In questa pagina sono descritti i ruoli IAM e vengono elencati i ruoli predefiniti che puoi concedere alle tue entità.
Un ruolo contiene un set di autorizzazioni che consente di eseguire azioni specifiche sulle risorse Google Cloud.
Per rendere disponibili le autorizzazioni per le entità, inclusi utenti, gruppi e account di servizio, devi concedere i ruoli alle entità.
Richiama il metodo dell'API REST roles.get() per elencare le autorizzazioni nel ruolo.
Solo per i ruoli di base e predefiniti: cerca nel riferimento autorizzazioni per verificare se l'autorizzazione è stata concessa dal ruolo.
Solo per i ruoli predefiniti: cerca le descrizioni dei ruoli predefinite in questa pagina per vedere quali autorizzazioni includono il ruolo.
Le sezioni seguenti descrivono ogni tipo di ruolo e forniscono esempi su come utilizzarle.
Ruoli di base
Prima dell'introduzione di
IAM venivano creati diversi ruoli di base: Proprietario, Editor e Visualizzatore. Questi ruoli sono concentrici,
ossia il ruolo Proprietario include le autorizzazioni nel ruolo Editor e
il ruolo Editor include le autorizzazioni nel ruolo Visualizzatore. Originariamente erano noti come "ruoli originari".
La tabella seguente riassume le autorizzazioni che i ruoli di base includono
in tutti i servizi Google Cloud:
Definizioni dei ruoli di base
Nome
Titolo
Autorizzazioni
roles/viewer
Visualizzatore
Autorizzazioni relative ad azioni di sola lettura senza effetto sullo stato, ad esempio la visualizzazione (ma non la modifica) di risorse o dati esistenti.
roles/editor
Editor
Tutte le autorizzazioni associate al ruolo Visualizzatore, con l'autorizzazione Più, per le azioni che modificano
lo stato, ad esempio la modifica di risorse esistenti.
Nota:
il ruolo Editor contiene le autorizzazioni per creare ed eliminare risorse per
la maggior parte dei servizi Google Cloud. Tuttavia, non contiene autorizzazioni per l'esecuzione di tutte le azioni per tutti i servizi. Per ulteriori informazioni su come verificare se un ruolo ha le autorizzazioni necessarie, consulta Tipi di ruoli in questa pagina.
roles/owner
Proprietario
Tutte le autorizzazioni di Editor e le seguenti azioni:
Gestione dei ruoli e delle autorizzazioni di un progetto e di tutte le risorse che fanno parte del progetto.
Impostazione dei pagamenti di un progetto.
Nota:
La concessione del ruolo Proprietario a livello di risorsa, ad esempio un argomento Pub/Sub, non concede il ruolo Proprietario nel progetto principale.
La concessione del ruolo di proprietario a livello di organizzazione non ti consente di aggiornare i metadati dell'organizzazione. ma consente di modificare tutti i progetti e altre risorse nell'organizzazione.
Per concedere il ruolo Proprietario su un progetto a un utente esterno all'organizzazione, devi utilizzare Cloud Console, non l'interfaccia a riga di comando gcloud. Se il tuo progetto non fa parte di un'organizzazione, devi utilizzare Cloud Console per concedere il ruolo Proprietario.
Puoi applicare i ruoli di base a livello di progetto o risorsa di servizio utilizzando Cloud Console, l'API e l'interfaccia a riga di comando gcloud. Per le istruzioni, consulta l'articolo Concedere, modificare e revocare l'accesso.
Oltre ai ruoli di base, IAM fornisce ulteriori ruoli predefiniti che consentono un accesso granulare a risorse Google Cloud specifiche, impedendo l'accesso indesiderato ad altre risorse. Questi ruoli sono
creati e gestiti da Google. Google aggiorna automaticamente le sue autorizzazioni in base alle necessità, ad esempio quando Google Cloud aggiunge nuovi servizi o nuove funzionalità.
Le seguenti tabelle elencano questi ruoli, la loro descrizione e il tipo di risorsa di livello più basso in cui è possibile impostare i ruoli. È possibile concedere un determinato ruolo a questo tipo di risorsa o, nella maggior parte dei casi, qualsiasi tipo al di sopra della gerarchia delle risorse di Google Cloud.
Puoi concedere più ruoli allo stesso utente, a qualsiasi livello della gerarchia delle risorse. Ad esempio, lo stesso utente può avere i ruoli di amministratore di rete Compute e Visualizzatore log in un progetto e anche il ruolo publisher/sub per un argomento Pub/Sub all'interno di quel progetto. Per elencare le autorizzazioni contenute in un ruolo, consulta Ottenere i metadati del ruolo.
