sin permisos para el pixel contador ni espacios de nombres. proximitybeacon.attachments.get
proximitybeacon.attachments.list resourcemanager.projects.get resourcemanager.projects.list
roles/
proximitybeacon.beaconEditor		 Editor de pixel contador Acceso necesario a fin de registrar, modificar y ver pixeles contadores, sin permiso para archivos adjuntos ni espacios de nombres. proximitybeacon.beacons.create
proximitybeacon.beacons.get proximitybeacon.beacons.list proximitybeacon.beacons.update resourcemanager.projects.get resourcemanager.projects.list

Funciones de Pub/Sub
Función Cargo Descripción Permisos Recurso más bajo
roles/
pubsub.admin		 Administrador de Pub/Sub Proporciona acceso completo a temas y suscripciones. pubsub.*
resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list		 Tema
roles/
pubsub.editor		 Editor de Pub/Sub Proporciona acceso a fin de modificar temas y suscripciones, y acceso para publicar y consumir mensajes. pubsub.snapshots.create
pubsub.snapshots.delete pubsub.snapshots.get pubsub.snapshots.list pubsub.snapshots.seek pubsub.snapshots.update pubsub.subscriptions.consume pubsub.subscriptions.create pubsub.subscriptions.delete pubsub.subscriptions.get pubsub.subscriptions.list pubsub.subscriptions.update pubsub.topics.attachSubscription pubsub.topics.create pubsub.topics.delete pubsub.topics.get pubsub.topics.list pubsub.topics.publish pubsub.topics.update pubsub.topics.updateTag resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list		 Tema
roles/
pubsub.publisher		 Publicador de Pub/Sub Proporciona acceso para publicar mensajes a un tema. pubsub.topics.publish
 Tema
roles/
pubsub.subscriber		 Suscriptor de Pub/Sub Proporciona acceso a fin de consumir mensajes de una suscripción y para adjuntar suscripciones a un tema. pubsub.snapshots.seek
pubsub.subscriptions.consume pubsub.topics.attachSubscription		 Tema
roles/
pubsub.viewer		 Visualizador de Pub/Sub Proporciona acceso para ver temas y suscripciones. pubsub.snapshots.get
pubsub.snapshots.list pubsub.subscriptions.get pubsub.subscriptions.list pubsub.topics.get pubsub.topics.list resourcemanager.projects.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list		 Tema

Funciones de Resource Manager
Función Cargo Descripción Permisos Recurso más bajo
roles/
resourcemanager.folderAdmin		 Administrador de carpeta Proporciona todos los permisos disponibles para trabajar con carpetas. orgpolicy.policy.get
resourcemanager.folders.* resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list resourcemanager.projects.move resourcemanager.projects.setIamPolicy 		Carpeta
roles/
resourcemanager.folderCreator		 Creador de la carpeta Proporciona los permisos necesarios para navegar por la jerarquía y crear carpetas. orgpolicy.policy.get
resourcemanager.folders.create resourcemanager.folders.get resourcemanager.folders.list resourcemanager.projects.get resourcemanager.projects.list 		Carpeta
roles/
resourcemanager.folderEditor		 Editor de carpeta Proporciona permiso para modificar carpetas y ver la política de Cloud IAM de una carpeta. orgpolicy.policy.get
resourcemanager.folders.delete resourcemanager.folders.get resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.folders.undelete resourcemanager.folders.update resourcemanager.projects.get resourcemanager.projects.list 		Carpeta
roles/
resourcemanager.folderIamAdmin		 Administrador de IAM de carpeta Proporciona permisos para administrar las políticas de Cloud IAM en las carpetas. resourcemanager.folders.get
resourcemanager.folders.getIamPolicy resourcemanager.folders.setIamPolicy 		Carpeta
roles/
resourcemanager.folderMover		 Encargado de transferencia de carpeta Proporciona permiso para mover proyectos y carpetas dentro o fuera de una organización o carpeta superior. resourcemanager.folders.move
resourcemanager.projects.move 		Carpeta
roles/
resourcemanager.folderViewer		 Visualizador de carpeta Proporciona permiso para obtener una carpeta y crear listas de proyectos y carpetas debajo de un recurso. orgpolicy.policy.get
resourcemanager.folders.get resourcemanager.folders.list resourcemanager.projects.get resourcemanager.projects.list 		Carpeta
roles/
resourcemanager.lienModifier		 Modificador de retención del proyecto Proporciona acceso para modificar retenciones en los proyectos. resourcemanager.projects.updateLiens
 Proyecto
roles/
resourcemanager.organizationAdmin		 Administrador de la organización Proporciona acceso para administrar todos los recursos que pertenecen a la organización. orgpolicy.policy.get
resourcemanager.folders.get resourcemanager.folders.getIamPolicy resourcemanager.folders.list resourcemanager.folders.setIamPolicy resourcemanager.organizations.* resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list resourcemanager.projects.setIamPolicy
roles/
resourcemanager.organizationViewer		 Visualizador de la organización Proporciona acceso para ver una organización. resourcemanager.organizations.get
 Organización
roles/
resourcemanager.projectCreator		 Creador del proyecto Proporciona acceso para crear proyectos nuevos. Una vez que un usuario crea un proyecto, se le otorga de forma automática la función de propietario para ese proyecto. resourcemanager.organizations.get
resourcemanager.projects.create 		Carpeta
roles/
resourcemanager.projectDeleter		 Eliminador de proyectos Proporciona acceso para borrar proyectos de GCP. resourcemanager.projects.delete
 Carpeta
roles/
resourcemanager.projectIamAdmin		 Administrador de IAM de proyecto Proporciona permisos para administrar las políticas de Cloud IAM en los proyectos. resourcemanager.projects.get
resourcemanager.projects.getIamPolicy resourcemanager.projects.setIamPolicy 		Proyecto
roles/
resourcemanager.projectMover		 Migrador de proyecto Proporciona acceso para actualizar y mover proyectos. resourcemanager.projects.get
resourcemanager.projects.move resourcemanager.projects.update 		Proyecto

