Comprendre les rôles

Cette page décrit les rôles IAM et répertorie les rôles prédéfinis que vous pouvez attribuer à vos comptes principaux.

Un rôle contient un ensemble d'autorisations qui vous permet d'effectuer des actions spécifiques sur les ressources Google Cloud. Pour mettre les autorisations à la disposition des comptes principaux, y compris les utilisateurs, les groupes et les comptes de service, vous attribuez des rôles aux comptes principaux.

Condition préalable à l'utilisation de ce guide

Comprendre les concepts fondamentaux de Cloud IAM

Types de rôles

Il existe trois types de rôles dans IAM :

Les rôles de base qui comprennent les rôles "Propriétaire", "Éditeur" et "Lecteur" qui existaient avant la mise en place d'IAM.
Les rôles prédéfinis qui fournissent un accès précis à un service spécifique et sont gérés par Google Cloud.
Les rôles personnalisés qui fournissent un accès précis en fonction d'une liste d'autorisations spécifiée par l'utilisateur.

Pour déterminer si une autorisation est incluse dans un rôle de base, prédéfini ou personnalisé, vous pouvez employer l'une des méthodes suivantes :

Exécutez la commande gcloud iam roles describe pour répertorier les autorisations du rôle.
Appelez la méthode API REST roles.get() pour répertorier les autorisations du rôle.
Pour les rôles de base et prédéfinis seulement : recherchez dans la documentation de référence sur les autorisations pour savoir si l'autorisation est accordée par le rôle.
Pour les rôles prédéfinis seulement : recherchez dans les descriptions des rôles prédéfinis sur cette page pour connaître les autorisations associées au rôle.

Les sections ci-dessous décrivent chaque type de rôle et donnent des exemples d'utilisation.

Rôles de base

Les rôles de base incluent trois rôles qui existaient avant le lancement d'IAM : "Propriétaire", "Éditeur" et "Lecteur". Ces rôles sont concentriques, c'est-à-dire que le rôle "Propriétaire" inclut les autorisations comprises dans le rôle "Éditeur", qui inclut à son tour les autorisations du rôle "Lecteur". Ils étaient initialement appelés "rôles primitifs".

Le tableau suivant récapitule les autorisations que les rôles de base incluent sur tous les services Google Cloud :

Définition des rôles de base

Nom	Titre	Autorisations
`roles/viewer`	Lecteur	Autorisations permettant de réaliser des actions en lecture seule qui n'affectent pas l'état du projet, comme consulter (mais pas modifier) des ressources ou des données existantes.
`roles/editor`	Éditeur	Toutes les autorisations accordées au rôle "Lecteur" et les autorisations permettant de réaliser des actions qui modifient l'état du projet, comme modifier des ressources existantes. Remarque : Le rôle d'éditeur contient des autorisations permettant de créer et de supprimer des ressources pour la plupart des services Google Cloud. Toutefois, il ne contient pas les autorisations permettant d'effectuer toutes les actions pour tous les services. Pour savoir comment vérifier si un rôle dispose des autorisations dont vous avez besoin, consultez la section Types de rôles sur cette page.
`roles/owner`	Propriétaire	Toutes les autorisations accordées au rôle d'éditeur et les autorisations permettant de réaliser les actions suivantes : Gérer les rôles et les autorisations d'un projet et de toutes ses ressources Configurer la facturation d'un projet Remarque : Si vous attribuez le rôle de propriétaire au niveau d'une ressource, telle qu'un sujet Pub/Sub, cette opération ne l'accorde pas sur le projet parent. L'attribution du rôle de propriétaire au niveau de l'organisation ne vous permet pas d'en mettre à jour les métadonnées. Toutefois, cela vous permet de modifier l'ensemble des projets et des autres ressources sous cette organisation. Pour accorder le rôle Propriétaire sur un projet à un utilisateur externe à votre organisation, vous devez utiliser la console Google Cloud, et non gcloud CLI. Si votre projet ne fait pas partie d'une organisation, vous devez utiliser la console pour attribuer le rôle Propriétaire.

Vous pouvez attribuer des rôles de base avec la console, l'API et gcloud CLI. Pour attribuer des rôles de base sur un projet, un dossier ou une organisation, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations. Pour attribuer des rôles de base sur d'autres ressources, consultez la page Gérer l'accès aux autres ressources.

Rôles prédéfinis

Outre les rôles de base, IAM fournit des rôles prédéfinis supplémentaires qui accordent un accès précis à des ressources Google Cloud spécifiques et empêchent tout accès indésirable à d'autres ressources. Ces rôles sont créés et gérés par Google. Google met automatiquement à jour ses autorisations si nécessaire, par exemple lorsque Google Cloud ajoute de nouvelles fonctionnalités ou de nouveaux services.

Les tableaux suivants répertorient ces rôles, leur description et le type de ressource le plus bas pour lequel les rôles peuvent être définis. Un rôle particulier peut être accordé à ce type de ressource ou, dans la plupart des cas, à tout type supérieur à celui-ci dans la hiérarchie de ressources Google Cloud.

Vous pouvez attribuer plusieurs rôles au même utilisateur, à n'importe quel niveau de la hiérarchie de ressources. Par exemple, celui-ci peut disposer des rôles d'administrateur réseau Compute et de lecteur de journaux sur un projet, ainsi que d'un rôle d'éditeur Pub/Sub pour un sujet Pub/Sub au sein de ce projet. Pour répertorier les autorisations contenues dans un rôle, consultez la section Obtenir les métadonnées du rôle.

Pour obtenir de l'aide sur le choix des rôles prédéfinis les plus appropriés, consultez la section Choisir des rôles prédéfinis.

Rôles des autorisations d'accès

Role	Permissions
Access Approval Approver ^Beta (`roles/accessapproval.approver`) Ability to view or act on access approval requests and view configuration	accessapproval.requests.* accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list
Access Approval Config Editor ^Beta (`roles/accessapproval.configEditor`) Ability to update the Access Approval configuration	accessapproval.settings.* resourcemanager.projects.get resourcemanager.projects.list
Access Approval Invalidator ^Beta (`roles/accessapproval.invalidator`) Ability to invalidate existing approved approval requests	accessapproval.requests.invalidate accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list
Access Approval Viewer ^Beta (`roles/accessapproval.viewer`) Ability to view access approval requests and configuration	accessapproval.requests.get accessapproval.requests.list accessapproval.settings.get resourcemanager.projects.get resourcemanager.projects.list

Rôles Access Context Manager

Rôle	Autorisations
Administrateur de liaisons d'accès au cloud (`roles/accesscontextmanager.gcpAccessAdmin`) Création et modification des liaisons d'accès au cloud.	accesscontextmanager.gcpUserAccessBindings.*
Lecteur de liaisons d'accès au cloud (`roles/accesscontextmanager.gcpAccessReader`) Accès en lecture aux liaisons d'accès au cloud.	accesscontextmanager.gcpUserAccessBindings.get accesscontextmanager.gcpUserAccessBindings.list
Administrateur Access Context Manager (`roles/accesscontextmanager.policyAdmin`) Accès complet aux stratégies, aux niveaux d'accès et aux zones d'accès.	accesscontextmanager.accessLevels.* accesscontextmanager.accessPolicies.* accesscontextmanager.accessZones.* accesscontextmanager.policies.* accesscontextmanager.servicePerimeters.* cloudasset.assets.searchAllResources resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
Éditeur Access Context Manager (`roles/accesscontextmanager.policyEditor`) Accès aux stratégies. Création et modification des niveaux et des zones d'accès.	accesscontextmanager.accessLevels.* accesscontextmanager.accessPolicies.create accesscontextmanager.accessPolicies.delete accesscontextmanager.accessPolicies.get accesscontextmanager.accessPolicies.getIamPolicy accesscontextmanager.accessPolicies.list accesscontextmanager.accessPolicies.update accesscontextmanager.accessZones.* accesscontextmanager.policies.create accesscontextmanager.policies.delete accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.policies.update accesscontextmanager.servicePerimeters.* cloudasset.assets.searchAllResources resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
Lecteur Access Context Manager (`roles/accesscontextmanager.policyReader`) Accès en lecture aux stratégies, aux niveaux d'accès et aux zones d'accès.	accesscontextmanager.accessLevels.get accesscontextmanager.accessLevels.list accesscontextmanager.accessPolicies.get accesscontextmanager.accessPolicies.getIamPolicy accesscontextmanager.accessPolicies.list accesscontextmanager.accessZones.get accesscontextmanager.accessZones.list accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.servicePerimeters.get accesscontextmanager.servicePerimeters.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list
Lecteur de l'outil de dépannage de VPC Service Controls (`roles/accesscontextmanager.vpcScTroubleshooterViewer`)	accesscontextmanager.accessLevels.get accesscontextmanager.accessLevels.list accesscontextmanager.policies.get accesscontextmanager.policies.getIamPolicy accesscontextmanager.policies.list accesscontextmanager.servicePerimeters.get accesscontextmanager.servicePerimeters.list logging.exclusions.get logging.exclusions.list logging.logEntries.list logging.logMetrics.get logging.logMetrics.list logging.logserviceIndexes.list logging.logservices.list logging.logs.list logging.sinks.get logging.sinks.list logging.usage.get resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

Rôles associés aux actions

Rôle	Autorisations
Administrateur d'actions (`roles/actions.Admin`) Accès à la modification et au déploiement d'une action	actions.* firebase.projects.get firebase.projects.update resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use
Lecteur d'actions (`roles/actions.Viewer`) Accès permettant de consulter une action	actions.agent.get actions.agentVersions.get actions.agentVersions.list firebase.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use

