了解角色

当某个身份调用 Google Cloud Platform API 时,Cloud Identity and Access Management 会要求该身份必须具有使用相应资源的适当权限。您可以通过为用户、群组或服务帐号授予角色来授予权限。

本页介绍您可以为身份授予 Cloud Platform 资源访问权限的 Cloud IAM 角色。

本指南的先决条件

角色类型

Cloud IAM 中有三种类型的角色:

  • 初始角色,包括在引入 Cloud IAM 之前已存在的所有者、编辑者和查看者角色
  • 预定义角色,为特定服务提供精细访问权限,并由 Google Cloud Platform (GCP) 管理
  • 自定义角色,根据用户指定的权限列表提供精细访问权限

要确定初始角色、预定义角色或自定义角色中是否包含一项或多项权限,您可以使用以下方法之一:

以下各部分介绍了每种角色类型并提供了有关如何使用它们的示例。

初始角色

在引入 Cloud IAM 之前存在三个角色:所有者、编辑者和查看者。这些角色是同心的;也就是说,所有者角色包含编辑者角色的权限,而编辑者角色又包含查看者角色的权限。

下表概括了初始角色在所有 GCP 服务中包含的权限:

初始角色定义

角色 名称 权限
roles/viewer 查看者 拥有执行不会影响状态的只读操作的权限,例如查看(但无法修改)现有资源或数据。
roles/editor 编辑者 所有查看者权限,以及修改状态的操作(例如更改现有资源)的权限。
注意:虽然 roles/editor 角色包含为大多数 GCP 服务创建和删除资源的权限,但某些服务(例如 Cloud Source Repositories 和 Stackdriver)不包含这些权限。要详细了解如何检查某项角色是否具有您所需的权限,请参阅上文
roles/owner 所有者 所有编辑者权限执行以下操作的权限:
  • 可以管理项目和项目中所有资源的角色和权限。
  • 为项目设置结算信息。
注意:
  • 在资源层级上授予所有者角色(如 Cloud Pub/Sub 主题)不会在父级项目上授予所有者角色。
  • 所有者角色不包含组织资源的任何权限。因此,在组织级别授予所有者角色不允许您更新组织的元数据。但是,这样做允许您修改该组织名下的项目。

您可以使用 GCP ConsoleAPIgcloud 命令行工具在项目或服务资源级别应用初始角色。

邀请流程

您无法使用 Cloud IAM API 或 gcloud 命令行工具将所有者角色授予项目的成员。您只能使用 GCP Console 将所有者添加到项目中。系统会通过电子邮件向该成员发送邀请,该成员必须接受邀请才能成为项目的所有者。

请注意,在以下情况下,系统不会发送邀请电子邮件:

  • 您要授予除所有者以外的角色时。
  • 组织成员将其组织的其他成员添加为该组织中某个项目的所有者。

预定义角色

除了初始角色之外,Cloud IAM 还提供其他预定义角色,后者可让您为特定 Google Cloud Platform 资源授予更细化的访问权限,同时阻止对其他资源的不必要访问。

下表列出了这些角色、说明以及可设置这些角色的最低层级的资源类型。可以为此资源类型授予特定角色,或者在大多数情况下可以为该类型在 GCP 层次结构中的任何上级类型授予此角色。您可以为同一位用户授予多个角色。例如,同一位用户可以拥有项目上的网络管理员和日志查看者角色,并且对该项目中的发布者/订阅主题具有发布者角色。有关角色中包含的权限的列表,请参阅获取角色元数据

Android 管理角色

角色 名称 说明 权限 最低资源要求
roles/
androidmanagement.user
Android 管理用户 拥有管理设备的完整权限。 androidmanagement.*
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

App Engine 角色

角色 名称 说明 权限 最低资源要求
roles/
appengine.appAdmin
App Engine 管理员 拥有所有应用配置和设置的读取/写入/修改权限。 appengine.applications.*
appengine.instances.*
appengine.operations.*
appengine.runtimes.*
appengine.services.*
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
appengine.versions.update
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
appengine.appViewer
App Engine 查看者 拥有所有应用配置和设置的只读权限。 appengine.applications.get
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
appengine.codeViewer
App Engine 代码查看者 拥有所有应用配置、设置和已部署源代码的只读权限。 appengine.applications.get
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.services.get
appengine.services.list
appengine.versions.get
appengine.versions.getFileContents
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
appengine.deployer
App Engine 部署者 拥有所有应用配置和设置的只读权限。

仅拥有创建新版本的写权限;无法修改现有版本,但删除未收到流量的版本除外。

注意:App Engine 部署者 (roles/appengine.deployer) 角色仅授予使用 App Engine Admin API 进行部署的足够权限。要使用其他 App Engine 工具(例如 gcloud 命令),您还必须具备 Compute Storage 管理员 (roles/compute.storageAdmin) 和 Cloud Build 编辑者 (cloudbuild.builds.editor) 角色。
appengine.applications.get
appengine.instances.get
appengine.instances.list
appengine.operations.*
appengine.services.get
appengine.services.list
appengine.versions.create
appengine.versions.delete
appengine.versions.get
appengine.versions.list
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
appengine.serviceAdmin
App Engine 服务管理员 拥有所有应用配置和设置的只读权限。
拥有模块级和版本级设置的写权限。无部署新版本的权限。
appengine.applications.get
appengine.instances.*
appengine.operations.*
appengine.services.*
appengine.versions.delete
appengine.versions.get
appengine.versions.list
appengine.versions.update
resourcemanager.projects.get
resourcemanager.projects.list
项目

AutoML 角色

角色 名称 说明 权限 最低资源要求
roles/
automl.admin
AutoML 管理员测试版 拥有完全访问所有 AutoML 资源的权限。 automl.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list
roles/
automl.editor
AutoML 编辑者测试版 拥有编辑所有 AutoML 资源的权限。 automl.annotationSpecs.*
automl.annotations.*
automl.datasets.create
automl.datasets.delete
automl.datasets.export
automl.datasets.get
automl.datasets.import
automl.datasets.list
automl.examples.*
automl.humanAnnotationTasks.*
automl.locations.get
automl.locations.list
automl.modelEvaluations.*
automl.models.create
automl.models.delete
automl.models.deploy
automl.models.get
automl.models.list
automl.models.predict
automl.models.undeploy
automl.operations.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list
roles/
automl.predictor
AutoML 预测者测试版 拥有使用模型进行预测的权限。 automl.models.predict
resourcemanager.projects.get
resourcemanager.projects.list
roles/
automl.viewer
AutoML 查看者测试版 拥有查看所有 AutoML 资源的权限。 automl.annotationSpecs.get
automl.annotationSpecs.list
automl.annotations.list
automl.datasets.get
automl.datasets.list
automl.examples.get
automl.examples.list
automl.humanAnnotationTasks.get
automl.humanAnnotationTasks.list
automl.locations.get
automl.locations.list
automl.modelEvaluations.get
automl.modelEvaluations.list
automl.models.get
automl.models.list
automl.operations.get
automl.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list

BigQuery 角色

角色 名称 说明 权限 最低资源要求
roles/
bigquery.admin
BigQuery 管理员 提供管理项目中的所有资源的权限。可以管理项目中的所有数据,还可以取消其他用户正在项目中运行的作业。 bigquery.*
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
bigquery.dataEditor
BigQuery 数据编辑者

当应用于数据集时,dataEditor 提供了以下权限:

  • 读取数据集的元数据以及列出数据集中的表。
  • 创建、更新、获取和删除数据集的表。

应用于项目或组织级层时,此角色还可以创建新数据集。

bigquery.datasets.create
bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.tables.*
resourcemanager.projects.get
resourcemanager.projects.list
数据集
roles/
bigquery.dataOwner
BigQuery 数据所有者

当应用于数据集时,dataOwner 提供了以下权限:

  • 读取、更新和删除数据集。
  • 创建、更新、获取和删除数据集的表。

应用于项目或组织级层时,此角色还可以创建新数据集。

bigquery.datasets.*
bigquery.tables.*
resourcemanager.projects.get
resourcemanager.projects.list
数据集
roles/
bigquery.dataViewer
BigQuery 数据查看者

当应用于数据集时,dataViewer 提供了以下权限:

  • 读取数据集的元数据以及列出数据集中的表。
  • 从数据集的表中读取数据和元数据。

应用于项目或组织级层时,此角色还可枚举项目中的所有数据集。但若要运行作业,还需要具备其他角色。

bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.tables.export
bigquery.tables.get
bigquery.tables.getData
bigquery.tables.list
resourcemanager.projects.get
resourcemanager.projects.list
数据集
roles/
bigquery.jobUser
BigQuery 作业用户 提供在项目中运行作业(包括查询)的权限。具有 jobUser 角色的用户可以枚举和取消自己的作业。 bigquery.jobs.create
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
bigquery.metadataViewer
BigQuery 元数据查看者

应用于组织或项目级层时,metadataViewer 角色可提供以下权限:

  • 列出项目中的所有数据集,以及读取所有数据集的元数据。
  • 列出项目中的所有表和视图,以及读取所有表和视图的元数据。

但若要运行作业,还需要具备其他角色。

bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.tables.get
bigquery.tables.list
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
bigquery.readSessionUser
BigQuery 读取会话用户测试版 拥有创建和使用读取会话的权限。 bigquery.readsessions.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
bigquery.user
BigQuery 用户 提供在项目中运行作业(包括查询)的权限。具有此角色的用户不但可以枚举和取消自己的作业,还可以枚举项目中的数据集。另外,具有此角色的用户可以在项目中创建新数据集;对于这些新数据集,系统会为创建者授予 bigquery.dataOwner 角色。 bigquery.config.get
bigquery.datasets.create
bigquery.datasets.get
bigquery.datasets.getIamPolicy
bigquery.jobs.create
bigquery.jobs.list
bigquery.readsessions.*
bigquery.savedqueries.get
bigquery.savedqueries.list
bigquery.tables.list
bigquery.transfers.get
resourcemanager.projects.get
resourcemanager.projects.list
项目

结算角色

角色 名称 说明 权限 最低资源要求
roles/
billing.admin
结算帐号管理员 提供查看和管理结算帐号的所有方面的权限。 billing.accounts.close
billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.getPaymentInfo
billing.accounts.getSpendingInformation
billing.accounts.getUsageExportSpec
billing.accounts.list
billing.accounts.move
billing.accounts.redeemPromotion
billing.accounts.removeFromOrganization
billing.accounts.reopen
billing.accounts.setIamPolicy
billing.accounts.update
billing.accounts.updatePaymentInfo
billing.accounts.updateUsageExportSpec
billing.budgets.*
billing.credits.*
billing.resourceAssociations.*
billing.subscriptions.*
cloudnotifications.*
logging.logEntries.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.privateLogEntries.*
resourcemanager.projects.createBillingAssignment
resourcemanager.projects.deleteBillingAssignment
结算帐号
roles/
billing.creator
结算帐号创建者 提供创建结算帐号的权限。 billing.accounts.create
resourcemanager.organizations.get
项目
roles/
billing.projectManager
项目结算管理员 提供为项目分配结算帐号或停用项目结算功能的权限。 resourcemanager.projects.createBillingAssignment
resourcemanager.projects.deleteBillingAssignment
项目
roles/
billing.user
结算帐号用户 提供将项目与结算帐号相关联的权限。 billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.list
billing.accounts.redeemPromotion
billing.credits.*
billing.resourceAssociations.create
结算帐号
roles/
billing.viewer
结算帐号查看者 提供查看结算帐号费用信息和交易的权限。 billing.accounts.get
billing.accounts.getIamPolicy
billing.accounts.getPaymentInfo
billing.accounts.getSpendingInformation
billing.accounts.getUsageExportSpec
billing.accounts.list
billing.budgets.get
billing.budgets.list
billing.credits.*
billing.resourceAssociations.list
billing.subscriptions.get
billing.subscriptions.list
组织
结算帐号

二进制授权角色

角色 名称 说明 权限 最低资源要求
roles/
binaryauthorization.attestorsAdmin
二进制授权证明者的管理员 测试版 二进制授权证明者的管理员 binaryauthorization.attestors.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.attestorsEditor
二进制授权证明者的编辑者 测试版 二进制授权证明者的编辑者 binaryauthorization.attestors.create
binaryauthorization.attestors.delete
binaryauthorization.attestors.get
binaryauthorization.attestors.list
binaryauthorization.attestors.update
binaryauthorization.attestors.verifyImageAttested
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.attestorsVerifier
二进制授权证明者的映像验证者 测试版 二进制授权证明者的映像验证者的调用者 binaryauthorization.attestors.get
binaryauthorization.attestors.list
binaryauthorization.attestors.verifyImageAttested
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.attestorsViewer
二进制授权证明者的查看者 测试版 二进制授权证明者的查看者 binaryauthorization.attestors.get
binaryauthorization.attestors.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.policyAdmin
二进制授权政策管理员 测试版 二进制授权政策的管理员 binaryauthorization.policy.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.policyEditor
二进制授权政策编辑者 测试版 二进制授权政策的编辑者 binaryauthorization.policy.get
binaryauthorization.policy.update
resourcemanager.projects.get
resourcemanager.projects.list
roles/
binaryauthorization.policyViewer
二进制授权政策查看者 测试版 二进制授权政策的查看者 binaryauthorization.policy.get
resourcemanager.projects.get
resourcemanager.projects.list

云资产角色

角色 名称 说明 权限 最低资源要求
roles/
cloudasset.viewer
云资产查看者 拥有云资产元数据的只读权限。 cloudasset.*

Cloud Bigtable 角色

角色 名称 说明 权限 最低资源要求
roles/
bigtable.admin
Bigtable 管理员 可以管理项目中的所有实例,包括存储在表中的数据。可以创建新实例。适用于项目管理员。 bigtable.*
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
实例
roles/
bigtable.reader
Bigtable 读取者 提供存储在表中的数据的只读权限。适用于数据科学家、信息中心生成器和其他数据分析场景。 bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.tables.checkConsistency
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
bigtable.tables.readRows
bigtable.tables.sampleRowKeys
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
实例
roles/
bigtable.user
Bigtable 用户 提供存储在表中的数据的读取和写入权限。适用于应用开发者或服务帐号。 bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.tables.checkConsistency
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
bigtable.tables.mutateRows
bigtable.tables.readRows
bigtable.tables.sampleRowKeys
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
实例
roles/
bigtable.viewer
Bigtable 查看者 不提供数据访问权限。充当 Cloud Bigtable 的 GCP Console 的最小访问权限集合。 bigtable.appProfiles.get
bigtable.appProfiles.list
bigtable.clusters.get
bigtable.clusters.list
bigtable.instances.get
bigtable.instances.list
bigtable.tables.checkConsistency
bigtable.tables.generateConsistencyToken
bigtable.tables.get
bigtable.tables.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.timeSeries.list
resourcemanager.projects.get
实例

Cloud Build 角色

角色 名称 说明 权限 最低资源要求
roles/
cloudbuild.builds.builder
Cloud Build 服务帐号 拥有执行构建作业的权限。 cloudbuild.*
logging.logEntries.create
pubsub.topics.create
pubsub.topics.publish
resourcemanager.projects.get
resourcemanager.projects.list
source.repos.get
source.repos.list
storage.buckets.create
storage.buckets.get
storage.buckets.list
storage.objects.create
storage.objects.delete
storage.objects.get
storage.objects.list
storage.objects.update
roles/
cloudbuild.builds.editor
Cloud Build 编辑者 提供创建和取消构建作业的权限。 cloudbuild.*
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
cloudbuild.builds.viewer
Cloud Build 查看者 提供查看构建作业的权限。 cloudbuild.builds.get
cloudbuild.builds.list
resourcemanager.projects.get
resourcemanager.projects.list
项目