Funciones de las funciones
Función Cargo Descripción Permisos Recurso más bajo
roles/
iam.organizationRoleAdmin		 Administrador de funciones de la organización Proporciona acceso para administrar todas las funciones personalizadas en la organización y los proyectos en ella. iam.roles.*
resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list		 Organización
roles/
iam.organizationRoleViewer		 Visualizador de funciones de la organización Proporciona acceso de lectura a todas las funciones personalizadas en la organización y los proyectos en ella. iam.roles.get
iam.roles.list resourcemanager.organizations.get resourcemanager.organizations.getIamPolicy resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list		 Proyecto
roles/
iam.roleAdmin		 Administrador de funciones Proporciona acceso a todas las funciones personalizadas del proyecto. iam.roles.*
resourcemanager.projects.get resourcemanager.projects.getIamPolicy		 Proyecto
roles/
iam.roleViewer		 Visualizador de funciones Proporciona acceso de lectura a todas las funciones personalizadas del proyecto. iam.roles.get
iam.roles.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy		 Proyecto

Funciones del centro de seguridad
Función Cargo Descripción Permisos Recurso más bajo
roles/
securitycenter.admin		 Administrador del centro de seguridad Acceso de administrador (superusuario) al centro de seguridad resourcemanager.organizations.get
securitycenter.*		 Organización
roles/
securitycenter.adminEditor		 Editor administrador del centro de seguridad Acceso de lectura y escritura de administrador al centro de seguridad resourcemanager.organizations.get
securitycenter.assets.* securitycenter.assetsecuritymarks.* securitycenter.findings.* securitycenter.findingsecuritymarks.* securitycenter.sources.get securitycenter.sources.list securitycenter.sources.update		 Organización
roles/
securitycenter.adminViewer		 Visualizador administrador del centro de seguridad Acceso de lectura de administrador al centro de seguridad resourcemanager.organizations.get
securitycenter.assets.group securitycenter.assets.list securitycenter.assets.listAssetPropertyNames securitycenter.findings.group securitycenter.findings.list securitycenter.findings.listFindingPropertyNames securitycenter.sources.get securitycenter.sources.list		 Organización
roles/
securitycenter.assetSecurityMarksWriter		 Escritor de marcas de seguridad de activos del centro de seguridad Acceso de escritura a marcas de seguridad de activos securitycenter.assetsecuritymarks.*
 Organización
roles/
securitycenter.assetsDiscoveryRunner		 Ejecutor de detección de activos del centro de seguridad Acceso para ejecutar la detección de activos securitycenter.assets.runDiscovery
 Organización
roles/
securitycenter.assetsViewer		 Visualizador de activos del centro de seguridad Acceso de lectura a los activos resourcemanager.organizations.get
securitycenter.assets.group securitycenter.assets.list securitycenter.assets.listAssetPropertyNames		 Organización
roles/
securitycenter.findingSecurityMarksWriter		 Escritor de marcas de seguridad de hallazgos del centro de seguridad Acceso de escritura a marcas de seguridad de hallazgos securitycenter.findingsecuritymarks.*
 Organización
roles/
securitycenter.findingsEditor		 Editor de hallazgos del centro de seguridad Acceso de lectura y escritura a los hallazgos resourcemanager.organizations.get
securitycenter.findings.* securitycenter.sources.get securitycenter.sources.list		 Organización
