Como entender os papéis

Com o Cloud IAM, o método Cloud API requer que a identidade que solicita a API tenha as permissões apropriadas para usar o recurso. Você pode conceder permissões ao atribuir papéis a um usuário, grupo ou conta de serviço.

Esta página descreve os papéis do Cloud IAM que você pode atribuir a identidades para acessar os recursos do Cloud Platform.

Pré-requisito para este guia

Papéis primários

Papéis que existiam antes do Cloud IAM. Os de Proprietário, Editor e Visualizador continuarão a funcionar como antes. Esses papéis são concêntricos, isto é, o de Proprietário inclui as permissões no papel de Editor, e o de Editor no de Visualizador.

Na tabela abaixo, é apresentado um resumo das permissões que os papéis primitivos têm em todos os serviços do Cloud Platform:

Definições de papel primitivo

Nome do papel Título do papel Permissões
roles/viewer Visualizador Permissões para ações somente leitura que preservam o estado.
roles/editor Editor Todas as permissões de leitor e para ações que modificam o estado.
roles/owner Proprietário Todas as permissões de editor e para as seguintes ações:
  • Gerenciar papéis e permissões para um projeto e todos os recursos dentro do projeto.
  • Configurar o faturamento de um projeto.
Observação:
  • Conceder o papel de proprietário em um nível de recurso, como um tópico do Cloud Pub/Sub, não concede o papel de proprietário no projeto pai.
  • O papel de proprietário não contém permissão para o recurso da organização. Portanto, atribuir esse papel no nível da organização não permite que você atualize os metadados dela. Porém, permite que você modifique projetos dessa organização.

Você pode aplicar papéis primários no nível do projeto usando o Console do GCP, a API e a ferramenta de linha de comando gcloud.

Fluxo de convites

Não é possível conceder o papel de proprietário a um membro para um projeto usando a Cloud IAM API ou a ferramenta de linha de comando gcloud. Você só pode adicionar proprietários de um projeto usando o Console do GCP. Será enviado um convite por e-mail para o membro, que precisará aceitar para se tornar proprietário do projeto.

E-mails de convite não serão enviados nos seguintes casos:

  • Quando você está atribuindo um papel que não seja o de proprietário.
  • Quando o proprietário de uma organização adiciona outro membro dela como proprietário de um projeto dessa organização.

Papéis predefinidos

Além dos papéis primários, o Cloud IAM oferece papéis adicionais pré-definidos que dão acesso granular a recursos específicos do Google Cloud Platform e impedem acesso indesejado a outros recursos.

A tabela a seguir lista esses papéis, as respectivas descrições e o tipo de recurso em que os papéis podem ser definidos. É possível atribuir papéis múltiplos ao mesmo usuário. Por exemplo: o mesmo usuário pode ter papéis de Administrador de rede e de Visualizador de registros em um projeto e também o de Editor em um tópico do Pub/Sub nesse projeto. Para ver uma lista de permissões contidas em um papel, consulte Como conseguir os metadados do papel.

Papéis do projeto

Nome do papel Título do papel Descrição Tipo de recurso
roles/
browser
Beta
Navegador Acesso de leitura para navegar na hierarquia de um projeto, incluindo a pasta, a organização e a política do Cloud IAM. Este papel não inclui permissão para visualizar recursos no projeto. Organização
Projeto
roles/
iam.serviceAccountActor
Agente da conta de serviço

Este papel está obsoleto. Caso precise executar as operações como conta de serviço, use o papel de Usuário da conta de serviço. Para fornecer de maneira efetiva as mesmas permissões do Agente da conta de serviço, você também precisa conceder o Criador de token da conta de serviço.

Projeto
Conta de serviço

Papéis do App Engine

Nome do papel Título do papel Descrição Tipo de recurso
roles/
appengine.appAdmin
Administrador do App Engine Ler/gravar/modificar acesso a todas as configurações do aplicativo. Organização
Projeto
roles/
appengine.serviceAdmin
Administrador de serviço do App Engine Acesso somente leitura a todas as configurações do aplicativo.
Acesso de gravação a configurações de módulo e versão. Não é possível implantar uma nova versão.
Organização
Projeto
roles/
appengine.deployer
Implantador do App Engine Acesso somente leitura a todas as configurações do aplicativo.
Acesso somente gravação para criar uma nova versão. Não é possível modificar versões existentes que não sejam versões de exclusão que não estão recebendo tráfego.
Organização
Projeto
roles/
appengine.appViewer
Visualizador no App Engine Acesso somente de leitura a todas as configurações do aplicativo. Organização
Projeto
roles/
appengine.codeViewer
Leitor de código do App Engine Acesso somente leitura a todas as configurações do aplicativo e do código-fonte implantado. Organização
Projeto

Papéis do BigQuery

Nome do papel Título do papel Descrição Tipo de recurso
roles/
bigquery.user
Usuário do BigQuery Concede permissões para executar jobs, incluindo consultas, no projeto. Esse papel do usuário pode enumerar e cancelar os próprios jobs e enumerar conjuntos de dados dentro de um projeto. Além disso, permite a criação de novos conjuntos de dados dentro do projeto. O criador recebe o papel bigquery.dataOwner para esses conjuntos. Organização
Projeto
roles/
bigquery.jobUser
Usuário de jobs do BigQuery Concede permissões para executar jobs, incluindo consultas, no projeto. O papel jobUser pode enumerar e cancelar seus próprios jobs. Organização
Projeto
roles/
bigquery.dataViewer
Visualizador de dados do BigQuery

Quando aplicado a um conjunto de dados, o Visualizador de dados concede permissões para:

  • ler os metadados do conjunto de dados e listar tabelas nele;
  • ler dados e metadados das tabelas do conjunto de dados.

Quando aplicado no nível do projeto ou organização, esse papel também pode enumerar todos os conjuntos de dados no projeto. Mas, são necessários papéis adicionais para permitir a execução de jobs.

Organização
Projeto
Conjunto de dados
roles/
bigquery.dataEditor
Editor de dados do BigQuery

Quando aplicado a um conjunto de dados, o Editor de dados concede permissões para:

  • ler os metadados do conjunto de dados e listar tabelas nele;
  • criar, atualizar, salvar e excluir as tabelas do conjunto de dados.

Quando aplicado no nível de um projeto ou de uma organização, esse papel também pode criar novos conjuntos de dados.

Organização
Projeto
Conjunto de dados
roles/
bigquery.dataOwner
Proprietário de dados do BigQuery

Quando aplicado a um conjunto de dados, o Proprietário de dados concede permissões para:

  • ler, atualizar e excluir o conjunto de dados;
  • criar, atualizar, salvar e excluir as tabelas do conjunto de dados.

Quando aplicado no nível de um projeto ou de uma organização, esse papel também pode criar novos conjuntos de dados.

Organização
Projeto
Conjunto de dados
roles/
bigquery.admin
Administrador do BigQuery Concede permissões para gerenciar todos os recursos no projeto. É possível gerenciar todos os dados no projeto e cancelar jobs de outros usuários sendo executados nele. Organização
Projeto

Papéis do Cloud Bigtable

Nome do papel Título do papel Descrição Tipo de recurso
roles/
bigtable.admin
Administrador do Cloud Bigtable Administra todas as instâncias de um projeto, incluindo os dados armazenados nas tabelas. Pode criar novas instâncias. Destina-se a administradores de projeto. Organização
Projeto
Instância
roles/
bigtable.user
Usuário do Cloud Bigtable Dá acesso de leitura e gravação aos dados armazenados em tabelas. É destinado a desenvolvedores de aplicativos ou contas de serviço. Organização
Projeto
Instância
roles/
bigtable.reader
Leitor do Cloud Bigtable Dá acesso somente leitura aos dados armazenados em tabelas. É destinado a analistas de dados, geradores de painéis e outros cenários de análise de dados. Organização
Projeto
Instância

Papéis do Cloud Billing

Nome do papel Título do papel Descrição Tipo de recurso
roles/
billing.admin
Administrador da conta de faturamento Dá acesso para ver e gerenciar todos os aspectos das contas de faturamento. Organização
Conta de faturamento
roles/
billing.projectManager
Gerente de faturamento do projeto Dá acesso para atribuir uma conta de faturamento de um projeto ou desativar o faturamento. Organização
Projeto
roles/
billing.user
Usuário da conta de faturamento Dá acesso para associar projetos com contas de faturamento. Organização
Conta de faturamento
roles/
billing.creator
Criador da conta de faturamento Dá acesso para criar contas de faturamento. Organização
Projeto

Papéis do Cloud Dataflow

Nome do papel Título do papel Descrição Tipo de recurso
roles/
dataflow.viewer
Leitor do Cloud Dataflow Dá acesso somente leitura a todos os recursos relacionados ao Cloud Dataflow. Organização
Projeto
roles/
dataflow.developer
Desenvolvedor do Cloud Dataflow Concede as permissões necessárias para executar e manipular jobs do Cloud Dataflow. Organização
Projeto
roles/
dataflow.worker
Trabalhador do Cloud Dataflow Concede as permissões necessárias para que uma conta de serviço do Compute Engine execute unidades de trabalho para um fluxo do Cloud Dataflow. Organização
Projeto

Papéis do Cloud Dataproc

Nome do papel Título do papel Descrição Tipo de recurso
roles/
dataproc.editor
Beta
Editor do Cloud Dataproc Concede as permissões necessárias para visualizar os recursos necessários para gerenciar o Cloud Dataproc, incluindo tipos de máquina, redes, projetos e zonas. Organização
Projeto
roles/
dataproc.viewer
Beta
Leitor do Cloud Dataproc Dá acesso somente leitura aos recursos do Cloud Dataproc. Organização
Projeto

Papéis do Cloud Datastore

Nome do papel Título do papel Descrição Tipo de recurso
roles/
datastore.importExportAdmin
Administrador de importação e exportação do Cloud Datastore Dá acesso total para gerenciar importações e exportações. Organização
Projeto
roles/
datastore.indexAdmin
Administrador de índice do Cloud Datastore Dá acesso total para gerenciar definições de índice. Organização
Projeto
roles/
datastore.owner
Proprietário do Cloud Datastore Dá acesso total aos recursos do Cloud Datastore. Organização
Projeto
roles/
datastore.user
Usuário do Cloud Datastore Dá acesso de leitura/gravação aos dados em um banco de dados do Cloud Datastore. Organização
Projeto
roles/
datastore.viewer
Visualizador do Cloud Datastore Dá acesso de leitura aos recursos do Cloud Datastore. Organização
Projeto

Papéis do Cloud DNS

Nome do papel Título do papel Descrição Tipo de recurso
roles/
dns.admin
Administrador do DNS Dá acesso de leitura e gravação a todos os recursos do Cloud DNS. Projeto
roles/
dns.reader
Leitor do DNS Dá acesso somente leitura a todos os recursos do Cloud DNS. Projeto

Papéis do Cloud KMS

Nome do papel Título do papel Descrição Tipo de recurso
roles/
cloudkms.admin
Administrador do Cloud KMS Dá acesso total aos recursos do Cloud KMS, com exceção das operações de criptografia e descriptografia. Projeto
KeyRing
CryptoKey
roles/
cloudkms.cryptoKeyEncrypterDecrypter
Criptografador/Descriptografador do Cloud KMS Permite usar os recursos do Cloud KMS apenas para operações de criptografia e descriptografia. Projeto
KeyRing
CryptoKey
roles/
cloudkms.cryptoKeyEncrypter
Criptografador do Cloud KMS Permite usar os recursos do Cloud KMS apenas para operações de criptografia. Projeto
KeyRing
CryptoKey
roles/
cloudkms.cryptoKeyDecrypter
Descriptografador do Cloud KMS Permite usar os recursos do Cloud KMS apenas para operações de descriptografia. Projeto
KeyRing
CryptoKey

Papéis do Cloud ML Engine

Nome do papel Título do papel Descrição Tipo de recurso
roles/
ml.admin
Administrador do ML Engine Dá acesso total aos recursos do Cloud ML Engine, além dos jobs, operações, modelos e versões correspondentes. Organização
Projeto
roles/
ml.developer
Desenvolvedor do ML Engine Permite usar os recursos do Cloud ML Engine para criar modelos, versões, jobs para treinamento e previsão e envio de solicitações de previsão on-line. Projeto
roles/
ml.viewer
Leitor do ML Engine Dá acesso somente leitura aos recursos do Cloud ML Engine. Projeto
roles/
ml.modelOwner
Proprietário do modelo do ML Engine Dá acesso total ao modelo e às versões dele. Esse papel é concedido automaticamente ao usuário que cria o modelo. Modelo
roles/
ml.modelUser
Usuário do modelo do ML Engine Concede permissões para ler o modelo e as versões dele e utiliza-las para previsão. Modelo
roles/
ml.jobOwner
Proprietário do job do ML Engine Dá acesso total a todas as permissões para um determinado recurso de job. Esse papel é automaticamente concedido ao usuário que cria o job. Job
roles/
ml.operationOwner
Proprietário da operação do ML Engine Dá acesso total a todas as permissões para um determinado recurso de operação. Operação

Papéis do Cloud Pub/Sub

Nome do papel Título do papel Descrição Tipo de recurso
roles/
pubsub.publisher
Editor do Pub/Sub Dá acesso para publicar mensagens em um tópico. Projeto
Tópico
roles/
pubsub.subscriber
Assinante do Pub/Sub Dá acesso para consumir mensagens de uma assinatura e anexar assinaturas a um tópico. Projeto
Tópico
Assinatura
roles/
pubsub.viewer
Visualizador do Pub/Sub Dá acesso para visualizar tópicos e assinaturas. Projeto
Tópico
Assinatura
roles/
pubsub.editor
Editor do Pub/Sub Dá acesso para modificar tópicos e assinaturas, além de publicar e consumir mensagens. Projeto
Tópico
Assinatura
roles/
pubsub.admin
Administrador do Pub/Sub Dá acesso completo a tópicos e assinaturas. Projeto
Tópico
Assinatura

Papéis do Cloud Spanner

Nome do papel Título do papel Descrição Tipo de recurso
roles/
spanner.admin
Administrador do Cloud Spanner Permissão para conceder e revogar permissões para outros diretores, alocar e excluir recursos cobráveis, emitir operações de buscar/listar/modificar nos recursos, ler e gravar em bancos de dados e buscar metadados do projeto. Projeto
roles/
spanner.databaseAdmin
Administrador do banco de dados do Cloud Spanner Permissão para buscar/listar todos os recursos do Cloud Spanner em um projeto, criar/listar/remover bancos de dados, conceder/revogar acesso a bancos de dados do projeto, ler e gravar em todos os bancos de dados do Cloud Spanner no projeto. Projeto
roles/
spanner.databaseReader
Leitor de banco de dados do Cloud Spanner Permissão para ler do banco de dados do Cloud Spanner, executar consultas SQL no banco de dados e visualizar o esquema. Database
roles/
spanner.databaseUser
Usuário do banco de dados do Cloud Spanner Permissão para ler e gravar no banco de dados do Cloud Spanner, executar consultas SQL no banco de dados e visualizar e atualizar o esquema. Database
roles/
spanner.viewer
Leitor do Cloud Spanner Permissão para visualizar todas as instâncias e bancos de dados do Cloud Spanner, mas não para modificar ou ler a partir delas. Projeto

Papéis do Cloud SQL

Nome do papel Título do papel Descrição Tipo de recurso
roles/
cloudsql.admin
Administrador do Cloud SQL Concede controle total dos recursos do Cloud SQL. Organização
Projeto
roles/
cloudsql.editor
Editor do Cloud SQL Concede controle total das instâncias existentes do Cloud SQL, exceto modificação de usuários, certificados SSL ou exclusão de recursos. Organização
Projeto
roles/
cloudsql.viewer
Visualizador do Cloud SQL Dá acesso somente de leitura aos recursos do Cloud SQL. Organização
Projeto
roles/
cloudsql.client
Cliente do Cloud SQL Dá acesso de conectividade às instâncias do Cloud SQL. Organização
Projeto

Papéis do Cloud Storage

Nome do papel Título do papel Descrição Tipo de recurso
roles/
storage.objectCreator
Criador de objeto do Storage Permite que usuários criem objetos. Não concede permissões para excluir ou substituir objetos. Organização
Projeto
Intervalo
roles/
storage.objectViewer
Visualizador de objetos do Storage Dá acesso para visualizar objetos e metadados, exceto ACLs. Organização
Projeto
Intervalo
roles/
storage.objectAdmin
Administrador de objetos do Storage Oferece controle total de objetos. Organização
Projeto
Intervalo
roles/
storage.admin
Administrador do Storage Oferece controle total de objetos e intervalos. Organização
Projeto
Intervalo
roles/
storage.legacyObjectReader
Leitor do objeto legado Visualiza os objetos e os metadados deles, exceto Access Control Lists. Intervalo
roles/
storage.legacyObjectOwner
Proprietário do objeto legado Tem o papel storage.legacyObjectReader.

Visualiza e edita os metadados de objetos no intervalo, inclusive listas de controle de acesso (ACLs, na sigla em inglês) retornadas como políticas do Cloud IAM.

Intervalo
roles/
storage.legacyBucketReader
Leitor do intervalo legado Lista o conteúdo de um intervalo e lê metadados do intervalo, exceto políticas do Cloud IAM. Também lê metadados do objeto, exceto políticas do Cloud IAM, quando lista objetos.

O uso desse papel também se reflete nas ACLs do intervalo. Para mais informações, consulte a relação do Cloud IAM com ACLs.

Intervalo
roles/
storage.legacyBucketWriter
Gravador do intervalo legado Tem o papel storage.legacyBucketReader.

Também cria, substitui e exclui objetos de um intervalo.

O uso desse papel também se reflete nas ACLs do intervalo. Para mais informações, consulte a relação do Cloud IAM com ACLs.

Intervalo
roles/
storage.legacyBucketOwner
Proprietário do intervalo legado Tem o papel storage.legacyBucketWriter.

Também lê políticas do Cloud IAM e edita os metadados do intervalo, inclusive políticas do Cloud IAM.

O uso desse papel também se reflete nas ACLs do intervalo. Para mais informações, consulte a relação do Cloud IAM com ACLs.

Intervalo

Papéis do Compute Engine

Nome do papel Título do papel Descrição Tipo de recurso
roles/
compute.instanceAdmin
Beta
Administrador da instância do Compute

Permissões para criar, modificar e excluir instâncias de máquina virtual. Isso inclui permissões para criar, modificar e excluir discos.

Se o usuário for gerenciar instâncias de máquina virtual com execução configurada como uma conta de serviço, é necessário conceder também o papel roles/iam.serviceAccountActor.

Por exemplo, atribua esse papel se houver alguém na sua empresa que gerencie grupos de instâncias de máquina virtual, mas não gerencie configurações de segurança e rede, nem instâncias executadas como contas de serviço.

Organização
Projeto
roles/
compute.networkUser
Usuário da rede do Compute

Dá acesso a uma rede VPC compartilhada

Assim que o acesso é concedido, os proprietários do serviço podem usar as redes e sub-redes VPC que pertencem ao projeto de host. Por exemplo, um usuário da rede pode criar uma instância de máquina virtual (VM, na sigla em inglês) que pertence a uma rede do projeto de host, mas não pode excluir nem criar novas redes do projeto de host.

Organização
Projeto
roles/
compute.networkViewer
Leitor da rede do Compute

Acesso somente leitura a todos os recursos de rede

Por exemplo: se você tem um software que inspeciona sua configuração de rede, você pode atribuir o papel de networkViewer à conta de serviço do software.

Organização
Projeto
roles/
compute.networkAdmin
Administrador de rede do Compute

Permissões para criar, modificar e excluir recursos de rede, exceto regras de firewall e certificados SSL. O papel de administrador de rede permite acesso somente leitura a regras de firewall, certificados SSL e instâncias para visualizar endereços IP temporários. O papel de administrador de rede não permite que o usuário crie, inicie, pare ou exclua instâncias.

Por exemplo: se sua empresa tem uma equipe de segurança que gerencia firewalls e certificados SSL e uma equipe de rede que gerencia o restante dos recursos de rede, atribua o papel de networkAdmin ao grupo da equipe de rede.

Organização
Projeto
roles/
compute.securityAdmin
Administrador de segurança do Compute

Permissões para criar, modificar e excluir regras de firewall e certificados SSL.

Por exemplo: se sua empresa tem uma equipe de segurança que gerencia firewalls e certificados SSL e uma equipe de rede que gerencia o restante dos recursos de rede, atribua o papel de securityAdmin ao grupo da equipe de segurança.

Organização
Projeto
roles/
compute.imageUser
Usuário de imagens do Compute

Permissão para listar e ler imagens sem ter outras permissões para recursos no projeto. A concessão do papel compute.imageUser dá aos usuários a capacidade de listar todas as imagens no projeto e criar recursos, como instâncias e discos permanentes, com base nas imagens do projeto.

Organização
Projeto
roles/
compute.storageAdmin
Beta
Administrador de armazenamento do Compute

Permissões para criar, modificar e excluir discos, imagens e instantâneos.

Por exemplo, se houver alguém na sua empresa que gerencie imagens e você não quer que essa pessoa tenha o papel de editor no projeto, atribua o papel de storageAdmin à conta dela.

Organização
Projeto
roles/
compute.xpnAdmin
Administrador de VPC compartilhada

Permissões para administrar projetos de host da VPC compartilhada, especificamente habilitando os projetos de host e associando os projetos do serviço de VPC compartilhada à rede do projeto de host.

Esse papel só pode ser concedido por um administrador da organização.

Organização
roles/
compute.admin
Beta
Administrador do Compute

Controle total de todos os recursos do Compute Engine.

Se o usuário for gerenciar instâncias de máquina virtual com execução configurada como uma conta de serviço, é necessário conceder também o papel roles/iam.serviceAccountActor.

Organização
Projeto
roles/
compute.viewer
Beta
Leitor do Compute

Acesso somente leitura para receber e listar recursos do Compute Engine, sem poder ler os dados armazenados neles.

Por exemplo, uma conta com esse papel poderia inventariar todos os discos em um projeto, mas não conseguiria ler nenhum dos dados nesses discos.

Organização
Projeto

Papéis do Container Builder

Nome do papel Título do papel Descrição Tipo de recurso
roles/
cloudbuild.builds.editor
Editor do Container Builder Dá acesso para criar e cancelar versões. Organização
Projeto
roles/
cloudbuild.builds.viewer
Visualizador do Container Builder Dá acesso para visualizar versões. Organização
Projeto

Papéis do Kubernetes Engine

Nome do papel Título do papel Descrição Tipo de recurso
roles/
container.admin
Administrador do Kubernetes Engine Dá acesso ao gerenciamento total de clusters do Container e dos objetos da Kubernetes API deles. Organização
Projeto
roles/
container.clusterAdmin
Administrador de cluster do Kubernetes Engine Dá acesso ao gerenciamento de clusters do Container. Organização
Projeto
roles/
container.developer
Desenvolvedor do Kubernetes Engine Dá acesso total aos objetos da Kubernetes API dentro dos clusters do Container. Organização
Projeto
roles/
container.viewer
Leitor do Kubernetes Engine Dá acesso somente de leitura aos recursos do Kubernetes Engine. Organização
Projeto

Papéis do Deployment Manager

Nome do papel Título do papel Descrição Tipo de recurso
roles/
deploymentmanager.viewer
Leitor do Deployment Manager Dá acesso somente leitura a todos os recursos relacionados ao Deployment Manager. Organização
Projeto
roles/
deploymentmanager.editor
Editor do Deployment Manager Concede as permissões necessárias para criar e gerenciar implantações. Organização
Projeto
roles/
deploymentmanager.typeViewer
Visualizador de tipo do Deployment Manager Dá acesso somente de leitura a todos os recursos do Registro do tipo. Projeto
roles/
deploymentmanager.typeEditor
Editor de tipo do Deployment Manager Dá acesso de leitura e gravação a todos os recursos do Registro do tipo. Projeto

Papéis do Cloud IAM

Nome do papel Título do papel Descrição Tipo de recurso
roles/
iam.securityReviewer
Revisor de segurança Concede permissões para listar todos os recursos e políticas do Cloud IAM relacionadas a eles. Organização
Projeto

Papéis do Cloud IAP

Nome do papel Título do papel Descrição Tipo de recurso
roles/
iap.httpsResourceAccessor
Usuário do app da Web protegido pelo IAP Concede permissões para acessar os recursos HTTPS que usam o Cloud Identity-Aware Proxy. Pasta
Projeto

Papéis do Resource Manager

Nome do papel Título do papel Descrição Tipo de recurso
roles/
orgpolicy.policyAdmin
Administrador das políticas da organização Dá acesso para definir quais restrições uma organização quer colocar na configuração de recursos do Cloud por meio da configuração de políticas da organização. Organização
roles/
resourcemanager.folderAdmin
Administrador de pastas Concede todas as permissões disponíveis para trabalhar com pastas. Organização
Pasta
roles/
resourcemanager.folderCreator
Criador de pastas Concede permissões necessárias para navegar na hierarquia e criar pastas. Organização
Pasta
roles/
resourcemanager.folderEditor
Editor de pastas Concede permissão para modificar pastas, bem como para visualizar a política do Cloud IAM de uma pasta. Organização
Pasta
roles/
resourcemanager.folderIamAdmin
Administrador de pastas do IAM Concede permissões para administrar as políticas do Cloud IAM em pastas. Organização
Pasta
roles/
resourcemanager.folderMover
Transportador de pasta Concede permissões para mover projetos e pastas para dentro e para fora de uma organização ou pasta pai. Organização
Pasta
roles/
resourcemanager.folderViewer
Leitor de pastas Concede permissão para acessar uma pasta e listar as pastas e projetos abaixo de um recurso. Organização
Pasta
roles/
resourcemanager.organizationViewer
Visualizador da organização Dá acesso para visualizar uma organização. Organização
roles/
resourcemanager.projectCreator
Criador do projeto Dá acesso para criar novos projetos. Depois que um usuário cria um projeto, o papel de proprietário é automaticamente atribuído a ele. Organização
roles/
resourcemanager.projectDeleter
Excluidor de projeto Dá acesso para excluir projetos do GCP. Organização
roles/
resourcemanager.lienModifier
Modificador da garantia do projeto Dá acesso para modificar Garantias em projetos. Projeto

Papéis da conta de serviço

Nome do papel Título do papel Descrição Tipo de recurso
roles/
iam.serviceAccountAdmin
Administrador da conta de serviço Criar e gerenciar contas de serviço. Projeto
Conta de serviço
roles/
iam.serviceAccountKeyAdmin
Administrador da chave da conta de serviço Criar e gerenciar, além de trocar, chaves da conta de serviço. Projeto
Conta de serviço
roles/
iam.serviceAccountTokenCreator
Criador do token da conta de serviço Representar contas de serviço, por exemplo, criar tokens de acesso OAuth2, assinar blobs ou JWTs etc. Projeto
Conta de serviço
roles/
iam.serviceAccountUser
Usuário da conta de serviço Executar operações como conta do serviço. Projeto
Conta de serviço

Papéis do Service Management

Nome do papel Título do papel Descrição Tipo de recurso
roles/
servicemanagement.serviceController
Controlador de serviço Controle do tempo de execução da verificação e da geração de relatórios sobre o uso de um serviço. Organização
Projeto
roles/
servicemanagement.quotaAdmin
Administrador de cotas Dá acesso para administrar cotas de serviços. Organização
Projeto
roles/
servicemanagement.quotaViewer
Visualizador de cotas Dá acesso para visualizar cotas de serviços. Organização
Projeto

Papéis do repositório de origem

Nome do papel Título do papel Descrição Tipo de recurso
roles/
source.admin
Administrador do repositório de origem Concede permissões para criar, atualizar, excluir, listar, clonar, buscar e navegar nos repositórios. Também fornece permissões para ler e alterar as políticas do IAM. Organização
Projeto
roles/
source.reader
Leitor do repositório de origem Concede permissões para listar, clonar, buscar e navegar nos repositórios. Organização
Projeto
roles/
source.writer
Gravador do repositório de origem Concede permissões para listar, clonar, buscar, navegar e atualizar repositórios. Organização
Projeto

Papéis do Stackdriver Debugger

Nome do papel Título do papel Descrição Tipo de recurso
roles/
clouddebugger.agent
Agente do Debugger Concede permissões para registrar o alvo da depuração, ler pontos de interrupção ativos e relatar resultados dos pontos de interrupção. Projeto
Conta de serviço
roles/
clouddebugger.user
Usuário do Debugger Concede permissões para criar, visualizar, listar e excluir pontos de interrupção (instantâneos e logpoints), bem como listar alvos de depuração (depurados). Projeto

Papéis do Stackdriver Error Reporting

Nome do papel Título do papel Descrição Tipo de recurso
roles/
errorreporting.viewer
Leitor do Error Reporting Fornece acesso somente leitura aos dados do Error Reporting. Projeto
roles/
errorreporting.user
Usuário do Error Reporting Fornece as permissões para ler e gravar dados do Error Reporting, exceto para enviar novos eventos de erro. Projeto
roles/
errorreporting.writer
Gravador do Error Reporting Fornece as permissões para enviar eventos de erro para o Error Reporting. Conta de serviço
roles/
errorreporting.admin
Administrador do Error Reporting Fornece acesso total aos dados do Error Reporting. Projeto

Papéis do Stackdriver Logging

Nome do papel Título do papel Descrição Tipo de recurso
roles/
logging.viewer
Leitor de registros Dá acesso para visualizar registros. Organização
Projeto
roles/
logging.logWriter
Gravador de registros Concede permissões para gravar entradas de registro. Organização
Projeto
roles/
logging.privateLogViewer
Leitor de registros particulares Concede permissões do papel de leitor de registros e, além disso, dá acesso somente leitura a entradas de registro em registros particulares. Organização
Projeto
roles/
logging.configWriter
Gravador de configuração de registros Concede permissões para ler e gravar as configurações das métricas baseadas em registros e coletores para exportar registros. Organização
Projeto
roles/
logging.admin
Administrador do Logging Concede todas as permissões necessárias para usar todos os recursos do Stackdriver Logging. Organização
Projeto

Papéis do Stackdriver Monitoring

Nome do papel Título do papel Descrição Tipo de recurso
roles/
monitoring.viewer
Leitor de monitoramento Dá acesso somente leitura para consultar e listar informações sobre todos os dados e configurações de monitoramento. Projeto
roles/
monitoring.metricWriter
Gravador da métrica de monitoramento Dá acesso somente leitura a métricas. Concede as permissões necessárias para o agente do Stackdriver e outros sistemas que enviam métricas. Projeto
roles/
monitoring.editor
Editor de monitoramento Dá acesso total às informações sobre todos os dados e configurações de monitoramento. Projeto
roles/
monitoring.admin
Administrador de monitoramento Dá o mesmo acesso que roles/monitoring.editor. Projeto

Papéis personalizados

Além dos papéis predefinidos, também é possível criar papéis personalizados no Cloud IAM. É possível criar um papel personalizado do Cloud IAM com uma ou mais permissões e, depois, concedê-lo a usuários da organização. Consulte Noções básicas sobre papéis personalizados.

Documentação do Cloud IAM específica do produto

A documentação do Cloud IAM específica do produto dá mais informações sobre os papéis predefinidos oferecidos por cada produto. Leia as páginas seguintes para saber mais sobre os papéis predefinidos.

Documentação Descrição
Cloud IAM para App Engine Explica os papéis do Cloud IAM para o App Engine
Cloud IAM para BigQuery Explica os papéis do Cloud IAM para o BigQuery
Cloud IAM para Cloud Bigtable Explica os papéis do Cloud IAM para Cloud Bigtable
Cloud IAM para Cloud Billing API Explica os papéis e as permissões do Cloud IAM para Cloud Billing API
Cloud IAM para Cloud Dataflow Explica os papéis do Cloud IAM para Cloud Dataflow
Cloud IAM para Cloud Dataproc Explica os papéis e permissões do Cloud IAM para Cloud Dataproc
Cloud IAM para Cloud Datastore Explica os papéis e permissões do Cloud IAM para Cloud Datastore
Cloud IAM para Cloud DNS Explica os papéis e permissões do Cloud IAM para Cloud DNS
Cloud IAM para Cloud KMS Explica os papéis e as permissões do Cloud IAM para Cloud KMS
Cloud IAM para Cloud ML Engine Explica os papéis e permissões do Cloud IAM para Cloud ML Engine
Cloud IAM para Cloud Pub/Sub Explica os papéis do Cloud IAM para Cloud Pub/Sub
Cloud IAM para Cloud Spanner Explica os papéis e as permissões do Cloud IAM para Cloud Spanner
Cloud IAM para Cloud SQL Explica os papéis do Cloud IAM para Cloud SQL
Cloud IAM para Cloud Storage Explica os papéis do Cloud IAM para Cloud Storage
Cloud IAM para Compute Engine Explica os papéis do Cloud IAM para o Compute Engine
Cloud IAM para Kubernetes Engine Explica os papéis e as permissões do Cloud IAM para o Kubernetes Engine
Cloud IAM para Deployment Manager Explica os papéis e as permissões do Cloud IAM para o Deployment Manager
Cloud IAM para Genomics Explica os papéis e as permissões do Cloud IAM para o Google Genomics
Cloud IAM para Organizações Explica os papéis do Cloud IAM para organizações
Cloud IAM para projetos Explica os papéis do Cloud IAM para projetos
Cloud IAM para o Service Management Explica papéis e permissões do Cloud IAM para o Service Management
Cloud IAM para Stackdriver Debugger Explica os papéis do Cloud IAM para o Debugger
Cloud IAM para Stackdriver Logging Explica os papéis do Cloud IAM para o Logging
Cloud IAM para Stackdriver Monitoring Explica os papéis do Cloud IAM para o Monitoring
Cloud IAM para Stackdriver Trace Explica os papéis e permissões do Cloud IAM para o Trace

Próximas etapas

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Cloud Identity and Access Management