Como entender os papéis

Com o Cloud IAM, o método Cloud API requer que a identidade que solicita a API tenha as permissões apropriadas para usar o recurso. Você pode conceder permissões ao atribuir papéis a um usuário, grupo ou conta de serviço.

Esta página descreve os papéis do Cloud IAM que você pode atribuir a identidades para acessar os recursos do Cloud Platform.

Pré-requisito para este guia

Entender os conceitos básicos do Cloud IAM

Papéis primários

Papéis que existiam antes do Cloud IAM. Os de Proprietário, Editor e Visualizador continuarão a funcionar como antes. Esses papéis são concêntricos, isto é, o de Proprietário inclui as permissões no papel de Editor, e o de Editor no de Visualizador.

Na tabela abaixo, é apresentado um resumo das permissões que os papéis primitivos têm em todos os serviços do Cloud Platform:

Definições de papel primitivo

Nome do papel	Título do papel	Permissões
`roles/viewer`	Visualizador	Permissões para ações somente leitura que preservam o estado.
`roles/editor`	Editor	Todas as permissões de leitor e para ações que modificam o estado.
`roles/owner`	Proprietário	Todas as permissões de editor e para as seguintes ações: Gerenciar papéis e permissões para um projeto e todos os recursos dentro do projeto. Configurar o faturamento de um projeto. Observação: Conceder o papel de proprietário em um nível de recurso, como um tópico do Cloud Pub/Sub, não concede o papel de proprietário no projeto pai. O papel de proprietário não contém permissão para o recurso da organização. Portanto, atribuir esse papel no nível da organização não permite que você atualize os metadados dela. Porém, permite que você modifique projetos dessa organização.

Você pode aplicar papéis primários no nível do projeto usando o Console do GCP, a API e a ferramenta de linha de comando gcloud.

Fluxo de convites

Não é possível conceder o papel de proprietário a um membro para um projeto usando a Cloud IAM API ou a ferramenta de linha de comando gcloud. Você só pode adicionar proprietários de um projeto usando o Console do GCP. Será enviado um convite por e-mail para o membro, que precisará aceitar para se tornar proprietário do projeto.

E-mails de convite não serão enviados nos seguintes casos:

Quando você está atribuindo um papel que não seja o de proprietário.
Quando o proprietário de uma organização adiciona outro membro dela como proprietário de um projeto dessa organização.

Papéis predefinidos

Além dos papéis primários, o Cloud IAM oferece papéis adicionais pré-definidos que dão acesso granular a recursos específicos do Google Cloud Platform e impedem acesso indesejado a outros recursos.

A tabela a seguir lista esses papéis, as respectivas descrições e o tipo de recurso em que os papéis podem ser definidos. É possível atribuir papéis múltiplos ao mesmo usuário. Por exemplo: o mesmo usuário pode ter papéis de Administrador de rede e de Visualizador de registros em um projeto e também o de Editor em um tópico do Pub/Sub nesse projeto. Para ver uma lista de permissões contidas em um papel, consulte Como conseguir os metadados do papel.

Papéis do projeto

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ browser`^Beta	Navegador	Acesso de leitura para navegar na hierarquia de um projeto, incluindo a pasta, a organização e a política do Cloud IAM. Este papel não inclui permissão para visualizar recursos no projeto.	Organização Projeto
`roles/ iam.serviceAccountActor`	Agente da conta de serviço	Este papel está obsoleto. Caso precise executar as operações como conta de serviço, use o papel de Usuário da conta de serviço. Para fornecer de maneira efetiva as mesmas permissões do Agente da conta de serviço, você também precisa conceder o Criador de token da conta de serviço.	Projeto Conta de serviço

Papéis do App Engine

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ appengine.appAdmin`	Administrador do App Engine	Ler/gravar/modificar acesso a todas as configurações do aplicativo.	Organização Projeto
`roles/ appengine.serviceAdmin`	Administrador de serviço do App Engine	Acesso somente leitura a todas as configurações do aplicativo. Acesso de gravação a configurações de módulo e versão. Não é possível implantar uma nova versão.	Organização Projeto
`roles/ appengine.deployer`	Implantador do App Engine	Acesso somente leitura a todas as configurações do aplicativo. Acesso somente gravação para criar uma nova versão. Não é possível modificar versões existentes que não sejam versões de exclusão que não estão recebendo tráfego.	Organização Projeto
`roles/ appengine.appViewer`	Visualizador no App Engine	Acesso somente de leitura a todas as configurações do aplicativo.	Organização Projeto
`roles/ appengine.codeViewer`	Leitor de código do App Engine	Acesso somente leitura a todas as configurações do aplicativo e do código-fonte implantado.	Organização Projeto