Accesso in sola lettura a blocchi note, tutte le risorse.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Istanza
compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendbuckets.get
compute.backendbuckets.list
compute.backendServices.get
compute.backendServices.getIamPolicy
compute.backendServices.list
compute.commitments.get
compute.commitments.list
compute.diskTypes.*
compute.disks.get
compute.disks.getIamPolicy
compute.disks.list
compute.disks.listEffectiveTag
compute.disks.listTagBindings
compute.externalVpnGateways.get
compute.externalVpnGateways.list
compute.firewallPolicies.get
compute.firewallPolicies.getIamPolicy
compute.firewallPolicies.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRegole.get
compute.forwardingRegole.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalInoltroRegole.get
compute.globalInoltroRegole.list
compute.globalInoltroRegole.pscGet
compute.globalNetworkEndpointGroups.get
compute.globalNetworkEndpointGroups.list
compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.globalPublicDelegadPrefixes.get
compute.globalPublicDelegadPrefixes.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.get
compute.images.getFromFamily
compute.images.getIamPolicy
compute.images.list
compute.images.listEffectiveTag
compute.images.listTagBindings
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceTemplates.get
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instances.get
compute.instances.getEffectiveFirewalls
compute.instances.getGuestAttributes
compute.instances.getIamPolicy
compute.instances.getScreenshot
compute.instances.getSerialPortOutput
compute.instances.getShieldedInstanceIdentity
compute.instances.getShieldedVmIdentity
compute.instances.list
compute.instances.listEffectiveTag
compute.instances.listReferrer
compute.instances.listTagBindings
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.LicenseCodes.get
compute.LicenseCodes.getIamPolicy
compute.LicenseCodes.list
compute.lice.get
compute.lice.getIamPolicy
compute.lice.list
compute.machineImages.get
compute.machineImages.getIamPolicy
compute.machineImages.list
compute.machineTypes.*
compute.maintenancePolicies.get
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.networkEndpointGroups.get
compute.networkEndpointGroups.getIamPolicy
compute.networkEndpointGroups.list
compute.networks.get
compute.networks.getEffectiveFirewalls
compute.network.getRegionEffectiveFirewalls
compute.networks.list
compute.networks.listPeeringRoutes
compute.nodeGroups.get
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTypes.*
compute.organizations.listAssociations
compute.packetMirrorings.get
compute.packetMirrorings.list
compute.projects.get
compute.publicAdvertising Prefixes.get
compute.publicAdvertising Prefixes.list
compute.publicDelegadPrefixes.get
compute.publicDelegadPrefixes.list
compute.regionBackendServices.get
compute.regionBackendServices.GetIamPolicy
compute.regionBackendServices.list
compute.regionFirewallPolicies.get
compute.regionFirewallPolicies.getIamPolicy
compute.regionFirewallPolicies.list
compute.regionHealthCheckServices.get
compute.regionHealthCheckServices.list
compute.regionHealthChecks.get
compute.regionHealthChecks.list
compute.regionNetworkEndpointGroups.get
compute.regionNetworkEndpointGroups.list
compute.regionNotificationEndpoints.get
compute.regionNotificationEndpoints.list
compute.regionOperations.get
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regionSslCertificates.get
compute.regionSslCertificates.list
compute.regionTargetHttpProxies.get
compute.regionTargetHttpProxies.list
compute.regionTargetHttpsProxies.get
compute.regionTargetHttpsProxies.list
compute.regionUrlMaps.get
compute.regionUrlMaps.list
compute.regionUrlMaps.convalida
compute.regions.*
compute.reservations.get
compute.reservations.list
compute.resourcePolicies.get
compute.resourcePolicies.list
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.securityPolicies.get
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.serviceAttachments.get
compute.serviceAttachments.list
compute.snapshots.get
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.snapshots.listEffectiveTag
compute.snapshots.listTagBindings
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.targetGrpcProxies.get
compute.targetGrpcProxies.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.urlMaps.convalida
compute.vpnGateways.get
compute.vpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zones.*
notebooks.environments.get
notebooks.environments.getIamPolicy
notebooks.environments.list
notebooks.executions.get
notebooks.executions.getIamPolicy
notebooks.executions.list
notebooks.instances.checkUpgradability
notebooks.instances.get
notebooks.instances.getHealth
notebooks.instances.getIamPolicy
notebooks.instances.list
notebooks.locations.*
notebooks.operations.get
notebooks.operations.list
notebooks.runtimes.get
notebooks.runtimes.getIamPolicy
notebooks.runtimes.list
notebooks.schedules.get
notebooks.schedules.getIamPolicy
notebooks.schedules.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Ruoli AI Platform
Ruolo
Autorizzazioni
Amministratore AI Platform
(roles/ml.admin)
Fornisce accesso completo alle risorse di AI Platform, nonché a job, operazioni, modelli e versioni.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Progetto
ML.*
resourcemanager.projects.get
Sviluppatore AI Platform
(roles/ml.developer)
Offre la possibilità di utilizzare le risorse di AI Platform per creare modelli, versioni, job di addestramento e previsione e per inviare richieste di previsione online.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Progetto
ml.job
ml.job.get
ml.jobs.getIamPolicy
ml.job.list
ml.locations.*
ml.modelli.create
ml.modelli.get
ml.models.getIamPolicy
ml.modelli
ml.modelli.previsioni
ml.operations.get
ml.operations.list
ml.projects.*
ml.studi.*
ml.prove.*
ml.versions.get
ml.versions.list
ml.versioni.previsione
resourcemanager.projects.get
Proprietario del job AI Platform
(roles/ml.jobOwner)
Fornisce l'accesso completo a tutte le autorizzazioni per una particolare risorsa del job. Questo ruolo viene concesso automaticamente all'utente che crea il job.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Job
ml.jobs.*
Proprietario del modello AI Platform
(roles/ml.modelOwner)
Fornisce accesso completo al modello e alle sue versioni. Questo ruolo viene
concesso automaticamente all'utente che crea il modello.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Modello
ml.models.*
ml.versioni*.