Rôles AI Notebooks

Rôle	Autorisations
Administrateur Notebooks (`roles/notebooks.admin`) Accès complet à toutes les ressources Notebooks. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Instance	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.getIamPolicy compute.backendServices.list compute.commitments.get compute.commitments.list compute.diskTypes.* compute.disks.get compute.disks.getiamPolicy compute.disks.list compute.disks.listEffectiveTags compute.disks.listTagBindings compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewallPolicies.get compute.firewallPolicies.getIamPolicy compute.firewallPolicies.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalForwardingRules.pscGet compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.globalOperations.get compute.globalOperations.getiamPolicy compute.globalOperations.list compute.globalPublicDelegatedPrefixes.get compute.globalPublicDelegatedPrefixes.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.get compute.images.getFromFamily compute.images.getiamPolicy compute.images.list compute.images.listEffectiveTags compute.images.listTagBindings compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instanceTemplates.get compute.instanceTemplates.getIamPolicy compute.instanceTemplates.list compute.instances.get compute.instances.getEffectiveFirewalls compute.instances.getGuestAttributes compute.instances.getIamPolicy compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.getShieldedInstanceIdentity compute.instances.getShieldedVmIdentity compute.instances.list compute.instances.listEffectiveTags compute.instances.listReferrers compute.instances.listTagBindings compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.get compute.licenseCodes.getIamPolicy compute.licenseCodes.list compute.licenses.get compute.licenses.getiamPolicy compute.licenses.list compute.machineImages.get compute.machineImages.getIamPolicy compute.machineImages.list compute.machineTypes.* compute.maintenancePolicies.get compute.maintenancePolicies.getiamPolicy compute.maintenancePolicies.list compute.networkEndpointGroups.get compute.networkEndpointGroups.getIamPolicy compute.networkEndpointGroups.list compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.getRegionEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.nodeGroups.get compute.nodeGroups.getIamPolicy compute.nodeGroups.list compute.nodeTemplates.get compute.nodeTemplates.getIamPolicy compute.nodeTemplates.list compute.nodeTypes.* compute.organizations.listAssociations compute.packetMirrorings.get compute.packetMirrorings.list compute.projects.get compute.publicAdvertisedPrefixes.get compute.publicAdvertisedPrefixes.list compute.publicDelegatedPrefixes.get compute.publicDelegatedPrefixes.list compute.regionBackendServices.get compute.regionBackendServices.getIamPolicy compute.regionBackendServices.list compute.regionFirewallPolicies.get compute.regionFirewallPolicies.getIamPolicy compute.regionFirewallPolicies.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionOperations.get compute.regionOperations.getiamPolicy compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regionUrlMaps.validate compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.get compute.resourcePolicies.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.securityPolicies.get compute.securityPolicies.getiamPolicy compute.securityPolicies.list compute.serviceAttachments.get compute.serviceAttachments.list compute.snapshots.get compute.snapshots.getiamPolicy compute.snapshots.list compute.snapshots.listEffectiveTags compute.snapshots.listTagBindings compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.getiamPolicy compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.urlMaps.validate compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.getiamPolicy compute.zoneOperations.list compute.zones.* notebooks.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Ancien administrateur des notebooks (`roles/notebooks.legacyAdmin`) Accès intégral à toutes les ressources des notebooks via l'API Compute.	compute.* notebooks.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Ancien lecteur de notebooks (`roles/notebooks.legacyViewer`) Accès en lecture seule à toutes les ressources Notebooks via l'API Compute.	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.getIamPolicy compute.backendServices.list compute.commitments.get compute.commitments.list compute.diskTypes.* compute.disks.get compute.disks.getiamPolicy compute.disks.list compute.disks.listEffectiveTags compute.disks.listTagBindings compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewallPolicies.get compute.firewallPolicies.getIamPolicy compute.firewallPolicies.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalForwardingRules.pscGet compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.globalOperations.get compute.globalOperations.getiamPolicy compute.globalOperations.list compute.globalPublicDelegatedPrefixes.get compute.globalPublicDelegatedPrefixes.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.get compute.images.getFromFamily compute.images.getiamPolicy compute.images.list compute.images.listEffectiveTags compute.images.listTagBindings compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instanceTemplates.get compute.instanceTemplates.getIamPolicy compute.instanceTemplates.list compute.instances.get compute.instances.getEffectiveFirewalls compute.instances.getGuestAttributes compute.instances.getIamPolicy compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.getShieldedInstanceIdentity compute.instances.getShieldedVmIdentity compute.instances.list compute.instances.listEffectiveTags compute.instances.listReferrers compute.instances.listTagBindings compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.get compute.licenseCodes.getIamPolicy compute.licenseCodes.list compute.licenses.get compute.licenses.getiamPolicy compute.licenses.list compute.machineImages.get compute.machineImages.getIamPolicy compute.machineImages.list compute.machineTypes.* compute.maintenancePolicies.get compute.maintenancePolicies.getiamPolicy compute.maintenancePolicies.list compute.networkEndpointGroups.get compute.networkEndpointGroups.getIamPolicy compute.networkEndpointGroups.list compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.getRegionEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.nodeGroups.get compute.nodeGroups.getIamPolicy compute.nodeGroups.list compute.nodeTemplates.get compute.nodeTemplates.getIamPolicy compute.nodeTemplates.list compute.nodeTypes.* compute.organizations.listAssociations compute.packetMirrorings.get compute.packetMirrorings.list compute.projects.get compute.publicAdvertisedPrefixes.get compute.publicAdvertisedPrefixes.list compute.publicDelegatedPrefixes.get compute.publicDelegatedPrefixes.list compute.regionBackendServices.get compute.regionBackendServices.getIamPolicy compute.regionBackendServices.list compute.regionFirewallPolicies.get compute.regionFirewallPolicies.getIamPolicy compute.regionFirewallPolicies.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionOperations.get compute.regionOperations.getiamPolicy compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regionUrlMaps.validate compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.get compute.resourcePolicies.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.securityPolicies.get compute.securityPolicies.getiamPolicy compute.securityPolicies.list compute.serviceAttachments.get compute.serviceAttachments.list compute.snapshots.get compute.snapshots.getiamPolicy compute.snapshots.list compute.snapshots.listEffectiveTags compute.snapshots.listTagBindings compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.getiamPolicy compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.urlMaps.validate compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.getiamPolicy compute.zoneOperations.list compute.zones.* notebooks.environments.get notebooks.environments.getIamPolicy notebooks.environments.list notebooks.executions.get notebooks.executions.getIamPolicy notebooks.executions.list notebooks.instances.checkUpgradability notebooks.instances.get notebooks.instances.getHealth notebooks.instances.getIamPolicy notebooks.instances.list notebooks.locations.* notebooks.operations.get notebooks.operations.list notebooks.runtimes.get notebooks.runtimes.getIamPolicy notebooks.runtimes.list notebooks.schedules.get notebooks.schedules.getIamPolicy notebooks.schedules.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Exécuteur de notebooks (`roles/notebooks.runner`) Accès limité pour exécuter des notebooks programmés.	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.getIamPolicy compute.backendServices.list compute.commitments.get compute.commitments.list compute.diskTypes.* compute.disks.get compute.disks.getiamPolicy compute.disks.list compute.disks.listEffectiveTags compute.disks.listTagBindings compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewallPolicies.get compute.firewallPolicies.getIamPolicy compute.firewallPolicies.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalForwardingRules.pscGet compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.globalOperations.get compute.globalOperations.getiamPolicy compute.globalOperations.list compute.globalPublicDelegatedPrefixes.get compute.globalPublicDelegatedPrefixes.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.get compute.images.getFromFamily compute.images.getiamPolicy compute.images.list compute.images.listEffectiveTags compute.images.listTagBindings compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instanceTemplates.get compute.instanceTemplates.getIamPolicy compute.instanceTemplates.list compute.instances.get compute.instances.getEffectiveFirewalls compute.instances.getGuestAttributes compute.instances.getIamPolicy compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.getShieldedInstanceIdentity compute.instances.getShieldedVmIdentity compute.instances.list compute.instances.listEffectiveTags compute.instances.listReferrers compute.instances.listTagBindings compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.get compute.licenseCodes.getIamPolicy compute.licenseCodes.list compute.licenses.get compute.licenses.getiamPolicy compute.licenses.list compute.machineImages.get compute.machineImages.getIamPolicy compute.machineImages.list compute.machineTypes.* compute.maintenancePolicies.get compute.maintenancePolicies.getiamPolicy compute.maintenancePolicies.list compute.networkEndpointGroups.get compute.networkEndpointGroups.getIamPolicy compute.networkEndpointGroups.list compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.getRegionEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.nodeGroups.get compute.nodeGroups.getIamPolicy compute.nodeGroups.list compute.nodeTemplates.get compute.nodeTemplates.getIamPolicy compute.nodeTemplates.list compute.nodeTypes.* compute.organizations.listAssociations compute.packetMirrorings.get compute.packetMirrorings.list compute.projects.get compute.publicAdvertisedPrefixes.get compute.publicAdvertisedPrefixes.list compute.publicDelegatedPrefixes.get compute.publicDelegatedPrefixes.list compute.regionBackendServices.get compute.regionBackendServices.getIamPolicy compute.regionBackendServices.list compute.regionFirewallPolicies.get compute.regionFirewallPolicies.getIamPolicy compute.regionFirewallPolicies.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionOperations.get compute.regionOperations.getiamPolicy compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regionUrlMaps.validate compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.get compute.resourcePolicies.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.securityPolicies.get compute.securityPolicies.getiamPolicy compute.securityPolicies.list compute.serviceAttachments.get compute.serviceAttachments.list compute.snapshots.get compute.snapshots.getiamPolicy compute.snapshots.list compute.snapshots.listEffectiveTags compute.snapshots.listTagBindings compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.getiamPolicy compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.urlMaps.validate compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.getiamPolicy compute.zoneOperations.list compute.zones.* notebooks.environments.get notebooks.environments.getIamPolicy notebooks.environments.list notebooks.executions.create notebooks.executions.get notebooks.executions.getIamPolicy notebooks.executions.list notebooks.instances.checkUpgradability notebooks.instances.create notebooks.instances.get notebooks.instances.getHealth notebooks.instances.getIamPolicy notebooks.instances.list notebooks.locations.* notebooks.operations.get notebooks.operations.list notebooks.runtimes.create notebooks.runtimes.get notebooks.runtimes.getIamPolicy notebooks.runtimes.list notebooks.schedules.create notebooks.schedules.get notebooks.schedules.getIamPolicy notebooks.schedules.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Lecteur de Notebooks (`roles/notebooks.viewer`) Accès en lecture seule à toutes les ressources Notebooks. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Instance	compute.acceleratorTypes.* compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.getIamPolicy compute.backendServices.list compute.commitments.get compute.commitments.list compute.diskTypes.* compute.disks.get compute.disks.getiamPolicy compute.disks.list compute.disks.listEffectiveTags compute.disks.listTagBindings compute.externalVpnGateways.get compute.externalVpnGateways.list compute.firewallPolicies.get compute.firewallPolicies.getIamPolicy compute.firewallPolicies.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalForwardingRules.get compute.globalForwardingRules.list compute.globalForwardingRules.pscGet compute.globalNetworkEndpointGroups.get compute.globalNetworkEndpointGroups.list compute.globalOperations.get compute.globalOperations.getiamPolicy compute.globalOperations.list compute.globalPublicDelegatedPrefixes.get compute.globalPublicDelegatedPrefixes.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.get compute.images.getFromFamily compute.images.getiamPolicy compute.images.list compute.images.listEffectiveTags compute.images.listTagBindings compute.instanceGroupManagers.get compute.instanceGroupManagers.list compute.instanceGroups.get compute.instanceGroups.list compute.instanceTemplates.get compute.instanceTemplates.getIamPolicy compute.instanceTemplates.list compute.instances.get compute.instances.getEffectiveFirewalls compute.instances.getGuestAttributes compute.instances.getIamPolicy compute.instances.getScreenshot compute.instances.getSerialPortOutput compute.instances.getShieldedInstanceIdentity compute.instances.getShieldedVmIdentity compute.instances.list compute.instances.listEffectiveTags compute.instances.listReferrers compute.instances.listTagBindings compute.interconnectAttachments.get compute.interconnectAttachments.list compute.interconnectLocations.* compute.interconnects.get compute.interconnects.list compute.licenseCodes.get compute.licenseCodes.getIamPolicy compute.licenseCodes.list compute.licenses.get compute.licenses.getiamPolicy compute.licenses.list compute.machineImages.get compute.machineImages.getIamPolicy compute.machineImages.list compute.machineTypes.* compute.maintenancePolicies.get compute.maintenancePolicies.getiamPolicy compute.maintenancePolicies.list compute.networkEndpointGroups.get compute.networkEndpointGroups.getIamPolicy compute.networkEndpointGroups.list compute.networks.get compute.networks.getEffectiveFirewalls compute.networks.getRegionEffectiveFirewalls compute.networks.list compute.networks.listPeeringRoutes compute.nodeGroups.get compute.nodeGroups.getIamPolicy compute.nodeGroups.list compute.nodeTemplates.get compute.nodeTemplates.getIamPolicy compute.nodeTemplates.list compute.nodeTypes.* compute.organizations.listAssociations compute.packetMirrorings.get compute.packetMirrorings.list compute.projects.get compute.publicAdvertisedPrefixes.get compute.publicAdvertisedPrefixes.list compute.publicDelegatedPrefixes.get compute.publicDelegatedPrefixes.list compute.regionBackendServices.get compute.regionBackendServices.getIamPolicy compute.regionBackendServices.list compute.regionFirewallPolicies.get compute.regionFirewallPolicies.getIamPolicy compute.regionFirewallPolicies.list compute.regionHealthCheckServices.get compute.regionHealthCheckServices.list compute.regionHealthChecks.get compute.regionHealthChecks.list compute.regionNetworkEndpointGroups.get compute.regionNetworkEndpointGroups.list compute.regionNotificationEndpoints.get compute.regionNotificationEndpoints.list compute.regionOperations.get compute.regionOperations.getiamPolicy compute.regionOperations.list compute.regionSslCertificates.get compute.regionSslCertificates.list compute.regionTargetHttpProxies.get compute.regionTargetHttpProxies.list compute.regionTargetHttpsProxies.get compute.regionTargetHttpsProxies.list compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regionUrlMaps.validate compute.regions.* compute.reservations.get compute.reservations.list compute.resourcePolicies.get compute.resourcePolicies.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.securityPolicies.get compute.securityPolicies.getiamPolicy compute.securityPolicies.list compute.serviceAttachments.get compute.serviceAttachments.list compute.snapshots.get compute.snapshots.getiamPolicy compute.snapshots.list compute.snapshots.listEffectiveTags compute.snapshots.listTagBindings compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute.sslPolicies.listAvailableFeatures compute.subnetworks.get compute.subnetworks.getiamPolicy compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute.targetHttpsProxies.list compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.urlMaps.validate compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.getiamPolicy compute.zoneOperations.list compute.zones.* notebooks.environments.get notebooks.environments.getIamPolicy notebooks.environments.list notebooks.executions.get notebooks.executions.getIamPolicy notebooks.executions.list notebooks.instances.checkUpgradability notebooks.instances.get notebooks.instances.getHealth notebooks.instances.getIamPolicy notebooks.instances.list notebooks.locations.* notebooks.operations.get notebooks.operations.list notebooks.runtimes.get notebooks.runtimes.getIamPolicy notebooks.runtimes.list notebooks.schedules.get notebooks.schedules.getIamPolicy notebooks.schedules.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Rôles AI Platform

Rôle	Autorisations
Administrateur AI Platform (`roles/ml.admin`) Fournit un accès complet aux ressources AI Platform ainsi qu'à ses tâches, opérations, modèles et versions. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	ml.* resourcemanager.projects.get
Développeur AI Platform (`roles/ml.developer`) Permet d'utiliser les ressources AI Platform pour créer des modèles, des versions et des tâches à des fins d'entraînement et de prédiction, et pour envoyer des requêtes de prédiction en ligne. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	ml.jobs.create ml.jobs.get ml.jobs.getiamPolicy ml.jobs.list ml.locations.* ml.models.create ml.models.get ml.models.getiamPolicy ml.models.list ml.models.predict ml.operations.get ml.operations.list ml.projects.getConfig ml.studies.* ml.trials.* ml.versions.get ml.versions.list ml.versions.predict resourcemanager.projects.get
Propriétaire de tâche AI Platform (`roles/ml.jobOwner`) Fournit un accès complet à toutes les autorisations pour une ressource de tâche particulière. Ce rôle est automatiquement accordé à l'utilisateur qui crée la tâche. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Tâche	ml.jobs.*
Propriétaire de modèle AI Platform (`roles/ml.modelOwner`) Fournit un accès complet au modèle et à ses versions. Ce rôle est automatiquement accordé à l'utilisateur qui crée le modèle. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Model	ml.models.* ml.versions.*
Utilisateur de modèle AI Platform (`roles/ml.modelUser`) Fournit les autorisations permettant de lire le modèle et ses versions, et de les utiliser pour la prédiction. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Model	ml.models.get ml.models.predict ml.versions.get ml.versions.list ml.versions.predict
Propriétaire d'opération AI Platform (`roles/ml.operationOwner`) Fournit un accès complet à toutes les autorisations pour une ressource d'opération particulière. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Opération	ml.operations.*
Lecteur AI Platform (`roles/ml.viewer`) Accès en lecture seule aux ressources AI Platform. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	ml.jobs.get ml.jobs.list ml.locations.* ml.models.get ml.models.list ml.operations.get ml.operations.list ml.projects.getConfig ml.studies.get ml.studies.getIamPolicy ml.studies.list ml.trials.get ml.trials.list ml.versions.get ml.versions.list resourcemanager.projects.get