roles/
securitycenter.findingsStateSetter		 Definidor de estado de hallazgos del centro de seguridad Acceso para definir el estado de los hallazgos securitycenter.findings.setState
 Organización
roles/
securitycenter.findingsViewer		 Visualizador de hallazgos del centro de seguridad Acceso de lectura a los hallazgos resourcemanager.organizations.get
securitycenter.findings.group securitycenter.findings.list securitycenter.findings.listFindingPropertyNames securitycenter.sources.get securitycenter.sources.list		 Organización
roles/
securitycenter.sourcesAdmin		 Administrador de fuentes del centro de seguridad Acceso de administrador a las fuentes resourcemanager.organizations.get
securitycenter.sources.*		 Organización
roles/
securitycenter.sourcesEditor		 Editor de fuentes del centro de seguridad Acceso de lectura y escritura a las fuentes resourcemanager.organizations.get
securitycenter.sources.get securitycenter.sources.list securitycenter.sources.update		 Organización
roles/
securitycenter.sourcesViewer		 Visualizador de fuentes del centro de seguridad Acceso de lectura a las fuentes resourcemanager.organizations.get
securitycenter.sources.get securitycenter.sources.list		 Organización

Funciones de cuentas de servicio

Función Cargo Descripción Permisos Recurso más bajo
roles/
iam.serviceAccountAdmin		 Administrador de cuenta de servicio Crea y administra cuentas de servicio. iam.serviceAccounts.create
iam.serviceAccounts.delete iam.serviceAccounts.get iam.serviceAccounts.getIamPolicy iam.serviceAccounts.list iam.serviceAccounts.setIamPolicy iam.serviceAccounts.update resourcemanager.projects.get resourcemanager.projects.list 		Cuenta de servicio
roles/
iam.serviceAccountCreator		 Crear cuentas de servicio Acceso para crear cuentas de servicio iam.serviceAccounts.create
iam.serviceAccounts.get iam.serviceAccounts.list resourcemanager.projects.get resourcemanager.projects.list
roles/
iam.serviceAccountDeleter		 Borrar cuentas de servicio Acceso para borrar cuentas de servicio iam.serviceAccounts.delete
iam.serviceAccounts.get iam.serviceAccounts.list resourcemanager.projects.get resourcemanager.projects.list
roles/
iam.serviceAccountKeyAdmin		 Administrador de clave de cuenta de servicio Crea y administra (y rota) claves de cuenta de servicio. iam.serviceAccountKeys.*
iam.serviceAccounts.get iam.serviceAccounts.list resourcemanager.projects.get resourcemanager.projects.list		 Cuenta de servicio
roles/
iam.serviceAccountTokenCreator		 Creador de tokens de cuenta de servicio Actúa en nombre de cuentas de servicio (crea tokens de acceso de OAuth2, firma BLOB o JWT, etc.). iam.serviceAccounts.get
iam.serviceAccounts.getAccessToken iam.serviceAccounts.implicitDelegation iam.serviceAccounts.list iam.serviceAccounts.signBlob iam.serviceAccounts.signJwt resourcemanager.projects.get resourcemanager.projects.list 		Cuenta de servicio
roles/
iam.serviceAccountUser		 Usuario de cuenta de servicio Ejecuta operaciones con la cuenta de servicio. iam.serviceAccounts.actAs
iam.serviceAccounts.get iam.serviceAccounts.list resourcemanager.projects.get resourcemanager.projects.list 		Cuenta de servicio
roles/
iam.workloadIdentityUser		 Usuario que representa identidades de cargas de trabajo Actúa en nombre de cuentas de servicio desde cargas de trabajo de GKE. iam.serviceAccounts.get
iam.serviceAccounts.getAccessToken iam.serviceAccounts.list