Papéis do BigQuery

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ bigquery.user`	Usuário do BigQuery	Concede permissões para executar jobs, incluindo consultas, no projeto. Esse papel do usuário pode enumerar e cancelar os próprios jobs e enumerar conjuntos de dados dentro de um projeto. Além disso, permite a criação de novos conjuntos de dados dentro do projeto. O criador recebe o papel `bigquery.dataOwner` para esses conjuntos.	Organização Projeto
`roles/ bigquery.jobUser`	Usuário de jobs do BigQuery	Concede permissões para executar jobs, incluindo consultas, no projeto. O papel jobUser pode enumerar e cancelar seus próprios jobs.	Organização Projeto
`roles/ bigquery.dataViewer`	Visualizador de dados do BigQuery	Quando aplicado a um conjunto de dados, o Visualizador de dados concede permissões para: ler os metadados do conjunto de dados e listar tabelas nele; ler dados e metadados das tabelas do conjunto de dados. Quando aplicado no nível do projeto ou organização, esse papel também pode enumerar todos os conjuntos de dados no projeto. Mas, são necessários papéis adicionais para permitir a execução de jobs.	Organização Projeto Conjunto de dados
`roles/ bigquery.dataEditor`	Editor de dados do BigQuery	Quando aplicado a um conjunto de dados, o Editor de dados concede permissões para: ler os metadados do conjunto de dados e listar tabelas nele; criar, atualizar, salvar e excluir as tabelas do conjunto de dados. Quando aplicado no nível de um projeto ou de uma organização, esse papel também pode criar novos conjuntos de dados.	Organização Projeto Conjunto de dados
`roles/ bigquery.dataOwner`	Proprietário de dados do BigQuery	Quando aplicado a um conjunto de dados, o Proprietário de dados concede permissões para: ler, atualizar e excluir o conjunto de dados; criar, atualizar, salvar e excluir as tabelas do conjunto de dados. Quando aplicado no nível de um projeto ou de uma organização, esse papel também pode criar novos conjuntos de dados.	Organização Projeto Conjunto de dados
`roles/ bigquery.admin`	Administrador do BigQuery	Concede permissões para gerenciar todos os recursos no projeto. É possível gerenciar todos os dados no projeto e cancelar jobs de outros usuários sendo executados nele.	Organização Projeto

Papéis do Cloud Bigtable

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ bigtable.admin`	Administrador do Cloud Bigtable	Administra todas as instâncias de um projeto, incluindo os dados armazenados nas tabelas. Pode criar novas instâncias. Destina-se a administradores de projeto.	Organização Projeto Instância
`roles/ bigtable.user`	Usuário do Cloud Bigtable	Dá acesso de leitura e gravação aos dados armazenados em tabelas. É destinado a desenvolvedores de aplicativos ou contas de serviço.	Organização Projeto Instância
`roles/ bigtable.reader`	Leitor do Cloud Bigtable	Dá acesso somente leitura aos dados armazenados em tabelas. É destinado a analistas de dados, geradores de painéis e outros cenários de análise de dados.	Organização Projeto Instância

Papéis do Cloud Billing

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ billing.admin`	Administrador da conta de faturamento	Dá acesso para ver e gerenciar todos os aspectos das contas de faturamento.	Organização Conta de faturamento
`roles/ billing.projectManager`	Gerente de faturamento do projeto	Dá acesso para atribuir uma conta de faturamento de um projeto ou desativar o faturamento.	Organização Projeto
`roles/ billing.user`	Usuário da conta de faturamento	Dá acesso para associar projetos com contas de faturamento.	Organização Conta de faturamento
`roles/ billing.creator`	Criador da conta de faturamento	Dá acesso para criar contas de faturamento.	Organização Projeto