Utente modello AI Platform
(roles/ml.modelUser)
Fornisce le autorizzazioni per leggere il modello e le sue versioni e utilizzarle per la previsione.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Modello
ml.modelli.get
ml.modelli.previsioni
ml.versions.get
ml.versions.list
ml.versioni.previsione
Proprietario operazione AI Platform
(roles/ml.operationOwner)
Fornisce accesso completo a tutte le autorizzazioni per una particolare risorsa dell'operazione.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Operazione
ml.operations.*
Visualizzatore AI Platform
(roles/ml.viewer)
Fornisce accesso in sola lettura alle risorse di AI Platform.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Accesso in lettura/scrittura/modifica a tutte le configurazioni e le impostazioni delle applicazioni.
Per eseguire il deployment di nuove versioni, un'entità deve avere il ruolo
Utente account di servizio
(roles/iam.serviceAccountUser)
nell'account di servizio predefinito di App Engine e i ruoli
Editor Cloud Build (roles/cloudbuild.builds.editor) e Cloud Storage
(roles/storage.objectAdmin) sul progetto.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Progetto
appengine.applications.get
appengine.applications.update
appengine.instances.*
appengine.operations.*
appengine.runtimes.*
appengine.services.*
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
appengine.versions.update
resourcemanager.projects.get
resourcemanager.projects.list
Autore App Engine
(roles/appengine.appCreator)
Può creare la risorsa App Engine per il progetto
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Accesso in sola lettura a tutte le impostazioni e le configurazioni delle applicazioni.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Progetto
appengine.applications.get
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
Visualizzatore del codice App Engine
(roles/appengine.codeViewer)
Accesso in sola lettura a tutta la configurazione dell'applicazione, le impostazioni e il codice sorgente sottoposto a deployment.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Progetto
appengine.applications.get
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.getFileContents
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
Deployer App Engine
(roles/appengine.deployer)
Accesso in sola lettura a tutte le impostazioni e le configurazioni delle applicazioni.
Per eseguire il deployment delle nuove versioni, devi disporre anche del ruolo
Utente account di servizio
(roles/iam.serviceAccountUser)
nell'account di servizio predefinito di App Engine, nonché
dei ruoli dell'editor di Cloud Build (roles/cloudbuild.builds.editor) e di Cloud Storage
(roles/storage.objectAdmin) sul progetto.
Impossibile modificare versioni esistenti diverse dall'eliminazione delle versioni che non ricevono traffico.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Progetto
appengine.applications.get
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.services.get
appengine.services.list
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
Amministratore del servizio App Engine
(roles/appengine.serviceAdmin)
Accesso in sola lettura a tutte le impostazioni e le configurazioni delle applicazioni.
Accesso in scrittura alle impostazioni a livello di modulo e di versione. Impossibile eseguire il deployment di una nuova versione.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Concede l'accesso completo alle risorse Assured Workloads, alle risorse CRM a livello di progetto/cartella e all'amministrazione dei criteri dell'organizzazione
Concede accesso in lettura e scrittura alle risorse Assured Workloads, alle risorse CRM a livello di progetto/cartella e all'amministrazione dei criteri dell'organizzazione
carichi di lavoro garantiti.*
orgpolicy.policy
resourcemanager.folders.create
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.projects.create
resourcemanager.projects.get
resourcemanager.projects.list
Lettore carichi di lavoro Assured
(roles/assuredworkloads.reader)
Concede l'accesso in lettura a tutte le risorse Assured Workloads e risorse CRM a livello di progetto/cartella
carichi di lavoro garantiti.