Cloud Composer 角色

角色 名称 说明 权限 最低资源要求
roles/
composer.admin
Composer 管理员 提供 Cloud Composer 资源的完全控制权。 composer.*
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
项目
roles/
composer.environmentAndStorageObjectAdmin
环境和存储对象管理员 提供 Cloud Composer 资源和所有项目存储分区中对象的完全控制权。 composer.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.objects.*
项目
roles/
composer.environmentAndStorageObjectViewer
环境用户和存储对象查看者 提供列出及获取 Cloud Composer 环境和操作所需的权限。提供所有项目存储分区中对象的只读权限。 composer.environments.get
composer.environments.list
composer.operations.get
composer.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.objects.get
storage.objects.list
项目
roles/
composer.user
Composer 用户 提供列出及获取 Cloud Composer 环境和操作所需的权限。 composer.environments.get
composer.environments.list
composer.operations.get
composer.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
项目
roles/
composer.worker
Composer 工作处理者 提供运行 Cloud Composer 环境虚拟机所需的权限。专用于服务帐号。 cloudbuild.*
container.*
logging.logEntries.create
monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.timeSeries.create
pubsub.snapshots.create
pubsub.snapshots.delete
pubsub.snapshots.get
pubsub.snapshots.list
pubsub.snapshots.seek
pubsub.snapshots.update
pubsub.subscriptions.consume
pubsub.subscriptions.create
pubsub.subscriptions.delete
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.subscriptions.update
pubsub.topics.attachSubscription
pubsub.topics.create
pubsub.topics.delete
pubsub.topics.get
pubsub.topics.list
pubsub.topics.publish
pubsub.topics.update
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
source.repos.get
source.repos.list
storage.buckets.create
storage.buckets.get
storage.buckets.list
storage.objects.*
项目

Cloud DLP 角色

角色 名称 说明 权限 最低资源要求
roles/
dlp.admin
DLP 管理员 拥有管理 DLP 的权限,包括作业和模板。 dlp.*
serviceusage.services.use
roles/
dlp.analyzeRiskTemplatesEditor
DLP 分析风险模板编辑者 拥有修改 DLP 分析风险模板的权限。 dlp.analyzeRiskTemplates.*
roles/
dlp.analyzeRiskTemplatesReader
DLP 分析风险模板读取者 拥有读取 DLP 分析风险模板的权限。 dlp.analyzeRiskTemplates.get
dlp.analyzeRiskTemplates.list
roles/
dlp.deidentifyTemplatesEditor
DLP 去标识化模板编辑者 拥有修改 DLP 去标识化模板的权限。 dlp.deidentifyTemplates.*
roles/
dlp.deidentifyTemplatesReader
DLP 去标识化模板读取者 拥有读取 DLP 去标识化模板的权限。 dlp.deidentifyTemplates.get
dlp.deidentifyTemplates.list
roles/
dlp.inspectTemplatesEditor
DLP 检查模板编辑者 拥有修改 DLP 检查模板的权限。 dlp.inspectTemplates.*
roles/
dlp.inspectTemplatesReader
DLP 检查模板读取者 拥有读取 DLP 检查模板的权限。 dlp.inspectTemplates.get
dlp.inspectTemplates.list
roles/
dlp.jobTriggersEditor
DLP 作业触发器编辑者 拥有修改作业触发器配置的权限。 dlp.jobTriggers.*
roles/
dlp.jobTriggersReader
DLP 作业触发器读取者 拥有读取作业触发器的权限。 dlp.jobTriggers.get
dlp.jobTriggers.list
roles/
dlp.jobsEditor
DLP 作业编辑者 拥有修改和创建作业的权限。 dlp.jobs.*
dlp.kms.*
roles/
dlp.jobsReader
DLP 作业读取者 拥有读取作业的权限。 dlp.jobs.get
dlp.jobs.list
roles/
dlp.reader
DLP 读取者 拥有读取 DLP 实体的权限,例如作业和模板。 dlp.analyzeRiskTemplates.get
dlp.analyzeRiskTemplates.list
dlp.deidentifyTemplates.get
dlp.deidentifyTemplates.list
dlp.inspectTemplates.get
dlp.inspectTemplates.list
dlp.jobTriggers.get
dlp.jobTriggers.list
dlp.jobs.get
dlp.jobs.list
dlp.storedInfoTypes.get
dlp.storedInfoTypes.list
roles/
dlp.storedInfoTypesEditor
DLP 存储的 InfoTypes 编辑者 拥有修改 DLP 存储的信息类型的权限。 dlp.storedInfoTypes.*
roles/
dlp.storedInfoTypesReader
DLP 存储的 InfoTypes 读取者 拥有读取 DLP 存储的信息类型的权限。 dlp.storedInfoTypes.get
dlp.storedInfoTypes.list
roles/
dlp.user
DLP 用户 拥有检查和遮盖内容,以及对内容进行去标识化处理的权限。 dlp.kms.*
serviceusage.services.use

Cloud Filestore 角色

角色 名称 说明 权限 最低资源要求
roles/
file.editor
Cloud Filestore 编辑者测试版 拥有 Filestore 实例及相关资源的读写权限。 file.*
roles/
file.viewer
Cloud Filestore 查看者测试版 拥有 Filestore 实例及相关资源的只读访问权限。 file.instances.get
file.instances.list
file.locations.*
file.operations.get
file.operations.list

Cloud Functions 角色

角色 名称 说明 权限 最低资源要求
roles/
cloudfunctions.developer
Cloud Functions 开发者测试版 拥有所有函数相关资源的读写权限。 cloudfunctions.*
resourcemanager.projects.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
cloudfunctions.viewer
Cloud Functions 查看者测试版 拥有函数和位置的只读权限。 cloudfunctions.functions.get
cloudfunctions.functions.list
cloudfunctions.locations.*
cloudfunctions.operations.*
resourcemanager.projects.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Cloud IAP 角色

角色 名称 说明 权限 最低资源要求
roles/
iap.admin
IAP 政策管理员 提供 Cloud Identity-Aware 代理资源的完整访问权限。 iap.tunnel.*
iap.tunnelInstances.getIamPolicy
iap.tunnelInstances.setIamPolicy
iap.tunnelZones.*
iap.web.*
iap.webServiceVersions.getIamPolicy
iap.webServiceVersions.setIamPolicy
iap.webServices.*
iap.webTypes.*
项目
roles/
iap.httpsResourceAccessor
受 IAP 保护的网络应用用户 提供 Cloud Identity-Aware 代理的 HTTPS 资源的访问权限。 iap.webServiceVersions.accessViaIAP
项目
roles/
iap.tunnelResourceAccessor
受 IAP 保护的隧道的用户测试版 拥有访问使用 Identity-Aware 代理的隧道资源的权限。 iap.tunnelInstances.accessViaIAP

Cloud IoT 角色

角色 名称 说明 权限 最低资源要求
roles/
cloudiot.admin
Cloud IoT 管理员 能够完全控制所有 Cloud IoT 资源和权限。 cloudiot.*
设备
roles/
cloudiot.deviceController
Cloud IoT 设备控制者 访问以更新设备的配置,但不能创建或删除设备。 cloudiot.devices.get
cloudiot.devices.list
cloudiot.devices.updateConfig
cloudiot.registries.get
cloudiot.registries.list
设备
roles/
cloudiot.editor
Cloud IoT 编辑者 对所有 Cloud IoT 资源拥有读写权限。 cloudiot.devices.*
cloudiot.registries.create
cloudiot.registries.delete
cloudiot.registries.get
cloudiot.registries.list
cloudiot.registries.update
设备
roles/
cloudiot.provisioner
Cloud IoT 配置者 有权在注册表中创建和删除设备,但无权修改注册表。 cloudiot.devices.*
cloudiot.registries.get
cloudiot.registries.list
设备
roles/
cloudiot.viewer
Cloud IoT 查看者 对所有 Cloud IoT 资源拥有只读权限。 cloudiot.devices.get
cloudiot.devices.list
cloudiot.registries.get
cloudiot.registries.list
设备

Cloud KMS 角色

角色 名称 说明 权限 最低资源要求
roles/
cloudkms.admin
Cloud KMS 管理员 提供 Cloud KMS 资源的完整访问权限,但不提供执行加密和解密操作的权限。 cloudkms.cryptoKeyVersions.create
cloudkms.cryptoKeyVersions.destroy
cloudkms.cryptoKeyVersions.get
cloudkms.cryptoKeyVersions.list
cloudkms.cryptoKeyVersions.restore
cloudkms.cryptoKeyVersions.update
cloudkms.cryptoKeys.*
cloudkms.keyRings.*
resourcemanager.projects.get
加密密钥
roles/
cloudkms.cryptoKeyDecrypter
Cloud KMS 加密密钥解密者 仅提供使用 Cloud KMS 资源执行解密操作的功能。 cloudkms.cryptoKeyVersions.useToDecrypt
resourcemanager.projects.get
加密密钥
roles/
cloudkms.cryptoKeyEncrypter
Cloud KMS 加密密钥加密者 仅提供使用 Cloud KMS 资源执行加密操作的功能。 cloudkms.cryptoKeyVersions.useToEncrypt
resourcemanager.projects.get
加密密钥
roles/
cloudkms.cryptoKeyEncrypterDecrypter
Cloud KMS 加密密钥加密者/解密者 仅提供使用 Cloud KMS 资源执行加密和解密操作的功能。 cloudkms.cryptoKeyVersions.useToDecrypt
cloudkms.cryptoKeyVersions.useToEncrypt
resourcemanager.projects.get
加密密钥
roles/
cloudkms.publicKeyViewer
Cloud KMS 加密密钥公钥查看者测试版 拥有启用 GetPublicKey 操作的权限。 cloudkms.cryptoKeyVersions.viewPublicKey
resourcemanager.projects.get
roles/
cloudkms.signer
Cloud KMS 加密密钥签名者测试版 拥有启用 AsymmetricSign 操作的权限。 cloudkms.cryptoKeyVersions.useToSign
resourcemanager.projects.get
roles/
cloudkms.signerVerifier
Cloud KMS 加密密钥签名者/验证者测试版 拥有启用 AsymmetricSign 和 GetPublicKey 操作的权限。 cloudkms.cryptoKeyVersions.useToSign
cloudkms.cryptoKeyVersions.viewPublicKey
resourcemanager.projects.get

Cloud 专用目录角色

角色 名称 说明 权限 最低资源要求
roles/
cloudprivatecatalog.consumer
目录使用者测试版 可以在目标资源上下文中浏览目录。 cloudprivatecatalog.*
roles/
cloudprivatecatalogproducer.admin
目录管理员测试版 可以管理目录并查看其关联情况。 cloudprivatecatalogproducer.associations.*
cloudprivatecatalogproducer.catalogs.*
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get
roles/
cloudprivatecatalogproducer.manager
目录管理员测试版 可以管理目录和目标资源之间的关联。 cloudprivatecatalogproducer.associations.*
cloudprivatecatalogproducer.catalogs.get
cloudprivatecatalogproducer.catalogs.list
cloudprivatecatalogproducer.targets.*
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get

Cloud SQL 角色

角色 名称 说明 权限 最低资源要求
roles/
cloudsql.admin
Cloud SQL 管理员 提供 Cloud SQL 资源的完全控制权。 cloudsql.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
项目
roles/
cloudsql.client
Cloud SQL 客户 可连接到 Cloud SQL 实例。 cloudsql.instances.connect
cloudsql.instances.get
项目
roles/
cloudsql.editor
Cloud SQL 编辑者 提供现有 Cloud SQL 实例的完全控制权,但不能修改用户、SSL 证书或删除资源。 cloudsql.backupRuns.create
cloudsql.backupRuns.get
cloudsql.backupRuns.list
cloudsql.databases.create
cloudsql.databases.get
cloudsql.databases.list
cloudsql.databases.update
cloudsql.instances.connect
cloudsql.instances.export
cloudsql.instances.failover
cloudsql.instances.get
cloudsql.instances.list
cloudsql.instances.restart
cloudsql.instances.truncateLog
cloudsql.instances.update
cloudsql.sslCerts.get
cloudsql.sslCerts.list
cloudsql.users.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
项目
roles/
cloudsql.viewer
Cloud SQL 查看者 提供 Cloud SQL 资源的只读权限。 cloudsql.backupRuns.get
cloudsql.backupRuns.list
cloudsql.databases.get
cloudsql.databases.list
cloudsql.instances.export
cloudsql.instances.get
cloudsql.instances.list
cloudsql.sslCerts.get
cloudsql.sslCerts.list
cloudsql.users.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
项目

Cloud Scheduler 角色

角色 名称 说明 权限 最低资源要求
roles/
cloudscheduler.admin
Cloud Scheduler 管理员测试版 拥有作业和执行作业的完全访问权限。 Cloud Scheduler*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudscheduler.viewer
Cloud Scheduler 查看者测试版 拥有获取和列出作业、执行作业和位置的权限。 cloudscheduler.jobs.fullView
cloudscheduler.jobs.get
cloudscheduler.jobs.list
resourcemanager.projects.get
resourcemanager.projects.list

Cloud Security Scanner 角色

角色 名称 说明 权限 最低资源要求
roles/
cloudsecurityscanner.editor
Cloud Security Scanner 编辑者 拥有所有 Cloud Security Scanner 资源的完整访问权限 appengine.applications.get
cloudsecurityscanner.*
compute.addresses.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
cloudsecurityscanner.runner
Cloud Security Scanner 运行者 可以读取 Scan 和 ScanRun 并且能够启动扫描 cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.scanruns.get
cloudsecurityscanner.scanruns.list
cloudsecurityscanner.scanruns.stop
cloudsecurityscanner.scans.get
cloudsecurityscanner.scans.list
cloudsecurityscanner.scans.run
roles/
cloudsecurityscanner.viewer
Cloud Security Scanner 查看者 拥有所有 Cloud Security Scanner 资源的读取权限 cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.results.*
cloudsecurityscanner.scanruns.get
cloudsecurityscanner.scanruns.getSummary
cloudsecurityscanner.scanruns.list
cloudsecurityscanner.scans.get
cloudsecurityscanner.scans.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

云服务角色

角色 名称 说明 权限 最低资源要求
roles/
servicebroker.admin
Service Broker 管理员测试版 拥有 ServiceBroker 资源的完整访问权限。 servicebroker.*
roles/
servicebroker.operator
Service Broker 操作者测试版 拥有 ServiceBroker 资源的操作权限。 servicebroker.bindingoperations.*
servicebroker.bindings.create
servicebroker.bindings.delete
servicebroker.bindings.get
servicebroker.bindings.list
servicebroker.catalogs.create
servicebroker.catalogs.delete
servicebroker.catalogs.get
servicebroker.catalogs.list
servicebroker.instanceoperations.*
servicebroker.instances.create
servicebroker.instances.delete
servicebroker.instances.get
servicebroker.instances.list
servicebroker.instances.update

Cloud Spanner 角色

角色 名称 说明 权限 最低资源要求
roles/
spanner.admin
Cloud Spanner 管理员 提供以下权限:向其他主帐号授予权限和撤消其权限,分配和删除付费资源,发出对资源的获取/列出/修改操作,读取和写入数据库以及获取项目元数据。 monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.list
spanner。*
项目
roles/
spanner.databaseAdmin
Cloud Spanner 数据库管理员 提供以下权限:获取/列出项目中的所有 Cloud Spanner 资源,创建/列出/删除数据库,授予/撤消项目数据库的访问权限,以及从项目中的所有 Cloud Spanner 数据库读取数据和向其写入数据。 monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.list
spanner.databaseOperations.*
spanner.databases.*
spanner.instances.get
spanner.instances.getIamPolicy
spanner.instances.list
spanner.sessions.*
项目
roles/
spanner.databaseReader
Cloud Spanner 数据库读取者 提供从 Cloud Spanner 数据库读取数据的权限,但不提供对数据库执行 SQL 查询并查看架构的权限。 spanner.databases.beginReadOnlyTransaction
spanner.databases.getDdl
spanner.databases.read
spanner.databases.select
spanner.sessions.*
数据库
roles/
spanner.databaseUser
Cloud Spanner 数据库用户 提供从 Cloud Spanner 数据库读取数据和向其写入数据,对数据库执行 SQL 查询以及查看和更新架构的权限。 spanner.databaseOperations.*
spanner.databases.beginOrRollbackReadWriteTransaction
spanner.databases.beginReadOnlyTransaction
spanner.databases.getDdl
spanner.databases.read
spanner.databases.select
spanner.databases.updateDdl
spanner.databases.write
spanner.sessions.*
数据库
roles/
spanner.viewer
Cloud Spanner 查看者 提供查看所有 Cloud Spanner 实例和数据库的权限,但不提供修改它们或从其读取数据的权限。 monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.list
spanner.databases.list
spanner.instanceConfigs.*
spanner.instances.get
spanner.instances.list
项目

Cloud TPU 角色

角色 名称 说明 权限 最低资源要求
roles/
tpu.admin
TPU 管理员 拥有 TPU 节点和相关资源的完整访问权限。 resourcemanager.projects.get
resourcemanager.projects.list
tpu.*
roles/
tpu.viewer
TPU 查看者 拥有 TPU 节点及相关资源的只读权限。 resourcemanager.projects.get
resourcemanager.projects.list
tpu.acceleratortypes.*
tpu.locations.*
tpu.nodes.get
tpu.nodes.list
tpu.operations.*
tpu.tensorflowversions.*

Cloud Talent Solution 角色

角色 名称 说明 权限 最低资源要求
roles/
cloudjobdiscovery.admin
管理员测试版 拥有 Cloud Job Discovery 自助式工具的访问权限。 cloudjobdiscovery.events.get
cloudjobdiscovery.events.list
cloudjobdiscovery.tools.*
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudjobdiscovery.jobsEditor
Job 编辑者测试版 拥有所有 Cloud Job Discovery 数据的写入权限。 cloudjobdiscovery.companies.*
cloudjobdiscovery.events.*
cloudjobdiscovery.jobs.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudjobdiscovery.jobsViewer
Job 查看者测试版 拥有所有 Cloud Job Discovery 数据的读取权限。 cloudjobdiscovery.companies.get
cloudjobdiscovery.companies.list
cloudjobdiscovery.events.get
cloudjobdiscovery.events.list
cloudjobdiscovery.jobs.get
cloudjobdiscovery.jobs.search
resourcemanager.projects.get
resourcemanager.projects.list

Cloud Tasks 角色

角色 名称 说明 权限 最低资源要求
roles/
cloudtasks.admin
Cloud Tasks 管理员测试版 对队列和任务拥有完整访问权限。 cloudtasks.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.enqueuer
Cloud Tasks 排入队列者测试版 有权创建任务。 cloudtasks.tasks.create
cloudtasks.tasks.fullView
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.queueAdmin
Cloud Tasks 队列管理员测试版 拥有队列的管理员访问权限。 cloudtasks.locations.*
cloudtasks.queues.*
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.taskDeleter
Cloud Tasks 任务删除者测试版 有权删除任务。 cloudtasks.tasks.delete
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.taskRunner
Cloud Tasks 任务运行者测试版 有权运行任务。 cloudtasks.tasks.fullView
cloudtasks.tasks.run
resourcemanager.projects.get
resourcemanager.projects.list
roles/
cloudtasks.viewer
Cloud Tasks 查看者测试版 有权获取和列出任务、队列和位置。 cloudtasks.locations.*
cloudtasks.queues.get
cloudtasks.queues.list
cloudtasks.tasks.fullView
cloudtasks.tasks.get
cloudtasks.tasks.list
resourcemanager.projects.get
resourcemanager.projects.list

Cloud Trace 角色

角色 名称 说明 权限 最低资源要求
roles/
cloudtrace.admin
Cloud Trace 管理员 提供对 Trace 控制台的完全访问权限以及对跟踪记录的读写访问权限。 cloudtrace.*
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
cloudtrace.agent
Cloud Trace 代理 适用于服务帐号。提供通过将数据发送到 Stackdriver Trace 来写入跟踪记录的功能。 cloudtrace.traces.patch
项目
roles/
cloudtrace.user
Cloud Trace 用户 提供 Trace 控制台的完整访问权限以及跟踪记录的读取权限。 cloudtrace.insights.*
cloudtrace.stats.*
cloudtrace.tasks.*
cloudtrace.traces.get
cloudtrace.traces.list
resourcemanager.projects.get
resourcemanager.projects.list
项目

Codelab API 密钥角色

角色 名称 说明 权限 最低资源要求
roles/
codelabapikeys.admin
Codelab ApiKeys 管理员测试版 拥有对 API 密钥的完全访问权限。 resourcemanager.projects.get
resourcemanager.projects.list
roles/
codelabapikeys.editor
Codelab API 密钥编辑者测试版 此角色可以查看和修改 API 密钥的所有属性。 resourcemanager.projects.get
resourcemanager.projects.list
roles/
codelabapikeys.viewer
Codelab API 密钥查看者测试版 此角色可查看 API 密钥更改历史记录以外的所有属性。 resourcemanager.projects.get
resourcemanager.projects.list

Compute Engine 角色

角色 名称 说明 权限 最低资源要求
roles/
compute.admin
计算管理员

拥有所有 Compute Engine 资源的完全控制权。

如果用户将管理配置为作为服务帐号运行的虚拟机实例,那么您还必须授予 roles/iam.serviceAccountUser 角色。

compute.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
磁盘、映像、实例、instanceTemplate、nodeGroup、nodeTemplate、快照测试版
roles/
compute.imageUser
计算映像用户

在无需其他映像权限的情况下列出和读取映像的权限。授予项目级层的 compute.imageUser 角色,使成员可列出项目中的所有映像,并根据项目中的映像创建资源(如实例和永久性磁盘)。

compute.images.get
compute.images.getFromFamily
compute.images.list
compute.images.useReadOnly
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
映像测试版
roles/
compute.instanceAdmin
计算实例管理员(测试版)

提供创建、修改和删除虚拟机实例的权限。这包括创建、修改和删除磁盘的权限,以及配置受防护的虚拟机设置的权限。

如果用户将管理配置为作为服务帐号运行的虚拟机实例,那么您还必须授予 roles/iam.serviceAccountUser 角色。

例如,如果您的公司有人管理着多组虚拟机实例,但并未管理网络或安全设置,也并未管理以服务帐号身份运行的实例,则您可以在包含该实例的组织、文件夹或项目级层授予此角色,或者您可以在各个实例级层授予此角色。

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.addresses.use
compute.autoscalers.*
compute.diskTypes.*
compute.disks.create
compute.disks.createSnapshot
compute.disks.delete
compute.disks.get
compute.disks.list
compute.disks.resize
compute.disks.setLabels
compute.disks.update
compute.disks.use
compute.disks.useReadOnly
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalOperations.get
compute.globalOperations.list
compute.images.get
compute.images.getFromFamily
compute.images.list
compute.images.useReadOnly
compute.instanceGroupManagers.*
compute.instanceGroups.*
compute.instanceTemplates.*
compute.instances.*
compute.licenses.get
compute.licenses.list
compute.machineTypes.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetPools.get
compute.targetPools.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
磁盘、映像、实例、instanceTemplate、快照测试版
roles/
compute.instanceAdmin.v1
计算实例管理员 (v1) 拥有 Compute Engine 实例、实例组、磁盘、快照和映像的完整控制权。拥有对所有 Compute Engine 网络资源的读取权限。 compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.addresses.use
compute.autoscalers.*
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.diskTypes.*
compute.disks.*
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalAddresses.use
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalOperations.get
compute.globalOperations.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.*
compute.instanceGroupManagers.*
compute.instanceGroups.*
compute.instanceTemplates.*
compute.instances.*
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.licenseCodes.*
compute.licenses.*
compute.machineTypes.*
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.projects.setCommonInstanceMetadata
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.snapshots.*
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
compute.loadBalancerAdmin
计算负载平衡器管理员测试版

拥有创建、修改和删除负载平衡器及相关资源的权限。

例如,如果您的公司有一个负载平衡团队负责管理负载平衡器、负载平衡器的 SSL 证书、SSL 政策和其他负载平衡资源,同时还有一个单独的网络团队负责管理其余网络资源,则为负载平衡团队的群组授予 loadBalancerAdmin 角色。

compute.addresses.*
compute.backendBuckets.*
compute.backendServices.*
compute.forwardingRules.*
compute.globalAddresses.*
compute.globalForwardingRules.*
compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute.instanceGroups.*
compute.instances.get
compute.instances.list
compute.instances.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.projects.get
compute.regionBackendServices.*
compute.securityPolicies.get
compute.securityPolicies.list
compute.securityPolicies.use
compute.sslCertificates.*
compute.sslPolicies.*
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.urlMaps.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
实例测试版
roles/
compute.networkAdmin
计算网络管理员

拥有创建、修改和删除网络资源(但防火墙规则和 SSL 证书除外)的权限。网络管理员角色提供防火墙规则、SSL 证书和实例(以查看其临时 IP 地址)的只读权限。网络管理员角色不允许用户创建、启动、停止或删除实例。

例如,如果您的公司有一个负责管理防火墙和 SSL 证书的安全团队和一个负责管理其余网络资源的网络团队,则为网络团队的群组授予 networkAdmin 角色。

compute.addresses.*
compute.autoscalers.list
compute.backendBuckets.*
compute.backendServices.*
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.*
compute.globalAddresses.*
compute.globalForwardingRules.*
compute.globalOperations.get
compute.globalOperations.list
compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroupManagers.update
compute.instanceGroupManagers.use
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceGroups.update
compute.instanceGroups.use
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.instances.use
compute.interconnectAttachments.*
compute.interconnectLocations.*
compute.interconnects.*
compute.networks.*
compute.projects.get
compute.regionBackendServices.*
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.routers.*
compute.routes.*
compute.securityPolicies.get
compute.securityPolicies.list
compute.securityPolicies.use
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.*
compute.subnetworks.*
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.targetVpnGateways.*
compute.urlMaps.*
compute.vpnTunnels.*
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.operations.get
servicenetworking.services.addPeering
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
实例测试版
roles/
compute.networkUser
计算网络用户

拥有共享 VPC 网络的访问权限。

被授予此角色后,服务所有者可以使用属于主机项目的 VPC 网络和子网。例如,网络用户可以创建属于主机项目网络的虚拟机实例,但不能在主机项目中删除或创建新网络。

compute.addresses.createInternal
compute.addresses.deleteInternal
compute.addresses.get
compute.addresses.list
compute.addresses.useInternal
compute.firewalls.get
compute.firewalls.list
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.interconnects.use
compute.networks.get
compute.networks.list
compute.networks.use
compute.networks.useExternalIp
compute.projects.get
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.subnetworks.get
compute.subnetworks.list
compute.subnetworks.use
compute.subnetworks.useExternalIp
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
项目
roles/
compute.networkViewer
计算网络查看者

拥有所有网络资源的只读权限。

例如,如果您有用于检查网络配置的软件,则可以为该软件的服务帐号授予 networkViewer 角色。

compute.addresses.get
compute.addresses.list
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.networks.get
compute.networks.list
compute.projects.get
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
servicenetworking.services.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
实例测试版
roles/
compute.osAdminLogin
计算操作系统管理员登录

能够以管理员用户身份登录到 Compute Engine 实例。

compute.instances.get
compute.instances.list
compute.instances.osAdminLogin
compute.instances.osLogin
compute.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
实例测试版
roles/
compute.osLogin
计算操作系统登录

能够以标准用户身份登录到 Compute Engine 实例。

compute.instances.get
compute.instances.list
compute.instances.osLogin
compute.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
实例测试版
roles/
compute.osLoginExternalUser
计算操作系统登录外部用户

仅在组织级层提供。

外部用户可以设置与此组织关联的操作系统登录信息。此角色不授予对实例的访问权限。外部用户必须获授一个必需的操作系统登录角色以通过 SSH 访问实例。

compute.oslogin.*
组织
roles/
compute.securityAdmin
计算安全管理员

拥有创建、修改和删除防火墙规则和 SSL 证书的权限,以及配置受防护的虚拟机设置的权限。

例如,如果您的公司有一个负责管理防火墙和 SSL 证书的安全团队和一个负责管理其余网络资源的网络团队,则为安全团队的群组授予 securityAdmin 角色。

compute.firewalls.*
compute.globalOperations.get
compute.globalOperations.list
compute.instances.setShieldedVmIntegrityPolicy
compute.instances.updateShieldedVmConfig
compute.networks.get
compute.networks.list
compute.networks.updatePolicy
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.routes.get
compute.routes.list
compute.securityPolicies.*
compute.sslCertificates.*
compute.sslPolicies.*
compute.subnetworks.get
compute.subnetworks.list
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
实例测试版
roles/
compute.storageAdmin
计算存储管理员

拥有创建、修改和删除磁盘、映像和快照的权限。

例如,如果您不希望公司负责管理项目映像的人员拥有项目的编辑者角色,则可为其帐号授予项目的 storageAdmin 角色。

compute.diskTypes.*
compute.disks.*
compute.globalOperations.get
compute.globalOperations.list
compute.images.*
compute.licenseCodes.*
compute.licenses.*
compute.projects.get
compute.regionOperations.get
compute.regionOperations.list
compute.regions.*
compute.snapshots.*
compute.zoneOperations.get
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
磁盘、映像、快照测试版
roles/
compute.viewer
计算查看者