Papéis do Cloud Dataflow

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ dataflow.viewer`	Leitor do Cloud Dataflow	Dá acesso somente leitura a todos os recursos relacionados ao Cloud Dataflow.	Organização Projeto
`roles/ dataflow.developer`	Desenvolvedor do Cloud Dataflow	Concede as permissões necessárias para executar e manipular jobs do Cloud Dataflow.	Organização Projeto
`roles/ dataflow.worker`	Trabalhador do Cloud Dataflow	Concede as permissões necessárias para que uma conta de serviço do Compute Engine execute unidades de trabalho para um fluxo do Cloud Dataflow.	Organização Projeto

Papéis do Cloud Dataproc

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ dataproc.editor` ^Beta	Editor do Cloud Dataproc	Concede as permissões necessárias para visualizar os recursos necessários para gerenciar o Cloud Dataproc, incluindo tipos de máquina, redes, projetos e zonas.	Organização Projeto
`roles/ dataproc.viewer` ^Beta	Leitor do Cloud Dataproc	Dá acesso somente leitura aos recursos do Cloud Dataproc.	Organização Projeto

Papéis do Cloud Datastore

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ datastore.importExportAdmin`	Administrador de importação e exportação do Cloud Datastore	Dá acesso total para gerenciar importações e exportações.	Organização Projeto
`roles/ datastore.indexAdmin`	Administrador de índice do Cloud Datastore	Dá acesso total para gerenciar definições de índice.	Organização Projeto
`roles/ datastore.owner`	Proprietário do Cloud Datastore	Dá acesso total aos recursos do Cloud Datastore.	Organização Projeto
`roles/ datastore.user`	Usuário do Cloud Datastore	Dá acesso de leitura/gravação aos dados em um banco de dados do Cloud Datastore.	Organização Projeto
`roles/ datastore.viewer`	Visualizador do Cloud Datastore	Dá acesso de leitura aos recursos do Cloud Datastore.	Organização Projeto

Papéis do Cloud DNS

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ dns.admin`	Administrador do DNS	Dá acesso de leitura e gravação a todos os recursos do Cloud DNS.	Projeto
`roles/ dns.reader`	Leitor do DNS	Dá acesso somente leitura a todos os recursos do Cloud DNS.	Projeto

Papéis do Cloud KMS

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ cloudkms.admin`	Administrador do Cloud KMS	Dá acesso total aos recursos do Cloud KMS, com exceção das operações de criptografia e descriptografia.	Projeto KeyRing CryptoKey
`roles/ cloudkms.cryptoKeyEncrypterDecrypter`	Criptografador/Descriptografador do Cloud KMS	Permite usar os recursos do Cloud KMS apenas para operações de criptografia e descriptografia.	Projeto KeyRing CryptoKey
`roles/ cloudkms.cryptoKeyEncrypter`	Criptografador do Cloud KMS	Permite usar os recursos do Cloud KMS apenas para operações de criptografia.	Projeto KeyRing CryptoKey
`roles/ cloudkms.cryptoKeyDecrypter`	Descriptografador do Cloud KMS	Permite usar os recursos do Cloud KMS apenas para operações de descriptografia.	Projeto KeyRing CryptoKey

Papéis do Cloud ML Engine

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ ml.admin`	Administrador do ML Engine	Dá acesso total aos recursos do Cloud ML Engine, além dos jobs, operações, modelos e versões correspondentes.	Organização Projeto
`roles/ ml.developer`	Desenvolvedor do ML Engine	Permite usar os recursos do Cloud ML Engine para criar modelos, versões, jobs para treinamento e previsão e envio de solicitações de previsão on-line.	Projeto
`roles/ ml.viewer`	Leitor do ML Engine	Dá acesso somente leitura aos recursos do Cloud ML Engine.	Projeto
`roles/ ml.modelOwner`	Proprietário do modelo do ML Engine	Dá acesso total ao modelo e às versões dele. Esse papel é concedido automaticamente ao usuário que cria o modelo.	Modelo
`roles/ ml.modelUser`	Usuário do modelo do ML Engine	Concede permissões para ler o modelo e as versões dele e utiliza-las para previsão.	Modelo
`roles/ ml.jobOwner`	Proprietário do job do ML Engine	Dá acesso total a todas as permissões para um determinado recurso de job. Esse papel é automaticamente concedido ao usuário que cria o job.	Job
`roles/ ml.operationOwner`	Proprietário da operação do ML Engine	Dá acesso total a todas as permissões para um determinado recurso de operação.	Operação