carichi di lavoro garantiti.violazioni.*
loadworkload.workload.get
Assuredworkloads.workload.list
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
Ruoli AutoML
Ruolo
Autorizzazioni
Amministratore AutoMLbeta
(roles/automl.admin)
Accesso completo a tutte le risorse AutoML
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Set di dati
Modello
AutoML.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list
Editor AutoMLBeta
(roles/automl.editor)
Editor di tutte le risorse AutoML
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Set di dati
Modello
automl.annotationSpecs.*
automl.annotations.*
automl.columnSpecs.*
automl.set.create
automl.set.delete
automl.datasets.export
automl.set.get
automl.dataset.import
automl.set di dati.list
automl.dataset.update
automl.examples.*
automl.HumanAnnotationTasks.*
automl.locations.get
automl.locations.list
automl.modelTests.*
automl.models.create
automl.models.delete
automl.models.deploy
automl.models.export
automl.modelli.get
automl.models.list
automl.models.predict
automl.models.undeploy
automl.operations.*
automl.tableSpecs.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list
Previsione del machine learningBeta
(roles/automl.predictor)
Previsioni utilizzando modelli
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Modello
automl.models.predict
resourcemanager.projects.get
resourcemanager.projects.list
Visualizzatore AutoMLbeta
(roles/automl.viewer)
Visualizzatore di tutte le risorse AutoML
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Set di dati
Modello
automl.annotationSpecs.get
automl.annotationSpecs.list
automl.annotations.list
automl.columnSpecs.get
automl.columnSpecs.list
automl.set.get
automl.set di dati.list
automl.examples.get
automl.examples.list
automl.HumanAnnotationTasks.get
automl.HumanAnnotationTasks.list
automl.locations.get
automl.locations.list
automl.modelTests.get
automl.modelTests.list
automl.modelli.get
automl.models.list
automl.operations.get
automl.operations.list
automl.tableSpecs.get
automl.tableSpecs.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list
Ruoli di backup per GKE
Ruolo
Autorizzazioni
Amministratore Backup per GKEbeta
(roles/gkebackup.admin)
Accesso completo a tutte le risorse di Backup for GKE.
gkebackup.*
resourcemanager.projects.get
resourcemanager.projects.list
Amministratore backup di Backup for GKEbeta
(roles/gkebackup.backupAdmin)
Consente agli amministratori di gestire tutte le risorse BackupPlan e Backup.
gkebackup.backupPlans.*
gkebackup.backups.*
gkebackup.locations.*
gkebackup.operations.get
gkebackup.operations.list
gkebackup.volumeBackups.*
resourcemanager.projects.get
resourcemanager.projects.list
Backup per GKE con delega di amministratore di backupbeta
(roles/gkebackup.delegatedBackupAdmin)
Consente agli amministratori di gestire le risorse Backup per risorse BackupPlan specifiche
gkebackup.backupPlans.get
gkebackup.backups.*
gkebackup.volumeBackups.*
Backup per delega ripristino amministratore GKEbeta
(roles/gkebackup.delegatedRestoreAdmin)
Consente agli amministratori di gestire le risorse Restore per risorse RestorePlan specifiche
gkebackup.restorePlans.get
gkebackup.restores.*
gkebackup.volumeRestores*
Amministratore ripristino Backup per GKEbeta
(roles/gkebackup.restoreAdmin)
Consente agli amministratori di gestire tutte le risorse RestorePlan e Restore.
gkebackup.backupPlans.get
gkebackup.backupPlans.list
gkebackup.backups.get
gkebackup.backups.list
gkebackup.locations.*
gkebackup.operations.get
gkebackup.operations.list
gkebackup.restorePlans.*
gkebackup.restores.*
gkebackup.volumeBackups.*
gkebackup.volumeRestores*
resourcemanager.projects.get
resourcemanager.projects.list
Visualizzatore Backup per GKEbeta
(roles/gkebackup.viewer)
Accesso in sola lettura a tutte le risorse di Backup for GKE.
gkebackup.backupPlans.get
gkebackup.backupPlans.getIamPolicy
gkebackup.backupPlans.list
gkebackup.backups.get
gkebackup.backups.list
gkebackup.locations.*
gkebackup.operations.get
gkebackup.operations.list
gkebackup.restorePlans.get
gkebackup.restorePlans.getIamPolicy
gkebackup.restorePlans.list
gkebackup.restores.get
gkebackup.restores.list
gkebackup.volumeBackups.*
gkebackup.volumeRestores*
resourcemanager.projects.get
resourcemanager.projects.list
Ruoli BigQuery
Ruolo
Autorizzazioni
Amministratore BigQuery
(roles/bigquery.admin)
Fornisce le autorizzazioni per gestire tutte le risorse all'interno del progetto. Può gestire tutti i dati all'interno del progetto e può annullare job di altri utenti all'interno del progetto.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Quando viene applicato a una tabella o a una vista, questo ruolo fornisce le autorizzazioni per:
Leggere e aggiornare i dati e i metadati della tabella o della visualizzazione.
Elimina la tabella o la vista.
Questo ruolo non può essere applicato a singoli modelli o routine.