Funciones de Administración de consumidores de servicios

Función Cargo Descripción Permisos Recurso más bajo
roles/
serviceconsumermanagement.tenancyUnitsAdmin		 Administrador de unidades de inquilino Beta Administra las unidades de inquilino serviceconsumermanagement.tenancyu.*
roles/
serviceconsumermanagement.tenancyUnitsViewer		 Visualizador de unidades de inquilino Beta Consulta unidades de inquilino serviceconsumermanagement.tenancyu.list

Funciones de administración de servicio
Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudbuild.serviceAgent		 Agente de servicios de Cloud Build Alfa Otorga a la cuenta de servicio de Cloud Build acceso a los recursos administrados. cloudbuild.*
compute.firewalls.get compute.firewalls.list compute.networks.get compute.subnetworks.get logging.logEntries.create pubsub.topics.create pubsub.topics.publish remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update
roles/
cloudfunctions.serviceAgent		 Agente de servicios de Cloud Functions Alfa Otorga a la cuenta de servicio de Cloud Functions acceso a los recursos administrados. clientauthconfig.clients.list
cloudfunctions.functions.invoke firebasedatabase.instances.get firebasedatabase.instances.update iam.serviceAccounts.getAccessToken iam.serviceAccounts.signBlob pubsub.subscriptions.* pubsub.topics.attachSubscription pubsub.topics.create pubsub.topics.get resourcemanager.projects.get resourcemanager.projects.getIamPolicy serviceusage.quotas.get serviceusage.services.disable serviceusage.services.enable storage.buckets.get storage.buckets.update
roles/
cloudscheduler.serviceAgent		 Agente de servicios de Cloud Scheduler Alfa Otorga a la cuenta de servicio de Cloud Scheduler acceso para administrar recursos. iam.serviceAccounts.getAccessToken
logging.logEntries.create pubsub.topics.publish
roles/
cloudtasks.serviceAgent		 Agente de servicios de Cloud Tasks Alfa Otorga a la cuenta de servicio de Cloud Tasks acceso para administrar recursos. iam.serviceAccounts.getAccessToken
logging.logEntries.create
roles/
datafusion.serviceAgent		 Agente de servicios de la API de Cloud Data Fusion Alfa Permite que la cuenta de servicio de Cloud Data Fusion acceda a los recursos de Service Networking, Dataproc, Storage, BigQuery, Spanner y BigTable. bigquery.datasets.*
bigquery.jobs.create bigquery.models.* bigquery.routines.* bigquery.tables.* bigtable.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalOperations.get compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instances.get compute.instances.getGuestAttributes compute.instances.getSerialPortOutput compute.instances.list compute.instances.listReferrers compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.machineTypes.* compute.networks.addPeering compute.networks.get compute.networks.list compute.networks.removePeering compute.networks.update compute.projects.get compute.regionBackendServices.get compute.regionBackendServices.list compute.regions.* compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zones.* dataproc.clusters.create dataproc.clusters.delete dataproc.clusters.get dataproc.clusters.list dataproc.clusters.update dataproc.clusters.use dataproc.jobs.cancel dataproc.jobs.create dataproc.jobs.delete dataproc.jobs.get dataproc.jobs.list dataproc.jobs.update dataproc.operations.delete dataproc.operations.get dataproc.operations.list dataproc.workflowTemplates.create dataproc.workflowTemplates.delete dataproc.workflowTemplates.get dataproc.workflowTemplates.instantiate dataproc.workflowTemplates.instantiateInline dataproc.workflowTemplates.list dataproc.workflowTemplates.update firebase.projects.get monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.list servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list spanner.databaseOperations.* spanner.databases.beginOrRollbackReadWriteTransaction spanner.databases.beginReadOnlyTransaction spanner.databases.getDdl spanner.databases.list spanner.databases.read spanner.databases.select spanner.databases.updateDdl spanner.databases.write spanner.instanceConfigs.* spanner.instances.get spanner.instances.list spanner.sessions.* storage.buckets.* storage.objects.*