Papéis do Cloud Pub/Sub

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ pubsub.publisher`	Editor do Pub/Sub	Dá acesso para publicar mensagens em um tópico.	Projeto Tópico
`roles/ pubsub.subscriber`	Assinante do Pub/Sub	Dá acesso para consumir mensagens de uma assinatura e anexar assinaturas a um tópico.	Projeto Tópico Assinatura
`roles/ pubsub.viewer`	Visualizador do Pub/Sub	Dá acesso para visualizar tópicos e assinaturas.	Projeto Tópico Assinatura
`roles/ pubsub.editor`	Editor do Pub/Sub	Dá acesso para modificar tópicos e assinaturas, além de publicar e consumir mensagens.	Projeto Tópico Assinatura
`roles/ pubsub.admin`	Administrador do Pub/Sub	Dá acesso completo a tópicos e assinaturas.	Projeto Tópico Assinatura

Papéis do Cloud Spanner

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ spanner.admin`	Administrador do Cloud Spanner	Permissão para conceder e revogar permissões para outros diretores, alocar e excluir recursos cobráveis, emitir operações de buscar/listar/modificar nos recursos, ler e gravar em bancos de dados e buscar metadados do projeto.	Projeto
`roles/ spanner.databaseAdmin`	Administrador do banco de dados do Cloud Spanner	Permissão para buscar/listar todos os recursos do Cloud Spanner em um projeto, criar/listar/remover bancos de dados, conceder/revogar acesso a bancos de dados do projeto, ler e gravar em todos os bancos de dados do Cloud Spanner no projeto.	Projeto
`roles/ spanner.databaseReader`	Leitor de banco de dados do Cloud Spanner	Permissão para ler do banco de dados do Cloud Spanner, executar consultas SQL no banco de dados e visualizar o esquema.	Database
`roles/ spanner.databaseUser`	Usuário do banco de dados do Cloud Spanner	Permissão para ler e gravar no banco de dados do Cloud Spanner, executar consultas SQL no banco de dados e visualizar e atualizar o esquema.	Database
`roles/ spanner.viewer`	Leitor do Cloud Spanner	Permissão para visualizar todas as instâncias e bancos de dados do Cloud Spanner, mas não para modificar ou ler a partir delas.	Projeto

Papéis do Cloud SQL

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ cloudsql.admin`	Administrador do Cloud SQL	Concede controle total dos recursos do Cloud SQL.	Organização Projeto
`roles/ cloudsql.editor`	Editor do Cloud SQL	Concede controle total das instâncias existentes do Cloud SQL, exceto modificação de usuários, certificados SSL ou exclusão de recursos.	Organização Projeto
`roles/ cloudsql.viewer`	Visualizador do Cloud SQL	Dá acesso somente de leitura aos recursos do Cloud SQL.	Organização Projeto
`roles/ cloudsql.client`	Cliente do Cloud SQL	Dá acesso de conectividade às instâncias do Cloud SQL.	Organização Projeto

Papéis do Cloud Storage

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ storage.objectCreator`	Criador de objeto do Storage	Permite que usuários criem objetos. Não concede permissões para excluir ou substituir objetos.	Organização Projeto Intervalo
`roles/ storage.objectViewer`	Visualizador de objetos do Storage	Dá acesso para visualizar objetos e metadados, exceto ACLs.	Organização Projeto Intervalo
`roles/ storage.objectAdmin`	Administrador de objetos do Storage	Oferece controle total de objetos.	Organização Projeto Intervalo
`roles/ storage.admin`	Administrador do Storage	Oferece controle total de objetos e intervalos.	Organização Projeto Intervalo
`roles/ storage.legacyObjectReader`	Leitor do objeto legado	Visualiza os objetos e os metadados deles, exceto Access Control Lists.	Intervalo
`roles/ storage.legacyObjectOwner`	Proprietário do objeto legado	Tem o papel `storage.legacyObjectReader`. Visualiza e edita os metadados de objetos no intervalo, inclusive listas de controle de acesso (ACLs, na sigla em inglês) retornadas como políticas do Cloud IAM.	Intervalo
`roles/ storage.legacyBucketReader`	Leitor do intervalo legado	Lista o conteúdo de um intervalo e lê metadados do intervalo, exceto políticas do Cloud IAM. Também lê metadados do objeto, exceto políticas do Cloud IAM, quando lista objetos. O uso desse papel também se reflete nas ACLs do intervalo. Para mais informações, consulte a relação do Cloud IAM com ACLs.	Intervalo
`roles/ storage.legacyBucketWriter`	Gravador do intervalo legado	Tem o papel `storage.legacyBucketReader`. Também cria, substitui e exclui objetos de um intervalo. O uso desse papel também se reflete nas ACLs do intervalo. Para mais informações, consulte a relação do Cloud IAM com ACLs.	Intervalo
`roles/ storage.legacyBucketOwner`	Proprietário do intervalo legado	Tem o papel `storage.legacyBucketWriter`. Também lê políticas do Cloud IAM e edita os metadados do intervalo, inclusive políticas do Cloud IAM. O uso desse papel também se reflete nas ACLs do intervalo. Para mais informações, consulte a relação do Cloud IAM com ACLs.	Intervalo