Quando viene applicato a un set di dati, questo ruolo fornisce le autorizzazioni per:
Leggi i metadati e le tabelle degli elenchi del set di dati nel set di dati.
Crea, aggiorna, recupera ed elimina le tabelle del set di dati.
Se applicato a livello di progetto o di organizzazione, questo ruolo può anche creare nuovi set di dati.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Tabella
Visualizza
bigquery.config.get
bigquery.set.create
bigquery.set.get
bigquery.set.getIamPolicy
bigquery.set.updateTag
bigquery.models.*
bigquery.routines.*
bigquery.tables.create
bigquery.tables.createIndex
bigquery.tables.createSnapshot
bigquery.tables.delete
bigquery.tables.deleteIndex
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.getIamPolicy
bigquery.tables.list
bigquery.tables.restoreSnapshot
bigquery.tables.update
bigquery.tables.updateData
bigquery.tables.updateTag
resourcemanager.projects.get
resourcemanager.projects.list
Proprietario dati BigQuery
(roles/bigquery.dataOwner)
Quando viene applicato a una tabella o a una vista, questo ruolo fornisce le autorizzazioni per:
Leggere e aggiornare i dati e i metadati della tabella o della visualizzazione.
Condividi la tabella o la vista.
Elimina la tabella o la vista.
Questo ruolo non può essere applicato a singoli modelli o routine.
Quando viene applicato a un set di dati, questo ruolo fornisce le autorizzazioni per:
Leggere, aggiornare ed eliminare il set di dati.
Crea, aggiorna, recupera ed elimina le tabelle del set di dati.
Se applicato a livello di progetto o di organizzazione, questo ruolo può anche creare nuovi set di dati.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Tabella
Visualizza
bigquery.config.get
bigquery.dataPolicies.create
bigquery.dataPolicies.delete
bigquery.dataPolicies.get
bigquery.dataPolicies.getIamPolicy
bigquery.dataPolicies.list
bigquery.dataPolicies.setIamPolicy
bigquery.dataPolicies.update
bigquery.set.*
bigquery.models.*
bigquery.routines.*
bigquery.rowAccessPolicies.create
bigquery.rowAccessPolicies.delete
bigquery.rowAccessPolicies.getIamPolicy
bigquery.rowAccessPolicies.list
bigquery.rowAccessPolicies.setIamPolicy
bigquery.rowAccessPolicies.update
bigquery.tables.*
resourcemanager.projects.get
resourcemanager.projects.list
Visualizzatore dati BigQuery
(roles/bigquery.dataViewer)
Quando viene applicato a una tabella o a una vista, questo ruolo fornisce le autorizzazioni per:
Leggere dati e metadati dalla tabella o dalla visualizzazione.
Questo ruolo non può essere applicato a singoli modelli o routine.
Quando viene applicato a un set di dati, questo ruolo fornisce le autorizzazioni per:
Leggi i metadati e le tabelle degli elenchi del set di dati nel set di dati.
Lettura di dati e metadati dalle tabelle del set di dati.
Se applicato a livello di progetto o di organizzazione, questo ruolo può anche enumerare tutti i set di dati nel progetto. Tuttavia, sono necessari ulteriori ruoli per consentire l'esecuzione dei job.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Tabella
Visualizza
bigquery.set.get
bigquery.set.getIamPolicy
bigquery.models.export
bigquery.models.getData
bigquery.models.getMetadata
bigquery.models.list
bigquery.routines.get
bigquery.routines.list
bigquery.tables.createSnapshot
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.getIamPolicy
bigquery.tables.list
resourcemanager.projects.get
resourcemanager.projects.list
Visualizzatore dati filtrati di BigQuery
(roles/bigquery.filteredDataViewer)
Accesso per visualizzare i dati delle tabelle filtrati definiti da un criterio di accesso alle righe
bigquery.rowAccessPolicies.getFilteredData
Utente job BigQuery
(roles/bigquery.jobUser)
Fornisce le autorizzazioni per eseguire job, incluse le query, all'interno del progetto.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Consente di visualizzare tutte le risorse BigQuery, ma non di apportare modifiche o prendere decisioni di acquisto.
bigquery.bireservations.get
bigquery.capacityCommitments.get
bigquery.capacityCommitments.list
bigquery.jobs.get
bigquery.jobs.list
bigquery.jobs.listAll
bigquery.jobs.listExecutionMetadata
bigquery.reservationAssignments.list
bigquery.reservationAssignments.search
bigquery.reservations.get
bigquery.reservations.list
resourcemanager.projects.get
resourcemanager.projects.list
Utente BigQuery
(roles/bigquery.user)
Se applicato a un set di dati, questo ruolo consente di leggere i metadati e le tabelle degli elenchi del set di dati nel set di dati.