roles/
dataproc.serviceAgent		 Agente de servicios de Dataproc Alfa Otorga a la cuenta de servicio de Dataproc acceso a las cuentas de servicio, los recursos de procesamiento y los recursos de almacenamiento. Incluye acceso a las cuentas de servicio. compute.acceleratorTypes.*
compute.addresses.get compute.addresses.list compute.addresses.use compute.autoscalers.* compute.diskTypes.* compute.disks.create compute.disks.createSnapshot compute.disks.delete compute.disks.get compute.disks.list compute.disks.resize compute.disks.setLabels compute.disks.update compute.disks.use compute.disks.useReadOnly compute.firewalls.get compute.firewalls.list compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute.globalOperations.get compute.globalOperations.list compute.images.get compute.images.getFromFamily compute.images.list compute.images.useReadOnly compute.instanceGroupManagers.* compute.instanceGroups.* compute.instanceTemplates.* compute.instances.* compute.licenses.get compute.licenses.list compute.machineTypes.* compute.networkEndpointGroups.* compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.projects.get compute.regionOperations.get compute.regionOperations.list compute.regions.* compute.reservations.get compute.reservations.list compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.targetPools.get compute.targetPools.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.* dataproc.clusters.* dataproc.jobs.* firebase.projects.get iam.serviceAccounts.actAs resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.buckets.* storage.objects.*
roles/
serverless.serviceAgent		 Agente de servicios de Cloud Run Alfa Otorga a la cuenta de servicio de Cloud Run acceso a recursos administrados. clientauthconfig.clients.list
cloudbuild.builds.create cloudbuild.builds.get iam.serviceAccounts.actAs iam.serviceAccounts.getAccessToken iam.serviceAccounts.signBlob resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list run.routes.invoke storage.objects.get storage.objects.list
roles/
servicemanagement.admin		 Administrador de Service Management Control total de los recursos de administración de servicios de Google monitoring.timeSeries.list
resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list serviceconsumermanagement.* servicemanagement.services.* serviceusage.quotas.get serviceusage.services.get
roles/
servicemanagement.configEditor		 Editor de configuración de servicio Acceso para actualizar la configuración del servicio y crear implementaciones servicemanagement.services.get
servicemanagement.services.update
roles/
servicemanagement.quotaAdmin		 Administrador de cuotas Beta Proporciona acceso para administrar cuotas de servicio. monitoring.timeSeries.list
resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list servicemanagement.consumerSettings.* serviceusage.quotas.* serviceusage.services.disable serviceusage.services.enable serviceusage.services.get serviceusage.services.list 		Proyecto
roles/
servicemanagement.quotaViewer		 Visualizador de cuotas Beta Proporciona acceso para ver las cuotas de servicio. monitoring.timeSeries.list
servicemanagement.consumerSettings.get servicemanagement.consumerSettings.getIamPolicy servicemanagement.consumerSettings.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list 		Proyecto
roles/
servicemanagement.serviceConsumer		 Consumidor de servicio Puede habilitar el servicio. servicemanagement.services.bind
roles/
servicemanagement.serviceController		 Controlador de servicio Control del entorno de ejecución para la comprobación y la creación de informes del uso de un servicio servicemanagement.services.check
servicemanagement.services.get servicemanagement.services.quota servicemanagement.services.report 		Proyecto

Funciones de Service Networking

Función Cargo Descripción Permisos Recurso más bajo
roles/
servicenetworking.networksAdmin		 Administrador de Service Networking Beta Control total de herramientas de redes de servicio con proyectos. servicenetworking.*

Funciones de Service Usage
Función Cargo Descripción Permisos Recurso más bajo
roles/
serviceusage.apiKeysAdmin		 Administrador de claves de API Beta Capacidad de crear, borrar, actualizar y obtener las claves de API de un proyecto, además de mostrar una lista de estas. serviceusage.apiKeys.*
serviceusage.operations.get
roles/
serviceusage.apiKeysViewer		 Visualizador de claves de API Beta Capacidad de obtener claves de API de un proyecto y mostrar una lista de ellas. serviceusage.apiKeys.get
serviceusage.apiKeys.getProjectForKey serviceusage.apiKeys.list
roles/
serviceusage.serviceUsageAdmin		 Administrador de Service Usage Beta Capacidad para habilitar, inhabilitar y, también, inspeccionar estados de servicio, inspeccionar operaciones y consumir cuota y facturación para un proyecto de consumo. monitoring.timeSeries.list
serviceusage.operations.* serviceusage.quotas.* serviceusage.services.*
roles/
serviceusage.serviceUsageConsumer		 Consumidor de Service Usage Beta Capacidad para inspeccionar estados y operaciones de servicio, y consumir cuotas y facturación en un proyecto de consumidor. monitoring.timeSeries.list
serviceusage.operations.get serviceusage.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list serviceusage.services.use
roles/
serviceusage.serviceUsageViewer		 Visualizador de Service Usage Beta Capacidad de inspeccionar estados y operaciones de servicio para un proyecto de consumidor. monitoring.timeSeries.list
serviceusage.operations.get serviceusage.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Funciones de Source
Función Cargo Descripción Permisos Recurso más bajo
roles/
source.admin		 Administrador de repositorio de código fuente Proporciona permisos para crear, actualizar, borrar, mostrar, clonar, recuperar y buscar repositorios. También proporciona permisos para leer y cambiar las políticas de IAM. source.*
 Repositorio
roles/
source.reader		 Lector de repositorio de código fuente Proporciona permisos para mostrar, clonar, recuperar y buscar repositorios. source.repos.get
source.repos.list		 Repositorio
roles/
source.writer		 Escritor de repositorio de código fuente Proporciona permisos para mostrar, clonar, recuperar, buscar y actualizar repositorios. source.repos.get
source.repos.list source.repos.update		 Repositorio

Funciones de Stackdriver
Función Cargo Descripción Permisos Recurso más bajo
roles/
stackdriver.accounts.editor		 Editor de cuentas de Stackdriver Acceso de lectura y escritura para administrar la estructura de cuenta de Stackdriver. resourcemanager.projects.get
resourcemanager.projects.list serviceusage.services.enable stackdriver.projects.*
roles/
stackdriver.accounts.viewer		 Visualizador de cuentas de Stackdriver Acceso de solo lectura para obtener y mostrar información sobre la estructura de cuenta de Stackdriver. resourcemanager.projects.get
resourcemanager.projects.list stackdriver.projects.get
roles/
stackdriver.resourceMaintenanceWindow.editor		 Editor de período de mantenimiento de recurso de Stackdriver Acceso de lectura y escritura para administrar períodos de mantenimiento de recursos de Stackdriver.
roles/
stackdriver.resourceMaintenanceWindow.viewer		 Visualizador de período de mantenimiento de recurso de Stackdriver Acceso de solo lectura a la información sobre los períodos de mantenimiento de recurso de Stackdriver.
roles/
stackdriver.resourceMetadata.writer		 Escritor de metadatos de recursos de Stackdriver Beta Acceso de solo escritura a los metadatos de recursos. Esto proporciona exactamente los permisos necesarios para el agente de metadatos de Stackdriver y otros sistemas que envían metadatos. stackdriver.resourceMetadata.*

Funciones de Stackdriver Debugger

Función Cargo Descripción Permisos Recurso más bajo
roles/
clouddebugger.agent		 Agente de Stackdriver Debugger Beta Proporciona permisos para registrar el destino de depuración, leer interrupciones activas y, también, informar resultados de interrupciones. clouddebugger.breakpoints.list
clouddebugger.breakpoints.listActive clouddebugger.breakpoints.update clouddebugger.debuggees.create 		Cuenta de servicio
roles/
clouddebugger.user		 Usuario de Stackdriver Debugger Beta Proporciona permisos para crear, ver, generar listas y borrar interrupciones (instantáneas y puntos de registro), así como generar listas de destinos de depuración (elementos depurados). clouddebugger.breakpoints.create
clouddebugger.breakpoints.delete clouddebugger.breakpoints.get clouddebugger.breakpoints.list clouddebugger.debuggees.list 		Proyecto

Funciones de Stackdriver Profiler

Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudprofiler.agent		 Agente de Stackdriver Profiler Beta Los agentes de Stackdriver Profiler pueden registrarse y proporcionar los datos de creación de perfiles. cloudprofiler.profiles.create
cloudprofiler.profiles.update
roles/
cloudprofiler.user		 Usuario de Stackdriver Profiler Beta Los usuarios de Stackdriver Profiler pueden consultar y ver los datos de creación de perfiles. cloudprofiler.profiles.list
resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Funciones de almacenamiento
Función Cargo Descripción Permisos Recurso más bajo
roles/
storage.admin		 Administrador de almacenamiento Otorga control total de objetos y depósitos.

Cuando se aplica en un depósito individual, el control solo se realiza en el depósito especificado y los objetos contenidos en ese depósito.

 firebase.projects.get
resourcemanager.projects.get resourcemanager.projects.list storage.buckets.* storage.objects.* 		Depósito
roles/
storage.hmacKeyAdmin		 Administrador de claves HMAC de almacenamiento Otorga control total de las claves HMAC de GCS. firebase.projects.get
resourcemanager.projects.get resourcemanager.projects.list storage.hmacKeys.*
roles/
storage.objectAdmin		 Administrador de objeto de almacenamiento Otorga el control total de los objetos, incluidas la enumeración, creación, visualización y eliminación de los objetos. resourcemanager.projects.get
resourcemanager.projects.list storage.objects.* 		Depósito
roles/
storage.objectCreator		 Creador de objetos de almacenamiento Permite a los usuarios crear objetos. No otorga permisos para ver, borrar ni reemplazar objetos. resourcemanager.projects.get
resourcemanager.projects.list storage.objects.create 		Depósito
roles/
storage.objectViewer		 Visualizador de objetos de almacenamiento Otorga acceso para ver los objetos y sus metadatos, excepto las LCA. También puede crear una lista de los objetos de un depósito. resourcemanager.projects.get
resourcemanager.projects.list storage.objects.get storage.objects.list 		Depósito
roles/
storagetransfer.admin		 Administrador de transferencia de almacenamiento Crea, actualiza y administra las operaciones y los trabajos de transferencia. resourcemanager.projects.get
resourcemanager.projects.list storagetransfer.*
roles/
storagetransfer.user		 Usuario de transferencia de almacenamiento Crea y actualiza trabajos y operaciones y trabajos de transferencia de almacenamiento. resourcemanager.projects.get
resourcemanager.projects.list storagetransfer.jobs.create storagetransfer.jobs.get storagetransfer.jobs.list storagetransfer.jobs.update storagetransfer.operations.* storagetransfer.projects.*
roles/
storagetransfer.viewer		 Visualizador de transferencia de almacenamiento Proporciona acceso de lectura a las operaciones y los trabajos de transferencia de almacenamiento. resourcemanager.projects.get
resourcemanager.projects.list storagetransfer.jobs.get storagetransfer.jobs.list storagetransfer.operations.get storagetransfer.operations.list storagetransfer.projects.*

Funciones heredadas de Storage
Función Cargo Descripción Permisos Recurso más bajo
roles/
storage.legacyBucketOwner		 Propietario de depósitos heredados de Storage Otorga permiso para crear, reemplazar y borrar objetos. También, durante la enumeración permite enumerar los objetos de un depósito y leer sus metadatos, sin incluir las políticas de Cloud IAM. Además, otorga permiso para leer y editar los metadatos del depósito, incluidas las políticas de Cloud IAM.

El uso de esta función también se refleja en las LCA del depósito. Para obtener más información, consulta Relación de Cloud IAM con la LCA.

storage.buckets.get
storage.buckets.getIamPolicy storage.buckets.setIamPolicy storage.buckets.update storage.objects.create storage.objects.delete storage.objects.list		 Depósito
roles/
storage.legacyBucketReader		 Lector de depósitos heredados de Storage Otorga permiso para enumerar el contenido y leer los metadatos de un depósito, sin incluir las políticas de Cloud IAM. También otorga permiso para leer metadatos de objetos cuando se enumeran los objetos, sin incluir las políticas de Cloud IAM.

El uso de esta función también se refleja en las LCA del depósito. Para obtener más información, consulta Relación de Cloud IAM con la LCA.

storage.buckets.get
storage.objects.list		 Depósito
roles/
storage.legacyBucketWriter		 Escritor de depósitos heredados de Storage Otorga permiso para crear, reemplazar y borrar objetos. También, durante la enumeración permite enumerar los objetos de un depósito y leer sus metadatos, sin incluir las políticas de Cloud IAM. Además, otorga permiso para leer metadatos de un depósito, sin incluir las políticas de Cloud IAM.

El uso de esta función también se refleja en las LCA del depósito. Para obtener más información, consulta Relación de Cloud IAM con la LCA.

storage.buckets.get
storage.objects.create storage.objects.delete storage.objects.list		 Depósito
roles/
storage.legacyObjectOwner		 Propietario de objetos heredados de Storage Otorga permiso para ver y editar objetos y sus metadatos, incluidas las LCA. storage.objects.get
storage.objects.getIamPolicy storage.objects.setIamPolicy storage.objects.update		 Depósito
roles/
storage.legacyObjectReader		 Lector de objetos heredados de Storage Concede permiso para ver los objetos y sus metadatos, que excluye las LCA. storage.objects.get
 Depósito

Funciones de asistencia

Función Cargo Descripción Permisos Recurso más bajo
roles/
cloudsupport.admin		 Administrador de cuenta de asistencia Permite la administración de una cuenta de asistencia sin dar acceso a los casos de ayuda. Consulta la documentación de la asistencia de Cloud para obtener más información. cloudsupport.*
 Organización
roles/
cloudsupport.viewer		 Visualizador de cuenta de asistencia Acceso de solo lectura a los detalles de una cuenta de asistencia. Esto no permite ver casos. cloudsupport.accounts.get
cloudsupport.accounts.getUserRoles cloudsupport.accounts.list 		Organización

Funciones personalizadas

Además de las funciones predefinidas, Cloud IAM también proporciona la capacidad de crear funciones de Cloud IAM personalizadas. Puedes crear una función personalizada de Cloud IAM con uno o más permisos y, luego, asignarla a los usuarios que forman la organización. Consulta Explicación de las funciones personalizadas y Crea y administra funciones personalizadas para obtener más información.

Documentación de Cloud IAM específica del producto

En la documentación de Cloud IAM específica del producto, se explica más sobre las funciones predefinidas que ofrece cada producto. Lee las páginas siguientes para obtener más información sobre las funciones predefinidas.

Documentación Descripción
Cloud IAM para App Engine Explica las funciones de Cloud IAM para App Engine
Cloud IAM para BigQuery Explica las funciones de Cloud IAM para BigQuery
Cloud IAM para Cloud Bigtable Explica las funciones de Cloud IAM para Cloud Bigtable
Cloud IAM para la API de Cloud Billing Explica las funciones y los permisos de Cloud IAM para la API de Cloud Billing
Cloud IAM para Cloud Dataflow Explica las funciones de Cloud IAM para Cloud Dataflow
Cloud IAM para Cloud Dataproc Explica las funciones y los permisos de Cloud IAM para Cloud Dataproc
Cloud IAM para Cloud Datastore Explica las funciones y los permisos de Cloud IAM para Cloud Datastore
Cloud IAM para Cloud DNS Explica las funciones y los permisos de Cloud IAM para Cloud DNS
Cloud IAM para Cloud KMS Explica las funciones y los permisos de Cloud IAM para Cloud KMS
Cloud IAM para Cloud ML Engine Explica las funciones y los permisos de Cloud IAM para Cloud ML Engine
Cloud IAM para Cloud Pub/Sub Explica las funciones de Cloud IAM para Cloud Pub/Sub
Cloud IAM para Cloud Spanner Explica las funciones y los permisos de Cloud IAM para Cloud Spanner
Cloud IAM para Cloud SQL Explica las funciones de Cloud IAM para Cloud SQL
Cloud IAM para Cloud Storage Explica las funciones de Cloud IAM para Cloud Storage
Cloud IAM para Compute Engine Explica las funciones de Cloud IAM para Compute Engine
Cloud IAM para Cloud GKE Explica las funciones y los permisos de Cloud IAM para GKE
Cloud IAM para Cloud Deployment Manager Explica las funciones y los permisos de Cloud IAM para Cloud Deployment Manager
Cloud IAM para organizaciones Explica las funciones de Cloud IAM para organizaciones
Cloud IAM para carpetas Explica las funciones de Cloud IAM para carpetas
Cloud IAM para proyectos Explica las funciones de Cloud IAM para proyectos
Cloud IAM para la administración de servicios Explica las funciones y los permisos de Cloud IAM para la administración de servicios
Cloud IAM para Stackdriver Debugger Explica las funciones de Cloud IAM para Debugger
Cloud IAM para Stackdriver Logging Explica las funciones de Cloud IAM para Logging
Cloud IAM para Stackdriver Monitoring Explica las funciones de Cloud IAM para Monitoring
Cloud IAM para Stackdriver Trace Explica las funciones y los permisos de Cloud IAM para Trace

Pasos siguientes

¿Te sirvió esta página? Envíanos tu opinión:

Enviar comentarios sobre…

Esta página
Comentarios sobre la documentación
Documentación de Cloud Identity and Access Management
Comentarios sobre el producto