Papéis do Compute Engine

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ compute.instanceAdmin` ^Beta	Administrador da instância do Compute	Permissões para criar, modificar e excluir instâncias de máquina virtual. Isso inclui permissões para criar, modificar e excluir discos. Se o usuário for gerenciar instâncias de máquina virtual com execução configurada como uma conta de serviço, é necessário conceder também o papel `roles/iam.serviceAccountActor`. Por exemplo, atribua esse papel se houver alguém na sua empresa que gerencie grupos de instâncias de máquina virtual, mas não gerencie configurações de segurança e rede, nem instâncias executadas como contas de serviço.	Organização Projeto
`roles/ compute.networkUser`	Usuário da rede do Compute	Dá acesso a uma rede VPC compartilhada Assim que o acesso é concedido, os proprietários do serviço podem usar as redes e sub-redes VPC que pertencem ao projeto de host. Por exemplo, um usuário da rede pode criar uma instância de máquina virtual (VM, na sigla em inglês) que pertence a uma rede do projeto de host, mas não pode excluir nem criar novas redes do projeto de host.	Organização Projeto
`roles/ compute.networkViewer`	Leitor da rede do Compute	Acesso somente leitura a todos os recursos de rede Por exemplo: se você tem um software que inspeciona sua configuração de rede, você pode atribuir o papel de `networkViewer` à conta de serviço do software.	Organização Projeto
`roles/ compute.networkAdmin`	Administrador de rede do Compute	Permissões para criar, modificar e excluir recursos de rede, exceto regras de firewall e certificados SSL. O papel de administrador de rede permite acesso somente leitura a regras de firewall, certificados SSL e instâncias para visualizar endereços IP temporários. O papel de administrador de rede não permite que o usuário crie, inicie, pare ou exclua instâncias. Por exemplo: se sua empresa tem uma equipe de segurança que gerencia firewalls e certificados SSL e uma equipe de rede que gerencia o restante dos recursos de rede, atribua o papel de `networkAdmin` ao grupo da equipe de rede.	Organização Projeto
`roles/ compute.securityAdmin`	Administrador de segurança do Compute	Permissões para criar, modificar e excluir regras de firewall e certificados SSL. Por exemplo: se sua empresa tem uma equipe de segurança que gerencia firewalls e certificados SSL e uma equipe de rede que gerencia o restante dos recursos de rede, atribua o papel de `securityAdmin` ao grupo da equipe de segurança.	Organização Projeto
`roles/ compute.imageUser`	Usuário de imagens do Compute	Permissão para listar e ler imagens sem ter outras permissões para recursos no projeto. A concessão do papel `compute.imageUser` dá aos usuários a capacidade de listar todas as imagens no projeto e criar recursos, como instâncias e discos permanentes, com base nas imagens do projeto.	Organização Projeto
`roles/ compute.storageAdmin` ^Beta	Administrador de armazenamento do Compute	Permissões para criar, modificar e excluir discos, imagens e instantâneos. Por exemplo, se houver alguém na sua empresa que gerencie imagens e você não quer que essa pessoa tenha o papel de editor no projeto, atribua o papel de `storageAdmin` à conta dela.	Organização Projeto
`roles/ compute.xpnAdmin`	Administrador de VPC compartilhada	Permissões para administrar projetos de host da VPC compartilhada, especificamente habilitando os projetos de host e associando os projetos do serviço de VPC compartilhada à rede do projeto de host. Esse papel só pode ser concedido por um administrador da organização.	Organização
`roles/ compute.admin` ^Beta	Administrador do Compute	Controle total de todos os recursos do Compute Engine. Se o usuário for gerenciar instâncias de máquina virtual com execução configurada como uma conta de serviço, é necessário conceder também o papel `roles/iam.serviceAccountActor`.	Organização Projeto
`roles/ compute.viewer` ^Beta	Leitor do Compute	Acesso somente leitura para receber e listar recursos do Compute Engine, sem poder ler os dados armazenados neles. Por exemplo, uma conta com esse papel poderia inventariar todos os discos em um projeto, mas não conseguiria ler nenhum dos dados nesses discos.	Organização Projeto

Papéis do Container Builder

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ cloudbuild.builds.editor`	Editor do Container Builder	Dá acesso para criar e cancelar versões.	Organização Projeto
`roles/ cloudbuild.builds.viewer`	Visualizador do Container Builder	Dá acesso para visualizar versões.	Organização Projeto

Papéis do Kubernetes Engine

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ container.admin`	Administrador do Kubernetes Engine	Dá acesso ao gerenciamento total de clusters do Container e dos objetos da Kubernetes API deles.	Organização Projeto
`roles/ container.clusterAdmin`	Administrador de cluster do Kubernetes Engine	Dá acesso ao gerenciamento de clusters do Container.	Organização Projeto
`roles/ container.developer`	Desenvolvedor do Kubernetes Engine	Dá acesso total aos objetos da Kubernetes API dentro dos clusters do Container.	Organização Projeto
`roles/ container.viewer`	Leitor do Kubernetes Engine	Dá acesso somente de leitura aos recursos do Kubernetes Engine.	Organização Projeto

Papéis do Deployment Manager

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ deploymentmanager.viewer`	Leitor do Deployment Manager	Dá acesso somente leitura a todos os recursos relacionados ao Deployment Manager.	Organização Projeto
`roles/ deploymentmanager.editor`	Editor do Deployment Manager	Concede as permissões necessárias para criar e gerenciar implantações.	Organização Projeto
`roles/ deploymentmanager.typeViewer`	Visualizador de tipo do Deployment Manager	Dá acesso somente de leitura a todos os recursos do Registro do tipo.	Projeto
`roles/ deploymentmanager.typeEditor`	Editor de tipo do Deployment Manager	Dá acesso de leitura e gravação a todos os recursos do Registro do tipo.	Projeto

Papéis do Cloud IAM

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ iam.securityReviewer`	Revisor de segurança	Concede permissões para listar todos os recursos e políticas do Cloud IAM relacionadas a eles.	Organização Projeto

Papéis do Cloud IAP

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ iap.httpsResourceAccessor`	Usuário do app da Web protegido pelo IAP	Concede permissões para acessar os recursos HTTPS que usam o Cloud Identity-Aware Proxy.	Pasta Projeto

Papéis do Resource Manager

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ orgpolicy.policyAdmin`	Administrador das políticas da organização	Dá acesso para definir quais restrições uma organização quer colocar na configuração de recursos do Cloud por meio da configuração de políticas da organização.	Organização
`roles/ resourcemanager.folderAdmin`	Administrador de pastas	Concede todas as permissões disponíveis para trabalhar com pastas.	Organização Pasta
`roles/ resourcemanager.folderCreator`	Criador de pastas	Concede permissões necessárias para navegar na hierarquia e criar pastas.	Organização Pasta
`roles/ resourcemanager.folderEditor`	Editor de pastas	Concede permissão para modificar pastas, bem como para visualizar a política do Cloud IAM de uma pasta.	Organização Pasta
`roles/ resourcemanager.folderIamAdmin`	Administrador de pastas do IAM	Concede permissões para administrar as políticas do Cloud IAM em pastas.	Organização Pasta
`roles/ resourcemanager.folderMover`	Transportador de pasta	Concede permissões para mover projetos e pastas para dentro e para fora de uma organização ou pasta pai.	Organização Pasta
`roles/ resourcemanager.folderViewer`	Leitor de pastas	Concede permissão para acessar uma pasta e listar as pastas e projetos abaixo de um recurso.	Organização Pasta
`roles/ resourcemanager.organizationViewer`	Visualizador da organização	Dá acesso para visualizar uma organização.	Organização
`roles/ resourcemanager.projectCreator`	Criador do projeto	Dá acesso para criar novos projetos. Depois que um usuário cria um projeto, o papel de proprietário é automaticamente atribuído a ele.	Organização
`roles/ resourcemanager.projectDeleter`	Excluidor de projeto	Dá acesso para excluir projetos do GCP.	Organização
`roles/ resourcemanager.lienModifier`	Modificador da garantia do projeto	Dá acesso para modificar Garantias em projetos.	Projeto