Se applicato a un progetto, questo ruolo consente anche di eseguire job, incluse le query, all'interno del progetto. Un'entità con questo ruolo può enumerare i propri job, annullare i propri job ed enumerare i set di dati all'interno di un progetto. Inoltre, consente la creazione di nuovi set di dati all'interno del progetto. Al creatore viene concesso il ruolo Proprietario dati BigQuery (roles/bigquery.dataOwner) su questi nuovi set di dati.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Accesso in lettura mascherato alle risorse secondarie taggate dal tag di criteri associato a un criterio di dati, ad esempio le colonne BigQuery.
bigquery.dataPolicies.maskedGet
Ruoli di fatturazione
Ruolo
Autorizzazioni
Amministratore account di fatturazione
(roles/billing.admin)
Fornisce l'accesso necessario per visualizzare e gestire tutti gli aspetti degli account di fatturazione.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Account di fatturazione
billing.accounts.close
billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.getPaymentInfo
billing.accounts.getPrice
billing.accounts.getSpendingInformation
billing.accounts.getUsageExportSpec
billing.accounts.list
billing.accounts.move
billing.accounts.redeemPromotion
billing.accounts.removeFromOrganization
billing.accounts.reopen
billing.accounts.setIamPolicy
billing.accounts.update
billing.accounts.updatePaymentInfo
billing.accounts.updateUsageExportSpec
fatturazione.budget.*
billing.credits.*
billing.resourceAssociazioni.*
billing.subscriptions.*
notifiche cloud.*
commerceoffercatalog.*
consumerprocurement.accounts.*
consumerprocurement.orderAttributions.*
consumerprocurement.orders.*
dataprocessing.datasources.get
dataprocessing.datasources.list
dataprocessing.groupcontrols.get
dataprocessing.groupcontrols.list
logging.logEntries.list
logging.logServiceIndexes.*
logging.logServices*
logging.logs.list
logging.privateLogEntries.*
motore per suggerimenti.commitmentUtilizationInsights.*
motore per suggerimenti.costInsights.*
motore per suggerimenti.spendBasedCommitmentInsights.*
motore per suggerimenti.spendBasedCommitmentRecommendations.*
motore per suggerimenti.usageCommitmentRecommendations.*
resourcemanager.projects.createBillingAssignment
resourcemanager.projects.deleteBillingAssignment
Gestore costi account di fatturazione
(roles/billing.costsManager)
Gestire i budget di un account di fatturazione e visualizzare, analizzare ed esportare le informazioni sui costi di un account di fatturazione.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Account di fatturazione
billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.getSpendingInformation
billing.accounts.getUsageExportSpec
billing.accounts.list
billing.accounts.updateUsageExportSpec
fatturazione.budget.*
billing.resourceAssociations.list
motore per suggerimenti.costInsights.*
Creatore account di fatturazione
(roles/billing.creator)
Fornisce l'accesso per creare gli account di fatturazione.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Organizzazione
billing.accounts.create
resourcemanager.organizations.get
Gestore di fatturazione del progetto
(roles/billing.projectManager)
Se concesso in combinazione con il ruolo Utente account di fatturazione, consente di assegnare l'account di fatturazione di un progetto o di disattivarlo.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Progetto
resourcemanager.projects.createBillingAssignment
resourcemanager.projects.deleteBillingAssignment
Utente account di fatturazione
(roles/billing.user)
Se concesso insieme al ruolo Proprietario del progetto o Gestore della fatturazione del progetto, fornisce l'accesso per associare i progetti agli account di fatturazione.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Account di fatturazione
billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.list
billing.accounts.redeemPromotion
billing.credits.*
billing.resourceAssociations.create
Visualizzatore account di fatturazione
(roles/billing.viewer)
Visualizza i dati relativi a costi e prezzi dell'account di fatturazione, transazioni e consigli su fatturazione e impegno.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Account di fatturazione
billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.getPaymentInfo
billing.accounts.getPrice
billing.accounts.getSpendingInformation
billing.accounts.getUsageExportSpec
billing.accounts.list
billing.budgets.get
billing.budgets.list
billing.credits.*
billing.resourceAssociations.list
billing.subscriptions.get
billing.subscriptions.list
commerceoffercatalog.*
consumerprocurement.accounts.get
consumerprocurement.accounts.list
consumerprocurement.orderAttributions.get
consumerprocurement.list Attributions.list
consumerprocurement.orders.get
consumerprocurement.orders.list
dataprocessing.datasources.get
dataprocessing.datasources.list
dataprocessing.groupcontrols.get
dataprocessing.groupcontrols.list
motore per suggerimenti.commitmentUtilizationInsights.get
motore per suggerimenti.commitmentUtilizationInsights.elenco
suggerimenti.costInsights.get
recommender.costInsights.list
motore per suggerimenti.spendBasedCommitmentInsights.get
motore per suggerimenti.spendBasedCommitmentInsights.elenco
motore per suggerimenti.spendBasedCommitmentRecommendations.get
motore per suggerimenti.spendBasedCommitmentRecommendations.elenco
motore per suggerimenti.usageCommitmentRecommendations.get
motore per suggerimenti.usageCommitmentRecommendations.list
Accesso in sola lettura ai metadati degli asset cloud
cloudasset.assets.*