拥有获取和列出 Compute Engine 资源的只读权限,无权读取上面存储的数据。

例如,具有此角色的帐号可以清点项目中的所有磁盘,但无法读取这些磁盘上的任何数据。

compute.acceleratorTypes.*
compute.addresses.get
compute.addresses.list
compute.autoscalers.get
compute.autoscalers.list
compute.backendBuckets.get
compute.backendBuckets.list
compute.backendServices.get
compute.backendServices.list
compute.commitments.get
compute.commitments.list
compute.diskTypes.*
compute.disks.get
compute.disks.getIamPolicy
compute.disks.list
compute.firewalls.get
compute.firewalls.list
compute.forwardingRules.get
compute.forwardingRules.list
compute.globalAddresses.get
compute.globalAddresses.list
compute.globalForwardingRules.get
compute.globalForwardingRules.list
compute.globalOperations.get
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.healthChecks.get
compute.healthChecks.list
compute.httpHealthChecks.get
compute.httpHealthChecks.list
compute.httpsHealthChecks.get
compute.httpsHealthChecks.list
compute.images.get
compute.images.getFromFamily
compute.images.getIamPolicy
compute.images.list
compute.instanceGroupManagers.get
compute.instanceGroupManagers.list
compute.instanceGroups.get
compute.instanceGroups.list
compute.instanceTemplates.get
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instances.get
compute.instances.getGuestAttributes
compute.instances.getIamPolicy
compute.instances.getSerialPortOutput
compute.instances.list
compute.instances.listReferrers
compute.interconnectAttachments.get
compute.interconnectAttachments.list
compute.interconnectLocations.*
compute.interconnects.get
compute.interconnects.list
compute.licenseCodes.get
compute.licenseCodes.getIamPolicy
compute.licenseCodes.list
compute.licenses.get
compute.licenses.getIamPolicy
compute.licenses.list
compute.machineTypes.*
compute.maintenancePolicies.get
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.networks.get
compute.networks.list
compute.nodeGroups.get
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeTemplates.get
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTypes.*
compute.projects.get
compute.regionBackendServices.get
compute.regionBackendServices.list
compute.regionOperations.get
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regions.*
compute.routers.get
compute.routers.list
compute.routes.get
compute.routes.list
compute.securityPolicies.get
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.snapshots.get
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.sslCertificates.get
compute.sslCertificates.list
compute.sslPolicies.get
compute.sslPolicies.list
compute.sslPolicies.listAvailableFeatures
compute.subnetworks.get
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.targetHttpProxies.get
compute.targetHttpProxies.list
compute.targetHttpsProxies.get
compute.targetHttpsProxies.list
compute.targetInstances.get
compute.targetInstances.list
compute.targetPools.get
compute.targetPools.list
compute.targetSslProxies.get
compute.targetSslProxies.list
compute.targetTcpProxies.get
compute.targetTcpProxies.list
compute.targetVpnGateways.get
compute.targetVpnGateways.list
compute.urlMaps.get
compute.urlMaps.list
compute.urlMaps.validate
compute.vpnTunnels.get
compute.vpnTunnels.list
compute.zoneOperations.get
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zones.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
磁盘、映像、实例、instanceTemplate、nodeGroup、nodeTemplate、快照测试版
roles/
compute.xpnAdmin
计算共享 VPC 管理员

拥有管理共享 VPC 主机项目的权限,具体来说,就是启用主机项目并将共享 VPC 服务项目关联到主机项目的网络。

此角色只能由组织管理员在组织上授予。

compute.globalOperations.get
compute.globalOperations.list
compute.organizations.*
compute.projects.get
compute.subnetworks.getIamPolicy
compute.subnetworks.setIamPolicy
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
组织

容器分析角色

角色 名称 说明 权限 最低资源要求
roles/
containeranalysis.admin
容器分析管理员 有权访问所有资源。 resourcemanager.projects.get
resourcemanager.projects.list
roles/
containeranalysis.notes.attacher
容器分析备注附加者 可以将事件附加到备注中。
roles/
containeranalysis.notes.editor
容器分析备注编辑者 可以修改容器分析备注。 resourcemanager.projects.get
resourcemanager.projects.list
roles/
containeranalysis.notes.viewer
容器分析备注查看者 可以查看容器分析备注。 resourcemanager.projects.get
resourcemanager.projects.list
roles/
containeranalysis.occurrences.editor
容器分析事件编辑者 可以修改容器分析事件。 resourcemanager.projects.get
resourcemanager.projects.list
roles/
containeranalysis.occurrences.viewer
容器分析事件查看者 可以查看容器分析事件。 resourcemanager.projects.get
resourcemanager.projects.list

DNS 角色

角色 名称 说明 权限 最低资源要求
roles/
dns.admin
DNS 管理员 提供所有 Cloud DNS 资源的读写权限。 compute.networks.get
compute.networks.list
dns.changes.*
dns.dnsKeys.*
dns.managedZoneOperations.*
dns.managedZones.*
dns.networks.*
dns.policies.create
dns.policies.delete
dns.policies.get
dns.policies.list
dns.policies.update
dns.projects.*
dns.resourceRecordSets.*
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
dns.reader
DNS 读取者 提供所有 Cloud DNS 资源的只读权限。 compute.networks.get
dns.changes.get
dns.changes.list
dns.dnsKeys.*
dns.managedZoneOperations.*
dns.managedZones.get
dns.managedZones.list
dns.policies.get
dns.policies.list
dns.projects.*
dns.resourceRecordSets.list
resourcemanager.projects.get
resourcemanager.projects.list
项目

Dataflow 角色

角色 名称 说明 权限 最低资源要求
roles/
dataflow.admin
Dataflow 管理员 创建和管理 Dataflow 作业至少需要拥有的角色。 compute.machineTypes.get
dataflow.*
resourcemanager.projects.get
resourcemanager.projects.list
storage.buckets.get
storage.objects.create
storage.objects.get
storage.objects.list
roles/
dataflow.developer
Dataflow 开发者 提供执行和操作 Cloud Dataflow 作业所需的权限。 dataflow.*
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
dataflow.viewer
Dataflow 查看者 提供所有 Cloud Dataflow 相关资源的只读权限。 dataflow.jobs.get
dataflow.jobs.list
dataflow.messages.*
dataflow.metrics.*
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
dataflow.worker
Dataflow 工作处理者 提供让 Compute Engine 服务帐号执行 Cloud Dataflow 流水线工作单元所需的权限。 compute.instanceGroupManagers.update
compute.instances.delete
compute.instances.setDiskAutoDelete
dataflow.jobs.get
logging.logEntries.create
storage.objects.create
storage.objects.get
项目

Dataprep 角色

角色 名称 说明 权限 最低资源要求
roles/
dataprep.projects.user
Dataprep 用户测试版 拥有使用 Dataprep 的权限。 dataprep.*
resourcemanager.projects.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

Dataproc 角色

角色 名称 说明 权限 最低资源要求
roles/
dataproc.editor
Dataproc 编辑者 提供查看管理 Cloud Dataproc 所需资源(包括机器类型、网络、项目和地区)所需的权限。 compute.machineTypes.*
compute.networks.get
compute.networks.list
compute.projects.get
compute.regions.*
compute.zones.*
dataproc.clusters.create
dataproc.clusters.delete
dataproc.clusters.get
dataproc.clusters.list
dataproc.clusters.update
dataproc.clusters.use
dataproc.jobs.cancel
dataproc.jobs.create
dataproc.jobs.delete
dataproc.jobs.get
dataproc.jobs.list
dataproc.jobs.update
dataproc.operations.delete
dataproc.operations.get
dataproc.operations.list
dataproc.workflowTemplates.create
dataproc.workflowTemplates.delete
dataproc.workflowTemplates.get
dataproc.workflowTemplates.instantiate
dataproc.workflowTemplates.instantiateInline
dataproc.workflowTemplates.list
dataproc.workflowTemplates.update
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
dataproc.viewer
Dataproc 查看者 提供 Cloud Dataproc 资源的只读权限。 compute.machineTypes.get
compute.regions.*
compute.zones.get
dataproc.clusters.get
dataproc.clusters.list
dataproc.jobs.get
dataproc.jobs.list
dataproc.operations.get
dataproc.operations.list
dataproc.workflowTemplates.get
dataproc.workflowTemplates.list
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
dataproc.worker
Dataproc 工作处理者 拥有处理 Dataproc 工作的权限。专用于服务帐号。 dataproc.agents.*
dataproc.tasks.*
logging.logEntries.create
monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.timeSeries.create
storage.buckets.get
storage.objects.*

Datastore 角色

角色 名称 说明 权限 最低资源要求
roles/
datastore.importExportAdmin
Cloud Datastore 导入导出管理员 提供管理导入和导出的完整访问权限。 appengine.applications.get
datastore.databases.export
datastore.databases.import
datastore.operations.cancel
datastore.operations.get
datastore.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
datastore.indexAdmin
Cloud Datastore 索引管理员 提供管理索引定义的完整访问权限。 appengine.applications.get
datastore.indexes.*
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
datastore.owner
Cloud Datastore 所有者 提供 Cloud Datastore 资源的完整访问权限。 appengine.applications.get
datastore.*
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
datastore.user
Cloud Datastore 用户 提供 Cloud Datastore 数据库中数据的读/写权限。 appengine.applications.get
datastore.databases.get
datastore.entities.*
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.list
datastore.statistics.*
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
datastore.viewer
Cloud Datastore 查看者 提供 Cloud Datastore 资源的读取权限。 appengine.applications.get
datastore.databases.get
datastore.databases.list
datastore.entities.get
datastore.entities.list
datastore.indexes.get
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.list
datastore.statistics.*
resourcemanager.projects.get
resourcemanager.projects.list
项目

Deployment Manager 角色

角色 名称 说明 权限 最低资源要求
roles/
deploymentmanager.editor
Deployment Manager 编辑者 提供创建和管理部署所需的权限。 deploymentmanager.compositeTypes.*
deploymentmanager.deployments.cancelPreview
deploymentmanager.deployments.create
deploymentmanager.deployments.delete
deploymentmanager.deployments.get
deploymentmanager.deployments.list
deploymentmanager.deployments.stop
deploymentmanager.deployments.update
deploymentmanager.manifests.*
deploymentmanager.operations.*
deploymentmanager.resources.*
deploymentmanager.typeProviders.*
deploymentmanager.types.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
项目
roles/
deploymentmanager.typeEditor
Deployment Manager 类型编辑者 提供所有类型注册表资源的读写权限。 deploymentmanager.compositeTypes.*
deploymentmanager.operations.get
deploymentmanager.typeProviders.*
deploymentmanager.types.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
项目
roles/
deploymentmanager.typeViewer
Deployment Manager 类型查看者 提供所有类型注册表资源的只读权限。 deploymentmanager.compositeTypes.get
deploymentmanager.compositeTypes.list
deploymentmanager.typeProviders.get
deploymentmanager.typeProviders.getType
deploymentmanager.typeProviders.list
deploymentmanager.typeProviders.listTypes
deploymentmanager.types.get
deploymentmanager.types.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
项目
roles/
deploymentmanager.viewer
Deployment Manager 查看者 提供所有 Cloud Deployment Manager 相关资源的只读权限。 deploymentmanager.compositeTypes.get
deploymentmanager.compositeTypes.list
deploymentmanager.deployments.get
deploymentmanager.deployments.list
deploymentmanager.manifests.*
deploymentmanager.operations.*
deploymentmanager.resources.*
deploymentmanager.typeProviders.get
deploymentmanager.typeProviders.getType
deploymentmanager.typeProviders.list
deploymentmanager.typeProviders.listTypes
deploymentmanager.types.get
deploymentmanager.types.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
项目

Dialogflow 角色

角色 名称 说明 权限 最低资源要求
roles/
dialogflow.admin
Dialogflow API 管理员测试版 提供 Dialogflow(仅限 API)资源的完整访问权限。使用 roles/ownerroles/editor 初始角色可对 API 和 Dialogflow 控制台(在 Dialogflow 控制台中创建代理时,通常需要用到它)进行访问。 dialogflow.*
resourcemanager.projects.get
项目
roles/
dialogflow.client
Dialogflow API 客户测试版 提供 Dialogflow(仅限 API)资源的客户端访问权限。这授予了检测意图和读/写会话属性(上下文、会话实体类型等)的权限。 dialogflow.contexts.*
dialogflow.sessionEntityTypes。*
dialogflow.sessions.*
项目
roles/
dialogflow.consoleAgentEditor
Dialogflow 控制台代理编辑者测试版 可以在 Dialogflow 控制台中修改代理 dialogflow.*
resourcemanager.projects.get
roles/
dialogflow.reader
Dialogflow API 读取者测试版 提供 Dialogflow(仅限 API)资源的读取权限。无法检测意图。使用 roles/viewer 初始角色可对 API 和 Dialogflow 控制台进行类似访问。 dialogflow.agents.export
dialogflow.agents.get
dialogflow.agents.search
dialogflow.contexts.get
dialogflow.contexts.list
dialogflow.entityTypes.get
dialogflow.entityTypes.list
dialogflow.intents.get
dialogflow.intents.list
dialogflow.operations.*
dialogflow.sessionEntityTypes.get
dialogflow.sessionEntityTypes.list
resourcemanager.projects.get
项目

Endpoints 角色

角色 名称 说明 权限 最低资源要求
roles/
endpoints.portalAdmin
Endpoints 门户管理员测试版 提供在 GCP Console 的 Endpoints > 开发者门户页面上添加、查看和删除自定义网域所需的所有权限。在为 API 创建的门户上提供下列权限:在设置页面的网站级标签上更改设置。 endpoints.*
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.services.get
项目

Error Reporting 角色

角色 名称 说明 权限 最低资源要求
roles/
errorreporting.admin
Error Reporting 管理员测试版 提供 Error Reporting 数据的完整访问权限。 errorreporting.*
项目
roles/
errorreporting.user
Error Reporting 用户测试版 提供读取和写入 Error Reporting 数据的权限,但发送新的错误事件除外。 errorreporting.applications.*
errorreporting.errorEvents.delete
errorreporting.errorEvents.list
errorreporting.groupMetadata.*
errorreporting.groups.*
项目
roles/
errorreporting.viewer
Error Reporting 查看者测试版 提供 Error Reporting 数据的只读权限。 errorreporting.applications.*
errorreporting.errorEvents.list
errorreporting.groupMetadata.get
errorreporting.groups.*
项目
roles/
errorreporting.writer
Error Reporting 写入者测试版 提供将错误事件发送到 Error Reporting 的权限。 errorreporting.errorEvents.create
服务帐号

Firebase 角色

角色 名称 说明 权限 最低资源要求
roles/
cloudtestservice.testAdmin
Firebase 测试实验室管理员 拥有所有测试实验室功能的完整访问权限。 cloudtestservice.*
cloudtoolresults.*
firebase.billingPlans.get
resourcemanager.projects.get
resourcemanager.projects.list
storage.buckets.create
storage.buckets.get
storage.buckets.update
storage.objects.create
storage.objects.get
storage.objects.list
roles/
cloudtestservice.testViewer
Firebase 测试实验室查看者 拥有对测试实验室功能的读取权限。 cloudtestservice.environmentcatalog.*
cloudtestservice.matrices.get
cloudtoolresults.executions.get
cloudtoolresults.executions.list
cloudtoolresults.histories.get
cloudtoolresults.histories.list
cloudtoolresults.settings.get
cloudtoolresults.steps.get
cloudtoolresults.steps.list
resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.get
storage.objects.list
roles/
firebase.admin
Firebase 管理员测试版 拥有 Firebase 产品的完整访问权限。 appengine.applications.get
clientauthconfig.*
cloudconfig.*
cloudfunctions.*
cloudnotifications.*
cloudtestservice.*
cloudtoolresults.*
datastore.*
errorreporting.groups.*
firebase.*
firebaseabt.*
firebaseanalytics.*
firebaseauth.*
firebasecrash.*
firebasedatabase.*
firebasedynamiclinks.*
firebaseextensions.*
firebasehosting.*
firebaseinappmessaging.*
firebaseml.*
firebasenotifications.*
firebaseperformance.*
firebasepredictions.*
firebaserules.*
logging.logEntries.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
runtimeconfig.configs.create
runtimeconfig.configs.delete
runtimeconfig.configs.get
runtimeconfig.configs.list
runtimeconfig.configs.update
runtimeconfig.operations.*
runtimeconfig.variables.create
runtimeconfig.variables.delete
runtimeconfig.variables.get
runtimeconfig.variables.list
runtimeconfig.variables.update
runtimeconfig.variables.watch
runtimeconfig.waiters.create
runtimeconfig.waiters.delete
runtimeconfig.waiters.get
runtimeconfig.waiters.list
runtimeconfig.waiters.update
serviceusage.apiKeys.get
serviceusage.apiKeys.getProjectForKey
serviceusage.apiKeys.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.*
roles/
firebase.analyticsAdmin
Firebase Analytics 管理员测试版 拥有 Google Analytics for Firebase 的完整访问权限。 cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.*
firebaseextensions.configs.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
roles/
firebase.analyticsViewer
Firebase Analytics 查看者测试版 拥有 Google Analytics for Firebase 的读取权限。 cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebaseextensions.configs.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
roles/
firebase.developAdmin
Firebase 开发管理员测试版 拥有 Firebase 开发类产品和 Analytics 的完整访问权限。 appengine.applications.get
clientauthconfig.brands.*
clientauthconfig.clients.get
clientauthconfig.clients.list
cloudfunctions.*
cloudnotifications.*
datastore.*
errorreporting.groups.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.*
firebaseauth.*
firebasedatabase.*
firebaseextensions.configs.list
firebasehosting.*
firebaseml.*
firebaserules.*
logging.logEntries.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
runtimeconfig.configs.create
runtimeconfig.configs.delete
runtimeconfig.configs.get
runtimeconfig.configs.list
runtimeconfig.configs.update
runtimeconfig.operations.*
runtimeconfig.variables.create
runtimeconfig.variables.delete
runtimeconfig.variables.get
runtimeconfig.variables.list
runtimeconfig.variables.update
runtimeconfig.variables.watch
runtimeconfig.waiters.create
runtimeconfig.waiters.delete
runtimeconfig.waiters.get
runtimeconfig.waiters.list
runtimeconfig.waiters.update
serviceusage.apiKeys.get
serviceusage.apiKeys.getProjectForKey
serviceusage.apiKeys.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.*
roles/
firebase.developViewer
Firebase 开发查看者测试版 拥有 Firebase 开发类产品和 Analytics 的读取权限。 clientauthconfig.brands.get
clientauthconfig.brands.list
cloudfunctions.functions.get
cloudfunctions.functions.list
cloudfunctions.locations.*
cloudfunctions.operations.*
cloudnotifications.*
datastore.databases.get
datastore.databases.getIamPolicy
datastore.databases.list
datastore.entities.get
datastore.entities.list
datastore.indexes.get
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.getIamPolicy
datastore.namespaces.list
datastore.statistics.*
errorreporting.groups.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebaseauth.configs.get
firebaseauth.users.get
firebasedatabase.instances.get
firebasedatabase.instances.list
firebaseextensions.configs.list
firebasehosting.sites.get
firebasehosting.sites.list
firebaseml.compressionjobs.get
firebaseml.compressionjobs.list
firebaseml.models.get
firebaseml.models.list
firebaseml.modelversions.get
firebaseml.modelversions.list
firebaserules.releases.get
firebaserules.releases.list
firebaserules.rulesets.get
firebaserules.rulesets.list
logging.logEntries.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.list
storage.objects.get
storage.objects.getIamPolicy
storage.objects.list
roles/
firebase.growthAdmin
Firebase 发展管理员测试版 拥有 Firebase 发展类产品和 Analytics 的完整访问权限。 clientauthconfig.clients.get
clientauthconfig.clients.list
cloudconfig.*
cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseabt.*
firebaseanalytics.*
firebasedynamiclinks.*
firebaseextensions.configs.list
firebaseinappmessaging.*
firebasenotifications.*
firebasepredictions.*
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
firebase.growthViewer
Firebase 发展查看者测试版 拥有 Firebase 发展类产品和 Analytics 的读取权限。 cloudconfig.configs.get
cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseabt.experimentresults.*
firebaseabt.experiments.get
firebaseabt.experiments.list
firebaseabt.projectmetadata.*
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebasedynamiclinks.destinations.list
firebasedynamiclinks.domains.get
firebasedynamiclinks.domains.list
firebasedynamiclinks.links.get
firebasedynamiclinks.links.list
firebasedynamiclinks.stats.*
firebaseextensions.configs.list
firebaseinappmessaging.campaigns.get
firebaseinappmessaging.campaigns.list
firebasenotifications.messages.get
firebasenotifications.messages.list
firebasepredictions.predictions.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
firebase.qualityAdmin
Firebase 质量管理员测试版 拥有 Firebase 质量类产品和 Analytics 的完整访问权限。 cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.*
firebasecrash.*
firebaseextensions.configs.list
firebaseperformance.*
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
firebase.qualityViewer
Firebase 质量查看者测试版 拥有 Firebase 质量类产品和 Analytics 的读取权限。 cloudnotifications.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebasecrash.reports.*
firebaseextensions.configs.list
firebaseperformance.data.*
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
roles/
firebase.viewer
Firebase 查看者测试版 拥有 Firebase 产品的只读权限。 clientauthconfig.brands.get
clientauthconfig.brands.list
cloudconfig.configs.get
cloudfunctions.functions.get
cloudfunctions.functions.list
cloudfunctions.locations.*
cloudfunctions.operations.*
cloudnotifications.*
cloudtestservice.environmentcatalog.*
cloudtestservice.matrices.get
cloudtoolresults.executions.get
cloudtoolresults.executions.list
cloudtoolresults.histories.get
cloudtoolresults.histories.list
cloudtoolresults.settings.get
cloudtoolresults.steps.get
cloudtoolresults.steps.list
datastore.databases.get
datastore.databases.getIamPolicy
datastore.databases.list
datastore.entities.get
datastore.entities.list
datastore.indexes.get
datastore.indexes.list
datastore.namespaces.get
datastore.namespaces.getIamPolicy
datastore.namespaces.list
datastore.statistics.*
errorreporting.groups.*
firebase.billingPlans.get
firebase.clients.get
firebase.links.list
firebase.projects.get
firebaseabt.experimentresults.*
firebaseabt.experiments.get
firebaseabt.experiments.list
firebaseabt.projectmetadata.*
firebaseanalytics.resources.googleAnalyticsReadAndAnalyze
firebaseauth.configs.get
firebaseauth.users.get
firebasecrash.reports.*
firebasedatabase.instances.get
firebasedatabase.instances.list
firebasedynamiclinks.destinations.list
firebasedynamiclinks.domains.get
firebasedynamiclinks.domains.list
firebasedynamiclinks.links.get
firebasedynamiclinks.links.list
firebasedynamiclinks.stats.*
firebaseextensions.configs.list
firebasehosting.sites.get
firebasehosting.sites.list
firebaseinappmessaging.campaigns.get
firebaseinappmessaging.campaigns.list
firebaseml.compressionjobs.get
firebaseml.compressionjobs.list
firebaseml.models.get
firebaseml.models.list
firebaseml.modelversions.get
firebaseml.modelversions.list
firebasenotifications.messages.get
firebasenotifications.messages.list
firebaseperformance.data.*
firebasepredictions.predictions.list
firebaserules.releases.get
firebaserules.releases.list
firebaserules.rulesets.get
firebaserules.rulesets.list
logging.logEntries.list
monitoring.timeSeries.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.list
storage.objects.get
storage.objects.getIamPolicy
storage.objects.list

Firebase 崩溃报告角色

角色 名称 说明 权限 最低资源要求
roles/
firebasecrash.symbolMappingsAdmin
Firebase 崩溃符号上传者 对 Firebase 崩溃报告的符号映射文件资源拥有完全的读/写权限。 firebase.clients.get
resourcemanager.projects.get

Genomics 角色

角色 名称 说明 权限 最低资源要求
roles/
genomics.admin
Genomics 管理员 拥有 Genomics 数据集和操作的完整访问权限。 genomics.*
roles/
genomics.editor
Genomics 编辑者 可以读取和修改 Genomics 数据集和操作。 genomics.datasets.create
genomics.datasets.delete
genomics.datasets.get
genomics.datasets.list
genomics.datasets.update
genomics.operations.*
roles/
genomics.pipelinesRunner
Genomics 流水线运行者 拥有对 Genomics 流水线操作的完整访问权限。 genomics.operations.*
roles/
genomics.viewer
Genomics 查看者 拥有查看 Genomics 数据集和操作的权限。 genomics.datasets.get
genomics.datasets.list
genomics.operations.get
genomics.operations.list

IAM 角色

角色 名称 说明 权限 最低资源要求
roles/
iam.securityReviewer
安全审核者 提供列出所有资源及其上的 Cloud IAM 政策的权限。 accesscontextmanager.accessLevels.list
accesscontextmanager.accessPolicies.getIamPolicy
accesscontextmanager.accessPolicies.list
accesscontextmanager.accessZones.list
accesscontextmanager.policies.getIamPolicy
accesscontextmanager.policies.list
accesscontextmanager.servicePerimeters.list
appengine.instances.list
appengine.memcache.*
appengine.operations.list
appengine.services.list
appengine.versions.list
automl.annotationSpecs.list
automl.annotations.list
automl.datasets.getIamPolicy
automl.datasets.list
automl.examples.list
automl.humanAnnotationTasks.list
automl.locations.getIamPolicy
automl.locations.list
automl.modelEvaluations.list
automl.models.getIamPolicy
automl.models.list
automl.operations.list
bigquery.datasets.getIamPolicy
bigquery.jobs.list
bigquery.savedqueries.list
bigquery.tables.list
bigtable.appProfiles.list
bigtable.clusters.list
bigtable.instances.getIamPolicy
bigtable.instances.list
bigtable.tables.list
billing.accounts.getIamPolicy
billing.accounts.list
billing.budgets.list
billing.credits.*
billing.resourceAssociations.list
billing.subscriptions.list
binaryauthorization.attestors.getIamPolicy
binaryauthorization.attestors.list
binaryauthorization.policy.getIamPolicy
clientauthconfig.brands.list
clientauthconfig.clients.list
cloudbuild.builds.list
clouddebugger.breakpoints.list
clouddebugger.debuggees.list
cloudfunctions.functions.list
cloudfunctions.locations.*
cloudfunctions.operations.list
cloudiot.devices.list
cloudiot.registries.getIamPolicy
cloudiot.registries.list
cloudjobdiscovery.companies.list
cloudjobdiscovery.events.list
cloudkms.cryptoKeyVersions.list
cloudkms.cryptoKeys.getIamPolicy
cloudkms.cryptoKeys.list
cloudkms.keyRings.getIamPolicy
cloudkms.keyRings.list
cloudnotifications.*
cloudprivatecatalogproducer.associations.list
cloudprivatecatalogproducer.catalogs.getIamPolicy
cloudprivatecatalogproducer.catalogs.list
cloudprofiler.profiles.list
cloudscheduler.jobs.list
cloudsecurityscanner.crawledurls.*
cloudsecurityscanner.results.list
cloudsecurityscanner.scanruns.list
cloudsecurityscanner.scans.list
cloudsql.backupRuns.list
cloudsql.databases.list
cloudsql.instances.list
cloudsql.sslCerts.list
cloudsql.users.list
cloudsupport.accounts.getIamPolicy
cloudsupport.accounts.list
cloudtasks.locations.list
cloudtasks.queues.getIamPolicy
cloudtasks.queues.list
cloudtasks.tasks.list
cloudtoolresults.executions.list
cloudtoolresults.histories.list
cloudtoolresults.steps.list
cloudtrace.insights.list
cloudtrace.tasks.list
cloudtrace.traces.list
composer.environments.list
composer.operations.list
compute.acceleratorTypes.list
compute.addresses.list
compute.autoscalers.list
compute.backendBuckets.list
compute.backendServices.list
compute.commitments.list
compute.diskTypes.list
compute.disks.getIamPolicy
compute.disks.list
compute.firewalls.list
compute.forwardingRules.list
compute.globalAddresses.list
compute.globalForwardingRules.list
compute.globalOperations.getIamPolicy
compute.globalOperations.list
compute.healthChecks.list
compute.httpHealthChecks.list
compute.httpsHealthChecks.list
compute.images.getIamPolicy
compute.images.list
compute.instanceGroupManagers.list
compute.instanceGroups.list
compute.instanceTemplates.getIamPolicy
compute.instanceTemplates.list
compute.instances.getIamPolicy
compute.instances.list
compute.interconnectAttachments.list
compute.interconnectLocations.list
compute.interconnects.list
compute.licenseCodes.getIamPolicy
compute.licenseCodes.list
compute.licenses.getIamPolicy
compute.licenses.list
compute.machineTypes.list
compute.maintenancePolicies.getIamPolicy
compute.maintenancePolicies.list
compute.networks.list
compute.nodeGroups.getIamPolicy
compute.nodeGroups.list
compute.nodeTemplates.getIamPolicy
compute.nodeTemplates.list
compute.nodeTypes.list
compute.regionBackendServices.list
compute.regionOperations.getIamPolicy
compute.regionOperations.list
compute.regions.list
compute.routers.list
compute.routes.list
compute.securityPolicies.getIamPolicy
compute.securityPolicies.list
compute.snapshots.getIamPolicy
compute.snapshots.list
compute.sslCertificates.list
compute.sslPolicies.list
compute.subnetworks.getIamPolicy
compute.subnetworks.list
compute.targetHttpProxies.list
compute.targetHttpsProxies.list
compute.targetInstances.list
compute.targetPools.list
compute.targetSslProxies.list
compute.targetTcpProxies.list
compute.targetVpnGateways.list
compute.urlMaps.list
compute.vpnTunnels.list
compute.zoneOperations.getIamPolicy
compute.zoneOperations.list
compute.zones.list
container.apiServices.list
container.backendConfigs.list
container.bindings.list
container.certificateSigningRequests.list
container.clusterRoleBindings.list
container.clusterRoles.list
container.clusters.list
container.componentStatuses.list
container.configMaps.list
container.controllerRevisions.list
container.cronJobs.list
container.customResourceDefinitions.list
container.daemonSets.list
container.deployments.list
container.endpoints.list
container.events.list
container.horizontalPodAutoscalers.list
container.ingresses.list
container.initializerConfigurations.list
container.jobs.list
container.limitRanges.list
container.localSubjectAccessReviews.list
container.namespaces.list
container.networkPolicies.list
container.nodes.list
container.operations.list
container.persistentVolumeClaims.list
container.persistentVolumes.list
container.petSets.list
container.podDisruptionBudgets.list
container.podPresets.list
container.podSecurityPolicies.list
container.podTemplates.list
container.pods.list
container.replicaSets.list
container.replicationControllers.list
container.resourceQuotas.list
container.roleBindings.list
container.roles.list
container.scheduledJobs.list
container.secrets.list
container.selfSubjectAccessReviews.list
container.serviceAccounts.list
container.services.list
container.statefulSets.list
container.storageClasses.list
container.subjectAccessReviews.list
container.thirdPartyObjects.list
container.thirdPartyResources.list
dataflow.jobs.list
dataflow.messages.*
dataproc.agents.list
dataproc.clusters.getIamPolicy
dataproc.clusters.list
dataproc.jobs.getIamPolicy
dataproc.jobs.list
dataproc.operations.getIamPolicy
dataproc.operations.list
dataproc.workflowTemplates.getIamPolicy
dataproc.workflowTemplates.list
datastore.databases.getIamPolicy
datastore.databases.list
datastore.entities.list
datastore.indexes.list
datastore.locations.list
datastore.namespaces.getIamPolicy
datastore.namespaces.list
datastore.operations.list
datastore.statistics.list
deploymentmanager.compositeTypes.list
deploymentmanager.deployments.getIamPolicy
deploymentmanager.deployments.list
deploymentmanager.manifests.list
deploymentmanager.operations.list
deploymentmanager.resources.list
deploymentmanager.typeProviders.list
deploymentmanager.types.list
dialogflow.contexts.list
dialogflow.entityTypes.list
dialogflow.intents.list
dialogflow.sessionEntityTypes.list
dlp.analyzeRiskTemplates.list
dlp.deidentifyTemplates.list
dlp.inspectTemplates.list
dlp.jobTriggers.list
dlp.jobs.list
dlp.storedInfoTypes.list
dns.changes.list
dns.dnsKeys.list
dns.managedZoneOperations.list
dns.managedZones.list
dns.policies.getIamPolicy
dns.policies.list
dns.resourceRecordSets.list
errorreporting.applications.*
errorreporting.errorEvents.list
errorreporting.groups.*
file.instances.list
file.locations.list
file.operations.list
firebase.links.list
firebaseabt.experiments.list
firebasedatabase.instances.list
firebasedynamiclinks.destinations.list
firebasedynamiclinks.domains.list
firebasedynamiclinks.links.list
firebaseextensions.configs.list
firebasehosting.sites.list
firebaseinappmessaging.campaigns.list
firebaseml.compressionjobs.list
firebaseml.models.list
firebaseml.modelversions.list
firebasenotifications.messages.list
firebasepredictions.predictions.list
firebaserules.releases.list
firebaserules.rulesets.list
genomics.datasets.getIamPolicy
genomics.datasets.list
genomics.operations.list
iam.roles.get
iam.roles.list
iam.serviceAccountKeys.list
iam.serviceAccounts.get
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.list
iap.tunnel.getIamPolicy
iap.tunnelInstances.getIamPolicy
iap.tunnelZones.getIamPolicy
iap.web.getIamPolicy
iap.webServiceVersions.getIamPolicy
iap.webServices.getIamPolicy
iap.webTypes.getIamPolicy
logging.exclusions.list
logging.logEntries.list
logging.logMetrics.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.privateLogEntries.*
logging.sinks.list
ml.jobs.getIamPolicy
ml.jobs.list
ml.locations.list
ml.models.getIamPolicy
ml.models.list
ml.operations.list
ml.versions.list
monitoring.alertPolicies.list
monitoring.dashboards.list
monitoring.groups.list
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.list
monitoring.notificationChannelDescriptors.list
monitoring.notificationChannels.list
monitoring.publicWidgets.list
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.list
proximitybeacon.attachments.list
proximitybeacon.beacons.getIamPolicy
proximitybeacon.beacons.list
proximitybeacon.namespaces.*
pubsub.snapshots.getIamPolicy
pubsub.snapshots.list
pubsub.subscriptions.getIamPolicy
pubsub.subscriptions.list
pubsub.topics.getIamPolicy
pubsub.topics.list
redis.instances.list
redis.locations.list
redis.operations.list
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.organizations.getIamPolicy
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
runtimeconfig.configs.getIamPolicy
runtimeconfig.configs.list
runtimeconfig.operations.list
runtimeconfig.variables.getIamPolicy
runtimeconfig.variables.list
runtimeconfig.waiters.getIamPolicy
runtimeconfig.waiters.list
securitycenter.assets.list
securitycenter.configs.getIamPolicy
securitycenter.findings.list
securitycenter.scans.list
securitycenter.sources.getIamPolicy
securitycenter.sources.list
servicebroker.bindingoperations.list
servicebroker.bindings.getIamPolicy
servicebroker.bindings.list
servicebroker.catalogs.getIamPolicy
servicebroker.catalogs.list
servicebroker.instanceoperations.list
servicebroker.instances.getIamPolicy
servicebroker.instances.list
serviceconsumermanagement.tenancyu.list
servicemanagement.consumerSettings.getIamPolicy
servicemanagement.consumerSettings.list
servicemanagement.services.getIamPolicy
servicemanagement.services.list
servicenetworking.operations.list
serviceusage.apiKeys.list
serviceusage.operations.list
serviceusage.services.list
source.repos.getIamPolicy
source.repos.list
spanner.databaseOperations.list
spanner.databases.getIamPolicy
spanner.databases.list
spanner.instanceConfigs.list
spanner.instanceOperations.list
spanner.instances.getIamPolicy
spanner.instances.list
spanner.sessions.list
storage.buckets.getIamPolicy
storage.buckets.list
storage.objects.getIamPolicy
storage.objects.list
tpu.acceleratortypes.list
tpu.locations.list
tpu.nodes.list
tpu.operations.list
tpu.tensorflowversions.list
磁盘、映像、实例、instanceTemplate、nodeGroup、nodeTemplate、快照测试版

Kubernetes Engine 角色

角色 名称 说明 权限 最低资源要求
roles/
container.admin
Kubernetes Engine 管理员 提供容器集群及其 Kubernetes API 对象的完全管理权限。 container.*
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
container.clusterAdmin
Kubernetes Engine 集群管理员 提供管理容器集群的权限。 container.clusters.create
container.clusters.delete
container.clusters.get
container.clusters.list
container.clusters.update
container.operations.*
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
container.clusterViewer
Kubernetes Engine 集群查看者 拥有 Kubernetes 集群的只读权限。 container.clusters.get
container.clusters.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
container.developer
Kubernetes Engine 开发者 提供容器集群内部 Kubernetes API 对象的完整访问权限。 container.apiServices.*
container.backendConfigs.*
container.bindings.*
container.certificateSigningRequests.create
container.certificateSigningRequests.delete
container.certificateSigningRequests.get
container.certificateSigningRequests.list
container.certificateSigningRequests.update
container.certificateSigningRequests.updateStatus
container.clusterRoleBindings.get
container.clusterRoleBindings.list
container.clusterRoles.get
container.clusterRoles.list
container.clusters.get
container.clusters.list
container.componentStatuses.*
container.configMaps.*
container.controllerRevisions.get
container.controllerRevisions.list
container.cronJobs.*
container.customResourceDefinitions.*
container.daemonSets.*
container.deployments.*
container.endpoints.*
container.events.*
container.horizontalPodAutoscalers.*
container.ingresses.*
container.initializerConfigurations.*
container.jobs.*
container.limitRanges.*
container.localSubjectAccessReviews.*
container.namespaces.*
container.networkPolicies.*
container.nodes.*
container.persistentVolumeClaims.*
container.persistentVolumes.*
container.petSets.*
container.podDisruptionBudgets.*
container.podPresets.*
container.podSecurityPolicies.get
container.podSecurityPolicies.list
container.podTemplates.*
container.pods.*
container.replicaSets.*
container.replicationControllers.*
container.resourceQuotas.*
container.roleBindings.get
container.roleBindings.list
container.roles.get
container.roles.list
container.scheduledJobs.*
container.secrets.*
container.selfSubjectAccessReviews.*
container.serviceAccounts.*
container.services.*
container.statefulSets.*
container.storageClasses.*
container.subjectAccessReviews.*
container.thirdPartyObjects.*
container.thirdPartyResources.*
container.tokenReviews.*
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
container.hostServiceAgentUser
Kubernetes Engine 主机服务代理用户 拥有使用 Kubernetes Engine 主机服务代理的权限。 compute.firewalls.get
container.hostServiceAgent.*
roles/
container.viewer
Kubernetes Engine 查看者 提供 GKE 资源的只读权限。 container.apiServices.get
container.apiServices.list
container.backendConfigs.get
container.backendConfigs.list
container.bindings.get
container.bindings.list
container.certificateSigningRequests.get
container.certificateSigningRequests.list
container.clusterRoleBindings.get
container.clusterRoleBindings.list
container.clusterRoles.get
container.clusterRoles.list
container.clusters.get
container.clusters.list
container.componentStatuses.*
container.configMaps.get
container.configMaps.list
container.controllerRevisions.get
container.controllerRevisions.list
container.cronJobs.get
container.cronJobs.getStatus
container.cronJobs.list
container.customResourceDefinitions.get
container.customResourceDefinitions.list
container.daemonSets.get
container.daemonSets.getStatus
container.daemonSets.list
container.deployments.get
container.deployments.getStatus
container.deployments.list
container.endpoints.get
container.endpoints.list
container.events.get
container.events.list
container.horizontalPodAutoscalers.get
container.horizontalPodAutoscalers.getStatus
container.horizontalPodAutoscalers.list
container.ingresses.get
container.ingresses.getStatus
container.ingresses.list
container.initializerConfigurations.get
container.initializerConfigurations.list
container.jobs.get
container.jobs.getStatus
container.jobs.list
container.limitRanges.get
container.limitRanges.list
container.namespaces.get
container.namespaces.getStatus
container.namespaces.list
container.networkPolicies.get
container.networkPolicies.list
container.nodes.get
container.nodes.getStatus
container.nodes.list
container.operations.*
container.persistentVolumeClaims.get
container.persistentVolumeClaims.getStatus
container.persistentVolumeClaims.list
container.persistentVolumes.get
container.persistentVolumes.getStatus
container.persistentVolumes.list
container.petSets.get
container.petSets.list
container.podDisruptionBudgets.get
container.podDisruptionBudgets.getStatus
container.podDisruptionBudgets.list
container.podPresets.get
container.podPresets.list
container.podSecurityPolicies.get
container.podSecurityPolicies.list
container.podTemplates.get
container.podTemplates.list
container.pods.get
container.pods.getStatus
container.pods.list
container.replicaSets.get
container.replicaSets.getScale
container.replicaSets.getStatus
container.replicaSets.list
container.replicationControllers.get
container.replicationControllers.getScale
container.replicationControllers.getStatus
container.replicationControllers.list
container.resourceQuotas.get
container.resourceQuotas.getStatus
container.resourceQuotas.list
container.roleBindings.get
container.roleBindings.list
container.roles.get
container.roles.list
container.scheduledJobs.get
container.scheduledJobs.list
container.serviceAccounts.get
container.serviceAccounts.list
container.services.get
container.services.getStatus
container.services.list
container.statefulSets.get
container.statefulSets.getStatus
container.statefulSets.list
container.storageClasses.get
container.storageClasses.list
container.thirdPartyObjects.get
container.thirdPartyObjects.list
container.thirdPartyResources.get
container.thirdPartyResources.list
container.tokenReviews.*
resourcemanager.projects.get
resourcemanager.projects.list
项目

Logging 角色

角色 名称 说明 权限 最低资源要求
roles/
logging.admin
Logging 管理员 提供使用 Stackdriver Logging 的所有功能所需的全部权限。 logging.*
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
logging.configWriter
日志配置写入者 提供读取和写入基于日志的指标和用于导出日志的接收器的配置的权限。 logging.exclusions.*
logging.logMetrics.*
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.sinks.*
resourcemanager.projects.get
resourcemanager.projects.list
项目
roles/
logging.logWriter
日志写入者 提供写入日志条目的权限。 logging.logEntries.create
项目
roles/
logging.privateLogViewer
私密日志查看者 除了提供日志查看者角色的权限外,还提供私密日志中日志条目的只读权限。 logging.exclusions.get
logging.exclusions.list
logging.logEntries.list
logging.logMetrics.get
logging.logMetrics.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.privateLogEntries.*
logging.sinks.get
logging.sinks.list
logging.usage.*
resourcemanager.projects.get
项目
roles/
logging.viewer
日志查看者 提供查看日志的权限。 logging.exclusions.get
logging.exclusions.list
logging.logEntries.list
logging.logMetrics.get
logging.logMetrics.list
logging.logServiceIndexes.*
logging.logServices.*
logging.logs.list
logging.sinks.get
logging.sinks.list
logging.usage.*
resourcemanager.projects.get
项目

Machine Learning Engine 角色

角色 名称 说明 权限 最低资源要求
roles/
ml.admin
ML Engine 管理员 提供 Cloud ML Engine 资源及其作业、操作、模型和版本的完整访问权限。 ml*
resourcemanager.projects.get
项目
roles/
ml.developer
ML Engine 开发者 提供使用 Cloud ML Engine 资源创建模型、版本、作业以用于培训和预测以及发送在线预测请求的功能。 ml.jobs.create
ml.jobs.get
ml.jobs.getIamPolicy
ml.jobs.list
ml.locations.*
ml.models.create
ml.models.get
ml.models.getIamPolicy
ml.models.list
ml.models.predict
ml.operations.get
ml.operations.list
ml.projects.*
ml.versions.get
ml.versions.list
ml.versions.predict
resourcemanager.projects.get
项目
roles/
ml.jobOwner
ML Engine 作业所有者 提供特定作业资源的所有权限的完整访问权限。系统会将此角色自动授予创建该作业的用户。 ml.jobs.*
作业
roles/
ml.modelOwner
ML Engine 模型所有者 提供模型及其版本的完整访问权限。系统会将此角色自动授予创建该模型的用户。 ml.models.*
ml.versions.*
模型
roles/
ml.modelUser
ML Engine 模型用户 提供读取模型及其版本并将其用于预测的权限。 ml.models.get
ml.models.predict
ml.versions.get
ml.versions.list
ml.versions.predict
模型
roles/
ml.operationOwner
ML Engine 操作所有者 提供对特定操作资源的所有权限的完整访问权限。 ml.operations.*
操作
roles/
ml.viewer
ML Engine 查看者 拥有 Cloud ML Engine 资源的只读权限。 ml.jobs.get
ml.jobs.list
ml.locations.*
ml.models.get
ml.models.list
ml.operations.get
ml.operations.list
ml.projects.*
ml.versions.get
ml.versions.list
resourcemanager.projects.get
项目

Memorystore Redis 角色

角色 名称 说明 权限 最低资源要求
roles/
redis.admin
Cloud Memorystore Redis 管理员测试版 拥有对所有 Cloud Memorystore 资源的完全控制权。 compute.networks.list
redis.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.use
实例
roles/
redis.editor
Cloud Memorystore Redis 编辑者测试版 拥有管理 Cloud Memorystore 实例的权限。无法创建或删除实例。 compute.networks.list
redis.instances.get
redis.instances.list
redis.instances.update
redis.locations.*
redis.operations.*
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.use
实例
roles/
redis.viewer
Cloud Memorystore Redis 查看者测试版 拥有对所有 Cloud Memorystore 资源的只读权限。 redis.instances.get
redis.instances.list
redis.locations.*
redis.operations.get
redis.operations.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.use
实例

Monitoring 角色

角色 名称 说明 权限 最低资源要求
roles/
monitoring.admin
Monitoring 管理员 提供与 roles/monitoring.editor 相同的访问权限。 cloudnotifications.*
monitoring.*
resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.*
项目
roles/
monitoring.alertPolicyEditor
Monitoring AlertPolicy 编辑者测试版 拥有提醒政策的读写权限。 monitoring.alertPolicies.*
roles/
monitoring.alertPolicyViewer
Monitoring AlertPolicy 查看者测试版 拥有提醒政策的只读权限。 monitoring.alertPolicies.get
monitoring.alertPolicies.list
roles/
monitoring.editor
Monitoring 编辑者 提供与所有监控数据和配置相关的信息的完整访问权限。 cloudnotifications.*
monitoring.alertPolicies.*
monitoring.dashboards.*
monitoring.groups.*
monitoring.metricDescriptors.*
monitoring.monitoredResourceDescriptors.*
monitoring.notificationChannelDescriptors.*
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
monitoring.publicWidgets.*
monitoring.timeSeries.*
monitoring.uptimeCheckConfigs.*
resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.*
项目
roles/
monitoring.metricWriter
Monitoring 指标写入者 提供指标的只写权限。此角色提供的权限与发送指标的 Stackdriver 代理及其他系统所需的权限完全相同。 monitoring.metricDescriptors.create
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.timeSeries.create
项目
roles/
monitoring.notificationChannelEditor
Monitoring NotificationChannel 编辑者测试版 拥有通知渠道的读写权限。 monitoring.notificationChannelDescriptors.*
monitoring.notificationChannels.create
monitoring.notificationChannels.delete
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.notificationChannels.sendVerificationCode
monitoring.notificationChannels.update
monitoring.notificationChannels.verify
roles/
monitoring.notificationChannelViewer
Monitoring NotificationChannel 查看者测试版 拥有通知渠道的只读权限。 monitoring.notificationChannelDescriptors.*
monitoring.notificationChannels.get
monitoring.notificationChannels.list
roles/
monitoring.uptimeCheckConfigEditor
Monitoring 正常运行时间检查配置编辑者测试版 拥有正常运行时间检查配置的读写权限。 monitoring.uptimeCheckConfigs.*
roles/
monitoring.uptimeCheckConfigViewer
Monitoring 正常运行时间检查配置查看者测试版 拥有正常运行时间检查配置的只读权限。 monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
roles/
monitoring.viewer
Monitoring 查看者 提供获取和列出与所有监控数据和配置相关的信息的只读权限。 cloudnotifications.*
monitoring.alertPolicies.get
monitoring.alertPolicies.list
monitoring.dashboards.get
monitoring.dashboards.list
monitoring.groups.get
monitoring.groups.list
monitoring.metricDescriptors.get
monitoring.metricDescriptors.list
monitoring.monitoredResourceDescriptors.*
monitoring.notificationChannelDescriptors.*
monitoring.notificationChannels.get
monitoring.notificationChannels.list
monitoring.publicWidgets.get
monitoring.publicWidgets.list
monitoring.timeSeries.list
monitoring.uptimeCheckConfigs.get
monitoring.uptimeCheckConfigs.list
resourcemanager.projects.get
resourcemanager.projects.list
stackdriver.projects.get
项目

组织政策角色

角色 名称 说明 权限 最低资源要求
roles/
axt.admin
访问透明度管理员 为组织启用访问透明度 axt.*
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
roles/
orgpolicy.policyAdmin
组织政策管理员 提供通过设置组织政策来定义组织要对云端资源的配置实施哪些限制的权限。 orgpolicy.*
组织
roles/
orgpolicy.policyViewer
组织政策查看者 提供资源组织政策的查看权限。 orgpolicy.policy.get
组织

其他角色

角色 名称 说明 权限 最低资源要求
roles/
accesscontextmanager.policyAdmin
Access Context Manager 管理员测试版 拥有政策、访问权限级别和访问权限地区的完整访问权限。 accesscontextmanager.*
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
roles/
accesscontextmanager.policyEditor
Access Context Manager 编辑者测试版 修改对政策的访问权限。拥有创建、修改和更改访问权限级别和访问权限地区的权限。 accesscontextmanager.accessLevels.*
accesscontextmanager.accessPolicies.create
accesscontextmanager.accessPolicies.delete
accesscontextmanager.accessPolicies.get
accesscontextmanager.accessPolicies.getIamPolicy
accesscontextmanager.accessPolicies.list
accesscontextmanager.accessPolicies.update
accesscontextmanager.accessZones.*
accesscontextmanager.policies.create
accesscontextmanager.policies.delete
accesscontextmanager.policies.get
accesscontextmanager.policies.getIamPolicy
accesscontextmanager.policies.list
accesscontextmanager.policies.update
accesscontextmanager.servicePerimeters.*
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
roles/
accesscontextmanager.policyReader
Access Context Manager 读取者测试版 拥有政策、访问权限级别和访问权限地区的读取权限。 accesscontextmanager.accessLevels.get
accesscontextmanager.accessLevels.list
accesscontextmanager.accessPolicies.get
accesscontextmanager.accessPolicies.getIamPolicy
accesscontextmanager.accessPolicies.list
accesscontextmanager.accessZones.get
accesscontextmanager.accessZones.list
accesscontextmanager.policies.get
accesscontextmanager.policies.getIamPolicy
accesscontextmanager.policies.list
accesscontextmanager.servicePerimeters.get
accesscontextmanager.servicePerimeters.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
roles/
mobilecrashreporting.symbolMappingsAdmin
Firebase 崩溃符号上传者(已弃用) 对 Firebase 崩溃报告的符号映射文件资源拥有完全的读/写权限。已被弃用,取而代之的是 firebasecrash.symbolMappingsAdmin。 firebase.clients.get
resourcemanager.projects.get
roles/
resourcemanager.organizationCreator
组织创建者 拥有创建并列出组织的权限。
roles/
runtimeconfig.admin
Cloud RuntimeConfig 管理员 拥有 RuntimeConfig 资源的完整访问权限。 runtimeconfig.*
roles/
subscribewithgoogledeveloper.developer
通过 Google 订阅开发者测试版 拥有可以访问通过 Google 订阅的开发者工具的权限。 resourcemanager.projects.get
resourcemanager.projects.list
subscribewithgoogledeveloper.*

项目角色

角色 名称 说明 权限 最低资源要求
roles/
browser
浏览者 拥有浏览项目的层次结构(包括文件夹、组织和 Cloud IAM 政策)的读取权限。此角色不包括查看项目中资源的权限。 resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
项目

临近信标角色

角色 名称 说明 权限 最低资源要求
roles/
proximitybeacon.attachmentEditor
信标附件编辑者 可以创建和删除附件;可以列出和获得项目的信标;可以列出项目的命名空间。 proximitybeacon.attachments.*
proximitybeacon.beacons.get
proximitybeacon.beacons.list
proximitybeacon.namespaces.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
proximitybeacon.attachmentPublisher
信标附件发布者 向用户授予在不属于此项目的命名空间里使用信标创建附件的必要权限。 proximitybeacon.beacons.attach
proximitybeacon.beacons.get
proximitybeacon.beacons.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
proximitybeacon.attachmentViewer
信标附件查看者 可以查看命名空间下的所有附件;无信标或命名空间的访问权限。 proximitybeacon.attachments.get
proximitybeacon.attachments.list
resourcemanager.projects.get
resourcemanager.projects.list
roles/
proximitybeacon.beaconEditor
信标编辑者 拥有注册、修改和查看信标所需的必要权限;无附件或命名空间的访问权限。 proximitybeacon.beacons.create
proximitybeacon.beacons.get
proximitybeacon.beacons.list
proximitybeacon.beacons.update
resourcemanager.projects.get
resourcemanager.projects.list

发布/订阅角色

角色 名称 说明 权限 最低资源要求
roles/
pubsub.admin
发布/订阅管理员 提供主题和订阅的完整访问权限。 pubsub.*
resourcemanager.projects.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
主题
roles/
pubsub.editor
发布/订阅编辑者 提供修改主题和订阅,以及发布和处理消息的权限。 pubsub.snapshots.create
pubsub.snapshots.delete
pubsub.snapshots.get
pubsub.snapshots.list
pubsub.snapshots.seek
pubsub.snapshots.update
pubsub.subscriptions.consume
pubsub.subscriptions.create
pubsub.subscriptions.delete
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.subscriptions.update
pubsub.topics.attachSubscription
pubsub.topics.create
pubsub.topics.delete
pubsub.topics.get
pubsub.topics.list
pubsub.topics.publish
pubsub.topics.update
resourcemanager.projects.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
主题
roles/
pubsub.publisher
发布/订阅发布者 提供向主题发布消息的权限。 pubsub.topics.publish
主题
roles/
pubsub.subscriber
发布/订阅订阅者 提供接收来自订阅的消息和将订阅附加到主题的权限。 pubsub.snapshots.seek
pubsub.subscriptions.consume
pubsub.topics.attachSubscription
主题
roles/
pubsub.viewer
发布/订阅查看者 提供查看主题和订阅的权限。 pubsub.snapshots.get
pubsub.snapshots.list
pubsub.subscriptions.get
pubsub.subscriptions.list
pubsub.topics.get
pubsub.topics.list
resourcemanager.projects.get
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
主题

Resource Manager 角色

角色 名称 说明 权限 最低资源要求
roles/
resourcemanager.folderAdmin
文件夹管理员 提供使用文件夹的所有可用权限。 orgpolicy.policy.get
resourcemanager.folders.*
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
resourcemanager.projects.move
resourcemanager.projects.setIamPolicy
文件夹
roles/
resourcemanager.folderCreator
文件夹创建者 提供浏览层次结构和创建文件夹所需的权限。 orgpolicy.policy.get
resourcemanager.folders.create
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.projects.get
resourcemanager.projects.list
文件夹
roles/
resourcemanager.folderEditor
文件夹编辑者 提供修改文件夹以及查看文件夹的 Cloud IAM 政策的权限。 orgpolicy.policy.get
resourcemanager.folders.delete
resourcemanager.folders.get
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.folders.undelete
resourcemanager.folders.update
resourcemanager.projects.get
resourcemanager.projects.list
文件夹
roles/
resourcemanager.folderIamAdmin
文件夹 IAM 管理员 提供管理文件夹上的 Cloud IAM 政策的权限。 resourcemanager.folders.get
resourcemanager.folders.getIamPolicy
resourcemanager.folders.setIamPolicy
文件夹
roles/
resourcemanager.folderMover
文件夹移动者 提供将项目和文件夹移入或移出父级组织或文件夹的权限。 resourcemanager.folders.move
resourcemanager.projects.move
文件夹
roles/
resourcemanager.folderViewer
文件夹查看者 提供获取文件夹并列出资源下的文件夹和项目的权限。 orgpolicy.policy.get
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.projects.get
resourcemanager.projects.list
文件夹
roles/
resourcemanager.lienModifier
项目安全锁修改者 提供修改项目安全锁的权限。 resourcemanager.projects.updateLiens
项目
roles/
resourcemanager.organizationAdmin
组织管理员 拥有管理属于组织的所有资源的权限。 orgpolicy.policy.get
resourcemanager.folders.get
resourcemanager.folders.getIamPolicy
resourcemanager.folders.list
resourcemanager.folders.setIamPolicy
resourcemanager.organizations.*
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
resourcemanager.projects.setIamPolicy
roles/
resourcemanager.organizationViewer
组织查看者 提供查看组织的权限。 resourcemanager.organizations.get
组织
roles/
resourcemanager.projectCreator
项目创建者 提供创建新项目的权限。用户创建项目后,系统会自动为其授予该项目的所有者角色。 resourcemanager.organizations.get
resourcemanager.projects.create
文件夹
roles/
resourcemanager.projectDeleter
项目删除者 提供删除 GCP 项目的权限。 resourcemanager.projects.delete
文件夹
roles/
resourcemanager.projectIamAdmin
项目 IAM 管理员 提供管理项目上的 Cloud IAM 政策的权限。 resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
项目
roles/
resourcemanager.projectMover
项目移动者 提供更新和移动项目的权限。 resourcemanager.projects.get
resourcemanager.projects.update
项目

角色的角色

角色 名称 说明 权限 最低资源要求
roles/
iam.organizationRoleAdmin
组织角色管理员 提供管理组织中的所有自定义角色及其名下的项目的权限。 iam.roles.*
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
组织
roles/
iam.organizationRoleViewer
组织角色查看者 提供组织中的所有自定义角色及其名下的项目的读取权限。 iam.roles.get
iam.roles.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.list
项目
roles/
iam.roleAdmin
角色管理员 提供项目中所有自定义角色的访问权限。 iam.roles.*
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
项目
roles/
iam.roleViewer
角色查看者 提供项目中所有自定义角色的读取权限。 iam.roles.get
iam.roles.list
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
项目

安全中心角色

角色 名称 说明 权限 最低资源要求
roles/
securitycenter.admin
安全中心管理员测试版 拥有安全中心的管理员(超级用户)权限 resourcemanager.organizations.get
securitycenter.assets.group
securitycenter.assets.list
securitycenter.assets.listAssetPropertyNames
securitycenter.assets.runDiscovery
securitycenter.assetsecuritymarks.*
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.findings.update
securitycenter.findingsecuritymarks.*
securitycenter.organizationsettings.*
securitycenter.sources.*
roles/
securitycenter.adminEditor
安全中心管理员编辑者测试版 拥有安全中心的管理员读写权限 resourcemanager.organizations.get
securitycenter.assets.runDiscovery
securitycenter.assetsecuritymarks.*
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.findings.update
securitycenter.findingsecuritymarks.*
securitycenter.sources.get
securitycenter.sources.list
securitycenter.sources.update
roles/
securitycenter.adminViewer
安全中心管理员查看者测试版 拥有安全中心的管理员读取权限 resourcemanager.organizations.get
securitycenter.assets.group
securitycenter.assets.list
securitycenter.assets.listAssetPropertyNames
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.sources.get
securitycenter.sources.list
roles/
securitycenter.assetSecurityMarksWriter
安全中心资产安全标记写入者测试版 拥有资产安全标记的写入权限 securitycenter.assetsecuritymarks.*
roles/
securitycenter.assetsDiscoveryRunner
安全中心资产发现运行者测试版 拥有运行资产发现操作的权限 securitycenter.assets.runDiscovery
roles/
securitycenter.assetsViewer
安全中心资产查看者测试版 拥有资产的读取权限 resourcemanager.organizations.get
securitycenter.assets.group
securitycenter.assets.list
securitycenter.assets.listAssetPropertyNames
roles/
securitycenter.editor
安全中心编辑者测试版 拥有资源、配置、通知流和标记的读写权限,拥有扫描作业的只读权限 resourcemanager.organizations.get
securitycenter.assets.get
securitycenter.assets.getFieldNames
securitycenter.assets.list
securitycenter.assets.triggerDiscovery
securitycenter.assets.update
securitycenter.configs.*
securitycenter.scans.*
roles/
securitycenter.findingSecurityMarksWriter
安全中心发现结果安全标记写入者测试版 拥有发现结果安全标记的写入权限 securitycenter.findingsecuritymarks.*
roles/
securitycenter.findingsEditor
安全中心发现结果编辑者测试版 拥有发现结果的读写权限 resourcemanager.organizations.get
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.findings.update
securitycenter.sources.get
securitycenter.sources.list
roles/
securitycenter.findingsStateSetter
安全中心调查结果状态设置者测试版 可以设置发现结果的状态 securitycenter.findings.setState
roles/
securitycenter.findingsViewer
安全中心发现结果查看者测试版 拥有发现结果的读取权限 resourcemanager.organizations.get
securitycenter.findings.group
securitycenter.findings.list
securitycenter.findings.listFindingPropertyNames
securitycenter.sources.get
securitycenter.sources.list
roles/
securitycenter.sourcesAdmin
安全中心来源管理员 测试版 拥有来源的管理员权限 resourcemanager.organizations.get
securitycenter.sources.*
roles/
securitycenter.sourcesEditor
安全中心来源编辑者测试版 拥有来源的读写权限 resourcemanager.organizations.get
securitycenter.sources.get
securitycenter.sources.list
securitycenter.sources.update
roles/
securitycenter.sourcesViewer
安全中心来源查看者测试版 拥有来源的读取权限 resourcemanager.organizations.get
securitycenter.sources.get
securitycenter.sources.list
roles/
securitycenter.viewer
安全中心查看者测试版 拥有资源、配置、通知流、扫描和标记的读取权限 resourcemanager.organizations.get
securitycenter.assets.get
securitycenter.assets.getFieldNames
securitycenter.assets.list
securitycenter.configs.get
securitycenter.configs.getIamPolicy
securitycenter.scans.*

服务帐号角色

角色 名称 说明 权限 最低资源要求
roles/
iam.serviceAccountAdmin
服务帐号管理员 可以创建和管理服务帐号。 iam.serviceAccounts.create
iam.serviceAccounts.delete
iam.serviceAccounts.get
iam.serviceAccounts.getIamPolicy
iam.serviceAccounts.list
iam.serviceAccounts.setIamPolicy
iam.serviceAccounts.update
resourcemanager.projects.get
resourcemanager.projects.list
服务帐号
roles/
iam.serviceAccountDeleter
服务帐号删除者 拥有删除服务帐号的权限。 iam.serviceAccounts.delete
resourcemanager.projects.get
resourcemanager.projects.list
roles/
iam.serviceAccountKeyAdmin
服务帐号密钥管理员 可以创建和管理(及轮替)服务帐号密钥。 iam.serviceAccountKeys.*
iam.serviceAccounts.get
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
服务帐号
roles/
iam.serviceAccountTokenCreator
服务帐号令牌创建者 可以模拟服务帐号(创建 OAuth2 访问令牌、签署 Blob 或 JWT 等)。 iam.serviceAccounts.get
iam.serviceAccounts.getAccessToken
iam.serviceAccounts.implicitDelegation
iam.serviceAccounts.list
iam.serviceAccounts.signBlob
iam.serviceAccounts.signJwt
resourcemanager.projects.get
resourcemanager.projects.list
服务帐号
roles/
iam.serviceAccountUser
服务帐号用户 可以作为服务帐号运行操作。 iam.serviceAccounts.actAs
iam.serviceAccounts.get
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
服务帐号

服务使用者管理角色

角色 名称 说明 权限 最低资源要求
roles/
serviceconsumermanagement.tenancyUnitsAdmin
租户单元管理员测试版 拥有管理租户单元的权限。 serviceconsumermanagement.tenancyu.*
roles/
serviceconsumermanagement.tenancyUnitsViewer
租户单元查看者测试版 拥有查看租户单元的权限。 serviceconsumermanagement.tenancyu.list

服务管理角色

角色 名称 说明 权限 最低资源要求
roles/
servicemanagement.admin
服务管理管理员 拥有 Google 服务管理资源的完整控制权。 monitoring.timeSeries.list
resourcemanager.folders.get
resourcemanager.folders.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
serviceconsumermanagement.*
servicemanagement.services.*
serviceusage.quotas.get
serviceusage.services.get
roles/
servicemanagement.configEditor
服务配置编辑者 拥有更新服务配置和创建发布作业的权限。 servicemanagement.services.get
servicemanagement.services.update
roles/
servicemanagement.quotaAdmin
配额管理员测试版 提供管理服务配额的权限。 monitoring.timeSeries.list
resourcemanager.organizations.get
resourcemanager.projects.get
resourcemanager.projects.list
servicemanagement.consumerSettings.*
serviceusage.quotas.*
serviceusage.services.disable
serviceusage.services.enable
serviceusage.services.get
serviceusage.services.list
项目
roles/
servicemanagement.quotaViewer
配额查看者测试版 提供查看服务配额的权限。 monitoring.timeSeries.list
servicemanagement.consumerSettings.get
servicemanagement.consumerSettings.getIamPolicy
servicemanagement.consumerSettings.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
项目
roles/
servicemanagement.serviceConsumer
服务使用者 拥有启用该服务的权限。 servicemanagement.services.bind
roles/
servicemanagement.serviceController
服务控制者 能够对服务使用情况的检查和报告工作进行运行时控制。 servicemanagement.services.check
servicemanagement.services.get
servicemanagement.services.quota
servicemanagement.services.report
项目

服务网络角色

角色 名称 说明 权限 最低资源要求
roles/
servicenetworking.networksAdmin
服务网络管理员测试版 拥有项目所用服务网络的完全控制权。 servicenetworking.*

服务使用工具角色

角色 名称 说明 权限 最低资源要求
roles/
serviceusage.apiKeysAdmin
API 密钥管理员测试版 能够创建、删除、更新、获取和列出项目的 API 密钥。 serviceusage.apiKeys.*
roles/
serviceusage.apiKeysViewer
API 密钥查看者测试版 能够获取和列出项目的 API 密钥。 serviceusage.apiKeys.get
serviceusage.apiKeys.getProjectForKey
serviceusage.apiKeys.list
roles/
serviceusage.serviceUsageAdmin
服务使用工具管理员测试版 能够启用、停用和检查使用方项目的服务状态和操作,以及使用项目的配额和结算服务。 monitoring.timeSeries.list
serviceusage.operations.*
serviceusage.quotas.*
serviceusage.services.*
roles/
serviceusage.serviceUsageConsumer
服务使用工具使用者测试版 能够检查使用方项目的服务状态和操作,以及使用项目的配额和结算服务。 monitoring.timeSeries.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list
serviceusage.services.use
roles/
serviceusage.serviceUsageViewer
服务使用工具查看者测试版 能够检查使用方项目的服务状态和操作。 monitoring.timeSeries.list
serviceusage.operations.get
serviceusage.operations.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

源代码库角色

角色 名称 说明 权限 最低资源要求
roles/
source.admin
源代码库管理员 提供创建、更新、删除、列出、克隆、获取和浏览代码库的权限。还提供读取和更改 IAM 政策的权限。 source.*
项目
roles/
source.reader
源代码库读取者 提供列出、克隆、获取和浏览代码库的权限。 source.repos.get
source.repos.list
项目
roles/
source.writer
源代码库写入者 提供列出、克隆、获取、浏览和更新代码库的权限。 source.repos.get
source.repos.list
source.repos.update
项目

Stackdriver 角色

角色 名称 说明 权限 最低资源要求
roles/
stackdriver.accounts.editor
Stackdriver 帐号编辑者 拥有管理 Stackdriver 帐号结构的读写权限。 stackdriver.projects.*
roles/
stackdriver.accounts.viewer
Stackdriver 帐号查看者 拥有获取和列出与 Stackdriver 帐号结构相关的信息的只读权限。 stackdriver.projects.get
roles/
stackdriver.resourceMaintenanceWindow.editor
Stackdriver 资源维护期编辑者 拥有管理 Stackdriver 资源维护期的读写权限。
roles/
stackdriver.resourceMaintenanceWindow.viewer
Stackdriver 资源维护期查看者 拥有 Stackdriver 资源维护期相关的信息的只读权限。
roles/
stackdriver.resourceMetadata.writer
Stackdriver 资源元数据写入者测试版 对资源元数据的只写访问权限。提供了 Stackdriver 元数据代理和其他发送元数据的系统所需的权限。 stackdriver.resourceMetadata.*

Stackdriver Debugger 角色

角色 名称 说明 权限 最低资源要求
roles/
clouddebugger.agent
Stackdriver Debugger 代理测试版 提供注册调试目标、读取活动断点和报告断点结果的权限。 clouddebugger.breakpoints.list
clouddebugger.breakpoints.listActive
clouddebugger.breakpoints.update
clouddebugger.debuggees.create
服务帐号
roles/
clouddebugger.user
Stackdriver Debugger 用户测试版 提供创建、查看、列出和删除断点(快照和日志点)以及列出调试目标(调试进程)的权限。 clouddebugger.breakpoints.create
clouddebugger.breakpoints.delete
clouddebugger.breakpoints.get
clouddebugger.breakpoints.list
clouddebugger.debuggees.list
项目

Stackdriver Profiler 角色

角色 名称 说明 权限 最低资源要求
roles/
cloudprofiler.agent
Stackdriver Profiler 代理测试版 Stackdriver Profiler 代理可以注册和提供分析数据。 cloudprofiler.profiles.create
cloudprofiler.profiles.update
roles/
cloudprofiler.user
Stackdriver Profiler 用户测试版 Stackdriver Profiler 用户可以查询和查看分析数据。 cloudprofiler.profiles.list
resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.quotas.get
serviceusage.services.get
serviceusage.services.list

存储角色

角色 名称 说明 权限 最低资源要求
roles/
storage.admin
存储管理员 授予对象和存储分区的完全控制权。

将该角色应用于单个存储分区时,仅可以控制指定的存储分区以及该存储分区中的对象。

firebase.projects.get
resourcemanager.projects.get
resourcemanager.projects.list
storage.*
存储分区
roles/
storage.objectAdmin
存储对象管理员 授予对象的完全控制权,包括列出、创建、查看和删除对象。 resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.*
存储分区
roles/
storage.objectCreator
存储对象创建者 允许用户创建对象。不提供删除或覆盖对象的权限。 resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.create
存储分区
roles/
storage.objectViewer
存储对象查看者 授予查看视图对象及其元数据(但不包括 ACL)的权限。还可以列出存储分区中的对象。 resourcemanager.projects.get
resourcemanager.projects.list
storage.objects.get
storage.objects.list
存储分区

存储空间旧版角色

角色 名称 说明 权限 最低资源要求
roles/
storage.legacyBucketOwner
存储空间旧存储分区所有者 授予创建、覆盖和删除对象的权限;在列出时,列出存储分区中的对象并读取对象的元数据(不包括 Cloud IAM 政策);读取和修改存储分区元数据,包括 Cloud IAM 政策。

此角色的权限也会反映在存储分区的 ACL 中。如需了解更多信息,请参阅

storage.buckets.get
storage.buckets.getIamPolicy
storage.buckets.setIamPolicy
storage.buckets.update
storage.objects.create
storage.objects.delete
storage.objects.list
存储分区
roles/
storage.legacyBucketReader
存储空间旧存储分区读取者 授予列出存储分区的内容并读取存储分区元数据(不包括 Cloud IAM 政策)的权限。还可以在列出对象时读取对象元数据,但不包括 Cloud IAM 政策。

此角色的权限也会反映在存储分区的 ACL 中。如需了解更多信息,请参阅

storage.buckets.get
storage.objects.list
存储分区
roles/
storage.legacyBucketWriter
存储空间旧存储分区写入者 授予创建、覆盖和删除对象的权限;在列出时,可以列出存储分区中的对象并读取对象的元数据(不包括 Cloud IAM 政策);还可以读取存储分区元数据,但不包括 Cloud IAM 政策。

此角色的权限也会反映在存储分区的 ACL 中。如需了解更多信息,请参阅

storage.buckets.get
storage.objects.create
storage.objects.delete
storage.objects.list
存储分区
roles/
storage.legacyObjectOwner
存储空间旧对象所有者 授予查看和修改对象及其元数据(包括 ACL)的权限。 storage.objects.get
storage.objects.getIamPolicy
storage.objects.setIamPolicy
storage.objects.update
存储分区
roles/
storage.legacyObjectReader
存储空间旧对象读取者 授予查看视图对象及其元数据(不包括 ACL)的权限。 storage.objects.get
存储分区

支持角色

角色 名称 说明 权限 最低资源要求
roles/
cloudsupport.admin
支持帐号管理员 允许管理支持帐号,但不能访问支持案例。如需了解详情,请参阅 cloudsupport.*
组织
roles/
cloudsupport.viewer
支持帐号查看者 拥有支持帐号详细信息的只读权限。无法查看支持案例。 cloudsupport.accounts.get
cloudsupport.accounts.getUserRoles
cloudsupport.accounts.list
组织

自定义角色

除了预定义角色外,Cloud IAM 还提供创建自定义 Cloud IAM 角色的功能。您可以创建具有一项或多项权限的自定义 Cloud IAM 角色,然后将该自定义角色授予贵组织中的用户。如需了解详情,请参阅了解自定义角色创建和管理自定义角色

特定产品的 Cloud IAM 文档

产品特定的 Cloud IAM 文档详细介绍了每个产品提供的预定义角色。要详细了解预定义角色,请参阅以下页面。

文档 说明
Cloud IAM for App Engine 介绍 App Engine 的 Cloud IAM 角色
Cloud IAM for BigQuery 介绍 BigQuery 的 Cloud IAM 角色
Cloud IAM for Cloud Bigtable 介绍 Cloud Bigtable 的 Cloud IAM 角色
Cloud IAM for Cloud Billing API 介绍 Cloud Billing API 的 Cloud IAM 角色和权限
Cloud IAM for Cloud Dataflow 介绍 Cloud Dataflow 的 Cloud IAM 角色
Cloud IAM for Cloud Dataproc 介绍 Cloud Dataproc 的 Cloud IAM 角色和权限
Cloud IAM for Cloud Datastore 介绍 Cloud Datastore 的 Cloud IAM 角色和权限
Cloud IAM for Cloud DNS 介绍 Cloud DNS 的 Cloud IAM 角色和权限
Cloud IAM for Cloud KMS 介绍 Cloud KMS 的 Cloud IAM 角色和权限
Cloud IAM for Cloud ML Engine 介绍 Cloud ML Engine 的 Cloud IAM 角色和权限
Cloud IAM for Cloud Pub/Sub 介绍 Cloud Pub/Sub 的 Cloud IAM 角色
Cloud IAM for Cloud Spanner 介绍 Cloud Spanner 的 Cloud IAM 角色和权限
Cloud IAM for Cloud SQL 介绍 Cloud SQL 的 Cloud IAM 角色
Cloud IAM for Cloud Storage 介绍 Cloud Storage 的 Cloud IAM 角色
Cloud IAM for Compute Engine 介绍 Compute Engine 的 Cloud IAM 角色
Cloud IAM for GKE 介绍 GKE 的 Cloud IAM 角色和权限
Cloud IAM for Cloud Deployment Manager 介绍 Cloud Deployment Manager 的 Cloud IAM 角色和权限
Cloud IAM for Organizations 介绍组织的 Cloud IAM 角色。
Cloud IAM for Folders 介绍文件夹的 Cloud IAM 角色。
Cloud IAM for Projects 介绍项目的 Cloud IAM 角色。
Cloud IAM for Service Management 介绍 Service Management 的 Cloud IAM 角色和权限
Cloud IAM for Stackdriver Debugger 介绍 Debugger 的 Cloud IAM 角色
Cloud IAM for Stackdriver Logging 介绍 Logging 的 Cloud IAM 角色
Cloud IAM for Stackdriver Monitoring 解释 Monitoring 的 Cloud IAM 角色
Cloud IAM for Stackdriver Trace 介绍 Trace 的 Cloud IAM 角色和权限

后续步骤

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Cloud Identity and Access Management Documentation