Papéis da conta de serviço

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ iam.serviceAccountAdmin`	Administrador da conta de serviço	Criar e gerenciar contas de serviço.	Projeto Conta de serviço
`roles/ iam.serviceAccountKeyAdmin`	Administrador da chave da conta de serviço	Criar e gerenciar, além de trocar, chaves da conta de serviço.	Projeto Conta de serviço
`roles/ iam.serviceAccountTokenCreator`	Criador do token da conta de serviço	Representar contas de serviço, por exemplo, criar tokens de acesso OAuth2, assinar blobs ou JWTs etc.	Projeto Conta de serviço
`roles/ iam.serviceAccountUser`	Usuário da conta de serviço	Executar operações como conta do serviço.	Projeto Conta de serviço

Papéis do Service Management

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ servicemanagement.serviceController`	Controlador de serviço	Controle do tempo de execução da verificação e da geração de relatórios sobre o uso de um serviço.	Organização Projeto
`roles/ servicemanagement.quotaAdmin`	Administrador de cotas	Dá acesso para administrar cotas de serviços.	Organização Projeto
`roles/ servicemanagement.quotaViewer`	Visualizador de cotas	Dá acesso para visualizar cotas de serviços.	Organização Projeto

Papéis do repositório de origem

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ source.admin`	Administrador do repositório de origem	Concede permissões para criar, atualizar, excluir, listar, clonar, buscar e navegar nos repositórios. Também fornece permissões para ler e alterar as políticas do IAM.	Organização Projeto
`roles/ source.reader`	Leitor do repositório de origem	Concede permissões para listar, clonar, buscar e navegar nos repositórios.	Organização Projeto
`roles/ source.writer`	Gravador do repositório de origem	Concede permissões para listar, clonar, buscar, navegar e atualizar repositórios.	Organização Projeto

Papéis do Stackdriver Debugger

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ clouddebugger.agent`	Agente do Debugger	Concede permissões para registrar o alvo da depuração, ler pontos de interrupção ativos e relatar resultados dos pontos de interrupção.	Projeto Conta de serviço
`roles/ clouddebugger.user`	Usuário do Debugger	Concede permissões para criar, visualizar, listar e excluir pontos de interrupção (instantâneos e logpoints), bem como listar alvos de depuração (depurados).	Projeto

Papéis do Stackdriver Error Reporting

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ errorreporting.viewer`	Leitor do Error Reporting	Fornece acesso somente leitura aos dados do Error Reporting.	Projeto
`roles/ errorreporting.user`	Usuário do Error Reporting	Fornece as permissões para ler e gravar dados do Error Reporting, exceto para enviar novos eventos de erro.	Projeto
`roles/ errorreporting.writer`	Gravador do Error Reporting	Fornece as permissões para enviar eventos de erro para o Error Reporting.	Conta de serviço
`roles/ errorreporting.admin`	Administrador do Error Reporting	Fornece acesso total aos dados do Error Reporting.	Projeto

Papéis do Stackdriver Logging

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ logging.viewer`	Leitor de registros	Dá acesso para visualizar registros.	Organização Projeto
`roles/ logging.logWriter`	Gravador de registros	Concede permissões para gravar entradas de registro.	Organização Projeto
`roles/ logging.privateLogViewer`	Leitor de registros particulares	Concede permissões do papel de leitor de registros e, além disso, dá acesso somente leitura a entradas de registro em registros particulares.	Organização Projeto
`roles/ logging.configWriter`	Gravador de configuração de registros	Concede permissões para ler e gravar as configurações das métricas baseadas em registros e coletores para exportar registros.	Organização Projeto
`roles/ logging.admin`	Administrador do Logging	Concede todas as permissões necessárias para usar todos os recursos do Stackdriver Logging.	Organização Projeto

Papéis do Stackdriver Monitoring

Nome do papel	Título do papel	Descrição	Tipo de recurso
`roles/ monitoring.viewer`	Leitor de monitoramento	Dá acesso somente leitura para consultar e listar informações sobre todos os dados e configurações de monitoramento.	Projeto
`roles/ monitoring.metricWriter`	Gravador da métrica de monitoramento	Dá acesso somente leitura a métricas. Concede as permissões necessárias para o agente do Stackdriver e outros sistemas que enviam métricas.	Projeto
`roles/ monitoring.editor`	Editor de monitoramento	Dá acesso total às informações sobre todos os dados e configurações de monitoramento.	Projeto
`roles/ monitoring.admin`	Administrador de monitoramento	Dá o mesmo acesso que `roles/monitoring.editor`.	Projeto

Papéis personalizados

Além dos papéis predefinidos, também é possível criar papéis personalizados no Cloud IAM. É possível criar um papel personalizado do Cloud IAM com uma ou mais permissões e, depois, concedê-lo a usuários da organização. Consulte Noções básicas sobre papéis personalizados.

Documentação do Cloud IAM específica do produto

A documentação do Cloud IAM específica do produto dá mais informações sobre os papéis predefinidos oferecidos por cada produto. Leia as páginas seguintes para saber mais sobre os papéis predefinidos.

Documentação	Descrição
Cloud IAM para App Engine	Explica os papéis do Cloud IAM para o App Engine
Cloud IAM para BigQuery	Explica os papéis do Cloud IAM para o BigQuery
Cloud IAM para Cloud Bigtable	Explica os papéis do Cloud IAM para Cloud Bigtable
Cloud IAM para Cloud Billing API	Explica os papéis e as permissões do Cloud IAM para Cloud Billing API
Cloud IAM para Cloud Dataflow	Explica os papéis do Cloud IAM para Cloud Dataflow
Cloud IAM para Cloud Dataproc	Explica os papéis e permissões do Cloud IAM para Cloud Dataproc
Cloud IAM para Cloud Datastore	Explica os papéis e permissões do Cloud IAM para Cloud Datastore
Cloud IAM para Cloud DNS	Explica os papéis e permissões do Cloud IAM para Cloud DNS
Cloud IAM para Cloud KMS	Explica os papéis e as permissões do Cloud IAM para Cloud KMS
Cloud IAM para Cloud ML Engine	Explica os papéis e permissões do Cloud IAM para Cloud ML Engine
Cloud IAM para Cloud Pub/Sub	Explica os papéis do Cloud IAM para Cloud Pub/Sub
Cloud IAM para Cloud Spanner	Explica os papéis e as permissões do Cloud IAM para Cloud Spanner
Cloud IAM para Cloud SQL	Explica os papéis do Cloud IAM para Cloud SQL
Cloud IAM para Cloud Storage	Explica os papéis do Cloud IAM para Cloud Storage
Cloud IAM para Compute Engine	Explica os papéis do Cloud IAM para o Compute Engine
Cloud IAM para Kubernetes Engine	Explica os papéis e as permissões do Cloud IAM para o Kubernetes Engine
Cloud IAM para Deployment Manager	Explica os papéis e as permissões do Cloud IAM para o Deployment Manager
Cloud IAM para Genomics	Explica os papéis e as permissões do Cloud IAM para o Google Genomics
Cloud IAM para Organizações	Explica os papéis do Cloud IAM para organizações
Cloud IAM para projetos	Explica os papéis do Cloud IAM para projetos
Cloud IAM para o Service Management	Explica papéis e permissões do Cloud IAM para o Service Management
Cloud IAM para Stackdriver Debugger	Explica os papéis do Cloud IAM para o Debugger
Cloud IAM para Stackdriver Logging	Explica os papéis do Cloud IAM para o Logging
Cloud IAM para Stackdriver Monitoring	Explica os papéis do Cloud IAM para o Monitoring
Cloud IAM para Stackdriver Trace	Explica os papéis e permissões do Cloud IAM para o Trace

Próximas etapas

Saiba como conceder papéis do Cloud IAM aos usuários.