Motore per suggerimenti.cloudAssetInsights.get
Motore per suggerimenti.cloudAssetInsights.list
consiglier.località.*
Ruoli Cloud Bigtable
Ruolo
Autorizzazioni
Amministratore di Bigtable
(roles/bigtable.admin)
Amministrare tutte le istanze di un progetto, inclusi i dati archiviati nelle tabelle. Può creare nuove istanze. Il documento è concepito per gli amministratori di progetti.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Tabella
bigtable.*
monitor.metricDescriptors.get
monitor.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Lettore Bigtable
(roles/bigtable.reader)
Fornisce l'accesso in sola lettura ai dati archiviati nelle tabelle. Il documento è concepito per data scientist, generatori di dashboard e altri scenari di analisi dei dati.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Tabella
bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.backups.get
bigtable.backups.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.keyvisualizer.*
bigtable.locations.*
bigtable.tables.checkCoerenza
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
bigtable.tables.readRows
bigtable.tables.sampleRowKeys
monitor.metricDescriptors.get
monitor.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Utente Bigtable
(roles/bigtable.user)
Fornisce l'accesso in lettura/scrittura ai dati archiviati nelle tabelle. Il documento è destinato agli sviluppatori di applicazioni o agli account di servizio.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Tabella
bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.backups.get
bigtable.backups.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.keyvisualizer.*
bigtable.locations.*
bigtable.tables.checkCoerenza
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
bigtable.tables.mutateRows
bigtable.tables.readRows
bigtable.tables.sampleRowKeys
monitor.metricDescriptors.get
monitor.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Visualizzatore Bigtable
(roles/bigtable.viewer)
Non offre accesso ai dati. Ideale come set minimo di autorizzazioni per accedere a Cloud Console per Bigtable.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Tabella
bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.backups.get
bigtable.backups.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.locations.*
bigtable.tables.checkCoerenza
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
monitor.metricDescriptors.get
monitor.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
Ruoli di Cloud Build
Ruolo
Autorizzazioni
Approvatore di Cloud Build
(roles/cloudbuild.builds.approver)
Può approvare o rifiutare build in sospeso.
cloudbuild.builds.approva
cloudbuild.builds.get
cloudbuild.builds.list
remotebuildexecution.blobs.get
resourcemanager.projects.get
resourcemanager.projects.list
Account di servizio Cloud Build
(roles/cloudbuild.builds.builder)
Fornisce l'accesso per eseguire le build.
artefatti.aptartifacts.*
artifactregistry.dockerimages.*
file.artifactregistry.*
artifactregistry.locations.*
artifactregistry.packages.get
artifactregistry.packages.list
artefatti.repository.downloadartefatti
artifactregistry.repositories.get
artifactregistry.repositories.list
artefatti.repository.listEffectiveTag
artefatti.repository.listTagBindings
artefatti.repository.uploadArtifact
artifactregistry.tags.create
artifactregistry.tags.get
artifactregistry.tags.list
artifactregistry.tags.update
artifactregistry.versions.get
artifactregistry.versions.list
artefatti.yumartifacts.*
cloudbuild.builds.create
cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.update
cloudbuild.workerpools.use
containeranalysis.instances.create
containeranalysis.instances.delete
containeranalysis.instances.get
containeranalysis.instances.list
containeranalysis.instances.update
logging.logEntries.create
logging.logEntries.list
logging.privateLogEntries.*
logging.views.access
pubsub.topics.create
pubsub.topics.publish
remotebuildexecution.blobs.get
resourcemanager.projects.get
resourcemanager.projects.list
sorgente.repos.get
sorgente.repos.list
storage.buckets.create
storage.buckets.get
storage.buckets.list
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.update
Editor di Cloud Build
(roles/cloudbuild.builds.editor)
Fornisce l'accesso per creare e annullare le build.
Risorse di livello inferiore in cui puoi concedere questo ruolo:
Editor pool di worker di Cloud Build
(roles/cloudbuild.workerPoolEditor)
Può aggiornare e visualizzare i pool di worker
cloudbuild.workerpools.get
cloudbuild.workerpools.list
cloudbuild.workerpools.update
resourcemanager.projects.get
resourcemanager.projects.list
Proprietario pool di worker di Cloud Build
(roles/cloudbuild.workerPoolOwner)
Può creare, eliminare, aggiornare e visualizzare i pool di worker
cloudbuild.workerpools.create
cloudbuild.workerpools.delete
cloudbuild.workerpools.get
cloudbuild.workerpools.list
cloudbuild.workerpools.update
resourcemanager.projects.get
resourcemanager.projects.list
Utente pool di worker Cloud Build
(roles/cloudbuild.workerPoolUser)
Può eseguire build nel pool di worker
cloudbuild.workerpools.use
Visualizzatore pool di worker Cloud Build
(roles/cloudbuild.workerPoolViewer)
Può visualizzare pool di worker
cloudbuild.workerpools.get
cloudbuild.workerpools.list
resourcemanager.projects.get
resourcemanager.projects.list
Ruoli di Cloud Composer
Ruolo
Autorizzazioni
Estensione agente di servizio API Cloud Composer v2
(roles/composer.ServiceAgentV2Ext)
L'estensione agente di servizio API Cloud Composer v2 è un ruolo aggiuntivo necessario per gestire gli ambienti Composer v2.