Rôles Analytics Hub

Rôle	Autorisations
Administrateur Analytics Hub ^Bêta (`roles/analyticshub.admin`) Peut administrer les échanges de données et les fiches	analyticshub.dataExchanges.* analyticshub.listings.create analyticshub.listings.delete analyticshub.listings.get analyticshub.listings.getIamPolicy analyticshub.listings.list analyticshub.listings.setIamPolicy analyticshub.listings.update resourcemanager.projects.get resourcemanager.projects.list
Administrateur de listes Analytics Hub ^Bêta (`roles/analyticshub.listingAdmin`) Offre un contrôle total sur la liste, y compris pour la mise à jour, la suppression et la définition des LCA	analyticshub.dataExchanges.get analyticshub.dataExchanges.getIamPolicy analyticshub.dataExchanges.list analyticshub.listings.delete analyticshub.listings.get analyticshub.listings.getIamPolicy analyticshub.listings.list analyticshub.listings.setIamPolicy analyticshub.listings.update resourcemanager.projects.get resourcemanager.projects.list
Éditeur Analytics Hub ^Bêta (`roles/analyticshub.publisher`) Permet de publier dans les échanges de données et donc de créer des fiches	analyticshub.dataExchanges.get analyticshub.dataExchanges.getIamPolicy analyticshub.dataExchanges.list analyticshub.listings.create analyticshub.listings.get analyticshub.listings.getIamPolicy analyticshub.listings.list resourcemanager.projects.get resourcemanager.projects.list
Abonné Analytics Hub ^Bêta (`roles/analyticshub.subscriber`) Peut parcourir les échanges de données et s'abonner aux fiches	analyticshub.dataExchanges.get analyticshub.dataExchanges.getIamPolicy analyticshub.dataExchanges.list analyticshub.listings.get analyticshub.listings.getIamPolicy analyticshub.listings.list analyticshub.listings.subscribe resourcemanager.projects.get resourcemanager.projects.list
Lecteur Analytics Hub ^Bêta (`roles/analyticshub.viewer`) Peut parcourir les échanges de données et les fiches	analyticshub.dataExchanges.get analyticshub.dataExchanges.getIamPolicy analyticshub.dataExchanges.list analyticshub.listings.get analyticshub.listings.getIamPolicy analyticshub.listings.list resourcemanager.projects.get resourcemanager.projects.list

Rôles Android Management

Rôle	Autorisations
Utilisateur Android Management (`roles/androidmanagement.user`) Accès complet à la gestion des appareils.	androidmanagement.enterprises.manage serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Rôles multicloud Anthos

Rôle	Autorisations
Administrateur multicloud Anthos (`roles/gkemulticloud.admin`) Accès administrateur aux ressources multicloud Anthos.	gkemulticloud.* resourcemanager.projects.get resourcemanager.projects.list
Rédacteur de télémétrie multicloud Anthos (`roles/gkemulticloud.telemetryWriter`) Accorde l'accès en écriture aux données de télémétrie du cluster telles que les journaux, les métriques et les métadonnées de ressource.	logging.logEntries.create monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.timeSeries.create opsconfigmonitoring.resourceMetadata.write
Lecteur multicloud Anthos (`roles/gkemulticloud.viewer`) Accès en lecture aux ressources multicloud Anthos.	gkemulticloud.awsClusters.generateAccessToken gkemulticloud.awsClusters.get gkemulticloud.awsClusters.list gkemulticloud.awsNodePools.get gkemulticloud.awsNodePools.list gkemulticloud.awsServerConfigs.get gkemulticloud.azureClients.get gkemulticloud.azureClients.list gkemulticloud.azureClusters.generateAccessToken gkemulticloud.azureClusters.get gkemulticloud.azureClusters.list gkemulticloud.azureNodePools.get gkemulticloud.azureNodePools.list gkemulticloud.azureServerConfigs.get gkemulticloud.operations.get gkemulticloud.operations.list gkemulticloud.operations.wait resourcemanager.projects.get resourcemanager.projects.list

Rôles API Gateway

Rôle Autorisations

Rôle	Autorisations
Administrateur ApiGateway (`roles/apigateway.admin`) Accès complet à ApiGateway et aux ressources associées.	apigateway.* monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.list servicemanagement.services.get serviceusage.services.list
Lecteur ApiGateway (`roles/apigateway.viewer`) Accès en lecture seule à ApiGateway et aux ressources associées.	apigateway.apiconfigs.get apigateway.apiconfigs.getIamPolicy apigateway.apiconfigs.list apigateway.apis.get apigateway.apis.getIamPolicy apigateway.apis.list apigateway.gateways.get apigateway.gateways.getIamPolicy apigateway.gateways.list apigateway.locations.* apigateway.operations.get apigateway.operations.list monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.get monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.list servicemanagement.services.get serviceusage.services.list

Administrateur ApiGateway
(roles/apigateway.admin)

Accès complet à ApiGateway et aux ressources associées.

apigateway.*
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.services.get
serviceusage.services.list

Lecteur ApiGateway
(roles/apigateway.viewer)

Accès en lecture seule à ApiGateway et aux ressources associées.

apigateway.apiconfigs.get
apigateway.apiconfigs.getIamPolicy
apigateway.apiconfigs.list
apigateway.apis.get
apigateway.apis.getIamPolicy
apigateway.apis.list
apigateway.gateways.get
apigateway.gateways.getIamPolicy
apigateway.gateways.list
apigateway.locations.*
apigateway.operations.get
apigateway.operations.list
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.get
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.services.get
serviceusage.services.list

Rôles Apigee

Rôle	Autorisations
Administrateur de l'organisation Apigee (`roles/apigee.admin`) Accès complet à toutes les fonctionnalités des ressources Apigee	apigee.* monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
Agent d'analyses Apigee (`roles/apigee.analyticsAgent`) Ensemble d'autorisations soigneusement sélectionnées afin de permettre à Apigee Universal Data Collection Agent de gérer les analyses pour une organisation Apigee	apigee.datalocation.get apigee.environments.getDataLocation apigee.runtimeconfigs.get
Éditeur d'analyses Apigee (`roles/apigee.analyticsEditor`) Éditeur de données analytiques pour une organisation Apigee	apigee.datacollectors.* apigee.datastores.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.exports.* apigee.hostqueries.* apigee.hoststats.get apigee.organizations.get apigee.organizations.list apigee.queries.* apigee.reports.* resourcemanager.projects.get resourcemanager.projects.list
Lecteur d'analyses Apigee (`roles/apigee.analyticsViewer`) Lecteur de données analytiques pour une organisation Apigee	apigee.datacollectors.get apigee.datacollectors.list apigee.datastores.get apigee.datastores.list apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.exports.get apigee.exports.list apigee.hostqueries.get apigee.hostqueries.list apigee.hoststats.get apigee.organizations.get apigee.organizations.list apigee.queries.get apigee.queries.list apigee.reports.get apigee.reports.list resourcemanager.projects.get resourcemanager.projects.list
Administrateur d'API Apigee (`roles/apigee.apiAdminV2`) Accès complet en lecture/écriture à toutes les ressources d'API Apigee	apigee.apiproductattributes.* apigee.apiproducts.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.keyvaluemapentries.* apigee.keyvaluemaps.* apigee.organizations.get apigee.organizations.list apigee.proxies.* apigee.proxyrevisions.* apigee.sharedflowrevisions.* apigee.sharedflows.* resourcemanager.projects.get resourcemanager.projects.list
Lecteur d'API Apigee (`roles/apigee.apiReaderV2`) Lecteur de ressources Apigee	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getStats apigee.environments.list apigee.keyvaluemapentries.get apigee.keyvaluemapentries.list apigee.keyvaluemaps.list apigee.organizations.get apigee.organizations.list apigee.proxies.get apigee.proxies.list apigee.proxyrevisions.deploy apigee.proxyrevisions.get apigee.proxyrevisions.list apigee.proxyrevisions.undeploy apigee.sharedflowrevisions.deploy apigee.sharedflowrevisions.get apigee.sharedflowrevisions.list apigee.sharedflowrevisions.undeploy apigee.sharedflows.get apigee.sharedflows.list resourcemanager.projects.get resourcemanager.projects.list
Administrateur développeur Apigee (`roles/apigee.developerAdmin`) Administrateur développeur des ressources Apigee	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.appkeys.* apigee.apps.* apigee.datacollectors.* apigee.developerappattributes.* apigee.developerapps.* apigee.developerattributes.* apigee.developerbalances.* apigee.developermonetizationconfigs.* apigee.developers.* apigee.developersubscriptions.* apigee.environments.get apigee.environments.getStats apigee.hoststats.get apigee.organizations.get apigee.organizations.list apigee.rateplans.get apigee.rateplans.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
Administrateur de l'environnement Apigee (`roles/apigee.environmentAdmin`) Accès complet en lecture/écriture aux ressources de l'environnement Apigee, y compris aux déploiements.	apigee.archivedeployments.* apigee.datacollectors.get apigee.datacollectors.list apigee.deployments.* apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getIamPolicy apigee.environments.getStats apigee.environments.list apigee.environments.setIamPolicy apigee.environments.update apigee.flowhooks.* apigee.ingressconfigs.get apigee.keystorealiases.* apigee.keystores.* apigee.keyvaluemaps.* apigee.maskconfigs.* apigee.organizations.get apigee.organizations.list apigee.proxies.get apigee.proxies.list apigee.proxyrevisions.deploy apigee.proxyrevisions.get apigee.proxyrevisions.list apigee.proxyrevisions.undeploy apigee.references.* apigee.resourcefiles.* apigee.sharedflowrevisions.deploy apigee.sharedflowrevisions.get apigee.sharedflowrevisions.list apigee.sharedflowrevisions.undeploy apigee.sharedflows.get apigee.sharedflows.list apigee.targetservers.* apigee.tracesessions.* resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
Administrateur de la monétisation Apigee (`roles/apigee.monetizationAdmin`) Toutes les autorisations associées à la monétisation	apigee.apiproducts.get apigee.apiproducts.list apigee.developerbalances.* apigee.developermonetizationconfigs.* apigee.developersubscriptions.* apigee.organizations.get apigee.organizations.list apigee.rateplans.* resourcemanager.projects.get resourcemanager.projects.list
Administrateur du portail Apigee (`roles/apigee.portalAdmin`) Administrateur de portail d'une organisation Apigee	apigee.organizations.get apigee.organizations.list apigee.portals.* resourcemanager.projects.get resourcemanager.projects.list
Administrateur Apigee en lecture seule (`roles/apigee.readOnlyAdmin`) Lecteur de toutes les ressources Apigee	apigee.apiproductattributes.get apigee.apiproductattributes.list apigee.apiproducts.get apigee.apiproducts.list apigee.appkeys.get apigee.apps.* apigee.archivedeployments.download apigee.archivedeployments.get apigee.archivedeployments.list apigee.caches.list apigee.canaryevaluations.get apigee.datacollectors.get apigee.datacollectors.list apigee.datalocation.get apigee.datastores.get apigee.datastores.list apigee.deployments.get apigee.deployments.list apigee.developerappattributes.get apigee.developerappattributes.list apigee.developerapps.get apigee.developerapps.list apigee.developerattributes.get apigee.developerattributes.list apigee.developerbalances.get apigee.developermonetizationconfigs.get apigee.developers.get apigee.developers.list apigee.developersubscriptions.get apigee.developersubscriptions.list apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.getDataLocation apigee.environments.getIamPolicy apigee.environments.getStats apigee.environments.list apigee.exports.get apigee.exports.list apigee.flowhooks.getSharedFlow apigee.flowhooks.list apigee.hostqueries.get apigee.hostqueries.list apigee.hostsecurityreports.get apigee.hostsecurityreports.list apigee.hoststats.get apigee.ingressconfigs.get apigee.instanceattachments.get apigee.instanceattachments.list apigee.instances.get apigee.instances.list apigee.keystorealiases.get apigee.keystorealiases.list apigee.keystores.get apigee.keystores.list apigee.keyvaluemapentries.get apigee.keyvaluemapentries.list apigee.keyvaluemaps.list apigee.maskconfigs.get apigee.operations.* apigee.organizations.get apigee.organizations.list apigee.portals.get apigee.portals.list apigee.proxies.get apigee.proxies.list apigee.proxyrevisions.get apigee.proxyrevisions.list apigee.queries.get apigee.queries.list apigee.rateplans.get apigee.rateplans.list apigee.references.get apigee.references.list apigee.reports.get apigee.reports.list apigee.resourcefiles.get apigee.resourcefiles.list apigee.runtimeconfigs.get apigee.securityProfileEnvironments.computeScore apigee.securityProfiles.* apigee.securityStats.* apigee.securityreports.get apigee.securityreports.list apigee.sharedflowrevisions.get apigee.sharedflowrevisions.list apigee.sharedflows.get apigee.sharedflows.list apigee.targetservers.get apigee.targetservers.list apigee.tracesessions.get apigee.tracesessions.list monitoring.timeSeries.list resourcemanager.projects.get resourcemanager.projects.getIamPolicy resourcemanager.projects.list
Agent d'exécution Apigee (`roles/apigee.runtimeAgent`) Ensemble organisé d'autorisations permettant à un agent d'exécution d'accéder aux ressources d'organisation Apigee	apigee.canaryevaluations.* apigee.ingressconfigs.get apigee.instances.reportStatus apigee.operations.* apigee.organizations.get apigee.runtimeconfigs.get
Administrateur de sécurité Apigee (`roles/apigee.securityAdmin`) Administrateur de sécurité d'organisation Apigee	apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.list apigee.hostsecurityreports.* apigee.organizations.get apigee.organizations.list apigee.securityProfileEnvironments.* apigee.securityProfiles.* apigee.securityStats.* apigee.securityreports.* resourcemanager.projects.get resourcemanager.projects.list
Lecteur de sécurité Apigee (`roles/apigee.securityViewer`) Lecteur de sécurité pour une organisation Apigee	apigee.envgroupattachments.get apigee.envgroupattachments.list apigee.envgroups.get apigee.envgroups.list apigee.environments.get apigee.environments.list apigee.hostsecurityreports.get apigee.hostsecurityreports.list apigee.organizations.get apigee.organizations.list apigee.securityProfileEnvironments.computeScore apigee.securityProfiles.* apigee.securityStats.* apigee.securityreports.get apigee.securityreports.list resourcemanager.projects.get resourcemanager.projects.list
Gestionnaire de synchronisateur Apigee (`roles/apigee.synchronizerManager`) Ensemble organisé d'autorisations permettant à un synchronisateur de gérer des environnements dans une organisation Apigee	apigee.environments.get apigee.environments.manageRuntime apigee.ingressconfigs.get
Administrateur Apigee Connect (`roles/apigeeconnect.Admin`) Administrateur d'Apigee Connect	apigeeconnect.connections.list
Agent Apigee Connect (`roles/apigeeconnect.Agent`) Permet de configurer un agent Apigee Connect entre les clusters externes et Google.	apigeeconnect.endpoints.connect

Rôles Apigee Registry

Rôle	Autorisations
Administrateur Cloud Apigee Registry^Bêta (`roles/apigeeregistry.admin`) Accès complet aux ressources de l'environnement d'exécution et du registre Cloud Apigee Registry.	apigeeregistry.* resourcemanager.projects.get resourcemanager.projects.list
Éditeur Cloud Apigee Registry^Bêta (`roles/apigeeregistry.editor`) Accès permettant de modifier les ressources du registre Cloud Apigee Registry.	apigeeregistry.apis.create apigeeregistry.apis.delete apigeeregistry.apis.get apigeeregistry.apis.getIamPolicy apigeeregistry.apis.list apigeeregistry.apis.update apigeeregistry.artifacts.create apigeeregistry.artifacts.delete apigeeregistry.artifacts.get apigeeregistry.artifacts.getIamPolicy apigeeregistry.artifacts.list apigeeregistry.artifacts.update apigeeregistry.deployments.* apigeeregistry.specs.create apigeeregistry.specs.delete apigeeregistry.specs.get apigeeregistry.specs.getIamPolicy apigeeregistry.specs.list apigeeregistry.specs.update apigeeregistry.versions.create apigeeregistry.versions.delete apigeeregistry.versions.get apigeeregistry.versions.getIamPolicy apigeeregistry.versions.list apigeeregistry.versions.update resourcemanager.projects.get resourcemanager.projects.list
Lecteur Cloud Apigee Registry^Bêta (`roles/apigeeregistry.viewer`) Accès en lecture seule aux ressources du registre Cloud Apigee Registry.	apigeeregistry.apis.get apigeeregistry.apis.list apigeeregistry.artifacts.get apigeeregistry.artifacts.list apigeeregistry.deployments.get apigeeregistry.deployments.list apigeeregistry.specs.get apigeeregistry.specs.list apigeeregistry.versions.get apigeeregistry.versions.list resourcemanager.projects.get resourcemanager.projects.list
Nœud de calcul Cloud Apigee Registry^Bêta (`roles/apigeeregistry.worker`) Rôle utilisé par les nœuds de calcul de l'application Apigee Registry pour lire et mettre à jour les artefacts Apigee Registry.	apigeeregistry.apis.get apigeeregistry.apis.list apigeeregistry.apis.update apigeeregistry.artifacts.create apigeeregistry.artifacts.delete apigeeregistry.artifacts.get apigeeregistry.artifacts.list apigeeregistry.artifacts.update apigeeregistry.deployments.get apigeeregistry.deployments.list apigeeregistry.deployments.update apigeeregistry.specs.get apigeeregistry.specs.list apigeeregistry.specs.update apigeeregistry.versions.get apigeeregistry.versions.list apigeeregistry.versions.update resourcemanager.projects.get resourcemanager.projects.list

Rôles App Engine

Rôle	Autorisations
Administrateur App Engine (`roles/appengine.appAdmin`) Accès en lecture/écriture/modification à l'ensemble de la configuration et des paramètres de l'application. Pour déployer de nouvelles versions, un compte principal doit disposer du rôle Utilisateur du compte de service (`roles/iam.serviceAccountUser`) sur le compte de service par défaut App Engine, ainsi que des rôles Éditeur Cloud Build (`roles/cloudbuild.builds.editor`) et Administrateur des objets Cloud Storage (`roles/storage.objectAdmin`) sur le projet. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	appengine.applications.get appengine.applications.update appengine.instances.* appengine.memcache.addKey appengine.memcache.flush appengine.memcache.get appengine.memcache.update appengine.operations.* appengine.runtimes.actAsAdmin appengine.services.* appengine.versions.create appengine.versions.delete appengine.versions.get appengine.versions.list appengine.versions.update resourcemanager.projects.get resourcemanager.projects.list
Créateur App Engine (`roles/appengine.appCreator`) Permet de créer une ressource App Engine pour le projet. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	appengine.applications.create resourcemanager.projects.get resourcemanager.projects.list
Lecteur App Engine (`roles/appengine.appViewer`) Accès en lecture seule à l'ensemble de la configuration et des paramètres de l'application. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.get appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list
Lecteur de codes App Engine (`roles/appengine.codeViewer`) Accès en lecture seule à l'ensemble de la configuration, des paramètres et du code source déployé de l'application. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.get appengine.versions.getFileContents appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list
Déployeur App Engine (`roles/appengine.deployer`) Accès en lecture seule à l'ensemble de la configuration et des paramètres de l'application. Pour déployer de nouvelles versions, vous devez également disposer du rôle Utilisateur du compte de service (`roles/iam.serviceAccountUser`) sur le compte de service par défaut App Engine, ainsi que des rôles Éditeur Cloud Build (`roles/cloudbuild.builds.editor`) et Administrateur des objets Cloud Storage (`roles/storage.objectAdmin`) sur le projet. Ce rôle ne permet pas de modifier des versions existantes, sauf pour supprimer des versions ne recevant pas de trafic. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	appengine.applications.get appengine.instances.get appengine.instances.list appengine.operations.* appengine.services.get appengine.services.list appengine.versions.create appengine.versions.delete appengine.versions.get appengine.versions.list resourcemanager.projects.get resourcemanager.projects.list
Administrateur de services App Engine (`roles/appengine.serviceAdmin`) Accès en lecture seule à l'ensemble de la configuration et des paramètres de l'application. Accès en écriture aux paramètres au niveau du module et de la version. Ce rôle ne permet pas de déployer une nouvelle version. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	appengine.applications.get appengine.instances.* appengine.operations.* appengine.services.* appengine.versions.delete appengine.versions.get appengine.versions.list appengine.versions.update resourcemanager.projects.get resourcemanager.projects.list

Rôles Artifact Registry

Role	Permissions
Artifact Registry Administrator (`roles/artifactregistry.admin`) Administrator access to create and manage repositories.	artifactregistry.*
Artifact Registry Reader (`roles/artifactregistry.reader`) Access to read repository items.	artifactregistry.dockerimages.* artifactregistry.files.* artifactregistry.locations.* artifactregistry.mavenartifacts.* artifactregistry.npmpackages.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.pythonpackages.* artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.listEffectiveTags artifactregistry.repositories.listTagBindings artifactregistry.tags.get artifactregistry.tags.list artifactregistry.versions.get artifactregistry.versions.list
Artifact Registry Repository Administrator (`roles/artifactregistry.repoAdmin`) Access to manage artifacts in repositories.	artifactregistry.aptartifacts.create artifactregistry.dockerimages.* artifactregistry.files.* artifactregistry.locations.* artifactregistry.mavenartifacts.* artifactregistry.npmpackages.* artifactregistry.packages.* artifactregistry.pythonpackages.* artifactregistry.repositories.deleteArtifacts artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.listEffectiveTags artifactregistry.repositories.listTagBindings artifactregistry.repositories.uploadArtifacts artifactregistry.tags.* artifactregistry.versions.* artifactregistry.yumartifacts.create
Artifact Registry Writer (`roles/artifactregistry.writer`) Access to read and write repository items.	artifactregistry.aptartifacts.create artifactregistry.dockerimages.* artifactregistry.files.* artifactregistry.locations.* artifactregistry.mavenartifacts.* artifactregistry.npmpackages.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.pythonpackages.* artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.listEffectiveTags artifactregistry.repositories.listTagBindings artifactregistry.repositories.uploadArtifacts artifactregistry.tags.create artifactregistry.tags.get artifactregistry.tags.list artifactregistry.tags.update artifactregistry.versions.get artifactregistry.versions.list artifactregistry.yumartifacts.create

Rôles Assured Workloads

Rôle	Autorisations
Administrateur Assured Workloads (`roles/assuredworkloads.admin`) Accorde un accès complet aux ressources Assured Workloads et aux ressources CRM (administration des projets/dossiers et des règles d'administration).	assuredworkloads.* logging.cmekSettings.update orgpolicy.policy.* resourcemanager.folders.create resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.create resourcemanager.projects.get resourcemanager.projects.list
Éditeur Assured Workloads (`roles/assuredworkloads.editor`) Accorde un accès en lecture/écriture aux ressources Assured Workloads et aux ressources CRM (administration des projets/dossiers et des règles d'administration)	assuredworkloads.* orgpolicy.policy.* resourcemanager.folders.create resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.create resourcemanager.projects.get resourcemanager.projects.list
Lecteur Assured Workloads (`roles/assuredworkloads.reader`) Accorde un accès en lecture à toutes les charges de travail Assured Workloads et les ressources CRM (projet/dossier).	assuredworkloads.operations.* assuredworkloads.violations.get assuredworkloads.violations.list assuredworkloads.workload.get assuredworkloads.workload.list resourcemanager.folders.get resourcemanager.folders.list resourcemanager.organizations.get resourcemanager.projects.get resourcemanager.projects.list

Rôles AutoML

Rôle	Autorisations
Administrateur AutoML ^Beta (`roles/automl.admin`) Accès complet à toutes les ressources AutoML Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Ensemble de données Model	automl.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list
Éditeur AutoML ^Bêta (`roles/automl.editor`) Éditeur de toutes les ressources AutoML Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Ensemble de données Model	automl.annotationSpecs.* automl.annotations.* automl.columnSpecs.* automl.datasets.create automl.datasets.delete automl.datasets.export automl.datasets.get automl.datasets.import automl.datasets.list automl.datasets.update automl.examples.* automl.files.* automl.humanAnnotationTasks.* automl.locations.get automl.locations.list automl.modelEvaluations.* automl.models.create automl.models.delete automl.models.deploy automl.models.export automl.models.get automl.models.list automl.models.predict automl.models.undeploy automl.operations.* automl.tableSpecs.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list
Prédicteur AutoML ^Bêta (`roles/automl.predictor`) Prédiction à l'aide de modèles Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Model	automl.models.predict resourcemanager.projects.get resourcemanager.projects.list
Lecteur AutoML ^Bêta (`roles/automl.viewer`) Accès en lecture à toutes les ressources AutoML Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Ensemble de données Model	automl.annotationSpecs.get automl.annotationSpecs.list automl.annotations.list automl.columnSpecs.get automl.columnSpecs.list automl.datasets.get automl.datasets.list automl.examples.get automl.examples.list automl.files.list automl.humanAnnotationTasks.get automl.humanAnnotationTasks.list automl.locations.get automl.locations.list automl.modelEvaluations.get automl.modelEvaluations.list automl.models.get automl.models.list automl.operations.get automl.operations.list automl.tableSpecs.get automl.tableSpecs.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.list

Rôles de sauvegarde pour GKE

Rôle	Autorisations
Administrateur GKE Backup^Bêta (`roles/gkebackup.admin`) Accès complet à toutes les ressources Backup pour GKE.	gkebackup.* resourcemanager.projects.get resourcemanager.projects.list
Administrateur des sauvegardes pour GKE (sauvegarde)^Bêta (`roles/gkebackup.backupAdmin`) Autorise les administrateurs à gérer toutes les ressources BackupPlan et Backup	gkebackup.backupPlans.* gkebackup.backups.* gkebackup.locations.* gkebackup.operations.get gkebackup.operations.list gkebackup.volumeBackups.* resourcemanager.projects.get resourcemanager.projects.list
Administrateur des sauvegardes délégué aux sauvegardes pour GKE^Bêta (`roles/gkebackup.delegatedBackupAdmin`) Autorise les administrateurs à gérer les ressources Backup pour des plans de sauvegarde spécifiques	gkebackup.backupPlans.get gkebackup.backups.* gkebackup.volumeBackups.*
Administrateur des restaurations délégué aux sauvegardes pour GKE^Bêta (`roles/gkebackup.delegatedRestoreAdmin`) Autorise les administrateurs à gérer les ressources de restauration pour des plans de restauration spécifiques	gkebackup.restorePlans.get gkebackup.restores.* gkebackup.volumeRestores.*
Administrateur des restaurations aux sauvegardes pour GKE^Bêta (`roles/gkebackup.restoreAdmin`) Autorise les administrateurs à gérer toutes les ressources RestorePlan et Restore.	gkebackup.backupPlans.get gkebackup.backupPlans.list gkebackup.backups.get gkebackup.backups.list gkebackup.locations.* gkebackup.operations.get gkebackup.operations.list gkebackup.restorePlans.* gkebackup.restores.* gkebackup.volumeBackups.* gkebackup.volumeRestores.* resourcemanager.projects.get resourcemanager.projects.list
Lecteur des sauvegardes pour GKE^Bêta (`roles/gkebackup.viewer`) Accès en lecture seule à toutes les ressources Backup pour GKE.	gkebackup.backupPlans.get gkebackup.backupPlans.getIamPolicy gkebackup.backupPlans.list gkebackup.backups.get gkebackup.backups.list gkebackup.locations.* gkebackup.operations.get gkebackup.operations.list gkebackup.restorePlans.get gkebackup.restorePlans.getIamPolicy gkebackup.restorePlans.list gkebackup.restores.get gkebackup.restores.list gkebackup.volumeBackups.* gkebackup.volumeRestores.* resourcemanager.projects.get resourcemanager.projects.list

Rôles BeyondCorp

Rôle	Autorisations
Administrateur Cloud BeyondCorp ^Bêta (`roles/beyondcorp.admin`) Accès complet à toutes les ressources Cloud BeyondCorp	beyondcorp.appConnections.* beyondcorp.appConnectors.* beyondcorp.appGateways.* beyondcorp.clientConnectorServices.create beyondcorp.clientConnectorServices.delete beyondcorp.clientConnectorServices.get beyondcorp.clientConnectorServices.getIamPolicy beyondcorp.clientConnectorServices.list beyondcorp.clientConnectorServices.setIamPolicy beyondcorp.clientConnectorServices.update beyondcorp.clientGateways.* beyondcorp.locations.* beyondcorp.operations.* resourcemanager.projects.get resourcemanager.projects.list
Administrateur de connecteur client Cloud BeyondCorp ^Bêta (`roles/beyondcorp.clientConnectorAdmin`) Accès complet à toutes les ressources du connecteur client BeyondCorp.	beyondcorp.clientConnectorServices.create beyondcorp.clientConnectorServices.delete beyondcorp.clientConnectorServices.get beyondcorp.clientConnectorServices.getIamPolicy beyondcorp.clientConnectorServices.list beyondcorp.clientConnectorServices.setIamPolicy beyondcorp.clientConnectorServices.update beyondcorp.clientGateways.* resourcemanager.projects.get resourcemanager.projects.list
Utilisateur du service de connecteur client Cloud BeyondCorp ^Bêta (`roles/beyondcorp.clientConnectorServiceUser`) Accès au service de connecteur client	beyondcorp.clientConnectorServices.access
Lecteur de connecteur client Cloud BeyondCorp ^Bêta (`roles/beyondcorp.clientConnectorViewer`) Accès en lecture seule à toutes les ressources du connecteur client BeyondCorp.	beyondcorp.clientConnectorServices.get beyondcorp.clientConnectorServices.getIamPolicy beyondcorp.clientConnectorServices.list beyondcorp.clientGateways.get beyondcorp.clientGateways.getIamPolicy beyondcorp.clientGateways.list resourcemanager.projects.get resourcemanager.projects.list
Lecteur Cloud BeyondCorp ^Bêta (`roles/beyondcorp.viewer`) Accès en lecture seule à toutes les ressources Cloud BeyondCorp.	beyondcorp.appConnections.get beyondcorp.appConnections.getIamPolicy beyondcorp.appConnections.list beyondcorp.appConnectors.get beyondcorp.appConnectors.getIamPolicy beyondcorp.appConnectors.list beyondcorp.appGateways.get beyondcorp.appGateways.getIamPolicy beyondcorp.appGateways.list beyondcorp.clientConnectorServices.get beyondcorp.clientConnectorServices.getIamPolicy beyondcorp.clientConnectorServices.list beyondcorp.clientGateways.get beyondcorp.clientGateways.getIamPolicy beyondcorp.clientGateways.list beyondcorp.locations.* beyondcorp.operations.get beyondcorp.operations.list resourcemanager.projects.get resourcemanager.projects.list

Rôles BigQuery

Rôle	Autorisations
Administrateur BigQuery (`roles/bigquery.admin`) Fournit des autorisations permettant de gérer toutes les ressources du projet. Peut gérer toutes les données du projet et annuler des tâches exécutées par d'autres utilisateurs dans le projet. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Ensembles de données Règles d'accès aux lignes Tables Vues	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.config.* bigquery.connections.* bigquery.dataPolicies.create bigquery.dataPolicies.delete bigquery.dataPolicies.get bigquery.dataPolicies.getIamPolicy bigquery.dataPolicies.list bigquery.dataPolicies.setIamPolicy bigquery.dataPolicies.update bigquery.datasets.* bigquery.jobs.* bigquery.models.* bigquery.readsessions.* bigquery.reservationAssignments.* bigquery.reservations.* bigquery.routines.* bigquery.rowAccessPolicies.create bigquery.rowAccessPolicies.delete bigquery.rowAccessPolicies.getIamPolicy bigquery.rowAccessPolicies.list bigquery.rowAccessPolicies.overrideTimeTravelRestrictions bigquery.rowAccessPolicies.setIamPolicy bigquery.rowAccessPolicies.update bigquery.savedqueries.* bigquery.tables.* bigquery.transfers.* bigquerymigration.translation.translate resourcemanager.projects.get resourcemanager.projects.list
Administrateur de connexion BigQuery (`roles/bigquery.connectionAdmin`)	bigquery.connections.*
Utilisateur de connexion BigQuery (`roles/bigquery.connectionUser`)	bigquery.connections.get bigquery.connections.getIamPolicy bigquery.connections.list bigquery.connections.use
Éditeur de données BigQuery (`roles/bigquery.dataEditor`) Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes : Lire et mettre à jour les données et les métadonnées de la table ou de la vue Supprimer la table ou la vue Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels. Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes : Lire les métadonnées de l'ensemble de données et répertorier les tables qu'il contient Créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également créer des ensembles de données. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Table View	bigquery.config.get bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.models.* bigquery.routines.* bigquery.tables.create bigquery.tables.createIndex bigquery.tables.createSnapshot bigquery.tables.delete bigquery.tables.deleteIndex bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list bigquery.tables.restoreSnapshot bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag resourcemanager.projects.get resourcemanager.projects.list
Propriétaire de données BigQuery (`roles/bigquery.dataOwner`) Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes : Lire et mettre à jour les données et les métadonnées de la table ou de la vue Partager la table ou la vue Supprimer la table ou la vue Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels. Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes : Lire, mettre à jour et supprimer l'ensemble de données créer, mettre à jour, obtenir et supprimer les tables de l'ensemble de données. Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également créer des ensembles de données. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Table View	bigquery.config.get bigquery.dataPolicies.create bigquery.dataPolicies.delete bigquery.dataPolicies.get bigquery.dataPolicies.getIamPolicy bigquery.dataPolicies.list bigquery.dataPolicies.setIamPolicy bigquery.dataPolicies.update bigquery.datasets.* bigquery.models.* bigquery.routines.* bigquery.rowAccessPolicies.create bigquery.rowAccessPolicies.delete bigquery.rowAccessPolicies.getIamPolicy bigquery.rowAccessPolicies.list bigquery.rowAccessPolicies.setIamPolicy bigquery.rowAccessPolicies.update bigquery.tables.* resourcemanager.projects.get resourcemanager.projects.list
Lecteur de données BigQuery (`roles/bigquery.dataViewer`) Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes : Lire les données et les métadonnées de la table ou de la vue Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels. Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes : Lire les métadonnées de l'ensemble de données et répertorier les tables qu'il contient Lire les données et les métadonnées des tables de l'ensemble de données Lorsque ce rôle est appliqué au niveau du projet ou de l'organisation, il peut également énumérer tous les ensembles de données du projet. Toutefois, des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Table Afficher	bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.createSnapshot bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list
Lecteur de données filtrées BigQuery (`roles/bigquery.filteredDataViewer`) Accès permettant d'afficher les données de table filtrées en fonction d'une règle d'accès aux lignes	bigquery.rowAccessPolicies.getFilteredData
Utilisateur de tâche BigQuery (`roles/bigquery.jobUser`) Fournit des autorisations permettant d'exécuter des tâches, y compris des requêtes, dans le projet. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	bigquery.config.get bigquery.jobs.create resourcemanager.projects.get resourcemanager.projects.list
Lecteur de métadonnées BigQuery (`roles/bigquery.metadataViewer`) Lorsque ce rôle est appliqué à une table ou une vue, il fournit des autorisations permettant d'effectuer les opérations suivantes : Lire les métadonnées de la table ou de la vue Ce rôle ne peut pas être appliqué à des modèles ou des routines individuels. Lorsqu'il est appliqué à un ensemble de données, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes : Répertorier les tables et les vues dans l'ensemble de données Lire les métadonnées des tables et des vues de l'ensemble de données Lorsqu'il est appliqué au niveau du projet ou de l'organisation, ce rôle fournit des autorisations permettant d'effectuer les opérations suivantes : Répertorier tous les ensembles de données et lire les métadonnées de tous les ensembles de données du projet répertorier toutes les tables et vues, et lire les métadonnées de toutes les tables et vues du projet. Des rôles supplémentaires sont nécessaires pour permettre l'exécution de tâches. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Table Afficher	bigquery.datasets.get bigquery.datasets.getiamPolicy bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.get bigquery.tables.getIamPolicy bigquery.tables.list resourcemanager.projects.get resourcemanager.projects.list
Utilisateur de sessions de lecture BigQuery (`roles/bigquery.readSessionUser`) Accès permettant de créer et d'utiliser des sessions de lecture	bigquery.readsessions.* resourcemanager.projects.get resourcemanager.projects.list
Administrateur de ressources BigQuery (`roles/bigquery.resourceAdmin`) Gérer toutes les ressources BigQuery.	bigquery.bireservations.* bigquery.capacityCommitments.* bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.jobs.listExecutionMetadata bigquery.reservationAssignments.* bigquery.reservations.* recommender.bigqueryCapacityCommitmentsInsights.* recommender.bigqueryCapacityCommitmentsRecommendations.* resourcemanager.projects.get resourcemanager.projects.list
Éditeur de ressources BigQuery (`roles/bigquery.resourceEditor`) Gérer toutes les ressources BigQuery, sans pouvoir prendre de décisions d'achat.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.jobs.listExecutionMetadata bigquery.reservationAssignments.* bigquery.reservations.* resourcemanager.projects.get resourcemanager.projects.list
Lecteur de ressources BigQuery (`roles/bigquery.resourceViewer`) Afficher toutes les ressources BigQuery sans pouvoir apporter de modifications ou prendre de décisions d'achat.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.jobs.listExecutionMetadata bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list resourcemanager.projects.get resourcemanager.projects.list
Utilisateur BigQuery (`roles/bigquery.user`) Lorsqu'il est appliqué à un ensemble de données, ce rôle permet d'en lire les métadonnées et d'en répertorier les tables. Lorsqu'il est appliqué à un projet, ce rôle permet également d'exécuter des tâches, telles que des requêtes, au sein du projet. Un compte principal doté de ce rôle peut énumérer ou annuler ses propres tâches et énumérer les ensembles de données d'un projet. En outre, ce rôle permet la création de nouveaux ensembles de données au sein du projet. Le créateur dispose alors du rôle de propriétaire de données BigQuery (`roles/bigquery.dataOwner`) sur ces nouveaux ensembles de données. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Ensemble de données	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.config.get bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.jobs.create bigquery.jobs.list bigquery.models.list bigquery.readsessions.* bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list bigquery.routines.list bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.list bigquery.transfers.get bigquerymigration.translation.translate resourcemanager.projects.get resourcemanager.projects.list
Lecteur masqué ^Bêta (`roles/bigquerydatapolicy.maskedReader`) Accès en lecture masquée aux sous-ressources marquées par le tag avec stratégie associé à une stratégie de données, par exemple les colonnes BigQuery	bigquery.dataPolicies.maskedGet

Rôles de facturation

Rôle	Autorisations
Administrateur de compte de facturation (`roles/billing.admin`) Permet de consulter les comptes de facturation et d'en gérer tous les aspects. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Compte de facturation	billing.accounts.close billing.accounts.get billing.accounts.getCarbonInformation billing.accounts.getiamPolicy billing.accounts.getPaymentInfo billing.accounts.getPricing billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.accounts.move billing.accounts.redeemPromotion billing.accounts.removeFromOrganization billing.accounts.reopen billing.accounts.setiamPolicy billing.accounts.update billing.accounts.updatePaymentInfo billing.accounts.updateUsageExportSpec billing.budgets.* billing.credits.list billing.resourceAssociations.* billing.subscriptions.* cloudnotifications.activities.list cloudsupport.properties.get cloudsupport.techCases.* commerceoffercatalog.offers.get consumerprocurement.accounts.* consumerprocurement.orderAttributions.* consumerprocurement.orders.* dataprocessing.datasources.get dataprocessing.datasources.list dataprocessing.groupcontrols.get dataprocessing.groupcontrols.list logging.logEntries.list logging.logserviceIndexes.list logging.logservices.list logging.logs.list logging.privateLogEntries.list recommender.commitmentUtilizationInsights.* recommender.costInsights.* recommender.spendBasedCommitmentInsights.* recommender.spendBasedCommitmentRecommendations.* recommender.usageCommitmentRecommendations.* resourcemanager.projects.createBillingAssignment resourcemanager.projects.deleteBillingAssignment resourcemanager.projects.get resourcemanager.projects.list
Gestionnaire des coûts du compte de facturation (`roles/billing.costsManager`) Permet de gérer les budgets d'un compte de facturation, d'afficher, d'analyser et d'exporter les informations de coût d'un compte de facturation. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Compte de facturation	billing.accounts.get billing.accounts.getiamPolicy billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.accounts.updateUsageExportSpec billing.budgets.* billing.resourceAssociations.list recommender.costInsights.*
Créateur de compte de facturation (`roles/billing.creator`) Permet de créer des comptes de facturation. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Organisation	billing.accounts.create resourcemanager.organizations.get
Gestionnaire de la facturation du projet (`roles/billing.projectManager`) Lorsqu'il est associé au rôle "Utilisateur de compte de facturation", ce rôle permet d'attribuer le compte de facturation d'un projet ou de désactiver sa facturation. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	resourcemanager.projects.createBillingAssignment resourcemanager.projects.deleteBillingAssignment
Utilisateur de compte de facturation (`roles/billing.user`) Lorsqu'il est associé au rôle "Propriétaire de projet" ou "Gestionnaire de la facturation du projet", ce rôle permet d'associer des projets à des comptes de facturation. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Compte de facturation	billing.accounts.get billing.accounts.getiamPolicy billing.accounts.list billing.accounts.redeemPromotion billing.credits.list billing.resourceAssociations.create
Lecteur de compte de facturation (`roles/billing.viewer`) Permet d'afficher les informations sur les coûts et les tarifs du compte de facturation, les transactions, ainsi que les recommandations sur la facturation et les engagements. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Compte de facturation	billing.accounts.get billing.accounts.getCarbonInformation billing.accounts.getiamPolicy billing.accounts.getPaymentInfo billing.accounts.getPricing billing.accounts.getSpendingInformation billing.accounts.getUsageExportSpec billing.accounts.list billing.budgets.get billing.budgets.list billing.credits.list billing.resourceAssociations.list billing.subscriptions.get billing.subscriptions.list commerceoffercatalog.offers.get consumerprocurement.accounts.get consumerprocurement.accounts.list consumerprocurement.orderAttributions.get consumerprocurement.orderAttributions.list consumerprocurement.orders.get consumerprocurement.orders.list dataprocessing.datasources.get dataprocessing.datasources.list dataprocessing.groupcontrols.get dataprocessing.groupcontrols.list recommender.commitmentUtilizationInsights.get recommender.commitmentUtilizationInsights.list recommender.costInsights.get recommender.costInsights.list recommender.spendBasedCommitmentInsights.get recommender.spendBasedCommitmentInsights.list recommender.spendBasedCommitmentRecommendations.get recommender.spendBasedCommitmentRecommendations.list recommender.usageCommitmentRecommendations.get recommender.usageCommitmentRecommendations.list

Rôles d'autorisation binaire

Rôle	Autorisations
Administrateur des attesteurs de l'autorisation binaire (`roles/binaryauthorization.attestorsAdmin`) Administrateur des attesteurs de l'autorisation binaire	binaryauthorization.attestors.* resourcemanager.projects.get resourcemanager.projects.list
Éditeur des attesteurs de l'autorisation binaire (`roles/binaryauthorization.attestorsEditor`) Éditeur des attesteurs de l'autorisation binaire.	binaryauthorization.attestors.create binaryauthorization.attestors.delete binaryauthorization.attestors.get binaryauthorization.attestors.list binaryauthorization.attestors.update binaryauthorization.attestors.verifyImageAttested resourcemanager.projects.get resourcemanager.projects.list
Vérificateur d'image du certificateur de l'autorisation binaire (`roles/binaryauthorization.attestorsVerifier`) Auteur de l'appel des attestataires de l'autorisation binaire VerifyImageAttested	binaryauthorization.attestors.get binaryauthorization.attestors.list binaryauthorization.attestors.verifyImageAttested resourcemanager.projects.get resourcemanager.projects.list
Lecteur des attesteurs de l'autorisation binaire (`roles/binaryauthorization.attestorsViewer`) Lecteur des attesteurs de l'autorisation binaire.	binaryauthorization.attestors.get binaryauthorization.attestors.list resourcemanager.projects.get resourcemanager.projects.list
Administrateur de la stratégie pour l'autorisation binaire (`roles/binaryauthorization.policyAdmin`) Gère la stratégie pour l'autorisation binaire	binaryauthorization.continuousValidationConfig.* binaryauthorization.platformPolicies.* binaryauthorization.policy.* resourcemanager.projects.get resourcemanager.projects.list
Éditeur de la stratégie pour l'autorisation binaire (`roles/binaryauthorization.policyEditor`) Éditeur des règles pour l'autorisation binaire	binaryauthorization.continuousValidationConfig.get binaryauthorization.continuousValidationConfig.update binaryauthorization.platformPolicies.* binaryauthorization.policy.evaluatePolicy binaryauthorization.policy.get binaryauthorization.policy.update resourcemanager.projects.get resourcemanager.projects.list
Évaluateur de la stratégie pour l'autorisation binaire ^Bêta (`roles/binaryauthorization.policyEvaluator`) Évalue la stratégie pour l'autorisation binaire	binaryauthorization.platformPolicies.evaluatePolicy binaryauthorization.platformPolicies.get binaryauthorization.platformPolicies.list binaryauthorization.policy.evaluatePolicy binaryauthorization.policy.get resourcemanager.projects.get resourcemanager.projects.list
Lecteur de la stratégie pour l'autorisation binaire (`roles/binaryauthorization.policyViewer`) Lecteur des règles pour l'autorisation binaire	binaryauthorization.continuousValidationConfig.get binaryauthorization.platformPolicies.get binaryauthorization.platformPolicies.list binaryauthorization.policy.get resourcemanager.projects.get resourcemanager.projects.list

Rôles du service CA

Rôle	Autorisations
Administrateur du service CA (`roles/privateca.admin`) Accès complet à toutes les ressources du service CA.	privateca.* resourcemanager.projects.get resourcemanager.projects.list storage.buckets.create
Auditeur du service CA (`roles/privateca.auditor`) Accès en lecture seule à toutes les ressources du service CA.	privateca.caPools.get privateca.caPools.getIamPolicy privateca.caPools.list privateca.certificateAuthorities.get privateca.certificateAuthorities.getIamPolicy privateca.certificateAuthorities.list privateca.certificateRevocationLists.get privateca.certificateRevocationLists.getIamPolicy privateca.certificateRevocationLists.list privateca.certificateTemplates.get privateca.certificateTemplates.getIamPolicy privateca.certificateTemplates.list privateca.certificates.get privateca.certificates.getIamPolicy privateca.certificates.list privateca.locations.* privateca.operations.get privateca.operations.list privateca.reusableConfigs.get privateca.reusableConfigs.getIamPolicy privateca.reusableConfigs.list resourcemanager.projects.get resourcemanager.projects.list
Responsable des opérations du service CA (`roles/privateca.caManager`) Permet de créer et gérer des autorités de certification, de révoquer des certificats et de créer des modèles de certificat. Accorde un accès en lecture seule aux ressources du service CA.	privateca.caPools.create privateca.caPools.delete privateca.caPools.get privateca.caPools.getIamPolicy privateca.caPools.list privateca.caPools.update privateca.certificateAuthorities.create privateca.certificateAuthorities.delete privateca.certificateAuthorities.get privateca.certificateAuthorities.getIamPolicy privateca.certificateAuthorities.list privateca.certificateAuthorities.update privateca.certificateRevocationLists.get privateca.certificateRevocationLists.getIamPolicy privateca.certificateRevocationLists.list privateca.certificateRevocationLists.update privateca.certificateTemplates.create privateca.certificateTemplates.delete privateca.certificateTemplates.get privateca.certificateTemplates.getIamPolicy privateca.certificateTemplates.list privateca.certificateTemplates.update privateca.certificates.get privateca.certificates.getIamPolicy privateca.certificates.list privateca.certificates.update privateca.locations.* privateca.operations.get privateca.operations.list privateca.reusableConfigs.create privateca.reusableConfigs.delete privateca.reusableConfigs.get privateca.reusableConfigs.getIamPolicy privateca.reusableConfigs.list privateca.reusableConfigs.update resourcemanager.projects.get resourcemanager.projects.list storage.buckets.create
Gestionnaire de certificats du service CA (`roles/privateca.certificateManager`) Permet de créer des certificats et de disposer d'un accès en lecture seule aux ressources du service CA.	privateca.caPools.get privateca.caPools.getIamPolicy privateca.caPools.list privateca.certificateAuthorities.get privateca.certificateAuthorities.getIamPolicy privateca.certificateAuthorities.list privateca.certificateRevocationLists.get privateca.certificateRevocationLists.getIamPolicy privateca.certificateRevocationLists.list privateca.certificateTemplates.get privateca.certificateTemplates.getIamPolicy privateca.certificateTemplates.list privateca.certificates.create privateca.certificates.get privateca.certificates.getIamPolicy privateca.certificates.list privateca.locations.* privateca.operations.get privateca.operations.list privateca.reusableConfigs.get privateca.reusableConfigs.getIamPolicy privateca.reusableConfigs.list resourcemanager.projects.get resourcemanager.projects.list
Demandeur de certificat du service CA (`roles/privateca.certificateRequester`) Permet de demander des certificats au service CA.	privateca.certificates.create
Utilisateur du modèle de certificat du service CA (`roles/privateca.templateUser`) Permet de lire, de répertorier et d'utiliser des modèles de certificat.	privateca.certificateTemplates.get privateca.certificateTemplates.list privateca.certificateTemplates.use
Demandeur de certificat de charge de travail du service CA (`roles/privateca.workloadCertificateRequester`) Demander des certificats au service CA avec l'identité de l'appelant	privateca.certificates.createForSelf

Rôles du gestionnaire de certificats

Rôle	Autorisations
Éditeur du gestionnaire de certificats (`roles/certificatemanager.editor`) Accès en modification à toutes les ressources du gestionnaire de certificats.	certificatemanager.certmapentries.create certificatemanager.certmapentries.get certificatemanager.certmapentries.getIamPolicy certificatemanager.certmapentries.list certificatemanager.certmapentries.update certificatemanager.certmaps.create certificatemanager.certmaps.get certificatemanager.certmaps.getIamPolicy certificatemanager.certmaps.list certificatemanager.certmaps.update certificatemanager.certmaps.use certificatemanager.certs.create certificatemanager.certs.get certificatemanager.certs.getIamPolicy certificatemanager.certs.list certificatemanager.certs.update certificatemanager.certs.use certificatemanager.dnsauthorizations.create certificatemanager.dnsauthorizations.get certificatemanager.dnsauthorizations.getIamPolicy certificatemanager.dnsauthorizations.list certificatemanager.dnsauthorizations.update certificatemanager.dnsauthorizations.use certificatemanager.locations.* certificatemanager.operations.get certificatemanager.operations.list resourcemanager.projects.get resourcemanager.projects.list
Propriétaire du gestionnaire de certificats (`roles/certificatemanager.owner`) Accès complet à toutes les ressources du gestionnaire de certificats.	certificatemanager.* resourcemanager.projects.get resourcemanager.projects.list
Lecteur du gestionnaire de certificats (`roles/certificatemanager.viewer`) Accès en lecture seule à toutes les ressources du gestionnaire de certificats.	certificatemanager.certmapentries.get certificatemanager.certmapentries.getIamPolicy certificatemanager.certmapentries.list certificatemanager.certmaps.get certificatemanager.certmaps.getIamPolicy certificatemanager.certmaps.list certificatemanager.certs.get certificatemanager.certs.getIamPolicy certificatemanager.certs.list certificatemanager.dnsauthorizations.get certificatemanager.dnsauthorizations.getIamPolicy certificatemanager.dnsauthorizations.list certificatemanager.locations.* certificatemanager.operations.get certificatemanager.operations.list resourcemanager.projects.get resourcemanager.projects.list

Rôles Cloud AlloyDB

Rôle	Autorisations
Administrateur Cloud AlloyDB ^Bêta (`roles/alloydb.admin`) Accès complet à toutes les ressources Cloud AlloyDB.	alloydb.* resourcemanager.projects.get resourcemanager.projects.list
Client Cloud AlloyDB ^Bêta (`roles/alloydb.client`) Accès connecté aux instances Cloud AlloyDB.	alloydb.clusters.generateClientCertificate alloydb.clusters.get alloydb.instances.connect alloydb.instances.get resourcemanager.projects.get resourcemanager.projects.list
Lecteur Cloud AlloyDB ^Bêta (`roles/alloydb.viewer`) Accès en lecture seule à toutes les ressources Cloud AlloyDB.	alloydb.backups.get alloydb.backups.list alloydb.clusters.get alloydb.clusters.list alloydb.instances.get alloydb.instances.list alloydb.locations.* alloydb.operations.get alloydb.operations.list alloydb.supportedDatabaseFlags.* resourcemanager.projects.get resourcemanager.projects.list

Rôles Cloud Asset

Rôle	Autorisations
Propriétaire d'éléments Cloud (`roles/cloudasset.owner`) Accès complet aux métadonnées des éléments Cloud	cloudasset.* recommender.cloudAssetInsights.* recommender.locations.*
Lecteur d'éléments Cloud (`roles/cloudasset.viewer`) Accès en lecture seule aux métadonnées des éléments Cloud	cloudasset.assets.* recommender.cloudAssetInsights.get recommender.cloudAssetInsights.list recommender.locations.*

Rôles Cloud Bigtable

Rôle	Autorisations
Administrateur Bigtable (`roles/bigtable.admin`) Administre toutes les instances Bigtable d'un projet, y compris les données stockées dans les tables. Peut créer des instances. Destiné aux administrateurs de projet. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Table	bigtable.* monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get
Lecteur Bigtable (`roles/bigtable.reader`) Fournit un accès en lecture seule aux données stockées dans les tables Bigtable. Destiné aux data scientists, aux générateurs de tableaux de bord et à d'autres scénarios d'analyse de données. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Table	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.keyvisualizer.* bigtable.locations.list bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list bigtable.tables.readRows bigtable.tables.sampleRowKeys monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get
Utilisateur Bigtable (`roles/bigtable.user`) Fournit un accès en lecture/écriture aux données stockées dans les tables Bigtable. Destiné aux développeurs d'applications ou aux comptes de service. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Table	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.keyvisualizer.* bigtable.locations.list bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list bigtable.tables.mutateRows bigtable.tables.readRows bigtable.tables.sampleRowKeys monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get
Visionneur Bigtable (`roles/bigtable.viewer`) Ne fournit aucun accès aux données. Conçu comme un ensemble minimal d'autorisations permettant d'accéder à la console Google Cloud pour Bigtable. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Table	bigtable.appProfiles.get bigtable.appProfiles.list bigtable.backups.get bigtable.backups.list bigtable.clusters.get bigtable.clusters.list bigtable.instances.get bigtable.instances.list bigtable.locations.list bigtable.tables.checkConsistency bigtable.tables.generateConsistencyToken bigtable.tables.get bigtable.tables.list monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.timeSeries.list resourcemanager.projects.get

Rôles Cloud Build

Rôle	Autorisations
Validateur Cloud Build (`roles/cloudbuild.builds.approver`) Peut approuver ou rejeter les builds en attente.	cloudbuild.builds.approve cloudbuild.builds.get cloudbuild.builds.list remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list
Compte de service Cloud Build (`roles/cloudbuild.builds.builder`) Permet d'effectuer des compilations.	artifactregistry.aptartifacts.create artifactregistry.dockerimages.* artifactregistry.files.* artifactregistry.locations.* artifactregistry.mavenartifacts.* artifactregistry.npmpackages.* artifactregistry.packages.get artifactregistry.packages.list artifactregistry.pythonpackages.* artifactregistry.repositories.downloadArtifacts artifactregistry.repositories.get artifactregistry.repositories.list artifactregistry.repositories.listEffectiveTags artifactregistry.repositories.listTagBindings artifactregistry.repositories.uploadArtifacts artifactregistry.tags.create artifactregistry.tags.get artifactregistry.tags.list artifactregistry.tags.update artifactregistry.versions.get artifactregistry.versions.list artifactregistry.yumartifacts.create cloudbuild.builds.create cloudbuild.builds.get cloudbuild.builds.list cloudbuild.builds.update cloudbuild.workerpools.use containeranalysis.occurrences.create containeranalysis.occurrences.delete containeranalysis.occurrences.get containeranalysis.occurrences.list containeranalysis.occurrences.update logging.logEntries.create logging.logEntries.list logging.privateLogEntries.list logging.views.access pubsub.topics.create pubsub.topics.publish remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update
Éditeur Cloud Build (`roles/cloudbuild.builds.editor`) Permet de créer et d'annuler des compilations. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	cloudbuild.builds.create cloudbuild.builds.get cloudbuild.builds.list cloudbuild.builds.update remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list
Lecteur Cloud Build (`roles/cloudbuild.builds.viewer`) Permet d'afficher des compilations. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	cloudbuild.builds.get cloudbuild.builds.list remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list
Éditeur d'intégrations Cloud Build (`roles/cloudbuild.integrationsEditor`) Peut mettre à jour les intégrations	cloudbuild.integrations.get cloudbuild.integrations.list cloudbuild.integrations.update resourcemanager.projects.get resourcemanager.projects.list
Propriétaire d'intégrations Cloud Build (`roles/cloudbuild.integrationsOwner`) Peut créer/supprimer des intégrations	cloudbuild.integrations.* compute.firewalls.create compute.firewalls.get compute.firewalls.list compute.networks.get compute.networks.updatePolicy compute.regions.get compute.subnetworks.get compute.subnetworks.list resourcemanager.projects.get resourcemanager.projects.list
Lecteur d'intégrations Cloud Build (`roles/cloudbuild.integrationsViewer`) Peut afficher les intégrations	cloudbuild.integrations.get cloudbuild.integrations.list resourcemanager.projects.get resourcemanager.projects.list
Éditeur de pools de nœuds de calcul Cloud Build (`roles/cloudbuild.workerPoolEditor`) Peut mettre à jour et afficher les pools de nœuds de calcul	cloudbuild.workerpools.get cloudbuild.workerpools.list cloudbuild.workerpools.update resourcemanager.projects.get resourcemanager.projects.list
Propriétaire de pools de nœuds de calcul Cloud Build (`roles/cloudbuild.workerPoolOwner`) Peut créer, supprimer, mettre à jour et afficher les pools de nœuds de calcul	cloudbuild.workerpools.create cloudbuild.workerpools.delete cloudbuild.workerpools.get cloudbuild.workerpools.list cloudbuild.workerpools.update resourcemanager.projects.get resourcemanager.projects.list
Utilisateur de pools de nœuds de calcul Cloud Build (`roles/cloudbuild.workerPoolUser`) Peut exécuter des builds dans le pool de nœuds de calcul	cloudbuild.workerpools.use
Lecteur du pool de nœuds de calcul Cloud Build (`roles/cloudbuild.workerPoolViewer`) Peut afficher des pools de nœuds de calcul	cloudbuild.workerpools.get cloudbuild.workerpools.list resourcemanager.projects.get resourcemanager.projects.list

Rôles Cloud Composer

Rôle	Autorisations
Extension de l'agent de service de l'API Cloud Composer v2 (`roles/composer.ServiceAgentV2Ext`) L'extension de l'agent de service de l'API Cloud Composer v2 est un rôle complémentaire nécessaire pour gérer les environnements Composer v2.	iam.serviceAccounts.getiamPolicy iam.serviceAccounts.setIamPolicy
Administrateur Composer (`roles/composer.admin`) Permet un contrôle total des ressources Cloud Composer. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	composer.* serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Administrateur de l'environnement et des objets Storage (`roles/composer.environmentAndStorageObjectAdmin`) Permet un contrôle total des ressources Cloud Composer ainsi que des objets de tous les buckets du projet. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	composer.* orgpolicy.policy.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.multipartUploads.* storage.objects.*
Utilisateur de l'environnement et lecteur des objets Storage (`roles/composer.environmentAndStorageObjectViewer`) Fournit les autorisations nécessaires pour répertorier et obtenir les environnements et les opérations Cloud Composer. Offre un accès en lecture seule aux objets de tous les buckets du projet. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	composer.dags.* composer.environments.get composer.environments.list composer.imageversions.list composer.operations.get composer.operations.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list storage.objects.get storage.objects.list
Agent Composer dans le VPC partagé (`roles/composer.sharedVpcAgent`) Rôle qui doit être attribué au compte de service de l'agent Composer dans le projet hôte VPC partagé	compute.networks.access compute.networks.addPeering compute.networks.get compute.networks.list compute.networks.listPeeringRoutes compute.networks.removePeering compute.networks.updatePeering compute.networks.use compute.networks.useExternalIp compute.projects.get compute.regions.* compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.subnetworks.useExternalIp compute.zones.*
Utilisateur de Composer (`roles/composer.user`) Fournit les autorisations nécessaires pour répertorier et obtenir les environnements et les opérations Cloud Composer. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	composer.dags.* composer.environments.get composer.environments.list composer.imageversions.list composer.operations.get composer.operations.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Nœud de calcul Composer (`roles/composer.worker`) Fournit les autorisations nécessaires pour exécuter une VM avec environnement Cloud Composer. Destiné aux comptes de service. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	artifactregistry.* cloudbuild.builds.create cloudbuild.builds.get cloudbuild.builds.list cloudbuild.builds.update cloudbuild.workerpools.use composer.environments.get container.* containeranalysis.occurrences.create containeranalysis.occurrences.delete containeranalysis.occurrences.get containeranalysis.occurrences.list containeranalysis.occurrences.update logging.logEntries.create logging.logEntries.list logging.privateLogEntries.list logging.views.access monitoring.metricDescriptors.create monitoring.metricDescriptors.get monitoring.metricDescriptors.list monitoring.monitoredResourceDescriptors.* monitoring.timeSeries.* orgpolicy.policy.get pubsub.schemas.attach pubsub.schemas.create pubsub.schemas.delete pubsub.schemas.get pubsub.schemas.list pubsub.schemas.validate pubsub.snapshots.create pubsub.snapshots.delete pubsub.snapshots.get pubsub.snapshots.list pubsub.snapshots.seek pubsub.snapshots.update pubsub.subscriptions.consume pubsub.subscriptions.create pubsub.subscriptions.delete pubsub.subscriptions.get pubsub.subscriptions.list pubsub.subscriptions.update pubsub.topics.attachSubscription pubsub.topics.create pubsub.topics.delete pubsub.topics.detachSubscription pubsub.topics.get pubsub.topics.list pubsub.topics.publish pubsub.topics.update pubsub.topics.updateTag remotebuildexecution.blobs.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list source.repos.get source.repos.list storage.buckets.create storage.buckets.get storage.buckets.list storage.multipartUploads.* storage.objects.*

Rôles Cloud Connectors

Rôle Autorisations

Rôle	Autorisations
Administrateur de connecteurs (`roles/connectors.admin`) Accès complet à toutes les ressources du service de connecteurs.	connectors.* resourcemanager.projects.get resourcemanager.projects.list
Lecteur de connecteurs (`roles/connectors.viewer`) Accès en lecture seule à toutes les ressources de connecteurs.	connectors.connections.get connectors.connections.getConnectionSchemaMetadata connectors.connections.getIamPolicy connectors.connections.getRuntimeActionSchema connectors.connections.getRuntimeEntitySchema connectors.connections.list connectors.connectors.* connectors.locations.* connectors.operations.get connectors.operations.list connectors.providers.* connectors.runtimeconfig.get connectors.versions.* resourcemanager.projects.get resourcemanager.projects.list

Administrateur de connecteurs
(roles/connectors.admin)

Accès complet à toutes les ressources du service de connecteurs.

connectors.*
resourcemanager.projects.get
resourcemanager.projects.list

Lecteur de connecteurs
(roles/connectors.viewer)

Accès en lecture seule à toutes les ressources de connecteurs.

connectors.connections.get
connectors.connections.getConnectionSchemaMetadata
connectors.connections.getIamPolicy
connectors.connections.getRuntimeActionSchema
connectors.connections.getRuntimeEntitySchema
connectors.connections.list
connectors.connectors.*
connectors.locations.*
connectors.operations.get
connectors.operations.list
connectors.providers.*
connectors.runtimeconfig.get
connectors.versions.*
resourcemanager.projects.get
resourcemanager.projects.list

Rôles Cloud Data Fusion

Rôle Autorisations

Rôle	Autorisations
Administrateur Cloud Data Fusion ^Bêta (`roles/datafusion.admin`) Accès complet aux instances Cloud Data Fusion, aux espaces de noms et aux ressources associées. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	datafusion.* resourcemanager.projects.get resourcemanager.projects.list
Exécuteur Cloud Data Fusion ^Bêta (`roles/datafusion.runner`) Accès aux ressources d'environnement d'exécution Cloud Data Fusion.	datafusion.instances.runtime
Lecteur Cloud Data Fusion ^Bêta (`roles/datafusion.viewer`) Accès en lecture seule aux instances Cloud Data Fusion, aux espaces de noms et aux ressources associées. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	datafusion.instances.get datafusion.instances.getIamPolicy datafusion.instances.list datafusion.instances.runtime datafusion.locations.* datafusion.operations.get datafusion.operations.list resourcemanager.projects.get resourcemanager.projects.list

Administrateur Cloud Data Fusion ^Bêta
(roles/datafusion.admin)

Accès complet aux instances Cloud Data Fusion, aux espaces de noms et aux ressources associées.

Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :

Projet

datafusion.*
resourcemanager.projects.get
resourcemanager.projects.list

Exécuteur Cloud Data Fusion ^Bêta
(roles/datafusion.runner)

Accès aux ressources d'environnement d'exécution Cloud Data Fusion.

datafusion.instances.runtime

Lecteur Cloud Data Fusion ^Bêta
(roles/datafusion.viewer)

Accès en lecture seule aux instances Cloud Data Fusion, aux espaces de noms et aux ressources associées.

Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :

Projet

datafusion.instances.get
datafusion.instances.getIamPolicy
datafusion.instances.list
datafusion.instances.runtime
datafusion.locations.*
datafusion.operations.get
datafusion.operations.list
resourcemanager.projects.get
resourcemanager.projects.list

Rôles Cloud Data Labeling

Rôle	Autorisations
Administrateur du service d'étiquetage de données ^Bêta (`roles/datalabeling.admin`) Accès complet à toutes les ressources du service d'étiquetage de données	datalabeling.* resourcemanager.projects.get resourcemanager.projects.list
Éditeur du service d'étiquetage de données ^Bêta (`roles/datalabeling.editor`) Éditeur de toutes les ressources du service d'étiquetage de données	datalabeling.* resourcemanager.projects.get resourcemanager.projects.list
Lecteur du service d'étiquetage de données ^Bêta (`roles/datalabeling.viewer`) Lecteur de toutes les ressources du service d'étiquetage de données	datalabeling.annotateddatasets.get datalabeling.annotateddatasets.list datalabeling.annotationspecsets.get datalabeling.annotationspecsets.list datalabeling.dataitems.* datalabeling.datasets.get datalabeling.datasets.list datalabeling.examples.* datalabeling.instructions.get datalabeling.instructions.list datalabeling.operations.get datalabeling.operations.list resourcemanager.projects.get resourcemanager.projects.list

Rôles Cloud Dataplex

Rôle	Autorisations
Administrateur Dataplex (`roles/dataplex.admin`) Accès complet à toutes les ressources Dataplex.	cloudasset.assets.analyzeIamPolicy cloudasset.assets.searchAllIamPolicies cloudasset.assets.searchAllResources dataplex.assetActions.list dataplex.assets.create dataplex.assets.delete dataplex.assets.get dataplex.assets.getIamPolicy dataplex.assets.list dataplex.assets.setIamPolicy dataplex.assets.update dataplex.content.* dataplex.entities.* dataplex.environments.* dataplex.lakeActions.list dataplex.lakes.* dataplex.locations.* dataplex.operations.* dataplex.partitions.* dataplex.tasks.* dataplex.zoneActions.list dataplex.zones.* resourcemanager.projects.get resourcemanager.projects.list
Propriétaire de données Dataplex (`roles/dataplex.dataOwner`) Accès propriétaire aux données. À attribuer uniquement aux ressources Dataplex suivantes : lac, zone ou élément.	dataplex.assets.ownData dataplex.assets.readData dataplex.assets.writeData
Lecteur de données Dataplex (`roles/dataplex.dataReader`) Accès en lecture seule aux données. À attribuer uniquement aux ressources Dataplex suivantes : lac, zone ou élément.	dataplex.assets.readData
Rédacteur de données Dataplex (`roles/dataplex.dataWriter`) Accès en écriture aux données. À attribuer uniquement aux ressources Dataplex suivantes : lac, zone ou élément.	dataplex.assets.writeData
Développeur Dataplex (`roles/dataplex.developer`) Permet d'exécuter des charges de travail d'analyse dans un lac de données.	dataplex.content.* dataplex.environments.execute dataplex.environments.get dataplex.environments.list dataplex.tasks.cancel dataplex.tasks.create dataplex.tasks.delete dataplex.tasks.get dataplex.tasks.list dataplex.tasks.update
Éditeur Dataplex (`roles/dataplex.editor`) Accès en écriture aux ressources Dataplex.	cloudasset.assets.analyzeIamPolicy dataplex.assetActions.list dataplex.assets.create dataplex.assets.delete dataplex.assets.get dataplex.assets.getIamPolicy dataplex.assets.list dataplex.assets.update dataplex.content.delete dataplex.content.get dataplex.content.getIamPolicy dataplex.content.list dataplex.environments.create dataplex.environments.delete dataplex.environments.get dataplex.environments.getIamPolicy dataplex.environments.list dataplex.environments.update dataplex.lakeActions.list dataplex.lakes.create dataplex.lakes.delete dataplex.lakes.get dataplex.lakes.getIamPolicy dataplex.lakes.list dataplex.lakes.update dataplex.operations.* dataplex.tasks.cancel dataplex.tasks.create dataplex.tasks.delete dataplex.tasks.get dataplex.tasks.getIamPolicy dataplex.tasks.list dataplex.tasks.update dataplex.zoneActions.list dataplex.zones.create dataplex.zones.delete dataplex.zones.get dataplex.zones.getIamPolicy dataplex.zones.list dataplex.zones.update
Lecteur de métadonnées Dataplex (`roles/dataplex.metadataReader`) Accès en lecture seule aux métadonnées.	dataplex.assets.get dataplex.assets.list dataplex.entities.get dataplex.entities.list dataplex.partitions.get dataplex.partitions.list dataplex.zones.get dataplex.zones.list
Rédacteur de métadonnées Dataplex (`roles/dataplex.metadataWriter`) Accès en lecture et en écriture aux métadonnées.	dataplex.assets.get dataplex.assets.list dataplex.entities.* dataplex.partitions.* dataplex.zones.get dataplex.zones.list
Propriétaire de données de stockage Dataplex (`roles/dataplex.storageDataOwner`) Accès propriétaire aux données. Ne doit pas être utilisé directement. Ce rôle est attribué par Dataplex aux ressources gérées telles que les buckets Cloud Storage, les ensembles de données BigQuery, etc.	bigquery.datasets.get bigquery.models.create bigquery.models.delete bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.models.updateData bigquery.models.updateMetadata bigquery.routines.create bigquery.routines.delete bigquery.routines.get bigquery.routines.list bigquery.routines.update bigquery.tables.create bigquery.tables.createSnapshot bigquery.tables.delete bigquery.tables.deleteSnapshot bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.list bigquery.tables.restoreSnapshot bigquery.tables.update bigquery.tables.updateData storage.buckets.get storage.objects.create storage.objects.delete storage.objects.get storage.objects.list storage.objects.update
Lecteur de données de stockage Dataplex (`roles/dataplex.storageDataReader`) Accès en lecture seule aux données. Ne doit pas être utilisé directement. Ce rôle est attribué par Dataplex aux ressources gérées telles que les buckets Cloud Storage, les ensembles de données BigQuery, etc.	bigquery.datasets.get bigquery.models.export bigquery.models.getData bigquery.models.getMetadata bigquery.models.list bigquery.routines.get bigquery.routines.list bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.list storage.buckets.get storage.objects.get storage.objects.list
Rédacteur de données de stockage Dataplex (`roles/dataplex.storageDataWriter`) Accès en écriture aux données. Ne doit pas être utilisé directement. Ce rôle est attribué par Dataplex aux ressources gérées telles que les buckets Cloud Storage, les ensembles de données BigQuery, etc.	bigquery.tables.updateData storage.objects.create storage.objects.delete storage.objects.update
Lecteur Dataplex (`roles/dataplex.viewer`) Accès en lecture aux ressources Dataplex.	cloudasset.assets.analyzeIamPolicy dataplex.assetActions.list dataplex.assets.get dataplex.assets.getIamPolicy dataplex.assets.list dataplex.content.get dataplex.content.getIamPolicy dataplex.content.list dataplex.environments.get dataplex.environments.getIamPolicy dataplex.environments.list dataplex.lakeActions.list dataplex.lakes.get dataplex.lakes.getIamPolicy dataplex.lakes.list dataplex.operations.get dataplex.operations.list dataplex.tasks.get dataplex.tasks.getIamPolicy dataplex.tasks.list dataplex.zoneActions.list dataplex.zones.get dataplex.zones.getIamPolicy dataplex.zones.list

Rôles Cloud Debugger

Rôle Autorisations

Rôle	Autorisations
Agent Cloud Debugger ^Bêta (`roles/clouddebugger.agent`) Fournit les autorisations nécessaires pour enregistrer la cible de débogage, lire les points d'arrêt actifs et consigner les résultats des points d'arrêt. Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Compte de service	clouddebugger.breakpoints.list clouddebugger.breakpoints.listActive clouddebugger.breakpoints.update clouddebugger.debuggees.create
Utilisateur Cloud Debugger ^Bêta (`roles/clouddebugger.user`) Fournit les autorisations nécessaires pour créer, afficher, répertorier et supprimer des points d'arrêt (instantanés et points de journalisation), ainsi que pour répertorier les cibles de débogage (éléments à déboguer). Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle : Projet	clouddebugger.breakpoints.create clouddebugger.breakpoints.delete clouddebugger.breakpoints.get clouddebugger.breakpoints.list clouddebugger.debuggees.list

Agent Cloud Debugger ^Bêta
(roles/clouddebugger.agent)

Fournit les autorisations nécessaires pour enregistrer la cible de débogage, lire les points d'arrêt actifs et consigner les résultats des points d'arrêt.

Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :

Compte de service

clouddebugger.breakpoints.list
clouddebugger.breakpoints.listActive
clouddebugger.breakpoints.update
clouddebugger.debuggees.create

Utilisateur Cloud Debugger ^Bêta
(roles/clouddebugger.user)

Fournit les autorisations nécessaires pour créer, afficher, répertorier et supprimer des points d'arrêt (instantanés et points de journalisation), ainsi que pour répertorier les cibles de débogage (éléments à déboguer).

Ressources de niveau inférieur auxquelles vous pouvez attribuer ce rôle :

Projet

clouddebugger.breakpoints.create
clouddebugger.breakpoints.delete
clouddebugger.breakpoints.get
clouddebugger.breakpoints.list
clouddebugger.debuggees.list

Rôles Cloud Deploy

Rôle	Autorisations
Administrateur Cloud Deploy ^Bêta (`roles/clouddeploy.admin`) Contrôle complet des ressources Cloud Deploy.	clouddeploy.* resourcemanager.projects.get resourcemanager.projects.list
Approbateur Cloud Deploy ^Bêta (`roles/clouddeploy.approver`) Permet d'approuver ou de refuser des déploiements.	clouddeploy.locations.* clouddeploy.operations.* clouddeploy.rollouts.approve clouddeploy.rollouts.get clouddeploy.rollouts.list resourcemanager.projects.get resourcemanager.projects.list
Développeur Cloud Deploy ^Bêta (`roles/clouddeploy.developer`) Permet de gérer la configuration du déploiement, mais pas d'accéder aux ressources opérationnelles telles que les cibles.	clouddeploy.deliveryPipelines.create clouddeploy.deliveryPipelines.get clouddeploy.deliveryPipelines.getIamPolicy clouddeploy.deliveryPipelines.list clouddeploy.deliveryPipelines.update clouddeploy.locations.* clouddeploy.operations.* clouddeploy.releases.* clouddeploy.rollouts.get clouddeploy.rollouts.list resourcemanager.projects.get resourcemanager.projects.list
Exécuteur Cloud Deploy ^Bêta (`roles/clouddeploy.jobRunner`) Autorisation d'exécuter des tâches Cloud Deploy sans l'autorisation de distribuer à une cible.	logging.logEntries.create storage.objects.create storage.objects.get storage.objects.list
Opérateur Cloud Deploy ^Bêta (`roles/clouddeploy.operator`) Permet de gérer la configuration du déploiement.	clouddeploy.deliveryPipelines.create clouddeploy.deliveryPipelines.get clouddeploy.deliveryPipelines.getIamPolicy clouddeploy.deliveryPipelines.list clouddeploy.deliveryPipelines.update clouddeploy.locations.* clouddeploy.operations.* clouddeploy.releases.* clouddeploy.rollouts.create clouddeploy.rollouts.get clouddeploy.rollouts.list clouddeploy.targets.create clouddeploy.targets.get clouddeploy.targets.getIamPolicy clouddeploy.targets.list clouddeploy.targets.update resourcemanager.projects.get resourcemanager.projects.list
Lanceur Cloud Deploy ^Bêta (`roles/clouddeploy.releaser`) Permet de créer des versions et des déploiements Cloud Deploy.	clouddeploy.deliveryPipelines.get clouddeploy.locations.* clouddeploy.operations.* clouddeploy.releases.create clouddeploy.releases.get clouddeploy.releases.list clouddeploy.rollouts.create clouddeploy.rollouts.get clouddeploy.rollouts.list clouddeploy.targets.get resourcemanager.projects.get resourcemanager.projects.list
Lecteur Cloud Deploy ^Bêta (`roles/clouddeploy.viewer`) Peut consulter les ressources Cloud Deploy.	clouddeploy.config.get clouddeploy.deliveryPipelines.get clouddeploy.deliveryPipelines.getIamPolicy clouddeploy.deliveryPipelines.list clouddeploy.locations.* clouddeploy.operations.get clouddeploy.operations.list clouddeploy.releases.get clouddeploy.releases.list clouddeploy.rollouts.get clouddeploy.rollouts.list clouddeploy.targets.get clouddeploy.targets.getIamPolicy clouddeploy.targets.list resourcemanager.projects.get resourcemanager.projects.list

Rôles Cloud DLP

Rôle	Autorisations
Administrateur DLP (`roles/dlp.admin`) Administrer DLP, y compris les tâches et les modèles.	dlp.* serviceusage.services.use
Éditeur de modèles d'analyse de risque DLP (`roles/dlp.analyzeRiskTemplatesEditor`) Modifier les modèles d'analyse de risques DLP.	dlp.analyzeRiskTemplates.*
Lecteur de modèles d'analyse de risque DLP (`roles/dlp.analyzeRiskTemplatesReader`) Peut consulter les modèles d'analyse de risque DLP	dlp.analyzeRiskTemplates.get dlp.analyzeRiskTemplates.list
Lecteur de profils de données de colonne DLP (`roles/dlp.columnDataProfilesReader`) Permet d'afficher les profils de colonne DLP.	dlp.columnDataProfiles.*
Lecteur de profils de données DLP (`roles/dlp.dataProfilesReader`) Permet d'afficher les profils DLP.	dlp.columnDataProfiles.* dlp.projectDataProfiles.* dlp.tableDataProfiles.*
Éditeur de modèles de suppression de l'identification DLP (`roles/dlp.deidentifyTemplatesEditor`) Modifier les modèles de suppression de l'identification DLP.	dlp.deidentifyTemplates.*
Lecteur de modèles de suppression de l'identification DLP (`roles/dlp.deidentifyTemplatesReader`) Peut lire les modèles de suppression de l'identification DLP	dlp.deidentifyTemplates.get dlp.deidentifyTemplates.list
Estimation de coûts DLP (`roles/dlp.estimatesAdmin`) Permet de gérer les estimations de coûts DLP.	dlp.estimates.*
Lecteur de données d'inspection DLP (`roles/dlp.inspectFindingsReader`) Permet de lire les données stockées DLP.	dlp.inspectFindings.list
Éditeur de modèles d'inspection DLP (`roles/dlp.inspectTemplatesEditor`) Peut modifier les modèles d'inspection DLP	dlp.inspectTemplates.*
Lecteur de modèles d'inspection DLP (`roles/dlp.inspectTemplatesReader`) Consulter les modèles d'inspection DLP.	dlp.inspectTemplates.get dlp.inspectTemplates.list
Éditeur de déclencheurs de tâches DLP (`roles/dlp.jobTriggersEditor`) Permet de modifier les configurations des déclencheurs de tâches.	dlp.jobTriggers.*
Lecteur de déclencheurs de tâches DLP (`roles/dlp.jobTriggersReader`) Peut lire les déclencheurs de tâche.	dlp.jobTriggers.get dlp.jobTriggers.list
Éditeur de tâches DLP (`roles/dlp.jobsEditor`) Peut modifier et créer des tâches	dlp.jobs.* dlp.kms.encrypt
Lecteur de tâches DLP (`roles/dlp.jobsReader`) Peut lire des tâches.	dlp.jobs.get dlp.jobs.list
Pilote de profils de données d'organisation DLP (`roles/dlp.orgdriver`) Autorisations requises par le compte de service DLP pour générer des profils de données dans une organisation ou un dossier.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.config.get bigquery.connections.updateTag bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.jobs.create bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.jobs.listExecutionMetadata bigquery.models.* bigquery.readsessions.* bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list bigquery.routines.* bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.create bigquery.tables.createIndex bigquery.tables.createSnapshot bigquery.tables.delete bigquery.tables.deleteIndex bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list bigquery.tables.restoreSnapshot bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag bigquery.transfers.get bigquerymigration.translation.translate cloudasset.assets.* datacatalog.categories.fineGrainedGet datacatalog.entries.updateTag datacatalog.tagTemplates.create datacatalog.tagTemplates.get datacatalog.tagTemplates.getTag datacatalog.tagTemplates.use dlp.* pubsub.topics.updateTag recommender.cloudAssetInsights.get recommender.cloudAssetInsights.list recommender.locations.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use
Lecteur de profils de données de projet DLP (`roles/dlp.projectDataProfilesReader`) Permet d'afficher les profils de projet DLP.	dlp.projectDataProfiles.*
Pilote de profils de données pour les projets DLP (`roles/dlp.projectdriver`) Autorisations requises par le compte de service DLP pour générer des profils de données dans un projet.	bigquery.bireservations.get bigquery.capacityCommitments.get bigquery.capacityCommitments.list bigquery.config.get bigquery.connections.updateTag bigquery.datasets.create bigquery.datasets.get bigquery.datasets.getIamPolicy bigquery.datasets.updateTag bigquery.jobs.create bigquery.jobs.get bigquery.jobs.list bigquery.jobs.listAll bigquery.jobs.listExecutionMetadata bigquery.models.* bigquery.readsessions.* bigquery.reservationAssignments.list bigquery.reservationAssignments.search bigquery.reservations.get bigquery.reservations.list bigquery.routines.* bigquery.savedqueries.get bigquery.savedqueries.list bigquery.tables.create bigquery.tables.createIndex bigquery.tables.createSnapshot bigquery.tables.delete bigquery.tables.deleteIndex bigquery.tables.export bigquery.tables.get bigquery.tables.getData bigquery.tables.getIamPolicy bigquery.tables.list bigquery.tables.restoreSnapshot bigquery.tables.update bigquery.tables.updateData bigquery.tables.updateTag bigquery.transfers.get bigquerymigration.translation.translate cloudasset.assets.* datacatalog.categories.fineGrainedGet datacatalog.entries.updateTag datacatalog.tagTemplates.create datacatalog.tagTemplates.get datacatalog.tagTemplates.getTag datacatalog.tagTemplates.use dlp.* pubsub.topics.updateTag recommender.cloudAssetInsights.get recommender.cloudAssetInsights.list recommender.locations.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.services.use
Lecteur DLP (`roles/dlp.reader`) Peut lire les entités DLP telles que les tâches et les modèles.	dlp.analyzeRiskTemplates.get dlp.analyzeRiskTemplates.list dlp.deidentifyTemplates.get dlp.deidentifyTemplates.list dlp.inspectFindings.list dlp.inspectTemplates.get dlp.inspectTemplates.list dlp.jobTriggers.get dlp.jobTriggers.list dlp.jobs.get dlp.jobs.list dlp.locations.* dlp.storedInfoTypes.get dlp.storedInfoTypes.list
Éditeur d'infotypes stockés DLP (`roles/dlp.storedInfoTypesEditor`) Permet de modifier les infoTypes stockés DLP.	dlp.storedInfoTypes.*
Lecteur d'infotypes stockés DLP (`roles/dlp.storedInfoTypesReader`) Peut lire les infotypes stockés DLP.	dlp.storedInfoTypes.get dlp.storedInfoTypes.list
Lecteur de profils de données de table DLP (`roles/dlp.tableDataProfilesReader`) Permet d'afficher les profils de table DLP.	dlp.tableDataProfiles.*
Utilisateur DLP (`roles/dlp.user`) Inspecter des contenus, effacer des données et supprimer des éléments d'identification	dlp.kms.encrypt dlp.locations.* serviceusage.services.use

Rôles Cloud Domains

Rôle	Autorisations