Comprendre les rôles

Un rôle contient un ensemble d'autorisations qui vous permet d'effectuer des actions spécifiques sur les ressources Google Cloud. Pour accorder des autorisations aux membres, y compris aux utilisateurs, aux groupes et aux comptes de service, vous leur attribuez des rôles.

Cette page décrit les rôles IAM que vous pouvez attribuer.

Condition préalable à l'utilisation de ce guide

Types de rôles

Il existe trois types de rôles dans IAM :

  • Les rôles de base qui comprennent les rôles "Propriétaire", "Éditeur" et "Lecteur" qui existaient avant la mise en place d'IAM.
  • Les rôles prédéfinis qui fournissent un accès précis à un service spécifique et sont gérés par Google Cloud.
  • Les rôles personnalisés qui fournissent un accès précis en fonction d'une liste d'autorisations spécifiée par l'utilisateur.

Pour déterminer si une autorisation est incluse dans un rôle de base, prédéfini ou personnalisé, vous pouvez employer l'une des méthodes suivantes :

Les sections ci-dessous décrivent chaque type de rôle et donnent des exemples d'utilisation.

Rôles de base

Les rôles de base incluent trois rôles qui existaient avant le lancement d'IAM : "Propriétaire", "Éditeur" et "Lecteur". Ces rôles sont concentriques, c'est-à-dire que le rôle "Propriétaire" inclut les autorisations comprises dans le rôle "Éditeur", qui inclut à son tour les autorisations du rôle "Lecteur". Ils étaient initialement appelés "rôles primitifs".

Le tableau suivant récapitule les autorisations que les rôles de base incluent sur tous les services Google Cloud :

Définition des rôles de base

Nom Titre Autorisations
roles/viewer Lecteur Autorisations permettant de réaliser des actions en lecture seule qui n'affectent pas l'état du projet, comme consulter (mais pas modifier) des ressources ou des données existantes.
roles/editor Éditeur Toutes les autorisations accordées au rôle "Lecteur" et les autorisations permettant de réaliser des actions qui modifient l'état du projet, comme modifier des ressources existantes.
Remarque : Bien que le rôle roles/editor contienne les autorisations nécessaires à la création et à la suppression de ressources pour la plupart des services Google Cloud, il ne contient pas les autorisations permettant d'effectuer toutes les actions pour tous les services. Pour savoir comment vérifier si un rôle dispose des autorisations dont vous avez besoin, consultez la section ci-dessus.
roles/owner Propriétaire Toutes les autorisations accordées au rôle "Éditeur" et les autorisations permettant de réaliser les actions suivantes :
  • Gérer les rôles et les autorisations d'un projet et de toutes ses ressources
  • Configurer la facturation d'un projet
Remarque :
  • Si vous attribuez le rôle de propriétaire au niveau d'une ressource, telle qu'un sujet Pub/Sub, cette opération ne l'accorde pas sur le projet parent.
  • L'attribution du rôle de propriétaire au niveau de l'organisation ne vous permet pas d'en mettre à jour les métadonnées. Toutefois, cela vous permet de modifier les projets et autres ressources sous cette organisation.

Vous pouvez appliquer des rôles de base au niveau des ressources du projet ou du service à l'aide de Cloud Console, de l'API et de l'outil gcloud. Pour savoir comment procéder, consultez la page Attribuer, modifier et révoquer les accès.

Processus d'invitation

Vous ne pouvez pas attribuer le rôle de propriétaire à un membre d'un projet à l'aide de l'API Cloud IAM ou de l'outil de ligne de commande gcloud. Vous ne pouvez ajouter des propriétaires à un projet qu'à l'aide de Cloud Console. Une invitation sera envoyée par e-mail au membre. Celui-ci devra l'accepter pour devenir propriétaire du projet.

Notez que les e-mails d'invitation ne sont pas envoyés dans les cas suivants :

  • Lorsque vous attribuez un rôle autre que celui de "Propriétaire"
  • Lorsqu'un membre de l'organisation ajoute un autre de ses membres comme propriétaire d'un projet au sein de cette organisation

Pour savoir comment attribuer des rôles à l'aide de Cloud Console, consultez la page Accorder, modifier et révoquer des accès.

Rôles prédéfinis

Outre les rôles de base, IAM fournit des rôles prédéfinis supplémentaires qui accordent un accès précis à des ressources Google Cloud spécifiques et empêchent tout accès indésirable à d'autres ressources. Ces rôles sont créés et gérés par Google. Google met automatiquement à jour ses autorisations si nécessaire, par exemple lorsque Google Cloud ajoute de nouvelles fonctionnalités ou de nouveaux services.

Le tableau suivant répertorie ces rôles, leur description et le type de ressource le plus bas pour lequel les rôles peuvent être définis. Un rôle particulier peut être accordé à ce type de ressource ou, dans la plupart des cas, à tout type supérieur à celui-ci dans la hiérarchie Google Cloud. Vous pouvez attribuer plusieurs rôles au même utilisateur. Par exemple, celui-ci peut disposer des rôles d'administrateur réseau et de lecteur de journaux sur un projet, ainsi que d'un rôle d'éditeur pour un sujet Pub/Sub au sein de ce projet. Pour obtenir la liste des autorisations contenues dans un rôle, consultez la section Obtenir les métadonnées du rôle.

Rôles associés aux autorisations d'accès

Rôle Titre Description Autorisations Ressource la plus basse
roles/accessapproval.approver Approbateur des autorisations d'accèsBêta Permet d'afficher ou de traiter les demandes d'autorisation d'accès, et d'afficher la configuration.
  • accessapproval.requests.*
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accessapproval.configEditor Éditeur de configuration des autorisations d'accèsBêta Permet de mettre à jour la configuration des autorisations d'accès.
  • accessapproval.settings.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accessapproval.viewer Lecteur des autorisations d'accèsBêta Dispose des droits pour afficher les demandes d'autorisation d'accès et la configuration
  • accessapproval.requests.get
  • accessapproval.requests.list
  • accessapproval.settings.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles Access Context Manager

Rôle Titre Description Autorisations Ressource la plus basse
roles/accesscontextmanager.gcpAccessAdmin Administrateur de liaisons d'accès cloud Création et modification des liaisons d'accès cloud.
  • accesscontextmanager.gcpUserAccessBindings.*
roles/accesscontextmanager.gcpAccessReader Lecteur de liaisons d'accès cloud Accès en lecture aux liaisons d'accès cloud.
  • accesscontextmanager.gcpUserAccessBindings.get
  • accesscontextmanager.gcpUserAccessBindings.list
roles/accesscontextmanager.policyAdmin Administrateur Access Context Manager Accès complet aux stratégies, aux niveaux d'accès et aux zones d'accès.
  • accesscontextmanager.accessLevels.*
  • accesscontextmanager.accessPolicies.*
  • accesscontextmanager.accessZones.*
  • accesscontextmanager.policies.*
  • accesscontextmanager.servicePerimeters.*
  • cloudasset.assets.searchAllResources
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accesscontextmanager.policyEditor Éditeur Access Context Manager Accès en modification aux stratégies. Création et modification des niveaux et des zones d'accès.
  • accesscontextmanager.accessLevels.*
  • accesscontextmanager.accessPolicies.create
  • accesscontextmanager.accessPolicies.delete
  • accesscontextmanager.accessPolicies.get
  • accesscontextmanager.accessPolicies.getIamPolicy
  • accesscontextmanager.accessPolicies.list
  • accesscontextmanager.accessPolicies.update
  • accesscontextmanager.accessZones.*
  • accesscontextmanager.policies.create
  • accesscontextmanager.policies.delete
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.policies.update
  • accesscontextmanager.servicePerimeters.*
  • cloudasset.assets.searchAllResources
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accesscontextmanager.policyReader Lecteur Access Context Manager Accès en lecture aux stratégies, aux niveaux d'accès et aux zones d'accès.
  • accesscontextmanager.accessLevels.get
  • accesscontextmanager.accessLevels.list
  • accesscontextmanager.accessPolicies.get
  • accesscontextmanager.accessPolicies.getIamPolicy
  • accesscontextmanager.accessPolicies.list
  • accesscontextmanager.accessZones.get
  • accesscontextmanager.accessZones.list
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.servicePerimeters.get
  • accesscontextmanager.servicePerimeters.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/accesscontextmanager.vpcScTroubleshooterViewer Lecteur de l'outil de dépannage de VPC Service Controls
  • accesscontextmanager.accessLevels.get
  • accesscontextmanager.accessLevels.list
  • accesscontextmanager.policies.get
  • accesscontextmanager.policies.getIamPolicy
  • accesscontextmanager.policies.list
  • accesscontextmanager.servicePerimeters.get
  • accesscontextmanager.servicePerimeters.list
  • logging.exclusions.get
  • logging.exclusions.list
  • logging.logEntries.list
  • logging.logMetrics.get
  • logging.logMetrics.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.sinks.get
  • logging.sinks.list
  • logging.usage.*
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles associés aux actions

Rôle Titre Description Autorisations Ressource la plus basse
roles/actions.Admin Administrateur d'actions Accès à la modification et au déploiement d'une action
  • actions.*
  • firebase.projects.get
  • firebase.projects.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use
roles/actions.Viewer Lecteur d'actions Accès permettant de consulter une action
  • actions.agent.get
  • actions.agentVersions.get
  • actions.agentVersions.list
  • firebase.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.use

Rôles Android Management

Rôle Titre Description Autorisations Ressource la plus basse
roles/androidmanagement.user Utilisateur Android Management Accès complet à la gestion des appareils.
  • androidmanagement.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Rôles multicloud Anthos

Rôle Titre Description Autorisations Ressource la plus basse
roles/gkemulticloud.admin Administrateur multicloud AnthosBêta Administrateur de ressources multicloud Anthos
  • gkemulticloud.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/gkemulticloud.viewer Lecteur multicloud AnthosBêta Lecteur de ressources multicloud Anthos
  • gkemulticloud.awsClusters.get
  • gkemulticloud.awsClusters.list
  • gkemulticloud.awsNodePools.get
  • gkemulticloud.awsNodePools.list
  • gkemulticloud.awsServerConfigs.*
  • gkemulticloud.azureClients.get
  • gkemulticloud.azureClients.list
  • gkemulticloud.azureClusters.get
  • gkemulticloud.azureClusters.list
  • gkemulticloud.azureNodePools.get
  • gkemulticloud.azureNodePools.list
  • gkemulticloud.azureServerConfigs.*
  • gkemulticloud.operations.get
  • gkemulticloud.operations.list
  • gkemulticloud.operations.wait
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles API Gateway

Rôle Titre Description Autorisations Ressource la plus basse
roles/apigateway.admin administrateur ApiGateway Accès complet à ApiGateway et aux ressources associées.
  • apigateway.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigateway.viewer lecteur ApiGateway Accès en lecture seule à ApiGateway et aux ressources associées.
  • apigateway.apiconfigs.get
  • apigateway.apiconfigs.getIamPolicy
  • apigateway.apiconfigs.list
  • apigateway.apis.get
  • apigateway.apis.getIamPolicy
  • apigateway.apis.list
  • apigateway.gateways.get
  • apigateway.gateways.getIamPolicy
  • apigateway.gateways.list
  • apigateway.locations.*
  • apigateway.operations.get
  • apigateway.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles Apigee

Rôle Titre Description Autorisations Ressource la plus basse
roles/apigee.admin Administrateur de l'organisation Apigee Accès complet à toutes les fonctionnalités des ressources Apigee
  • apigee.*
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.analyticsAgent Agent d'analyses Apigee Ensemble d'autorisations soigneusement sélectionnées afin de permettre à Apigee Universal Data Collection Agent de gérer les analyses pour une organisation Apigee
  • apigee.environments.getDataLocation
roles/apigee.analyticsEditor Éditeur d'analyses Apigee Éditeur de données analytiques pour une organisation Apigee
  • apigee.datacollectors.*
  • apigee.datastores.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.*
  • apigee.hostqueries.*
  • apigee.hoststats.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.queries.*
  • apigee.reports.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.analyticsViewer Lecteur d'analyses Apigee Lecteur de données analytiques pour une organisation Apigee
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.datastores.get
  • apigee.datastores.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.get
  • apigee.exports.list
  • apigee.hostqueries.get
  • apigee.hostqueries.list
  • apigee.hoststats.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.queries.get
  • apigee.queries.list
  • apigee.reports.get
  • apigee.reports.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.apiAdmin Administrateur des API Apigee Accès complet en lecture/écriture à toutes les ressources d'API Apigee
  • apigee.apiproductattributes.*
  • apigee.apiproducts.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.keyvaluemaps.list
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.*
  • apigee.proxyrevisions.*
  • apigee.sharedflowrevisions.*
  • apigee.sharedflows.*
  • apigee.tracesessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.apiReader Lecteur d'API Apigee Lecteur de ressources Apigee
  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.keyvaluemaps.list
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.deploy
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.proxyrevisions.undeploy
  • apigee.sharedflowrevisions.deploy
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflowrevisions.undeploy
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • apigee.tracesessions.get
  • apigee.tracesessions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.developerAdmin Administrateur développeur Apigee Administrateur développeur des ressources Apigee
  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.appkeys.*
  • apigee.apps.*
  • apigee.datacollectors.*
  • apigee.developerappattributes.*
  • apigee.developerapps.*
  • apigee.developerattributes.*
  • apigee.developerbalances.*
  • apigee.developermonetizationconfigs.*
  • apigee.developers.*
  • apigee.developersubscriptions.*
  • apigee.environments.get
  • apigee.environments.getStats
  • apigee.hoststats.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.rateplans.get
  • apigee.rateplans.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.environmentAdmin Administrateur de l'environnement Apigee Accès complet en lecture/écriture aux ressources de l'environnement Apigee, y compris aux déploiements.
  • apigee.archivedeployments.*
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.deployments.*
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getIamPolicy
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.environments.setIamPolicy
  • apigee.flowhooks.*
  • apigee.ingressconfigs.*
  • apigee.keystorealiases.*
  • apigee.keystores.*
  • apigee.keyvaluemaps.*
  • apigee.maskconfigs.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.deploy
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.proxyrevisions.undeploy
  • apigee.references.*
  • apigee.resourcefiles.*
  • apigee.sharedflowrevisions.deploy
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflowrevisions.undeploy
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • apigee.targetservers.*
  • apigee.tracesessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.monetizationAdmin Administrateur de la monétisation Apigee Toutes les autorisations associées à la monétisation
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.developerbalances.*
  • apigee.developermonetizationconfigs.*
  • apigee.developersubscriptions.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.rateplans.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.portalAdmin Administrateur du portail Apigee Administrateur de portail d'une organisation Apigee
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.portals.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/apigee.readOnlyAdmin Administrateur Apigee en lecture seule Lecteur de toutes les ressources Apigee
  • apigee.apiproductattributes.get
  • apigee.apiproductattributes.list
  • apigee.apiproducts.get
  • apigee.apiproducts.list
  • apigee.appkeys.get
  • apigee.apps.*
  • apigee.archivedeployments.download
  • apigee.archivedeployments.get
  • apigee.archivedeployments.list
  • apigee.caches.list
  • apigee.canaryevaluations.get
  • apigee.datacollectors.get
  • apigee.datacollectors.list
  • apigee.datastores.get
  • apigee.datastores.list
  • apigee.deployments.get
  • apigee.deployments.list
  • apigee.developerappattributes.get
  • apigee.developerappattributes.list
  • apigee.developerapps.get
  • apigee.developerapps.list
  • apigee.developerattributes.get
  • apigee.developerattributes.list
  • apigee.developerbalances.get
  • apigee.developermonetizationconfigs.get
  • apigee.developers.get
  • apigee.developers.list
  • apigee.developersubscriptions.get
  • apigee.developersubscriptions.list
  • apigee.envgroupattachments.get
  • apigee.envgroupattachments.list
  • apigee.envgroups.get
  • apigee.envgroups.list
  • apigee.environments.get
  • apigee.environments.getDataLocation
  • apigee.environments.getIamPolicy
  • apigee.environments.getStats
  • apigee.environments.list
  • apigee.exports.get
  • apigee.exports.list
  • apigee.flowhooks.getSharedFlow
  • apigee.flowhooks.list
  • apigee.hostqueries.get
  • apigee.hostqueries.list
  • apigee.hoststats.*
  • apigee.ingressconfigs.*
  • apigee.instanceattachments.get
  • apigee.instanceattachments.list
  • apigee.instances.get
  • apigee.instances.list
  • apigee.keystorealiases.get
  • apigee.keystorealiases.list
  • apigee.keystores.get
  • apigee.keystores.list
  • apigee.keyvaluemaps.list
  • apigee.maskconfigs.get
  • apigee.operations.*
  • apigee.organizations.get
  • apigee.organizations.list
  • apigee.portals.get
  • apigee.portals.list
  • apigee.proxies.get
  • apigee.proxies.list
  • apigee.proxyrevisions.get
  • apigee.proxyrevisions.list
  • apigee.queries.get
  • apigee.queries.list
  • apigee.rateplans.get
  • apigee.rateplans.list
  • apigee.references.get
  • apigee.references.list
  • apigee.reports.get
  • apigee.reports.list
  • apigee.resourcefiles.get
  • apigee.resourcefiles.list
  • apigee.sharedflowrevisions.get
  • apigee.sharedflowrevisions.list
  • apigee.sharedflows.get
  • apigee.sharedflows.list
  • apigee.targetservers.get
  • apigee.targetservers.list
  • apigee.tracesessions.get
  • apigee.tracesessions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
roles/apigee.runtimeAgent Agent d'exécution Apigee Ensemble organisé d'autorisations permettant à un agent d'exécution d'accéder aux ressources d'organisation Apigee.
  • apigee.canaryevaluations.*
  • apigee.ingressconfigs.*
  • apigee.instances.reportStatus
  • apigee.operations.*
  • apigee.organizations.get
roles/apigee.synchronizerManager Gestionnaire de synchronisateur Apigee Ensemble organisé d'autorisations permettant à un synchronisateur de gérer des environnements dans une organisation Apigee
  • apigee.environments.get
  • apigee.environments.manageRuntime
  • apigee.ingressconfigs.*
roles/apigeeconnect.Admin Administrateur Apigee Connect Administrateur d'Apigee Connect
  • apigeeconnect.connections.*
roles/apigeeconnect.Agent Agent Apigee Connect Permet de configurer un agent Apigee Connect entre les clusters externes et Google.
  • apigeeconnect.endpoints.*

Rôles App Engine

Rôle Titre Description Autorisations Ressource la plus basse
roles/appengine.appAdmin Administrateur App Engine

Accès en lecture/écriture/modification à l'ensemble de la configuration et des paramètres de l'application.

Pour déployer de nouvelles versions, un membre doit disposer du rôle Utilisateur du compte de service (roles/iam.serviceAccountUser) sur le compte de service par défaut App Engine, ainsi que des rôles Éditeur Cloud Build (roles/cloudbuild.builds.editor) et Administrateur des objets Cloud Storage (roles/storage.objectAdmin) sur le projet.
  • appengine.applications.get
  • appengine.applications.update
  • appengine.instances.*
  • appengine.operations.*
  • appengine.runtimes.*
  • appengine.services.*
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/appengine.appCreator Créateur App Engine Permet de créer une ressource App Engine pour le projet.
  • appengine.applications.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/appengine.appViewer Lecteur App Engine Accès en lecture seule à l'ensemble de la configuration et des paramètres de l'application.
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.get
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/appengine.codeViewer Lecteur de codes App Engine Accès en lecture seule à l'ensemble de la configuration, des paramètres et du code source déployé de l'application.
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.get
  • appengine.versions.getFileContents
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/appengine.deployer Utilisateur à l'origine du déploiement App Engine

Accès en lecture seule à l'ensemble de la configuration et des paramètres de l'application.

Pour déployer de nouvelles versions, vous devez également disposer du rôle Utilisateur du compte de service (roles/iam.serviceAccountUser) sur le compte de service par défaut App Engine, ainsi que des rôles Éditeur Cloud Build (roles/cloudbuild.builds.editor) et Administrateur des objets Cloud Storage (roles/storage.objectAdmin) sur le projet.

Ce rôle ne permet pas de modifier des versions existantes, sauf pour supprimer des versions ne recevant pas de trafic.
  • appengine.applications.get
  • appengine.instances.get
  • appengine.instances.list
  • appengine.operations.*
  • appengine.services.get
  • appengine.services.list
  • appengine.versions.create
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/appengine.serviceAdmin Administrateur de services App Engine

Accès en lecture seule à l'ensemble de la configuration et des paramètres de l'application.

Accès en écriture aux paramètres au niveau du module et de la version. Ce rôle ne permet pas de déployer une nouvelle version.
  • appengine.applications.get
  • appengine.instances.*
  • appengine.operations.*
  • appengine.services.*
  • appengine.versions.delete
  • appengine.versions.get
  • appengine.versions.list
  • appengine.versions.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet

Rôles Artifact Registry

Rôle Titre Description Autorisations Ressource la plus basse
roles/artifactregistry.admin Administrateur Artifact Registry Bêta Accès administrateur permettant de créer et de gérer les dépôts.
  • artifactregistry.*
roles/artifactregistry.reader Lecteur Artifact Registry Bêta Accès permettant de lire les éléments du dépôt.
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.versions.get
  • artifactregistry.versions.list
roles/artifactregistry.repoAdmin Administrateur de dépôt Artifact Registry Bêta Accès permettant de gérer les artefacts dans les dépôts.
  • artifactregistry.files.*
  • artifactregistry.packages.*
  • artifactregistry.repositories.deleteArtifacts
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.*
  • artifactregistry.versions.*
roles/artifactregistry.writer Rédacteur Artifact Registry Bêta Accès permettant de lire et d'écrire des éléments de dépôt.
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list

Rôles Assured Workloads

Rôle Titre Description Autorisations Ressource la plus basse
roles/assuredworkloads.admin Administrateur Assured Workloads Accorde un accès complet aux ressources Assured Workloads et permet de gérer les stratégies IAM.
  • assuredworkloads.*
  • orgpolicy.*
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/assuredworkloads.editor Éditeur Assured Workloads Accorde un accès en lecture/écriture aux ressources Assured Workloads.
  • assuredworkloads.*
  • orgpolicy.*
  • resourcemanager.organizations.get
  • resourcemanager.projects.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/assuredworkloads.reader Lecteur Assured Workloads Accorde un accès en lecture à toutes les ressources Assured Workloads.
  • assuredworkloads.operations.*
  • assuredworkloads.workload.get
  • assuredworkloads.workload.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles AutoML

Rôle Titre Description Autorisations Ressource la plus basse
roles/automl.admin Administrateur AutoML Bêta Accès complet à toutes les ressources AutoML
  • automl.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
 Ensemble de données/modèle
roles/automl.editor Éditeur AutoML Bêta Éditeur de toutes les ressources AutoML
  • automl.annotationSpecs.*
  • automl.annotations.*
  • automl.columnSpecs.*
  • automl.datasets.create
  • automl.datasets.delete
  • automl.datasets.export
  • automl.datasets.get
  • automl.datasets.import
  • automl.datasets.list
  • automl.datasets.update
  • automl.examples.*
  • automl.humanAnnotationTasks.*
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.*
  • automl.models.create
  • automl.models.delete
  • automl.models.deploy
  • automl.models.export
  • automl.models.get
  • automl.models.list
  • automl.models.predict
  • automl.models.undeploy
  • automl.operations.*
  • automl.tableSpecs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
 Ensemble de données/modèle
roles/automl.predictor Prédicteur AutoML Bêta Prédiction à l'aide de modèles
  • automl.models.predict
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Model
roles/automl.viewer Lecteur AutoML Bêta Accès en lecture à toutes les ressources AutoML
  • automl.annotationSpecs.get
  • automl.annotationSpecs.list
  • automl.annotations.list
  • automl.columnSpecs.get
  • automl.columnSpecs.list
  • automl.datasets.get
  • automl.datasets.list
  • automl.examples.get
  • automl.examples.list
  • automl.humanAnnotationTasks.get
  • automl.humanAnnotationTasks.list
  • automl.locations.get
  • automl.locations.list
  • automl.modelEvaluations.get
  • automl.modelEvaluations.list
  • automl.models.get
  • automl.models.list
  • automl.operations.get
  • automl.operations.list
  • automl.tableSpecs.get
  • automl.tableSpecs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
 Ensemble de données/modèle

Rôles BigQuery

Rôle Titre Description Autorisations Ressource la plus basse
roles/bigquery.admin Administrateur BigQuery Fournit des autorisations permettant de gérer toutes les ressources du projet. Peut gérer toutes les données du projet et annuler des tâches exécutées par d'autres utilisateurs dans le projet.
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.config.*
  • bigquery.connections.*
  • bigquery.datasets.*
  • bigquery.jobs.*
  • bigquery.models.*
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • bigquery.routines.*
  • bigquery.rowAccessPolicies.create
  • bigquery.rowAccessPolicies.delete
  • bigquery.rowAccessPolicies.getIamPolicy
  • bigquery.rowAccessPolicies.list
  • bigquery.rowAccessPolicies.setIamPolicy
  • bigquery.rowAccessPolicies.update
  • bigquery.savedqueries.*
  • bigquery.tables.*
  • bigquery.transfers.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/bigquery.connectionAdmin Administrateur de connexion BigQuery
  • bigquery.connections.*
roles/bigquery.connectionUser Utilisateur de connexion BigQuery
  • bigquery.connections.get
  • bigquery.connections.getIamPolicy
  • bigquery.connections.list
  • bigquery.connections.use
roles/bigquery.dataEditor Éditeur de données BigQuery

Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire et mettre à jour les données et les métadonnées de la table ou de la vue
  • Supprimer la table ou la vue

Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels.

Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire les métadonnées de l'ensemble de données et répertorier les tables qu'il contient
  • Créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il permet également de créer des ensembles de données.
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.datasets.updateTag
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.tables.create
  • bigquery.tables.delete
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • bigquery.tables.update
  • bigquery.tables.updateData
  • bigquery.tables.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Table ou vue
roles/bigquery.dataOwner Propriétaire de données BigQuery

Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire et mettre à jour les données et les métadonnées de la table ou de la vue
  • Partager la table ou la vue
  • Supprimer la table ou la vue

Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels.

Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire, mettre à jour et supprimer l'ensemble de données
  • créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données.

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il permet également de créer des ensembles de données.
  • bigquery.datasets.*
  • bigquery.models.*
  • bigquery.routines.*
  • bigquery.rowAccessPolicies.create
  • bigquery.rowAccessPolicies.delete
  • bigquery.rowAccessPolicies.getIamPolicy
  • bigquery.rowAccessPolicies.list
  • bigquery.rowAccessPolicies.setIamPolicy
  • bigquery.rowAccessPolicies.update
  • bigquery.tables.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Table ou vue
roles/bigquery.dataViewer Lecteur de données BigQuery

Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire les données et les métadonnées de la table ou de la vue

Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels.

Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire les métadonnées de l'ensemble de données et répertorier les tables qu'il contient
  • Lire les données et les métadonnées des tables de l'ensemble de données

Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également énumérer tous les ensembles de données du projet. Toutefois, des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches.

  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.models.export
  • bigquery.models.getData
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.export
  • bigquery.tables.get
  • bigquery.tables.getData
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Table ou vue
roles/bigquery.filteredDataViewer Lecteur de données filtrées BigQuery Accès permettant d'afficher les données de table filtrées en fonction d'une règle d'accès aux lignes
  • bigquery.rowAccessPolicies.getFilteredData
roles/bigquery.jobUser Utilisateur de tâche BigQuery Fournit des autorisations permettant d'exécuter des tâches, y compris des requêtes, dans le projet.
  • bigquery.jobs.create
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/bigquery.metadataViewer Lecteur de métadonnées BigQuery

Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Lire les métadonnées de la table ou de la vue

Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels.

Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Répertorier les tables et les vues dans l'ensemble de données
  • Lire les métadonnées des tables et des vues de l'ensemble de données

Lorsqu'il est appliqué au niveau du projet ou de l'organisation, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes :

  • Répertorier tous les ensembles de données et lire les métadonnées de tous les ensembles de données du projet
  • répertorier toutes les tables et vues, et lire les métadonnées de toutes les tables et vues du projet.

Des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches.
  • bigquery.datasets.get
  • bigquery.datasets.getiamPolicy
  • bigquery.models.getMetadata
  • bigquery.models.list
  • bigquery.routines.get
  • bigquery.routines.list
  • bigquery.tables.get
  • bigquery.tables.getIamPolicy
  • bigquery.tables.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Table ou vue
roles/bigquery.readSessionUser Utilisateur de sessions de lecture BigQuery Accès permettant de créer et d'utiliser des sessions de lecture
  • bigquery.readsessions.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceAdmin Administrateur de ressources BigQuery Gérer toutes les ressources BigQuery.
  • bigquery.bireservations.*
  • bigquery.capacityCommitments.*
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceEditor Éditeur de ressources BigQuery Gérer toutes les ressources BigQuery, sans pouvoir prendre de décisions d'achat.
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.*
  • bigquery.reservations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.resourceViewer Lecteur de ressources BigQuery Afficher toutes les ressources BigQuery sans pouvoir apporter de modifications ou prendre de décisions d'achat.
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.jobs.get
  • bigquery.jobs.list
  • bigquery.jobs.listAll
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/bigquery.user Utilisateur BigQuery

Lorsqu'il est appliqué à un ensemble de données, ce rôle permet d'en lire les métadonnées et d'en répertorier les tables.

Lorsqu'il est appliqué à un projet, ce rôle permet également d'exécuter des tâches, telles que des requêtes, au sein du projet. Un membre doté de ce rôle peut énumérer ou annuler ses propres tâches et énumérer les ensembles de données d'un projet. En outre, ce rôle permet la création de nouveaux ensembles de données au sein du projet. Le créateur dispose alors du rôle de propriétaire de données BigQuery (roles/bigquery.dataOwner) sur ces nouveaux ensembles de données.
  • bigquery.bireservations.get
  • bigquery.capacityCommitments.get
  • bigquery.capacityCommitments.list
  • bigquery.config.get
  • bigquery.datasets.create
  • bigquery.datasets.get
  • bigquery.datasets.getIamPolicy
  • bigquery.jobs.create
  • bigquery.jobs.list
  • bigquery.models.list
  • bigquery.readsessions.*
  • bigquery.reservationAssignments.list
  • bigquery.reservationAssignments.search
  • bigquery.reservations.get
  • bigquery.reservations.list
  • bigquery.routines.list
  • bigquery.savedqueries.get
  • bigquery.savedqueries.list
  • bigquery.tables.list
  • bigquery.transfers.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Ensemble de données

Rôles Cloud Bigtable

Rôle Titre Description Autorisations Ressource la plus basse
roles/bigtable.admin Administrateur Bigtable Administre toutes les instances d'un projet, y compris les données stockées dans les tables. Peut créer des instances. Destiné aux administrateurs de projet.
  • bigtable.*
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
 Table
roles/bigtable.reader Lecteur Bigtable Fournit un accès en lecture seule aux données stockées dans les tables. Destiné aux data scientists, aux générateurs de tableaux de bord et à d'autres scénarios d'analyse de données.
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.keyvisualizer.*
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
 Table
roles/bigtable.user Utilisateur Bigtable Fournit un accès en lecture/écriture aux données stockées dans les tables. Destiné aux développeurs d'applications ou aux comptes de service.
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.keyvisualizer.*
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • bigtable.tables.mutateRows
  • bigtable.tables.readRows
  • bigtable.tables.sampleRowKeys
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
 Table
roles/bigtable.viewer Visionneur Bigtable Ne fournit aucun accès aux données. Conçu comme un ensemble minimal d'autorisations permettant d'accéder à Cloud Console pour Bigtable.
  • bigtable.appProfiles.get
  • bigtable.appProfiles.list
  • bigtable.backups.get
  • bigtable.backups.list
  • bigtable.clusters.get
  • bigtable.clusters.list
  • bigtable.instances.get
  • bigtable.instances.list
  • bigtable.locations.*
  • bigtable.tables.checkConsistency
  • bigtable.tables.generateConsistencyToken
  • bigtable.tables.get
  • bigtable.tables.list
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
 Table

Rôles de facturation

Rôle Titre Description Autorisations Ressource la plus basse
roles/billing.admin Administrateur de compte de facturation Permet de consulter les comptes de facturation et d'en gérer tous les aspects.
  • billing.accounts.close
  • billing.accounts.get
  • billing.accounts.getiamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getPricing
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.move
  • billing.accounts.redeemPromotion
  • billing.accounts.removeFromOrganization
  • billing.accounts.reopen
  • billing.accounts.setiamPolicy
  • billing.accounts.update
  • billing.accounts.updatePaymentInfo
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.credits.*
  • billing.resourceAssociations.*
  • billing.subscriptions.*
  • cloudnotifications.*
  • commerceoffercatalog.*
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • logging.logEntries.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.privateLogEntries.*
  • recommender.commitmentUtilizationInsights.*
  • recommender.usageCommitmentRecommendations.*
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
 Compte de facturation
roles/billing.costsManager Gestionnaire des coûts du compte de facturation Peut consulter et exporter les informations des comptes de facturation sur les coûts.
  • billing.accounts.get
  • billing.accounts.getiamPolicy
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.accounts.updateUsageExportSpec
  • billing.budgets.*
  • billing.resourceAssociations.list
roles/billing.creator Créateur de compte de facturation Permet de créer des comptes de facturation.
  • billing.accounts.create
  • resourcemanager.organizations.get
 Organisation
roles/billing.projectManager Gestionnaire de la facturation du projet Permet d'attribuer le compte de facturation d'un projet ou de désactiver sa facturation.
  • resourcemanager.projects.createBillingAssignment
  • resourcemanager.projects.deleteBillingAssignment
 Projet
roles/billing.user Utilisateur de compte de facturation Permet d'associer des projets à des comptes de facturation.
  • billing.accounts.get
  • billing.accounts.getiamPolicy
  • billing.accounts.list
  • billing.accounts.redeemPromotion
  • billing.credits.*
  • billing.resourceAssociations.create
 Compte de facturation
roles/billing.viewer Lecteur de compte de facturation Permet d'afficher des transactions et des informations relatives aux coûts des comptes de facturation.
  • billing.accounts.get
  • billing.accounts.getiamPolicy
  • billing.accounts.getPaymentInfo
  • billing.accounts.getPricing
  • billing.accounts.getSpendingInformation
  • billing.accounts.getUsageExportSpec
  • billing.accounts.list
  • billing.budgets.get
  • billing.budgets.list
  • billing.credits.*
  • billing.resourceAssociations.list
  • billing.subscriptions.get
  • billing.subscriptions.list
  • commerceoffercatalog.*
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list
  • dataprocessing.datasources.get
  • dataprocessing.datasources.list
  • dataprocessing.groupcontrols.get
  • dataprocessing.groupcontrols.list
  • recommender.commitmentUtilizationInsights.get
  • recommender.commitmentUtilizationInsights.list
  • recommender.usageCommitmentRecommendations.get
  • recommender.usageCommitmentRecommendations.list
 Compte de facturation

Rôles d'autorisation binaire

Rôle Titre Description Autorisations Ressource la plus basse
roles/binaryauthorization.attestorsAdmin Administrateur des attesteurs de l'autorisation binaire Administrateur des attesteurs de l'autorisation binaire
  • binaryauthorization.attestors.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.attestorsEditor Éditeur des attesteurs de l'autorisation binaire Éditeur des attesteurs de l'autorisation binaire.
  • binaryauthorization.attestors.create
  • binaryauthorization.attestors.delete
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • binaryauthorization.attestors.update
  • binaryauthorization.attestors.verifyImageAttested
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.attestorsVerifier Vérificateur d'image du certificateur de l'autorisation binaire Auteur de l'appel des attestataires de l'autorisation binaire VerifyImageAttested
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • binaryauthorization.attestors.verifyImageAttested
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.attestorsViewer Lecteur des attesteurs de l'autorisation binaire Lecteur des attesteurs de l'autorisation binaire.
  • binaryauthorization.attestors.get
  • binaryauthorization.attestors.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.policyAdmin Administrateur des autorités pour l'autorisation binaire Gère la stratégie pour l'autorisation binaire
  • binaryauthorization.continuousValidationConfig.*
  • binaryauthorization.policy.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.policyEditor Éditeur des règles pour l'autorisation binaire Éditeur des règles pour l'autorisation binaire
  • binaryauthorization.continuousValidationConfig.get
  • binaryauthorization.continuousValidationConfig.update
  • binaryauthorization.policy.get
  • binaryauthorization.policy.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/binaryauthorization.policyViewer Lecteur des règles pour l'autorisation binaire Lecteur des règles pour l'autorisation binaire
  • binaryauthorization.continuousValidationConfig.get
  • binaryauthorization.policy.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles Hangouts Chat

Rôle Titre Description Autorisations Ressource la plus basse
roles/chat.owner Propriétaire de chatbots Peut consulter et modifier les configurations de bots.
  • chat.*
roles/chat.reader Visionneur de chatbots Peut consulter les configurations de bots.
  • chat.bots.get

Rôles associés aux éléments cloud

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudasset.owner Propriétaire d'éléments Cloud Accès complet aux métadonnées des éléments Cloud
  • cloudasset.*
  • recommender.cloudAssetInsights.*
  • recommender.locations.*
roles/cloudasset.viewer Lecteur d'éléments Cloud Accès en lecture seule aux métadonnées des éléments cloud.
  • cloudasset.assets.*
  • recommender.cloudAssetInsights.get
  • recommender.cloudAssetInsights.list
  • recommender.locations.*

Rôles Cloud Build

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudbuild.builds.builder Compte de service Cloud Build Permet d'effectuer des compilations.
  • artifactregistry.files.*
  • artifactregistry.packages.get
  • artifactregistry.packages.list
  • artifactregistry.repositories.downloadArtifacts
  • artifactregistry.repositories.get
  • artifactregistry.repositories.list
  • artifactregistry.repositories.uploadArtifacts
  • artifactregistry.tags.create
  • artifactregistry.tags.get
  • artifactregistry.tags.list
  • artifactregistry.tags.update
  • artifactregistry.versions.get
  • artifactregistry.versions.list
  • cloudbuild.*
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • pubsub.topics.create
  • pubsub.topics.publish
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update
roles/cloudbuild.builds.editor Éditeur Cloud Build Permet de créer et d'annuler des compilations.
  • cloudbuild.*
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/cloudbuild.builds.viewer Lecteur Cloud Build Permet d'afficher des compilations.
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet

Rôles Cloud Data Fusion

Rôle Titre Description Autorisations Ressource la plus basse
roles/datafusion.admin Administrateur Cloud Data FusionBêta Accès complet aux instances Cloud Data Fusion et aux ressources associées.
  • datafusion.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/datafusion.runner Exécuteur Cloud Data FusionBêta Accès aux ressources d'environnement d'exécution Cloud Data Fusion.
  • datafusion.instances.runtime
roles/datafusion.viewer Lecteur Cloud Data FusionBêta Accès en lecture seule aux instances Cloud Data Fusion et aux ressources associées.
  • datafusion.instances.get
  • datafusion.instances.getIamPolicy
  • datafusion.instances.list
  • datafusion.instances.runtime
  • datafusion.locations.*
  • datafusion.namespaces.execute
  • datafusion.namespaces.get
  • datafusion.namespaces.getIamPolicy
  • datafusion.namespaces.list
  • datafusion.operations.get
  • datafusion.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet

Rôles Cloud Debugger

Rôle Titre Description Autorisations Ressource la plus basse
roles/clouddebugger.agent Agent Cloud Debugger Bêta Fournit les autorisations nécessaires pour enregistrer la cible de débogage, lire les points d'arrêt actifs et consigner les résultats des points d'arrêt.
  • clouddebugger.breakpoints.list
  • clouddebugger.breakpoints.listActive
  • clouddebugger.breakpoints.update
  • clouddebugger.debuggees.create
 Compte de service
roles/clouddebugger.user Utilisateur Cloud Debugger Bêta Fournit les autorisations nécessaires pour créer, afficher, répertorier et supprimer des points d'arrêt (instantanés et points de journalisation), ainsi que pour répertorier les cibles de débogage (éléments à déboguer).
  • clouddebugger.breakpoints.create
  • clouddebugger.breakpoints.delete
  • clouddebugger.breakpoints.get
  • clouddebugger.breakpoints.list
  • clouddebugger.debuggees.list
 Projet

Rôles Cloud DocumentAI

Rôle Titre Description Autorisations Ressource la plus basse
roles/documentai.admin Administrateur Cloud Document AI Bêta Accorde un accès complet à toutes les ressources de Cloud Document AI
  • documentai.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/documentai.apiUser Utilisateur de l'API Cloud DocumentAIBêta Permet de traiter les documents de Cloud Document AI
  • documentai.humanReviewConfigs.review
  • documentai.operations.*
  • documentai.processorVersions.processBatch
  • documentai.processorVersions.processOnline
  • documentai.processors.processBatch
  • documentai.processors.processOnline
roles/documentai.editor Éditeur Cloud DocumentAIBêta Permet d'utiliser toutes les ressources de Cloud Document AI
  • documentai.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/documentai.viewer Lecteur Cloud DocumentAIBêta Permet de lire toutes les ressources et de traiter les documents de Cloud Document AI
  • documentai.evaluations.get
  • documentai.evaluations.list
  • documentai.humanReviewConfigs.get
  • documentai.humanReviewConfigs.review
  • documentai.labelerPools.get
  • documentai.labelerPools.list
  • documentai.locations.*
  • documentai.operations.*
  • documentai.processorTypes.*
  • documentai.processorVersions.get
  • documentai.processorVersions.list
  • documentai.processorVersions.processBatch
  • documentai.processorVersions.processOnline
  • documentai.processors.fetchHumanReviewDetails
  • documentai.processors.get
  • documentai.processors.list
  • documentai.processors.processBatch
  • documentai.processors.processOnline
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles Cloud Functions

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudfunctions.admin Administrateur Cloud Functions Accès complet aux fonctions, aux opérations et aux emplacements.
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudfunctions.*
  • eventarc.*
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • run.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudfunctions.developer Développeur Cloud Functions Accès en lecture et en écriture à toutes les ressources liées aux fonctions.
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudfunctions.functions.call
  • cloudfunctions.functions.create
  • cloudfunctions.functions.delete
  • cloudfunctions.functions.get
  • cloudfunctions.functions.invoke
  • cloudfunctions.functions.list
  • cloudfunctions.functions.sourceCodeGet
  • cloudfunctions.functions.sourceCodeSet
  • cloudfunctions.functions.update
  • cloudfunctions.locations.*
  • cloudfunctions.operations.*
  • eventarc.locations.*
  • eventarc.operations.*
  • eventarc.triggers.create
  • eventarc.triggers.delete
  • eventarc.triggers.get
  • eventarc.triggers.getIamPolicy
  • eventarc.triggers.list
  • eventarc.triggers.undelete
  • eventarc.triggers.update
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • run.configurations.*
  • run.locations.*
  • run.revisions.*
  • run.routes.*
  • run.services.create
  • run.services.delete
  • run.services.get
  • run.services.getIamPolicy
  • run.services.list
  • run.services.update
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudfunctions.invoker Demandeur Cloud Functions Peut appeler des fonctions HTTP avec un accès limité.
  • cloudfunctions.functions.invoke
roles/cloudfunctions.viewer Lecteur Cloud Functions Accès en lecture seule aux fonctions et aux emplacements.
  • cloudbuild.builds.get
  • cloudbuild.builds.list
  • cloudfunctions.functions.get
  • cloudfunctions.functions.list
  • cloudfunctions.locations.*
  • cloudfunctions.operations.*
  • eventarc.locations.*
  • eventarc.operations.get
  • eventarc.operations.list
  • eventarc.triggers.get
  • eventarc.triggers.getIamPolicy
  • eventarc.triggers.list
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • run.configurations.*
  • run.locations.*
  • run.revisions.get
  • run.revisions.list
  • run.routes.get
  • run.routes.list
  • run.services.get
  • run.services.getIamPolicy
  • run.services.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Rôles Cloud IAP

Rôle Titre Description Autorisations Ressource la plus basse
roles/iap.admin Administrateur de règles IAP Fournit un accès complet aux ressources Identity-Aware Proxy.
  • iap.tunnel.*
  • iap.tunnelInstances.getIamPolicy
  • iap.tunnelInstances.setIamPolicy
  • iap.tunnelZones.*
  • iap.web.getIamPolicy
  • iap.web.setiamPolicy
  • iap.webServiceVersions.getIamPolicy
  • iap.webserviceVersions.setiamPolicy
  • iap.webServices.getIamPolicy
  • iap.webservices.setiamPolicy
  • iap.webTypes.getIamPolicy
  • iap.webTypes.setiamPolicy
 Projet
roles/iap.httpsResourceAccessor Utilisateur de l'application Web sécurisée par IAP Permet d'accéder aux ressources HTTPS qui utilisent Identity-Aware Proxy.
  • iap.webserviceVersions.accessViaIAP
 Projet
roles/iap.settingsAdmin Administrateur de paramètres IAP Permet de gérer les paramètres IAP.
  • iap.projects.*
  • iap.web.getSettings
  • iap.web.updateSettings
  • iap.webServiceVersions.getSettings
  • iap.webServiceVersions.updateSettings
  • iap.webServices.getSettings
  • iap.webServices.updateSettings
  • iap.webTypes.getSettings
  • iap.webTypes.updateSettings
roles/iap.tunnelResourceAccessor Utilisateur de tunnels sécurisés par IAP Permet d'accéder aux ressources de tunnels qui utilisent Identity-Aware Proxy.
  • iap.tunnelInstances.accessViaIAP

Rôles Cloud IoT

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudiot.admin Administrateur Cloud IoT Contrôle complet de toutes les ressources et autorisations Cloud IoT.
  • cloudiot.*
  • cloudiottoken.*
 Appareil
roles/cloudiot.deviceController Contrôleur d'appareils Cloud IoT Accès permettant de mettre à jour la configuration de l'appareil, mais pas de créer ou supprimer des appareils.
  • cloudiot.devices.get
  • cloudiot.devices.list
  • cloudiot.devices.sendCommand
  • cloudiot.devices.updateConfig
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiottoken.tokensettings.get
 Appareil
roles/cloudiot.editor Éditeur Cloud IoT Accès en lecture/écriture à toutes les ressources Cloud IoT.
  • cloudiot.devices.*
  • cloudiot.registries.create
  • cloudiot.registries.delete
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiot.registries.update
  • cloudiottoken.*
 Appareil
roles/cloudiot.provisioner Gestionnaire Cloud IoT Accès permettant de créer et supprimer des appareils dans les registres, mais pas de modifier ces registres, et d'autoriser les appareils à publier dans des sujets associés au registre IoT.
  • cloudiot.devices.*
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiottoken.tokensettings.get
 Appareil
roles/cloudiot.viewer Lecteur Cloud IoT Accès en lecture seule à toutes les ressources Cloud IoT.
  • cloudiot.devices.get
  • cloudiot.devices.list
  • cloudiot.registries.get
  • cloudiot.registries.list
  • cloudiottoken.tokensettings.get
 Appareil

Rôles Cloud Talent Solution

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudjobdiscovery.admin Administrateur Accès aux outils en libre-service de Cloud Talent Solution
  • cloudjobdiscovery.tools.*
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.jobsEditor Éditeur de tâches Accès en écriture à toutes les données de tâches dans Cloud Talent Solution.
  • cloudjobdiscovery.companies.*
  • cloudjobdiscovery.events.*
  • cloudjobdiscovery.jobs.*
  • cloudjobdiscovery.tenants.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.jobsViewer Lecteur de tâches Accès en lecture à toutes les données de tâche dans Cloud Talent Solution.
  • cloudjobdiscovery.companies.get
  • cloudjobdiscovery.companies.list
  • cloudjobdiscovery.jobs.get
  • cloudjobdiscovery.jobs.search
  • cloudjobdiscovery.tenants.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.profilesEditor Éditeur de profil Accès en écriture à toutes les données de profil dans Cloud Talent Solution.
  • cloudjobdiscovery.events.*
  • cloudjobdiscovery.profiles.*
  • cloudjobdiscovery.tenants.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudjobdiscovery.profilesViewer Lecteur de profil Accès en lecture à toutes les données de profil dans Cloud Talent Solution.
  • cloudjobdiscovery.profiles.get
  • cloudjobdiscovery.profiles.search
  • cloudjobdiscovery.tenants.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles Cloud KMS

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudkms.admin Administrateur Cloud KMS Fournit un accès complet aux ressources Cloud KMS, à l'exception des opérations de chiffrement et de déchiffrement.
  • cloudkms.cryptoKeyVersions.create
  • cloudkms.cryptoKeyVersions.destroy
  • cloudkms.cryptoKeyVersions.get
  • cloudkms.cryptoKeyVersions.list
  • cloudkms.cryptoKeyVersions.restore
  • cloudkms.cryptoKeyVersions.update
  • cloudkms.cryptoKeys.*
  • cloudkms.importJobs.*
  • cloudkms.keyRings.*
  • cloudkms.locations.*
  • resourcemanager.projects.get
 Clé de chiffrement
roles/cloudkms.cryptoKeyDecrypter Déchiffreur de clé de chiffrement Cloud KMS Permet d'utiliser les ressources Cloud KMS pour les opérations de déchiffrement seulement.
  • cloudkms.cryptoKeyVersions.useToDecrypt
  • cloudkms.locations.*
  • resourcemanager.projects.get
 Clé de chiffrement
roles/cloudkms.cryptoKeyEncrypter Chiffreur de clé de chiffrement Cloud KMS Permet d'utiliser les ressources Cloud KMS pour les opérations de chiffrement seulement.
  • cloudkms.cryptoKeyVersions.useToEncrypt
  • cloudkms.locations.*
  • resourcemanager.projects.get
 Clé de chiffrement
roles/cloudkms.cryptoKeyEncrypterDecrypter Chiffreur/Déchiffreur de clés cryptographiques Cloud KMS Permet d'utiliser les ressources Cloud KMS pour les opérations de chiffrement et de déchiffrement seulement.
  • cloudkms.cryptoKeyVersions.useToDecrypt
  • cloudkms.cryptoKeyVersions.useToEncrypt
  • cloudkms.locations.*
  • resourcemanager.projects.get
 Clé de chiffrement
roles/cloudkms.importer Importateur Cloud KMS Permet d'effectuer les opérations "ImportCryptoKeyVersion", "CreateImportJob", "ListImportJobs" et "GetImportJob"
  • cloudkms.importJobs.create
  • cloudkms.importJobs.get
  • cloudkms.importJobs.list
  • cloudkms.importJobs.useToImport
  • cloudkms.locations.*
  • resourcemanager.projects.get
roles/cloudkms.publicKeyViewer Lecteur de clés publiques de CryptoKeys Cloud KMS Active les opérations GetPublicKey
  • cloudkms.cryptoKeyVersions.viewPublicKey
  • cloudkms.locations.*
  • resourcemanager.projects.get
roles/cloudkms.signer Signataire de CryptoKeys Cloud KMS Permet d'effectuer des opérations Sign
  • cloudkms.cryptoKeyVersions.useToSign
  • cloudkms.locations.*
  • resourcemanager.projects.get
roles/cloudkms.signerVerifier Signataire/Validateur de CryptoKeys Cloud KMS Permet d'effectuer des opérations Sign, Verify et GetPublicKey
  • cloudkms.cryptoKeyVersions.useToSign
  • cloudkms.cryptoKeyVersions.viewPublicKey
  • cloudkms.locations.*
  • resourcemanager.projects.get

Rôles Google Cloud Marketplace

Rôle Titre Description Autorisations Ressource la plus basse
roles/commerceoffercatalog.offersViewer Lecteur d'offres du catalogue des offres commerciales Bêta Autorise l'affichage des offres
  • commerceoffercatalog.*
roles/commercepricemanagement.privateOffersAdmin Administrateur d'offres privées de gestion des prix de Commerce Bêta Permet de gérer les offres privées
  • commerceprice.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/commercepricemanagement.viewer Lecteur de gestion des prix de CommerceBêta Permet d'afficher des offres, des essais gratuits, des codes SKU
  • commerceprice.privateoffers.get
  • commerceprice.privateoffers.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/consumerprocurement.entitlementManager Gestionnaire des droits d'approvisionnement des consommateursBêta Permet de gérer les droits et d'activer, de désactiver et d'inspecter les états de service pour un projet destiné à un consommateur.
  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.operations.get
  • serviceusage.services.disable
  • serviceusage.services.enable
  • serviceusage.services.get
  • serviceusage.services.list
roles/consumerprocurement.entitlementViewer Lecteur des droits d'approvisionnement des consommateursBêta Permet d'inspecter les droits et les états de service pour un projet destiné à un consommateur.
  • consumerprocurement.entitlements.*
  • consumerprocurement.freeTrials.get
  • consumerprocurement.freeTrials.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/consumerprocurement.orderAdmin Administrateur des commandes d'approvisionnement des consommateursBêta Permet de gérer les achats.
  • commerceoffercatalog.*
  • consumerprocurement.accounts.*
  • consumerprocurement.orders.*
roles/consumerprocurement.orderViewer Lecteur des commandes d'approvisionnement des consommateursBêta Permet d'inspecter les achats.
  • commerceoffercatalog.*
  • consumerprocurement.accounts.get
  • consumerprocurement.accounts.list
  • consumerprocurement.orders.get
  • consumerprocurement.orders.list

Rôles pour la migration vers le cloud

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudmigration.inframanager Velostrata Manager Bêta Permet de créer et de gérer des VM Compute afin d'exécuter l'infrastructure Velostrata
  • cloudmigration.*
  • compute.addresses.*
  • compute.diskTypes.*
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.list
  • compute.disks.setLabels
  • compute.disks.update
  • compute.disks.use
  • compute.disks.useReadOnly
  • compute.globalOperations.get
  • compute.images.get
  • compute.images.list
  • compute.images.useReadOnly
  • compute.instances.attachDisk
  • compute.instances.create
  • compute.instances.delete
  • compute.instances.detachDisk
  • compute.instances.get
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.reset
  • compute.instances.setDiskAutoDelete
  • compute.instances.setLabels
  • compute.instances.setMachineType
  • compute.instances.setMetadata
  • compute.instances.setMinCpuPlatform
  • compute.instances.setScheduling
  • compute.instances.setserviceAccount
  • compute.instances.setTags
  • compute.instances.start
  • compute.instances.startWithEncryptionKey
  • compute.instances.stop
  • compute.instances.update
  • compute.instances.updateNetworkInterface
  • compute.instances.updateShieldedInstanceConfig
  • compute.instances.use
  • compute.licenseCodes.get
  • compute.licenseCodes.list
  • compute.licenseCodes.update
  • compute.licenseCodes.use
  • compute.licenses.get
  • compute.licenses.list
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.nodeGroups.get
  • compute.nodeGroups.list
  • compute.nodeTemplates.list
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regions.*
  • compute.snapshots.create
  • compute.snapshots.delete
  • compute.snapshots.get
  • compute.snapshots.setLabels
  • compute.snapshots.useReadOnly
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zoneOperations.get
  • compute.zones.*
  • gkehub.endpoints.*
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • storage.buckets.create
  • storage.buckets.delete
  • storage.buckets.get
  • storage.buckets.list
  • storage.buckets.update
roles/cloudmigration.storageaccess Accès au stockage Velostrata Bêta Permet d'accéder au stockage de migration
  • storage.objects.create
  • storage.objects.delete
  • storage.objects.get
  • storage.objects.list
  • storage.objects.update
roles/cloudmigration.velostrataconnect Agent de connexion Velostrata Manager Bêta Permet de configurer une connexion entre Velostrata Manager et Google
  • cloudmigration.*
  • gkehub.endpoints.*
roles/vmmigration.admin Administrateur VM Migration Bêta Possibilité d'afficher et de modifier tous les objets VM Migration
  • vmmigration.*
roles/vmmigration.viewer Lecteur VM Migration Bêta Possibilité d'afficher tous les objets VM Migration
  • vmmigration.cloneJobs.get
  • vmmigration.cloneJobs.list
  • vmmigration.cutoverJobs.get
  • vmmigration.cutoverJobs.list
  • vmmigration.datacenterConnectors.get
  • vmmigration.datacenterConnectors.list
  • vmmigration.deployments.get
  • vmmigration.deployments.list
  • vmmigration.groups.get
  • vmmigration.groups.list
  • vmmigration.locations.*
  • vmmigration.migratingVms.get
  • vmmigration.migratingVms.list
  • vmmigration.operations.get
  • vmmigration.operations.list
  • vmmigration.sources.get
  • vmmigration.sources.list
  • vmmigration.targets.get
  • vmmigration.targets.list
  • vmmigration.utilizationReports.get
  • vmmigration.utilizationReports.list

Rôles de catalogue privé cloud

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudprivatecatalog.consumer Client du catalogueBêta Peut parcourir les catalogues dans le contexte des ressources cibles.
  • cloudprivatecatalog.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudprivatecatalogproducer.admin Administrateur du catalogueBêta Peut gérer le catalogue et en afficher les associations.
  • cloudprivatecatalog.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalogproducer.targets.*
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudprivatecatalogproducer.manager Gestionnaire du catalogueBêta Peut gérer les associations entre un catalogue et une ressource cible.
  • cloudprivatecatalog.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.targets.*
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudprivatecatalogproducer.orgAdmin Admin. de l'entr du catalogueversion bêta Peut gérer les paramètres d'organisation du catalogue.
  • cloudprivatecatalog.*
  • cloudprivatecatalogproducer.*
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles Cloud Profiler

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudprofiler.agent Agent Cloud Profiler Les agents Cloud Profiler sont autorisés à enregistrer et à fournir les données de profilage.
  • cloudprofiler.profiles.create
  • cloudprofiler.profiles.update
roles/cloudprofiler.user Utilisateur de Cloud Profiler Les utilisateurs de Cloud Profiler sont autorisés à envoyer des requêtes et à consulter les données de profilage.
  • cloudprofiler.profiles.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Rôles Cloud Scheduler

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudscheduler.admin Administrateur Cloud Scheduler

Accès complet aux tâches et aux exécutions.

Notez qu'un administrateur Cloud Scheduler (ou tout rôle personnalisé disposant de l'autorisation cloudschedulers.job.create) peut créer des tâches de publication vers n'importe quel sujet Pub/Sub au sein du projet.

  • appengine.applications.get
  • cloudscheduler.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudscheduler.jobRunner Exécuteur de tâches Cloud Scheduler Autorisation d'exécuter des tâches.
  • appengine.applications.get
  • cloudscheduler.jobs.fullView
  • cloudscheduler.jobs.run
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list
roles/cloudscheduler.viewer Lecteur Cloud Scheduler Accès aux tâches, aux exécutions et aux emplacements, et possibilité de les répertorier.
  • appengine.applications.get
  • cloudscheduler.jobs.fullView
  • cloudscheduler.jobs.get
  • cloudscheduler.jobs.list
  • cloudscheduler.locations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.get
  • serviceusage.services.list

Rôles Cloud Security Scanner

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudsecurityscanner.editor Éditeur Web Security Scanner Accès complet à toutes les ressources Web Security Scanner
  • appengine.applications.get
  • cloudsecurityscanner.*
  • compute.addresses.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 Projet
roles/cloudsecurityscanner.runner Exécuteur Web Security Scanner Accès en lecture à Scan et ScanRun, et possibilité de lancer des analyses
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scanruns.stop
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • cloudsecurityscanner.scans.run
 Projet
roles/cloudsecurityscanner.viewer Visionneuse Web Security Scanner Accès en lecture à toutes les ressources Web Security Scanner
  • cloudsecurityscanner.crawledurls.*
  • cloudsecurityscanner.results.*
  • cloudsecurityscanner.scanruns.get
  • cloudsecurityscanner.scanruns.getSummary
  • cloudsecurityscanner.scanruns.list
  • cloudsecurityscanner.scans.get
  • cloudsecurityscanner.scans.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 Projet

Rôles Cloud Services

Rôle Titre Description Autorisations Ressource la plus basse
roles/servicebroker.admin Administrateur Service Broker Accès complet aux ressources Service Broker.
  • servicebroker.*
roles/servicebroker.operator Opérateur Service Broker Accès opérationnel aux ressources Service Broker.
  • servicebroker.bindingoperations.*
  • servicebroker.bindings.create
  • servicebroker.bindings.delete
  • servicebroker.bindings.get
  • servicebroker.bindings.list
  • servicebroker.catalogs.create
  • servicebroker.catalogs.delete
  • servicebroker.catalogs.get
  • servicebroker.catalogs.list
  • servicebroker.instanceoperations.*
  • servicebroker.instances.create
  • servicebroker.instances.delete
  • servicebroker.instances.get
  • servicebroker.instances.list
  • servicebroker.instances.update

Rôles Cloud SQL

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudsql.admin Administrateur Cloud SQL Fournit un contrôle complet des ressources Cloud SQL.
  • cloudsql.*
  • recommender.cloudsqlInstanceDiskUsageTrendInsights.*
  • recommender.cloudsqlInstanceOutOfDiskRecommendations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 Projet
roles/cloudsql.client Client Cloud SQL Fournit un accès connecté aux instances Cloud SQL.
  • cloudsql.instances.connect
  • cloudsql.instances.get
 Projet
roles/cloudsql.editor Éditeur Cloud SQL Permet de contrôler totalement les instances Cloud SQL existantes, mais pas de modifier des utilisateurs et des certificats SSL, ni de supprimer des ressources.
  • cloudsql.backupRuns.create
  • cloudsql.backupRuns.get
  • cloudsql.backupRuns.list
  • cloudsql.databases.create
  • cloudsql.databases.get
  • cloudsql.databases.list
  • cloudsql.databases.update
  • cloudsql.instances.addServerCa
  • cloudsql.instances.connect
  • cloudsql.instances.export
  • cloudsql.instances.failover
  • cloudsql.instances.get
  • cloudsql.instances.list
  • cloudsql.instances.listServerCas
  • cloudsql.instances.restart
  • cloudsql.instances.rotateServerCa
  • cloudsql.instances.truncateLog
  • cloudsql.instances.update
  • cloudsql.sslCerts.get
  • cloudsql.sslCerts.list
  • cloudsql.users.list
  • recommender.cloudsqlInstanceDiskUsageTrendInsights.*
  • recommender.cloudsqlInstanceOutOfDiskRecommendations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 Projet
roles/cloudsql.instanceUser Utilisateur d'instance Cloud SQL Rôle donnant accès à une instance Cloud SQL
  • cloudsql.instances.get
  • cloudsql.instances.login
roles/cloudsql.viewer Lecteur Cloud SQL Fournit un accès en lecture seule aux ressources Cloud SQL.
  • cloudsql.backupRuns.get
  • cloudsql.backupRuns.list
  • cloudsql.databases.get
  • cloudsql.databases.list
  • cloudsql.instances.export
  • cloudsql.instances.get
  • cloudsql.instances.list
  • cloudsql.instances.listServerCas
  • cloudsql.sslCerts.get
  • cloudsql.sslCerts.list
  • cloudsql.users.list
  • recommender.cloudsqlInstanceDiskUsageTrendInsights.get
  • recommender.cloudsqlInstanceDiskUsageTrendInsights.list
  • recommender.cloudsqlInstanceOutOfDiskRecommendations.get
  • recommender.cloudsqlInstanceOutOfDiskRecommendations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 Projet

Rôles Cloud Tasks

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudtasks.admin Administrateur Cloud TasksBêta Accès complet aux files d'attente et aux tâches.
  • cloudtasks.*
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.enqueuer Empileur Cloud TasksBêta Accès permettant de créer des tâches.
  • cloudtasks.tasks.create
  • cloudtasks.tasks.fullView
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.queueAdmin Administrateur de files d'attente Cloud TasksBêta Accès administrateur aux files d'attente.
  • cloudtasks.locations.*
  • cloudtasks.queues.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.taskDeleter Agent de suppression de tâches Cloud TasksBêta Accès permettant de supprimer des tâches.
  • cloudtasks.tasks.delete
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.taskRunner Exécuteur de tâches Cloud TasksBêta Accès permettant d'exécuter des tâches.
  • cloudtasks.tasks.fullView
  • cloudtasks.tasks.run
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtasks.viewer Lecteur Cloud TasksBêta Accès aux tâches, aux files d'attente et aux emplacements, et possibilité de les répertorier.
  • cloudtasks.locations.*
  • cloudtasks.queues.get
  • cloudtasks.queues.list
  • cloudtasks.tasks.fullView
  • cloudtasks.tasks.get
  • cloudtasks.tasks.list
  • monitoring.timeSeries.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles Cloud Trace

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudtrace.admin Administrateur Cloud Trace Fournit un accès complet à la console Trace, et un accès en lecture/écriture aux traces.
  • cloudtrace.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/cloudtrace.agent Agent Cloud Trace Pour les comptes de service Permet d'écrire des traces en envoyant les données à Stackdriver Trace.
  • cloudtrace.traces.patch
 Projet
roles/cloudtrace.user Utilisateur Cloud Trace Fournit un accès complet à la console Trace, et un accès en lecture aux traces.
  • cloudtrace.insights.*
  • cloudtrace.stats.*
  • cloudtrace.tasks.*
  • cloudtrace.traces.get
  • cloudtrace.traces.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet

Rôles Cloud Translation

Rôle Titre Description Autorisations Ressource la plus basse
roles/cloudtranslate.admin Administrateur de l'API Cloud Translation Accès complet à toutes les ressources de Cloud Translation
  • automl.models.get
  • automl.models.predict
  • cloudtranslate.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtranslate.editor Éditeur de l'API Cloud Translation Édition de toutes les ressources Cloud Translation
  • automl.models.get
  • automl.models.predict
  • cloudtranslate.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtranslate.user Utilisateur de l'API Cloud Translation Utilisation de Cloud Translation et de modèles AutoML
  • automl.models.get
  • automl.models.predict
  • cloudtranslate.generalModels.*
  • cloudtranslate.glossaries.batchDocPredict
  • cloudtranslate.glossaries.batchPredict
  • cloudtranslate.glossaries.docPredict
  • cloudtranslate.glossaries.get
  • cloudtranslate.glossaries.list
  • cloudtranslate.glossaries.predict
  • cloudtranslate.languageDetectionModels.*
  • cloudtranslate.locations.*
  • cloudtranslate.operations.get
  • cloudtranslate.operations.list
  • cloudtranslate.operations.wait
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/cloudtranslate.viewer Lecteur de l'API Cloud Translation Lecture de toutes les ressources de Traduction
  • automl.models.get
  • cloudtranslate.generalModels.get
  • cloudtranslate.glossaries.get
  • cloudtranslate.glossaries.list
  • cloudtranslate.locations.*
  • cloudtranslate.operations.get
  • cloudtranslate.operations.list
  • cloudtranslate.operations.wait
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles associés aux workflows

Rôle Titre Description Autorisations Ressource la plus basse
roles/workflows.admin Administrateur de workflows Accès complet aux workflows et aux ressources associées.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • workflows.*
roles/workflows.editor Éditeur de workflows Accès en lecture/écriture aux workflows et aux ressources associées.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • workflows.executions.*
  • workflows.locations.*
  • workflows.operations.*
  • workflows.workflows.create
  • workflows.workflows.delete
  • workflows.workflows.get
  • workflows.workflows.getIamPolicy
  • workflows.workflows.list
  • workflows.workflows.update
roles/workflows.invoker Demandeur de workflows Accès permettant d'exécuter des workflows et de gérer les exécutions.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • workflows.executions.*
roles/workflows.viewer Lecteur de workflows Accès en lecture seule aux workflows et aux ressources associées.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • workflows.executions.get
  • workflows.executions.list
  • workflows.locations.*
  • workflows.operations.get
  • workflows.operations.list
  • workflows.workflows.get
  • workflows.workflows.getIamPolicy
  • workflows.workflows.list

Rôles des clés API de l'atelier de programmation

Rôle Titre Description Autorisations Ressource la plus basse
roles/codelabapikeys.admin Administrateur de clés API de l'atelier de programmationBêta Accès complet aux clés API
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/codelabapikeys.editor Éditeur de clés API de l'atelier de programmationBêta Ce rôle permet d'afficher et de modifier toutes les propriétés des clés API.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/codelabapikeys.viewer Lecteur de clés API de l'atelier de programmationBêta Ce rôle permet d'afficher toutes les propriétés, à l'exception de l'historique des modifications des clés API.
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles Cloud Composer

Rôle Titre Description Autorisations Ressource la plus basse
roles/composer.admin Administrateur Composer Permet un contrôle total des ressources Cloud Composer.
  • composer.*
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 Projet
roles/composer.environmentAndStorageObjectAdmin Administrateur de l'environnement et des objets Storage Permet un contrôle total des ressources Cloud Composer ainsi que des objets de tous les buckets du projet.
  • composer.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.*
 Projet
roles/composer.environmentAndStorageObjectViewer Utilisateur de l'environnement et lecteur des objets Storage Fournit les autorisations nécessaires pour répertorier et obtenir les environnements et les opérations Cloud Composer. Offre un accès en lecture seule aux objets de tous les buckets du projet.
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.*
  • composer.operations.get
  • composer.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.get
  • storage.objects.list
 Projet
roles/composer.sharedVpcAgent Agent Composer dans le VPC partagé Rôle qui doit être attribué au compte de service de l'agent Composer dans le projet hôte VPC partagé
  • compute.networks.access
  • compute.networks.addPeering
  • compute.networks.get
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.networks.removePeering
  • compute.networks.updatePeering
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regions.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.zones.*
roles/composer.user Utilisateur de Composer Fournit les autorisations nécessaires pour répertorier et obtenir les environnements et les opérations Cloud Composer.
  • composer.environments.get
  • composer.environments.list
  • composer.imageversions.*
  • composer.operations.get
  • composer.operations.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 Projet
roles/composer.worker Nœud de calcul Composer Fournit les autorisations nécessaires pour exécuter une VM avec environnement Cloud Composer. Destiné aux comptes de service.
  • artifactregistry.*
  • cloudbuild.*
  • container.*
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • logging.logEntries.create
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.timeSeries.*
  • pubsub.schemas.attach
  • pubsub.schemas.create
  • pubsub.schemas.delete
  • pubsub.schemas.get
  • pubsub.schemas.list
  • pubsub.schemas.validate
  • pubsub.snapshots.create
  • pubsub.snapshots.delete
  • pubsub.snapshots.get
  • pubsub.snapshots.list
  • pubsub.snapshots.seek
  • pubsub.snapshots.update
  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.list
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.detachSubscription
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.topics.publish
  • pubsub.topics.update
  • pubsub.topics.updateTag
  • remotebuildexecution.blobs.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • source.repos.get
  • source.repos.list
  • storage.buckets.create
  • storage.buckets.get
  • storage.buckets.list
  • storage.objects.*
 Projet

Rôles Compute Engine

Rôle Titre Description Autorisations Ressource la plus basse
roles/compute.admin Administrateur Compute

Contrôle complet de toutes les ressources Compute Engine.

Si l'utilisateur est amené à gérer des instances de machines virtuelles configurées pour s'exécuter en tant que compte de service, vous devez également lui accorder le rôle roles/iam.serviceAccountUser.
  • compute.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 Disque, image, instance, modèle d'instance, groupe de nœuds, modèle de nœud, instantanéBêta
roles/compute.imageUser Utilisateur d'images Compute

Permet de répertorier et de lire des images sans disposer d'autres autorisations sur celles-ci. L'attribution de ce rôle au niveau du projet permet aux utilisateurs de répertorier toutes les images du projet et de créer des ressources, telles que des instances et des disques persistants, en fonction des images du projet.

  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 ImageBêta
roles/compute.instanceAdmin Administrateur d'instances Compute (version bêta)

Autorisations permettant de créer, modifier et supprimer des instances de machine virtuelle. Cela inclut les autorisations nécessaires pour créer, modifier et supprimer des disques, ainsi que pour configurer les paramètres de VM protégéeBÊTA.

Si l'utilisateur est amené à gérer des instances de machines virtuelles configurées pour s'exécuter en tant que compte de service, vous devez également lui accorder le rôle roles/iam.serviceAccountUser.

Par exemple, si une personne au sein de votre entreprise gère des groupes d'instances de machines virtuelles, mais ne gère pas les paramètres réseau ou de sécurité, ni les instances qui s'exécutent en tant que comptes de service, vous pouvez accorder ce rôle sur l'organisation, le dossier ou le projet contenant les instances, ou vous pouvez l'accorder sur des instances individuelles.
  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers.*
  • compute.diskTypes.*
  • compute.disks.create
  • compute.disks.createSnapshot
  • compute.disks.delete
  • compute.disks.get
  • compute.disks.list
  • compute.disks.resize
  • compute.disks.setLabels
  • compute.disks.update
  • compute.disks.use
  • compute.disks.useReadOnly
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalNetworkEndpointGroups.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • compute.instanceGroupManagers.*
  • compute.instanceGroups.*
  • compute.instanceTemplates.*
  • compute.instances.*
  • compute.licenses.get
  • compute.licenses.list
  • compute.machineImages.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regionNetworkEndpointGroups.*
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 Disque, image, instance, modèle d'instance, instantanéBêta
roles/compute.instanceAdmin.v1 Administrateur d'instances Compute (v1)

Offre un contrôle complet sur les instances, groupes d'instances, disques, instantanés et images Compute Engine. Fournit un accès en lecture à toutes les ressources réseau Compute Engine.

Si vous n'attribuez ce rôle à un utilisateur qu'au niveau d'une instance, cette personne ne peut pas créer d'instances.
  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers.*
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.diskTypes.*
  • compute.disks.*
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.*
  • compute.instanceGroupManagers.*
  • compute.instanceGroups.*
  • compute.instanceTemplates.*
  • compute.instances.*
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.*
  • compute.licenses.*
  • compute.machineImages.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.projects.setCommonInstanceMetadata
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.*
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.*
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.loadBalancerAdmin Administrateur de l'équilibreur de charge ComputeBêta

Permet de créer, de modifier et de supprimer des équilibreurs de charge, et d'associer des ressources.

Par exemple, si votre entreprise dispose d'une équipe chargée de gérer les équilibreurs de charge, les certificats SSL associés, les règles SSL et d'autres ressources d'équilibrage de charge, ainsi que d'une équipe réseau distincte qui gère le reste des ressources réseau, attribuez ce rôle au groupe de l'équipe chargée de l'équilibrage de charge.
  • compute.addresses.*
  • compute.backendBuckets.*
  • compute.backendServices.*
  • compute.forwardingRules.*
  • compute.globalAddresses.*
  • compute.globalForwardingRules.*
  • compute.globalNetworkEndpointGroups.*
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.instanceGroups.*
  • compute.instances.get
  • compute.instances.list
  • compute.instances.use
  • compute.instances.useReadOnly
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.projects.get
  • compute.regionBackendServices.*
  • compute.regionHealthCheckServices.*
  • compute.regionHealthChecks.*
  • compute.regionNetworkEndpointGroups.*
  • compute.regionNotificationEndpoints.*
  • compute.regionSslCertificates.*
  • compute.regionTargetHttpProxies.*
  • compute.regionTargetHttpsProxies.*
  • compute.regionUrlMaps.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.sslCertificates.*
  • compute.sslPolicies.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.targetGrpcProxies.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.urlMaps.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 InstanceBêta
roles/compute.networkAdmin Administrateur de réseaux Compute

Ce rôle permet de créer, modifier et supprimer des ressources réseau, à l'exception des règles de pare-feu et des certificats SSL. Le rôle d'administrateur réseau offre un accès en lecture seule aux règles de pare-feu, aux certificats SSL et aux instances (pour afficher leurs adresses IP éphémères). Il ne permet pas aux utilisateurs de créer, de démarrer, d'arrêter ou de supprimer des instances.

Par exemple, si votre entreprise dispose d'une équipe de sécurité qui gère les pare-feu et les certificats SSL, ainsi que d'une équipe réseau qui gère le reste des ressources réseau, attribuez ce rôle au groupe de l'équipe réseau.
  • compute.acceleratorTypes.*
  • compute.addresses.*
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.*
  • compute.backendServices.*
  • compute.externalVpnGateways.*
  • compute.firewallPolicies.get
  • compute.firewallPolicies.list
  • compute.firewallPolicies.use
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.*
  • compute.globalAddresses.*
  • compute.globalForwardingRules.*
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalNetworkEndpointGroups.use
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.delete
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.globalPublicDelegatedPrefixes.update
  • compute.globalPublicDelegatedPrefixes.updatePolicy
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroupManagers.update
  • compute.instanceGroupManagers.use
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceGroups.update
  • compute.instanceGroups.use
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.instances.updateSecurity
  • compute.instances.use
  • compute.instances.useReadOnly
  • compute.interconnectAttachments.*
  • compute.interconnectLocations.*
  • compute.interconnects.*
  • compute.machineTypes.*
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.list
  • compute.networkEndpointGroups.use
  • compute.networks.*
  • compute.projects.get
  • compute.publicDelegatedPrefixes.delete
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.publicDelegatedPrefixes.update
  • compute.publicDelegatedPrefixes.updatePolicy
  • compute.regionBackendServices.*
  • compute.regionHealthCheckServices.*
  • compute.regionHealthChecks.*
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNetworkEndpointGroups.use
  • compute.regionNotificationEndpoints.*
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.*
  • compute.regionTargetHttpsProxies.*
  • compute.regionUrlMaps.*
  • compute.regions.*
  • compute.routers.*
  • compute.routes.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.serviceAttachments.*
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.*
  • compute.subnetworks.*
  • compute.targetGrpcProxies.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.targetVpnGateways.*
  • compute.urlMaps.*
  • compute.vpnGateways.*
  • compute.vpnTunnels.*
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • networksecurity.*
  • networkservices.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.operations.get
  • servicenetworking.services.addPeering
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • trafficdirector.*
 InstanceBêta
roles/compute.networkUser Utilisateur de réseau Compute

Fournit l'accès à un réseau VPC partagé

Une fois ce rôle accordé, les propriétaires de service peuvent utiliser les réseaux et sous-réseaux VPC appartenant au projet hôte. Par exemple, un utilisateur du réseau peut créer une instance de VM appartenant à un réseau du projet hôte. Toutefois, il ne peut ni supprimer, ni créer des réseaux dans le projet hôte.

  • compute.addresses.createInternal
  • compute.addresses.deleteInternal
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.useInternal
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.externalVpnGateways.use
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.interconnects.use
  • compute.networks.access
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.projects.get
  • compute.regions.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnGateways.use
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zones.*
  • networksecurity.authorizationPolicies.get
  • networksecurity.authorizationPolicies.list
  • networksecurity.authorizationPolicies.use
  • networksecurity.clientTlsPolicies.get
  • networksecurity.clientTlsPolicies.list
  • networksecurity.clientTlsPolicies.use
  • networksecurity.locations.*
  • networksecurity.operations.get
  • networksecurity.operations.list
  • networksecurity.serverTlsPolicies.get
  • networksecurity.serverTlsPolicies.list
  • networksecurity.serverTlsPolicies.use
  • networkservices.endpointConfigSelectors.get
  • networkservices.endpointConfigSelectors.list
  • networkservices.endpointConfigSelectors.use
  • networkservices.httpFilters.get
  • networkservices.httpFilters.list
  • networkservices.httpFilters.use
  • networkservices.httpfilters.get
  • networkservices.httpfilters.list
  • networkservices.httpfilters.use
  • networkservices.locations.*
  • networkservices.operations.get
  • networkservices.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 Projet
roles/compute.networkViewer Lecteur de réseau Compute

Accès en lecture seule à toutes les ressources réseau.

Par exemple, si vous disposez d'un logiciel qui inspecte la configuration de votre réseau, vous pouvez attribuer ce rôle au compte de service de ce logiciel.
  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.projects.get
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regions.*
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zones.*
  • networksecurity.authorizationPolicies.get
  • networksecurity.authorizationPolicies.list
  • networksecurity.clientTlsPolicies.get
  • networksecurity.clientTlsPolicies.list
  • networksecurity.locations.*
  • networksecurity.operations.get
  • networksecurity.operations.list
  • networksecurity.serverTlsPolicies.get
  • networksecurity.serverTlsPolicies.list
  • networkservices.endpointConfigSelectors.get
  • networkservices.endpointConfigSelectors.list
  • networkservices.httpFilters.get
  • networkservices.httpFilters.list
  • networkservices.httpfilters.get
  • networkservices.httpfilters.list
  • networkservices.locations.*
  • networkservices.operations.get
  • networkservices.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • trafficdirector.*
 InstanceBêta
roles/compute.orgFirewallPolicyAdmin Administrateur des règles de pare-feu de l'organisation Compute Contrôle complet des règles de pare-feu de l'organisation Compute Engine.
  • compute.firewallPolicies.cloneRules
  • compute.firewallPolicies.create
  • compute.firewallPolicies.delete
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewallPolicies.move
  • compute.firewallPolicies.setIamPolicy
  • compute.firewallPolicies.update
  • compute.firewallPolicies.use
  • compute.globalOperations.get
  • compute.globalOperations.getiamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setiamPolicy
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.orgFirewallPolicyUser Utilisateur des règles de pare-feu de l'organisation Compute Afficher ou utiliser des règles de pare-feu Compute Engine à associer à l'organisation ou aux dossiers.
  • compute.firewallPolicies.get
  • compute.firewallPolicies.list
  • compute.firewallPolicies.use
  • compute.globalOperations.get
  • compute.globalOperations.getiamPolicy
  • compute.globalOperations.list
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.orgSecurityPolicyAdmin Administrateur des règles de sécurité Compute de l'organisation Contrôle complet des règles de sécurité Compute Engine de l'organisation.
  • compute.firewallPolicies.*
  • compute.globalOperations.get
  • compute.globalOperations.getiamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setiamPolicy
  • compute.projects.get
  • compute.securityPolicies.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.orgSecurityPolicyUser Utilisateur des règles de sécurité Compute de l'organisation Affichez ou utilisez des règles de sécurité Compute Engine à associer à l'organisation ou aux dossiers.
  • compute.firewallPolicies.addAssociation
  • compute.firewallPolicies.get
  • compute.firewallPolicies.list
  • compute.firewallPolicies.removeAssociation
  • compute.firewallPolicies.use
  • compute.globalOperations.get
  • compute.globalOperations.getiamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setiamPolicy
  • compute.projects.get
  • compute.securityPolicies.addAssociation
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.removeAssociation
  • compute.securityPolicies.use
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.orgSecurityResourceAdmin Administrateur des ressources de l'organisation Compute Contrôle complet des associations des règles de pare-feu Compute Engine à l'organisation ou aux dossiers.
  • compute.globalOperations.get
  • compute.globalOperations.getiamPolicy
  • compute.globalOperations.list
  • compute.globalOperations.setiamPolicy
  • compute.organizations.listAssociations
  • compute.organizations.setFirewallPolicy
  • compute.organizations.setSecurityPolicy
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.osAdminLogin Connexion administrateur au système d'exploitation Compute Accès à la connexion à une instance Compute Engine en tant qu'administrateur.
  • compute.instances.get
  • compute.instances.list
  • compute.instances.osAdminLogin
  • compute.instances.osLogin
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 InstanceBêta
roles/compute.osLogin Connexion au système d'exploitation Compute Accès à la connexion à une instance Compute Engine en tant qu'utilisateur standard.
  • compute.instances.get
  • compute.instances.list
  • compute.instances.osLogin
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 InstanceBêta
roles/compute.osLoginExternalUser Connexion au système d'exploitation Compute en tant qu'utilisateur externe

Disponible uniquement au niveau de l'organisation.

Permet à un utilisateur externe de définir les informations de connexion au système d'exploitation associées à cette organisation. Ce rôle n'accorde pas l'accès aux instances. Les utilisateurs externes doivent avoir l'un des rôles requis pour la connexion au système d'exploitation afin de pouvoir accéder aux instances via SSH.

  • compute.oslogin.*
 Organisation
roles/compute.packetMirroringAdmin Administrateur de la mise en miroir de paquets Compute Spécifier les ressources à mettre en miroir.
  • compute.instances.updateSecurity
  • compute.networks.mirror
  • compute.projects.get
  • compute.subnetworks.mirror
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.packetMirroringUser Utilisateur de la mise en miroir de paquets Compute Utiliser les mises en miroir de paquets Compute Engine.
  • compute.packetMirrorings.*
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
roles/compute.publicIpAdmin Administrateur d'adresse IP publique Compute Contrôle complet de la gestion des adresses IP publiques pour Compute Engine.
  • compute.addresses.*
  • compute.globalAddresses.*
  • compute.globalPublicDelegatedPrefixes.*
  • compute.publicAdvertisedPrefixes.*
  • compute.publicDelegatedPrefixes.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/compute.securityAdmin Administrateur de sécurité de Compute

Permet de créer, de modifier et de supprimer des règles de pare-feu et des certificats SSL, ainsi que de configurer les paramètres de VM protégéeBÊTA.

Par exemple, si votre entreprise dispose d'une équipe de sécurité qui gère les pare-feu et les certificats SSL, ainsi que d'une équipe réseau qui gère le reste des ressources réseau, attribuez ce rôle au groupe de l'équipe de sécurité.
  • compute.firewallPolicies.*
  • compute.firewalls.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.instances.getEffectiveFirewalls
  • compute.instances.setShieldedInstanceIntegrityPolicy
  • compute.instances.setShieldedVmIntegrityPolicy
  • compute.instances.updateSecurity
  • compute.instances.updateShieldedInstanceConfig
  • compute.instances.updateShieldedVmConfig
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.updatePolicy
  • compute.packetMirrorings.*
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regionSslCertificates.*
  • compute.regions.*
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.*
  • compute.sslCertificates.*
  • compute.sslPolicies.*
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 InstanceBêta
roles/compute.storageAdmin Administrateur Compute Storage

Permet de créer, de modifier et de supprimer des disques, des images et des instantanés.

Par exemple, si une personne au sein de votre entreprise gère les images de projet et que vous ne souhaitez pas qu'elle dispose du rôle d'éditeur pour le projet, vous pouvez attribuer ce rôle à son compte.
  • compute.diskTypes.*
  • compute.disks.*
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.images.*
  • compute.licenseCodes.*
  • compute.licenses.*
  • compute.projects.get
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.*
  • compute.resourcePolicies.*
  • compute.snapshots.*
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 Disque, image, instantanéBêta
roles/compute.viewer Lecteur de Compute

Ce rôle offre un accès en lecture seule permettant d'obtenir et de répertorier les ressources Compute Engine, mais pas de lire les données stockées sur celles-ci.

Par exemple, un compte doté de ce rôle est en mesure de répertorier tous les disques d'un projet, mais ne peut pas lire les données qu'ils contiennent.
  • compute.acceleratorTypes.*
  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.commitments.get
  • compute.commitments.list
  • compute.diskTypes.*
  • compute.disks.get
  • compute.disks.getiamPolicy
  • compute.disks.list
  • compute.externalVpnGateways.get
  • compute.externalVpnGateways.list
  • compute.firewallPolicies.get
  • compute.firewallPolicies.getIamPolicy
  • compute.firewallPolicies.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalForwardingRules.pscGet
  • compute.globalNetworkEndpointGroups.get
  • compute.globalNetworkEndpointGroups.list
  • compute.globalOperations.get
  • compute.globalOperations.getiamPolicy
  • compute.globalOperations.list
  • compute.globalPublicDelegatedPrefixes.get
  • compute.globalPublicDelegatedPrefixes.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.getiamPolicy
  • compute.images.list
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceTemplates.get
  • compute.instanceTemplates.getIamPolicy
  • compute.instanceTemplates.list
  • compute.instances.get
  • compute.instances.getEffectiveFirewalls
  • compute.instances.getGuestAttributes
  • compute.instances.getIamPolicy
  • compute.instances.getScreenshot
  • compute.instances.getSerialPortOutput
  • compute.instances.getShieldedInstanceIdentity
  • compute.instances.getShieldedVmIdentity
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.*
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenseCodes.get
  • compute.licenseCodes.getIamPolicy
  • compute.licenseCodes.list
  • compute.licenses.get
  • compute.licenses.getiamPolicy
  • compute.licenses.list
  • compute.machineImages.get
  • compute.machineImages.getIamPolicy
  • compute.machineImages.list
  • compute.machineTypes.*
  • compute.maintenancePolicies.get
  • compute.maintenancePolicies.getiamPolicy
  • compute.maintenancePolicies.list
  • compute.networkEndpointGroups.get
  • compute.networkEndpointGroups.getIamPolicy
  • compute.networkEndpointGroups.list
  • compute.networks.get
  • compute.networks.getEffectiveFirewalls
  • compute.networks.list
  • compute.networks.listPeeringRoutes
  • compute.nodeGroups.get
  • compute.nodeGroups.getIamPolicy
  • compute.nodeGroups.list
  • compute.nodeTemplates.get
  • compute.nodeTemplates.getIamPolicy
  • compute.nodeTemplates.list
  • compute.nodeTypes.*
  • compute.organizations.listAssociations
  • compute.projects.get
  • compute.publicAdvertisedPrefixes.get
  • compute.publicAdvertisedPrefixes.list
  • compute.publicDelegatedPrefixes.get
  • compute.publicDelegatedPrefixes.list
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regionHealthCheckServices.get
  • compute.regionHealthCheckServices.list
  • compute.regionHealthChecks.get
  • compute.regionHealthChecks.list
  • compute.regionNetworkEndpointGroups.get
  • compute.regionNetworkEndpointGroups.list
  • compute.regionNotificationEndpoints.get
  • compute.regionNotificationEndpoints.list
  • compute.regionOperations.get
  • compute.regionOperations.getiamPolicy
  • compute.regionOperations.list
  • compute.regionSslCertificates.get
  • compute.regionSslCertificates.list
  • compute.regionTargetHttpProxies.get
  • compute.regionTargetHttpProxies.list
  • compute.regionTargetHttpsProxies.get
  • compute.regionTargetHttpsProxies.list
  • compute.regionUrlMaps.get
  • compute.regionUrlMaps.list
  • compute.regionUrlMaps.validate
  • compute.regions.*
  • compute.reservations.get
  • compute.reservations.list
  • compute.resourcePolicies.get
  • compute.resourcePolicies.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.securityPolicies.get
  • compute.securityPolicies.getiamPolicy
  • compute.securityPolicies.list
  • compute.serviceAttachments.get
  • compute.serviceAttachments.list
  • compute.snapshots.get
  • compute.snapshots.getiamPolicy
  • compute.snapshots.list
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.getiamPolicy
  • compute.subnetworks.list
  • compute.targetGrpcProxies.get
  • compute.targetGrpcProxies.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.urlMaps.validate
  • compute.vpnGateways.get
  • compute.vpnGateways.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.getiamPolicy
  • compute.zoneOperations.list
  • compute.zones.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
 Disque, image, instance, modèle d'instance, groupe de nœuds, modèle de nœud, instantanéBêta
roles/compute.xpnAdmin Administrateur VPC Compute partagé

Permet d'administrer les projets hôtes du VPC partagé, en particulier de les activer et d'associer les projets de service VPC partagé au réseau des projets hôtes.

Au niveau de l'organisation, ce rôle ne peut être attribué que par un administrateur de l'organisation.

Google Cloud recommande que l'administrateur VPC partagé soit le propriétaire du projet hôte de VPC partagé. L'administrateur VPC partagé est chargé d'attribuer le rôle Utilisateur de réseau Compute (roles/compute.networkUser) aux propriétaires de services, tandis que le propriétaire du projet hôte de VPC partagé contrôle le projet lui-même. Il est plus facile de gérer le projet si un seul principal (individu ou groupe) peut remplir ces deux rôles.

  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.organizations.administerXpn
  • compute.organizations.disableXpnHost
  • compute.organizations.disableXpnresource
  • compute.organizations.enableXpnHost
  • compute.organizations.enableXpnresource
  • compute.projects.get
  • compute.subnetworks.getiamPolicy
  • compute.subnetworks.setiamPolicy
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
 Dossier
roles/osconfig.guestPolicyAdmin Administrateur GuestPolicy Bêta Accès administrateur complet aux GuestPolicies
  • osconfig.guestPolicies.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.guestPolicyEditor Éditeur GuestPolicy Bêta Éditeur de ressources GuestPolicy
  • osconfig.guestPolicies.get
  • osconfig.guestPolicies.list
  • osconfig.guestPolicies.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.guestPolicyViewer Lecteur GuestPolicy Bêta Lecteur de ressources GuestPolicy
  • osconfig.guestPolicies.get
  • osconfig.guestPolicies.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.instanceOSPoliciesComplianceViewer Lecteur InstanceOSPoliciesCompliance Bêta Lecteur de conformité avec les règles d'OS des instances de VM
  • osconfig.instanceOSPoliciesCompliances.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.inventoryViewer Lecteur de l'inventaire d'OSBêta Lecteur des inventaires d'OS
  • osconfig.inventories.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.osPolicyAssignmentAdmin Administrateur OSPolicyAssignment Bêta Accès administrateur complet aux attributions de règles d'OS
  • osconfig.osPolicyAssignments.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.osPolicyAssignmentEditor Éditeur OSPolicyAssignment Bêta Éditeur d'attributions de règles d'OS
  • osconfig.osPolicyAssignments.get
  • osconfig.osPolicyAssignments.list
  • osconfig.osPolicyAssignments.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.osPolicyAssignmentViewer Lecteur OSPolicyAssignment Bêta Lecteur d'attributions de règles d'OS
  • osconfig.osPolicyAssignments.get
  • osconfig.osPolicyAssignments.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchDeploymentAdmin Administrateur PatchDeployment Accès administrateur complet aux ressources PatchDeployment
  • osconfig.patchDeployments.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchDeploymentViewer Lecteur PatchDeployment Lecteur des ressources PatchDeployment
  • osconfig.patchDeployments.get
  • osconfig.patchDeployments.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchJobExecutor Exécuteur des tâches d'application de correctifs Accès permettant d'exécuter des tâches d'application de correctifs.
  • osconfig.patchJobs.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.patchJobViewer Lecteur des tâches d'application de correctifs Accès permettant d'obtenir et de répertorier les tâches d'application de correctifs.
  • osconfig.patchJobs.get
  • osconfig.patchJobs.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/osconfig.vulnerabilityReportViewer Lecteur de rapports de failles d'OS Bêta Lecteur de rapports de failles d'OS
  • osconfig.vulnerabilityReports.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles Kubernetes Engine

Rôle Titre Description Autorisations Ressource la plus basse
roles/container.admin Administrateur Kubernetes Engine

Permet la gestion complète des clusters et de leurs objets API Kubernetes.

Pour définir un compte de service sur des nœuds, vous devez également disposer du rôle Utilisateur du compte de service (roles/iam.serviceAccountUser) sur le compte de service par défaut Compute Engine.

  • container.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/container.clusterAdmin Administrateur de clusters Kubernetes Engine

Permet la gestion des clusters.

Pour définir un compte de service sur des nœuds, vous devez également disposer du rôle Utilisateur du compte de service (roles/iam.serviceAccountUser) sur le compte de service par défaut Compute Engine.

  • container.clusters.create
  • container.clusters.delete
  • container.clusters.get
  • container.clusters.list
  • container.clusters.update
  • container.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/container.clusterViewer Lecteur de cluster Kubernetes Engine Permet d'accéder aux clusters GKE et de les répertorier.
  • container.clusters.get
  • container.clusters.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/container.developer Développeur sur Kubernetes Engine Fournit un accès aux objets de l'API Kubernetes dans les clusters.
  • container.apiServices.*
  • container.auditSinks.*
  • container.backendConfigs.*
  • container.bindings.*
  • container.certificateSigningRequests.create
  • container.certificateSigningRequests.delete
  • container.certificateSigningRequests.get
  • container.certificateSigningRequests.list
  • container.certificateSigningRequests.update
  • container.certificateSigningRequests.updateStatus
  • container.clusterRoleBindings.get
  • container.clusterRoleBindings.list
  • container.clusterRoles.get
  • container.clusterRoles.list
  • container.clusters.get
  • container.clusters.list
  • container.componentStatuses.*
  • container.configMaps.*
  • container.controllerRevisions.get
  • container.controllerRevisions.list
  • container.cronJobs.*
  • container.csiDrivers.*
  • container.csiNodeInfos.*
  • container.csiNodes.*
  • container.customResourceDefinitions.*
  • container.daemonSets.*
  • container.deployments.*
  • container.endpointSlices.*
  • container.endpoints.*
  • container.events.*
  • container.frontendConfigs.*
  • container.horizontalPodAutoscalers.*
  • container.ingresses.*
  • container.initializerConfigurations.*
  • container.jobs.*
  • container.leases.*
  • container.limitRanges.*
  • container.localSubjectAccessReviews.*
  • container.managedCertificates.*
  • container.mutatingWebhookConfigurations.get
  • container.mutatingWebhookConfigurations.list
  • container.namespaces.*
  • container.networkPolicies.*
  • container.nodes.*
  • container.persistentVolumeClaims.*
  • container.persistentVolumes.*
  • container.petSets.*
  • container.podDisruptionBudgets.*
  • container.podPresets.*
  • container.podsecurityPolicies.get
  • container.podsecurityPolicies.list
  • container.podTemplates.*
  • container.pods.*
  • container.priorityClasses.*
  • container.replicaSets.*
  • container.replicationControllers.*
  • container.resourceQuotas.*
  • container.roleBindings.get
  • container.roleBindings.list
  • container.roles.list
  • container.roles.update
  • container.runtimeClasses.*
  • container.scheduledJobs.*
  • container.secrets.*
  • container.selfSubjectAccessReviews.*
  • container.selfSubjectRulesReviews.*
  • container.serviceAccounts.*
  • container.services.*
  • container.statefulSets.*
  • container.storageClasses.*
  • container.storageStates.
  • container.storageVersionMigrations.*
  • container.subjectAccessReviews.*
  • container.thirdPartyObjects.*
  • container.thirdPartyResources.*
  • container.tokenReviews.*
  • container.updateInfos.*
  • container.validatingWebhookConfigurations.get
  • container.validatingWebhookConfigurations.list
  • container.volumeAttachments.*
  • container.volumeSnapshotClasses.*
  • container.volumeSnapshotContents.*
  • container.volumeSnapshots.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/container.hostServiceAgentUser Utilisateur de l'agent de service hôte Kubernetes Engine Permet au compte de service Kubernetes Engine du projet hôte de configurer des ressources réseau partagées pour la gestion des clusters. Fournit également un accès permettant d'inspecter les règles de pare-feu dans le projet hôte.
  • compute.firewalls.get
  • container.hostServiceAgent.*
  • dns.networks.bindDNSResponsePolicy
  • dns.networks.bindPrivateDNSPolicy
  • dns.networks.bindPrivateDNSZone
roles/container.viewer Lecteur Kubernetes Engine Fournit un accès en lecture seule aux ressources GKE.
  • container.apiservices.get
  • container.apiServices.getStatus
  • container.apiservices.list
  • container.auditSinks.get
  • container.auditSinks.list
  • container.backendConfigs.get
  • container.backendConfigs.list
  • container.bindings.get
  • container.bindings.list
  • container.certificateSigningRequests.get
  • container.certificateSigningRequests.getStatus
  • container.certificateSigningRequests.list
  • container.clusterRoleBindings.get
  • container.clusterRoleBindings.list
  • container.clusterRoles.get
  • container.clusterRoles.list
  • container.clusters.get
  • container.clusters.list
  • container.componentStatuses.*
  • container.configMaps.get
  • container.configMaps.list
  • container.controllerRevisions.get
  • container.controllerRevisions.list
  • container.cronJobs.get
  • container.cronJobs.getStatus
  • container.cronJobs.list
  • container.csiDrivers.get
  • container.csiDrivers.list
  • container.csiNodeInfos.get
  • container.csiNodeInfos.list
  • container.csiNodes.get
  • container.csiNodes.list
  • container.customresourceDefinitions.get
  • container.customResourceDefinitions.getStatus
  • container.customresourceDefinitions.list
  • container.daemonSets.get
  • container.daemonSets.getStatus
  • container.daemonSets.list
  • container.deployments.get
  • container.deployments.getStatus
  • container.deployments.list
  • container.endpointSlices.get
  • container.endpointSlices.list
  • container.endpoints.get
  • container.endpoints.list
  • container.events.get
  • container.events.list
  • container.frontendConfigs.get
  • container.frontendConfigs.list
  • container.horizontalPodAutoscalers.get
  • container.horizontalPodAutoscalers.getStatus
  • container.horizontalPodAutoscalers.list
  • container.ingresses.get
  • container.ingresses.getStatus
  • container.ingresses.list
  • container.initializerConfigurations.get
  • container.initializerConfigurations.list
  • container.jobs.get
  • container.jobs.getStatus
  • container.jobs.list
  • container.leases.get
  • container.leases.list
  • container.limitRanges.get
  • container.limitRanges.list
  • container.managedCertificates.get
  • container.managedCertificates.list
  • container.mutatingWebhookConfigurations.get
  • container.mutatingWebhookConfigurations.list
  • container.namespaces.get
  • container.namespaces.getStatus
  • container.namespaces.list
  • container.networkPolicies.get
  • container.networkPolicies.list
  • container.nodes.get
  • container.nodes.getStatus
  • container.nodes.list
  • container.operations.*
  • container.persistentVolumeClaims.get
  • container.persistentVolumeClaims.getStatus
  • container.persistentVolumeClaims.list
  • container.persistentVolumes.get
  • container.persistentVolumes.getStatus
  • container.persistentVolumes.list
  • container.petSets.get
  • container.petSets.list
  • container.podDisruptionBudgets.get
  • container.podDisruptionBudgets.getStatus
  • container.podDisruptionBudgets.list
  • container.podPresets.get
  • container.podPresets.list
  • container.podsecurityPolicies.get
  • container.podsecurityPolicies.list
  • container.podTemplates.get
  • container.podTemplates.list
  • container.pods.get
  • container.pods.getStatus
  • container.pods.list
  • container.priorityClasses.get
  • container.priorityClasses.list
  • container.replicaSets.get
  • container.replicaSets.getScale
  • container.replicaSets.getStatus
  • container.replicaSets.list
  • container.replicationControllers.get
  • container.replicationControllers.getScale
  • container.replicationControllers.getStatus
  • container.replicationControllers.list
  • container.resourceQuotas.get
  • container.resourceQuotas.getStatus
  • container.resourceQuotas.list
  • container.roleBindings.get
  • container.roleBindings.list
  • container.roles.list
  • container.roles.update
  • container.runtimeClasses.get
  • container.runtimeClasses.list
  • container.scheduledJobs.get
  • container.scheduledJobs.list
  • container.serviceAccounts.get
  • container.serviceAccounts.list
  • container.services.get
  • container.services.getStatus
  • container.services.list
  • container.statefulSets.get
  • container.statefulSets.getStatus
  • container.statefulSets.list
  • container.storageClasses.get
  • container.storageClasses.list
  • container.storageStates.get
  • container.storageStates.list
  • container.storageVersionMigrations.get
  • container.storageVersionMigrations.list
  • container.thirdPartyObjects.get
  • container.thirdPartyObjects.list
  • container.thirdPartyResources.get
  • container.thirdPartyResources.list
  • container.tokenReviews.*
  • container.updateInfos.get
  • container.updateInfos.list
  • container.validatingWebhookConfigurations.get
  • container.validatingWebhookConfigurations.list
  • container.volumeAttachments.get
  • container.volumeAttachments.getStatus
  • container.volumeAttachments.list
  • container.volumeSnapshotClasses.get
  • container.volumeSnapshotClasses.list
  • container.volumeSnapshotContents.get
  • container.volumeSnapshotContents.list
  • container.volumeSnapshots.get
  • container.volumeSnapshots.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet

Rôles Container Analysis

Rôle Titre Description Autorisations Ressource la plus basse
roles/containeranalysis.admin Administrateur Container Analysis Accès à toutes les ressources Container Analysis
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.create
  • containeranalysis.notes.delete
  • containeranalysis.notes.get
  • containeranalysis.notes.getIamPolicy
  • containeranalysis.notes.list
  • containeranalysis.notes.setIamPolicy
  • containeranalysis.notes.update
  • containeranalysis.occurrences.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.notes.attacher Agent d'association de notes Container Analysis Peut associer des occurrences Container Analysis à des notes.
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.get
roles/containeranalysis.notes.editor Éditeur de notes Container Analysis Peut modifier les notes Container Analysis
  • containeranalysis.notes.attachOccurrence
  • containeranalysis.notes.create
  • containeranalysis.notes.delete
  • containeranalysis.notes.get
  • containeranalysis.notes.list
  • containeranalysis.notes.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.notes.occurrences.viewer Lecteur d'occurrences Container Analysis pour les notes
  • containeranalysis.notes.get
  • containeranalysis.notes.listOccurrences
roles/containeranalysis.notes.viewer Lecteur de notes Container Analysis Peut afficher des notes Container Analysis
  • containeranalysis.notes.get
  • containeranalysis.notes.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.occurrences.editor Éditeur d'occurrences Container Analysis Peut modifier les occurrences Container Analysis
  • containeranalysis.occurrences.create
  • containeranalysis.occurrences.delete
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • containeranalysis.occurrences.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/containeranalysis.occurrences.viewer Lecteur d'occurrences Container Analysis Peut afficher des occurrences Container Analysis
  • containeranalysis.occurrences.get
  • containeranalysis.occurrences.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles Data Catalog

Rôle Titre Description Autorisations Ressource la plus basse
roles/datacatalog.admin Administrateur Data Catalog Accès complet à toutes les ressources de DataCatalog
  • bigquery.datasets.get
  • bigquery.datasets.updateTag
  • bigquery.models.getMetadata
  • bigquery.models.updateTag
  • bigquery.routines.updateTag
  • bigquery.tables.get
  • bigquery.tables.updateTag
  • datacatalog.categories.getIamPolicy
  • datacatalog.categories.setIamPolicy
  • datacatalog.entries.*
  • datacatalog.entryGroups.*
  • datacatalog.tagTemplates.*
  • datacatalog.taxonomies.*
  • pubsub.topics.get
  • pubsub.topics.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.categoryAdmin Administrateur de tags avec stratégieBêta Gérer les catégories
  • datacatalog.categories.getIamPolicy
  • datacatalog.categories.setIamPolicy
  • datacatalog.taxonomies.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.categoryFineGrainedReader Lecteur détailléBêta Accès en lecture aux sous-ressources taguées par un tag avec stratégie, par exemple les colonnes BigQuery.
  • datacatalog.categories.fineGrainedGet
roles/datacatalog.entryGroupCreator Créateur de groupe d'entrées DataCatalog Peut créer des groupes d'entrées
  • datacatalog.entryGroups.create
  • datacatalog.entryGroups.get
  • datacatalog.entryGroups.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.entryGroupOwner Propriétaire du groupe d'entrées DataCatalog Accès complet aux groupes d'entrées
  • datacatalog.entries.*
  • datacatalog.entryGroups.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.entryOwner Propriétaire de l'entrée DataCatalog Accès complet aux entrées
  • datacatalog.entries.*
  • datacatalog.entryGroups.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.entryViewer Lecteur d'entrées DataCatalog Accès en lecture aux entrées
  • datacatalog.entries.get
  • datacatalog.entries.list
  • datacatalog.entryGroups.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.tagEditor Éditeur de tags Data Catalog Permet de modifier les tags des éléments Google Cloud pour BigQuery et Pub/Sub
  • bigquery.datasets.updateTag
  • bigquery.models.updateTag
  • bigquery.routines.updateTag
  • bigquery.tables.updateTag
  • datacatalog.entries.updateTag
  • pubsub.topics.updateTag
roles/datacatalog.tagTemplateCreator Créateur de modèles de tag Data Catalog Accès permettant de créer des modèles de tag
  • datacatalog.tagTemplates.create
  • datacatalog.tagTemplates.get
roles/datacatalog.tagTemplateOwner Propriétaire de modèles de tag Data Catalog Accès complet aux modèles de tags
  • datacatalog.tagTemplates.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.tagTemplateUser Utilisateur de modèles de tag Data Catalog Accès permettant d'utiliser des modèles pour taguer des ressources
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • datacatalog.tagTemplates.use
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.tagTemplateViewer Lecteur de modèles de tag Data Catalog Accès en lecture aux modèles et aux tags créés à l'aide des modèles
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datacatalog.viewer Lecteur Data Catalog Fournit un accès en lecture aux métadonnées pour les éléments Google Cloud répertoriés pour BigQuery et Pub/Sub.
  • bigquery.datasets.get
  • bigquery.models.getMetadata
  • bigquery.tables.get
  • datacatalog.entries.get
  • datacatalog.entries.list
  • datacatalog.entryGroups.get
  • datacatalog.entryGroups.list
  • datacatalog.tagTemplates.get
  • datacatalog.tagTemplates.getTag
  • datacatalog.taxonomies.get
  • datacatalog.taxonomies.list
  • pubsub.topics.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles Dataflow

Rôle Titre Description Autorisations Ressource la plus basse
roles/dataflow.admin Administrateur Dataflow Rôle minimal pour créer et gérer des tâches Dataflow.
  • compute.machineTypes.get
  • dataflow.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.buckets.get
  • storage.objects.create
  • storage.objects.get
  • storage.objects.list
roles/dataflow.developer Développeur Dataflow Fournit les autorisations nécessaires pour exécuter et manipuler des tâches Dataflow.
  • dataflow.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/dataflow.viewer Lecteur Dataflow Fournit un accès en lecture seule à toutes les ressources associées à Dataflow.
  • dataflow.jobs.get
  • dataflow.jobs.list
  • dataflow.messages.*
  • dataflow.metrics.*
  • dataflow.snapshots.get
  • dataflow.snapshots.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/dataflow.worker Nœud de calcul Dataflow Fournit les autorisations nécessaires pour qu'un compte de service Compute Engine puisse exécuter des unités de travail pour un pipeline Dataflow.
  • compute.instanceGroupManagers.update
  • compute.instances.delete
  • compute.instances.setDiskAutoDelete
  • dataflow.jobs.get
  • logging.logEntries.create
  • storage.buckets.get
  • storage.objects.create
  • storage.objects.get
 Projet

Rôles Cloud Data Labeling

Rôle Titre Description Autorisations Ressource la plus basse
roles/datalabeling.admin Administrateur du service Data LabelingBêta Accès complet à toutes les ressources DataLabeling
  • datalabeling.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datalabeling.editor Éditeur du service Data LabelingBêta Éditeur de toutes les ressources DataLabeling
  • datalabeling.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/datalabeling.viewer Lecteur du service Data LabelingBêta Lecteur de toutes les ressources DataLabeling
  • datalabeling.annotateddatasets.get
  • datalabeling.annotateddatasets.list
  • datalabeling.annotationspecsets.get
  • datalabeling.annotationspecsets.list
  • datalabeling.dataitems.*
  • datalabeling.datasets.get
  • datalabeling.datasets.list
  • datalabeling.examples.*
  • datalabeling.instructions.get
  • datalabeling.instructions.list
  • datalabeling.operations.get
  • datalabeling.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles pour la migration des données

Rôle Titre Description Autorisations Ressource la plus basse
roles/datamigration.admin Administrateur de migration de bases de données Accès complet à toutes les ressources de migration de bases de données.
  • datamigration.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rôles Dataprep

Rôle Titre Description Autorisations Ressource la plus basse
roles/dataprep.projects.user Utilisateur DataprepBêta Utiliser Dataprep.
  • dataprep.*
  • resourcemanager.projects.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Rôles Dataproc

Rôle Titre Description Autorisations Ressource la plus basse
roles/dataproc.admin Administrateur Dataproc Contrôle complet des ressources Dataproc.
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.list
  • compute.projects.get
  • compute.regions.*
  • compute.zones.*
  • dataproc.autoscalingPolicies.*
  • dataproc.clusters.*
  • dataproc.jobs.*
  • dataproc.operations.*
  • dataproc.workflowTemplates.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
roles/dataproc.editor Éditeur Dataproc Fournit les autorisations nécessaires pour consulter les ressources requises pour gérer Dataproc, y compris les types de machines, les réseaux, les projets et les zones.
  • compute.machineTypes.*
  • compute.networks.get
  • compute.networks.list
  • compute.projects.get
  • compute.regions.*
  • compute.zones.*
  • dataproc.autoscalingPolicies.create
  • dataproc.autoscalingPolicies.delete
  • dataproc.autoscalingPolicies.get
  • dataproc.autoscalingPolicies.list
  • dataproc.autoscalingPolicies.update
  • dataproc.autoscalingPolicies.use
  • dataproc.clusters.create
  • dataproc.clusters.delete
  • dataproc.clusters.get
  • dataproc.clusters.list
  • dataproc.clusters.start
  • dataproc.clusters.stop
  • dataproc.clusters.update
  • dataproc.clusters.use
  • dataproc.jobs.cancel
  • dataproc.jobs.create
  • dataproc.jobs.delete
  • dataproc.jobs.get
  • dataproc.jobs.list
  • dataproc.jobs.update
  • dataproc.operations.delete
  • dataproc.operations.get
  • dataproc.operations.list
  • dataproc.workflowTemplates.create
  • dataproc.workflowTemplates.delete
  • dataproc.workflowTemplates.get
  • dataproc.workflowTemplates.instantiate
  • dataproc.workflowTemplates.instantiateInline
  • dataproc.workflowTemplates.list
  • dataproc.workflowTemplates.update
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/dataproc.hubAgent Agent Dataproc Hub Permet de gérer les ressources Dataproc. Ce rôle est destiné aux comptes de service exécutant des instances Dataproc Hub.
  • compute.instances.get
  • compute.instances.setMetadata
  • compute.instances.setTags
  • compute.zoneOperations.get
  • compute.zones.list
  • dataproc.autoscalingPolicies.get
  • dataproc.autoscalingPolicies.list
  • dataproc.autoscalingPolicies.use
  • dataproc.clusters.create
  • dataproc.clusters.delete
  • dataproc.clusters.get
  • dataproc.clusters.list
  • dataproc.clusters.update
  • dataproc.operations.cancel
  • dataproc.operations.delete
  • dataproc.operations.get
  • dataproc.operations.list
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • logging.buckets.get
  • logging.buckets.list
  • logging.exclusions.get
  • logging.exclusions.list
  • logging.locations.*
  • logging.logEntries.create
  • logging.logEntries.list
  • logging.logMetrics.get
  • logging.logMetrics.list
  • logging.logServiceIndexes.*
  • logging.logServices.*
  • logging.logs.list
  • logging.queries.create
  • logging.queries.delete
  • logging.queries.get
  • logging.queries.list
  • logging.queries.listShared
  • logging.queries.update
  • logging.sinks.get
  • logging.sinks.list
  • logging.usage.*
  • logging.views.get
  • logging.views.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • storage.buckets.get
  • storage.objects.get
  • storage.objects.list
roles/dataproc.viewer Lecteur Dataproc Fournit un accès en lecture seule aux ressources de Dataproc.
  • compute.machineTypes.get
  • compute.regions.*
  • compute.zones.*
  • dataproc.autoscalingPolicies.get
  • dataproc.autoscalingPolicies.list
  • dataproc.clusters.get
  • dataproc.clusters.list
  • dataproc.jobs.get
  • dataproc.jobs.list
  • dataproc.operations.get
  • dataproc.operations.list
  • dataproc.workflowTemplates.get
  • dataproc.workflowTemplates.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
 Projet
roles/dataproc.worker Nœud de calcul Dataproc Fournit au nœud de calcul un accès aux ressources Dataproc. Rôle destiné aux comptes de service.
  • dataproc.agents*
  • dataproc.tasks.*
  • logging.logEntries.create
  • monitoring.metricDescriptors.create
  • monitoring.metricDescriptors.get
  • monitoring.metricDescriptors.list
  • monitoring.monitoredResourceDescriptors.*
  • monitoring.timeSeries.create
  • storage.buckets.get
  • storage.multipartUploads.abort
  • storage.multipartUploads.create
  • storage.multipartUploads.listParts
  • storage.objects.*

Rôles Datastore

Rôle Titre Description Autorisations Ressource la plus basse
roles/datastore.importExportAdmin Administrateur des importations et des exportations Cloud Datastore Fournit un accès complet pour gérer les importations et les exportations.
  • appengine.applications.get
  • datastore.databases.export
  • datastore.databases.import
  • datastore.operations.cancel
  • datastore.operations.get