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.setIamPolicy
Amministratore compositore
(roles/composer.admin)
Offre il controllo completo delle risorse Cloud Composer.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Progetto
compositore.*
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Amministratore di oggetti di archiviazione e ambiente
(roles/composer.environmentAndStorageObjectAdmin)
Offre il controllo completo delle risorse Cloud Composer e degli oggetti in tutti i bucket di progetto.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Progetto
compositore.*
orgpolicy.policy.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.multipartUploads.*
storage.objects.*
Visualizzatore oggetti utente e archiviazione dell'ambiente
(roles/composer.environmentAndStorageObjectViewer)
Fornisce le autorizzazioni necessarie per elencare e ottenere ambienti e operazioni di Cloud Composer.
Fornisce l'accesso di sola lettura agli oggetti in tutti i bucket di progetto.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Progetto
compositore.dags.*
compositore.ambient.get
compositore.ambient.list
compositore.imageversions.*
compositore.operations.get
compositore.operazioni.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.objects.get
storage.objects.list
Agente VPC condiviso del compositore
(roles/composer.sharedVpcAgent)
Ruolo da assegnare all'account di servizio dell'agente Composer nel progetto host VPC condiviso
compute.networks.access
compute.networks.addPeering
compute.networks.get
compute.networks.list
compute.networks.listPeeringRoutes
compute.networks.removePeering
compute.networks.updatePeering
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.regions.*
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.zones.*
Utente compositore
(roles/composer.user)
Fornisce le autorizzazioni necessarie per elencare e ottenere ambienti e operazioni di Cloud Composer.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Progetto
compositore.dags.*
compositore.ambient.get
compositore.ambient.list
compositore.imageversions.*
compositore.operations.get
compositore.operazioni.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
Worker compositore
(roles/composer.worker)
Fornisce le autorizzazioni necessarie per eseguire una VM dell'ambiente Cloud Composer. Destinato agli account di servizio.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Proprietario dati Dataplex Storage
(roles/dataplex.storageDataOwner)
Accesso come proprietario ai dati. Non deve essere utilizzato direttamente. Questo ruolo viene concesso da Dataplex a risorse gestite come bucket Cloud Storage, set di dati BigQuery e così via.
bigquery.set.get
bigquery.models.create
bigquery.models.delete
bigquery.models.export
bigquery.models.getData
bigquery.models.getMetadata
bigquery.models.list
bigquery.models.updateData
bigquery.models.updateMetadata
bigquery.routines.create
bigquery.routines.delete
bigquery.routines.get
bigquery.routines.list
bigquery.routines.update
bigquery.tables.create
bigquery.tables.createSnapshot
bigquery.tables.delete
bigquery.tables.deleteSnapshot
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.list
bigquery.tables.restoreSnapshot
bigquery.tables.update
bigquery.tables.updateData
storage.buckets.get
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.update
Lettore dati Dataplex Storage
(roles/dataplex.storageDataReader)
Accesso di sola lettura ai dati. Non deve essere utilizzato direttamente. Questo ruolo viene concesso da Dataplex a risorse gestite come bucket Cloud Storage, set di dati BigQuery e così via.
bigquery.set.get
bigquery.models.export
bigquery.models.getData
bigquery.models.getMetadata
bigquery.models.list
bigquery.routines.get
bigquery.routines.list
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.list
storage.buckets.get
storage.objects.get
storage.objects.list
Writer dati Dataplex Storage
(roles/dataplex.storageDataWriter)
Accesso in scrittura ai dati. Non deve essere utilizzato direttamente. Questo ruolo viene concesso da Dataplex a risorse gestite come bucket Cloud Storage, set di dati BigQuery e così via.
Fornisce le autorizzazioni per registrare la destinazione di debug, leggere i punti di interruzione attivi e segnalare i risultati del punto di interruzione.
Risorse di livello inferiore a cui puoi concedere questo ruolo:
Fornisce le autorizzazioni per creare, visualizzare, elencare ed eliminare punti di interruzione (snapshot e punti di log), nonché destinazioni di debug dell'elenco (debugge).
Risorse di livello inferiore a cui puoi concedere questo ruolo: