一个角色包含一组权限,可让您对 Google Cloud 资源执行特定操作。如需向主帐号(包括用户、群组和服务帐号)提供权限,您可以向主帐号授予角色。
本页面介绍了您可以授予的 IAM 角色。
本指南的先决条件
- 了解 IAM 的基本概念
角色类型
IAM 中有三种类型的角色:
- 基本角色:包括在引入 IAM 之前已存在的 Owner、Editor 和 Viewer 角色。
- 预定义角色:针对特定服务提供精细访问权限,并由 Google Cloud 管理。
- 自定义角色:根据用户指定的权限列表提供精细访问权限。
要确定基本角色、预定义角色或自定义角色中是否包含某项权限,您可以使用以下方法之一:
- 运行
gcloud iam roles describe命令可以列出角色中的权限。 - 调用
roles.get()REST API 方法可以列出角色中的权限。 - 仅适用于基本角色和预定义角色:搜索权限参考以查看该角色是否授予权限。
- 仅适用于预定义角色:在本页上搜索预定义角色说明以查看该角色包含的权限。
以下各部分介绍了每种角色类型并提供了有关如何使用它们的示例。
基本角色
在引入 IAM 之前已存在多个基本角色:Owner、Editor 和 Viewer。这些角色是嵌套的;也就是说,Owner 角色具有 Editor 角色的权限,而 Editor 角色又具有 Viewer 角色的权限。它们最初称为“原初角色”。
下表汇总了基本角色针对所有 Google Cloud 服务所具有的权限:
基本角色定义
| 名称 | 名称 | 权限 |
|---|---|---|
roles/viewer |
Viewer | 拥有执行不会影响状态的只读操作的权限,例如查看(但无法修改)现有资源或数据。 |
roles/editor |
Editor | 拥有所有查看权限,以及修改状态的操作(例如更改现有资源)的权限。 注意:Editor 角色包含为大多数 Google Cloud 服务创建和删除资源的权限。但是,它不包含对所有服务执行所有操作的权限。如需详细了解如何检查某项角色是否具有您所需的权限,请参阅上文。
|
roles/owner |
所有者 |
拥有 Editor 的所有权限,此外还有权执行以下操作:
注意:
|
您可以使用 Cloud Console、API 和 gcloud 工具在项目或服务资源级层应用基本角色。如需了解相关说明,请参阅授予、更改和撤消访问权限。
如需了解如何使用 Cloud Console 授予角色,请参阅授予、更改和撤消访问权限。
预定义角色
除了基本角色之外,IAM 还提供其他预定义角色,这些角色可提供对特定 Google Cloud 资源的精细访问权限,同时阻止对其他资源的不必要的访问。 这些角色由 Google 创建和维护。Google 会根据需要自动更新其权限,例如 Google Cloud 添加新功能或服务时。
下表列出了这些角色、说明以及可设置这些角色的最低级层的资源类型。您可以为此资源类型授予特定角色,或者在大多数情况下可以为该类型在 Google Cloud 层次结构中的任何上级类型授予特定角色。您可以为同一位用户授予多个角色。例如,同一位用户可以拥有项目上的 Network Admi 和 Log Viewer 角色,并且对该项目中的 Pub/Sub 主题具有 Publisher 角色。有关角色中包含的权限的列表,请参阅获取角色元数据。
Access Approval 角色
| 角色 | 权限 |
|---|---|
|
Access Approval Approver
Beta 版
能够查看或操作访问权限审批请求以及查看配置 |
|
|
Access Approval Config Editor
Beta 版
可更新访问权限审批配置 |
|
|
Access Approval Viewer
Beta 版
可查看访问权限审批请求和配置 |
|
Access Context Manager 角色
| 角色 | 权限 |
|---|---|
|
Cloud Access Binding Admin
可以创建、修改和更改 Cloud 访问权限绑定。 |
|
|
Cloud Access Binding Reader
拥有对 Cloud 访问权限绑定的读取权限。 |
|
|
Access Context Manager Admin
拥有对政策、访问权限级别和访问区域的完整访问权限 |
|
|
Access Context Manager Editor
拥有对政策的修改权限。可创建、修改和更改访问权限级别和访问区域。 |
|
|
Access Context Manager Reader
拥有对政策、访问权限级别和访问区域的读取权限。 |
|
|
VPC Service Controls Troubleshooter Viewer
|
|
操作角色
| 角色 | 权限 |
|---|---|
|
Actions Admin
拥有修改和部署某项操作的权限 |
|
|
Actions Viewer
拥有查看某项操作的权限 |
|
AI Notebooks 角色
| 角色 | 权限 |
|---|---|
|
Notebooks Admin
拥有对笔记本中所有资源的完整访问权限。 您可以授予此角色的最低级层资源:
|
|
|
Notebooks Legacy Admin
具有通过 Compute API 访问笔记本中的所有资源的完整权限。 |
|
|
Notebooks Legacy Viewer
拥有通过 Compute API 对笔记本中所有资源进行只读访问的权限。 |
|
|
Notebooks Runner
拥有受限的权限,能够运行已安排的笔记本。 |
|
|
Notebooks Viewer
拥有对笔记本中所有资源的只读权限。 您可以授予此角色的最低级层资源:
|
|
AI Platform 角色
| 角色 | 权限 |
|---|---|
|
AI Platform Admin
提供 AI Platform 资源及其作业、操作、模型和版本的完整访问权限。 您可以授予此角色的最低级层资源:
|
|
|
AI Platform Developer
能够使用 AI Platform 资源创建模型、版本、作业,以用于训练和预测以及发送在线预测请求。 您可以授予此角色的最低级层资源:
|
|
|
AI Platform Job Owner
提供特定作业资源的所有权限的完整访问权限。系统会自动向创建该作业的用户授予此角色。 您可以授予此角色的最低级层资源:
|
|
|
AI Platform Model Owner
提供模型及其版本的完整访问权限。系统会将此角色自动授予创建模型的用户。 您可以授予此角色的最低级层资源:
|
|
|
AI Platform Model User
提供读取模型及其版本并使用其进行预测的权限。 您可以授予此角色的最低级层资源:
|
|
|
AI Platform Operation Owner
提供对特定操作资源的所有权限的完整访问权限。 您可以授予此角色的最低级层资源:
|
|
|
AI Platform Viewer
提供 AI Platform 资源的只读权限。 您可以授予此角色的最低级层资源:
|
|
Android 管理角色
| 角色 | 权限 |
|---|---|
|
Android Management User
拥有管理设备的完整权限。 |
|
Anthos 多云端角色
| 角色 | 权限 |
|---|---|
|
Anthos Multi-cloud Admin
可以管理 Anthos 多云资源。 |
|
|
Anthos Multi-cloud Telemetry Writer
授予写入集群遥测数据(例如日志、指标和资源元数据)的权限。 |
|
|
Anthos Multi-cloud Viewer
可以查看 Anthos 多云资源。 |
|
API Gateway 角色
| 角色 | 权限 |
|---|---|
|
ApiGateway Admin
拥有对 ApiGateway 及相关资源的完全访问权限。 |
|
|
ApiGateway Viewer
拥有对 ApiGateway 及相关资源的只读权限。 |
|
Apigee 角色
| 角色 | 权限 |
|---|---|
|
Apigee Organization Admin
拥有对所有 Apigee 资源功能的完全访问权限 |
|
|
Apigee Analytics Agent
针对 Apigee Universal Data Collection Agent 的一组选定权限,用于为 Apigee 组织管理分析 |
|
|
Apigee Analytics Editor
可修改 Apigee 组织的分析数据 |
|
|
Apigee Analytics Viewer
可查看 Apigee 组织的分析数据 |
|
|
Apigee API Admin
拥有对所有 Apigee API 资源的完整读写权限 |
|
|
Apigee API Reader
可以读取 apigee 资源 |
|
|
Apigee Developer Admin
可管理 Apigee 资源开发者 |
|
|
Apigee Environment Admin
拥有对 Apigee 环境资源(包括部署)的完整读写权限。 |
|
|
Apigee Monetization Admin
与获利相关的所有权限 |
|
|
Apigee Portal Admin
可以管理 Apigee 组织的门户 |
|
|
Apigee Read-only Admin
可查看所有 Apigee 资源 |
|
|
Apigee Runtime Agent
提供一组特选权限,可让运行时代理访问 Apigee 组织资源 |
|
|
Apigee Security Admin
可以管理 Apigee 组织的安全设置 |
|
|
Apigee Security Viewer
可查看 Apigee 组织的安全设置 |
|
|
Apigee Synchronizer Manager
提供一组特选权限,可让 Synchronizer 管理 Apigee 组织中的环境 |
|
|
Apigee Connect Admin
可以管理 Apigee Connect |
|
|
Apigee Connect Agent
能够在外部集群和 Google 之间设置 Apigee Connect 代理。 |
|
App Engine 角色
| 角色 | 权限 |
|---|---|
|
App Engine Admin
拥有所有应用配置和设置的读取/写入/修改权限。 要部署新版本,主帐号必须具有 App Engine 默认服务帐号的 Service Account User ( 您可以授予此角色的最低级层资源:
|
|
|
App Engine Creator
能够为项目创建 App Engine 资源。 您可以授予此角色的最低级层资源:
|
|
|
App Engine Viewer
拥有对所有应用配置和设置的只读权限。 您可以授予此角色的最低级层资源:
|
|
|
App Engine Code Viewer
拥有对所有应用配置、设置和已部署源代码的只读权限。 您可以授予此角色的最低级层资源:
|
|
|
App Engine Deployer
对所有应用配置和设置的只读权限。 要部署新版本,您还必须具有 App Engine 默认服务帐号的 Service Account User ( 无法修改现有版本,但可删除未收到流量的版本。 您可以授予此角色的最低级层资源:
|
|
|
App Engine Service Admin
对所有应用配置和设置的只读权限。 拥有模块级和版本级设置的写权限。无权部署新版本。 您可以授予此角色的最低级层资源:
|
|
Artifact Registry 角色
| 角色 | 权限 |
|---|---|
|
Artifact Registry Administrator
拥有可创建和管理代码库的管理员权限。 |
|
|
Artifact Registry Reader
可以读取代码库项。 |
|
|
Artifact Registry Repository Administrator
拥有管理代码库中的工件的权限。 |
|
|
Artifact Registry Writer
可以读取和写入代码库项。 |
|
Assured Workloads 角色
| 角色 | 权限 |
|---|---|
|
Assured Workloads Administrator
授予对 Assured Workloads 资源和 CRM 资源(项目/文件夹和组织政策管理)的完全访问权限 |
|
|
Assured Workloads Editor
授予对 Assured Workloads 资源和 CRM 资源(项目/文件夹和组织政策管理)的读写权限 |
|
|
Assured Workloads Reader
授予对所有 Assured Workloads 资源和 CRM 资源(项目/文件夹)的读取权限 |
|
AutoML 角色
| 角色 | 权限 |
|---|---|
|
AutoML Admin
Beta 版
拥有所有 AutoML 资源的完整访问权限 您可以授予此角色的最低级层资源:
|
|
|
AutoML Editor
Beta 版
可修改所有 AutoML 资源 您可以授予此角色的最低级层资源:
|
|
|
AutoML Predictor
Beta 版
可使用模型进行预测 您可以授予此角色的最低级层资源:
|
|
|
AutoML Viewer
Beta 版
可查看所有 AutoML 资源 您可以授予此角色的最低级层资源:
|
|
BigQuery 角色
| 角色 | 权限 |
|---|---|
|
BigQuery Admin
提供管理项目中所有资源的权限。获授此角色的用户可以管理项目中的所有数据,也可以取消其他用户正在项目中运行的作业。 您可以授予此角色的最低级层资源:
|
|
|
BigQuery Connection Admin
|
|
|
BigQuery Connection User
|
|
|
BigQuery Data Editor
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,还可提供创建新数据集的权限。 您可以授予此角色的最低级层资源:
|
|
|
BigQuery Data Owner
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,还可提供创建新数据集的权限。 您可以授予此角色的最低级层资源:
|
|
|
BigQuery Data Viewer
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,还可提供枚举项目中所有数据集的权限。但若要运行作业,还需要具备其他角色。 您可以授予此角色的最低级层资源:
|
|
|
BigQuery Filtered Data Viewer
可以查看由行访问权限政策定义的已过滤表数据 |
|
|
BigQuery Job User
提供在项目中运行作业(包括查询)的权限。 您可以授予此角色的最低级层资源:
|
|
|
BigQuery Metadata Viewer
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,可提供以下权限:
但若要运行作业,还需要具备其他角色。 您可以授予此角色的最低级层资源:
|
|
|
BigQuery Read Session User
拥有创建和使用读取会话的权限 |
|
|
BigQuery Resource Admin
管理所有 BigQuery 资源。 |
|
|
BigQuery Resource Editor
管理所有 BigQuery 资源,但不能做出购买决定。 |
|
|
BigQuery Resource Viewer
可查看所有 BigQuery 资源,但不能执行更改或做出购买决定。 |
|
|
BigQuery User
此角色应用于数据集时,让您可以读取数据集的元数据并列出数据集中的表。 应用于项目时,此角色还提供在项目内运行作业(包括查询)的能力。具有此角色的主帐号可以枚举自己的作业、取消自己的作业,还可以枚举项目中的数据集。此外,具有此角色的用户还可以在项目中创建新数据集;对于这些新数据集,系统会为创建者授予 BigQuery Data Owner 角色 ( 您可以授予此角色的最低级层资源:
|
|
结算服务角色
| 角色 | 权限 |
|---|---|
|
Billing Account Administrator
提供查看和管理结算帐号所有方面的权限。 您可以授予此角色的最低级层资源:
|
|
|
Billing Account Costs Manager
可以查看和导出结算帐号的费用信息。 |
|
|
Billing Account Creator
提供创建结算帐号的权限。 您可以授予此角色的最低级层资源:
|
|
|
Project Billing Manager
提供为项目分配结算帐号或停用项目结算功能的权限。 您可以授予此角色的最低级层资源:
|
|
|
Billing Account User
提供将项目与结算帐号相关联的权限。 您可以授予此角色的最低级层资源:
|
|
|
Billing Account Viewer
查看结算帐号费用信息和交易。 您可以授予此角色的最低级层资源:
|
|
Binary Authorization 角色
CA Service 角色
| 角色 | 权限 |
|---|---|
|
CA Service Admin
具有对所有 CA 服务资源的完整访问权限。 |
|
|
CA Service Auditor
具有对所有 CA 服务资源的只读权限。 |
|
|
CA Service Operation Manager
可以创建和管理 CA、撤消证书、创建证书模板且拥有对 CA 服务资源的只读权限。 |
|
|
CA Service Certificate Manager
能够创建证书,并具有对 CA 服务资源的只读权限。 |
|
|
CA Service Certificate Requester
可从 CA 服务请求证书。 |
|
|
CA Service Certificate Template User
读取、列出和使用证书模板。 |
|
|
CA Service Workload Certificate Requester
以调用方的身份从 CA Service 请求证书。 |
|
Cloud Asset 角色
| 角色 | 权限 |
|---|---|
|
Cloud Asset Owner
拥有云资源元数据的完整访问权限 |
|
|
Cloud Asset Viewer
拥有云资源元数据的只读权限 |
|
Cloud Bigtable 角色
| 角色 | 权限 |
|---|---|
|
Bigtable Administrator
管理项目中的所有实例,包括存储在表中的数据。还可创建新实例。适用于项目管理员。 您可以授予此角色的最低级层资源:
|
|
|
Bigtable Reader
提供表中所存储数据的只读权限。适用于数据科学家、信息中心生成器和其他数据分析情景。 您可以授予此角色的最低级层资源:
|
|
|
Bigtable User
提供表中所存储数据的读写权限。适用于应用开发者或服务帐号。 您可以授予此角色的最低级层资源:
|
|
|
Bigtable Viewer
不提供数据访问权限。仅提供适用于 Bigtable 的 Cloud Console 的一组最低访问权限。 您可以授予此角色的最低级层资源:
|
|
Cloud Build 角色
| 角色 | 权限 |
|---|---|
|
Cloud Build Approver
可批准或拒绝待处理的构建。 |
|
|
Cloud Build Service Account
提供执行构建的权限。 |
|
|
Cloud Build Editor
提供创建和取消构建作业的权限。 您可以授予此角色的最低级层资源:
|
|
|
Cloud Build Viewer
提供查看构建作业的权限。 您可以授予此角色的最低级层资源:
|
|
|
Cloud Build Integrations Editor
可以更新集成 |
|
|
Cloud Build Integrations Owner
可以创建/删除集成 |
|
|
Cloud Build Integrations Viewer
可以查看集成 |
|
|
Cloud Build WorkerPool Editor
可以更新和查看工作器池 |
|
|
Cloud Build WorkerPool Owner
可以创建、删除、更新和查看工作器池 |
|
|
Cloud Build WorkerPool User
可以在工作器池中运行构建 |
|
|
Cloud Build WorkerPool Viewer
可以查看工作器池 |
|
Cloud Composer 角色
| 角色 | 权限 |
|---|---|
|
Cloud Composer v2 API Service Agent Extension
Cloud Composer v2 API Service Agent Extension 是管理 Composer v2 环境所需的补充角色。 |
|
|
Composer Administrator
提供对 Cloud Composer 资源的完全控制权。 您可以授予此角色的最低级层资源:
|
|
|
Environment and Storage Object Administrator
提供对 Cloud Composer 资源和所有项目存储分区中对象的完全控制权。 您可以授予此角色的最低级层资源:
|
|
|
Environment User and Storage Object Viewer
提供列出及获取 Cloud Composer 环境和操作所需的权限。 以及对所有项目存储分区中对象的只读权限。 您可以授予此角色的最低级层资源:
|
|
|
Composer Shared VPC Agent
应分配给共享 VPC 宿主项目中的 Composer Agent 服务帐号的角色 |
|
|
Composer User
提供列出及获取 Cloud Composer 环境和操作所需的权限。 您可以授予此角色的最低级层资源:
|
|
|
Composer Worker
提供运行 Cloud Composer 环境虚拟机所需的权限。适用于服务帐号。 您可以授予此角色的最低级层资源:
|
|
Cloud Connectors 角色
| 角色 | 权限 |
|---|---|
|
Connector Admin
拥有对 Connectors 服务的所有资源的完全访问权限。 |
|
|
Connectors Viewer
拥有对 Connectors 的所有资源的只读权限。 |
|
Cloud Data Fusion 角色
| 角色 | 权限 |
|---|---|
|
Cloud Data Fusion Admin
Beta 版
拥有对 Cloud Data Fusion 实例、命名空间和相关资源的完整访问权限。 您可以授予此角色的最低级层资源:
|
|
|
Cloud Data Fusion Runner
Beta 版
提供对 Cloud Data Fusion 运行时资源的访问权限。 |
|
|
Cloud Data Fusion Viewer
Beta 版
拥有对 Cloud Data Fusion 实例、命名空间及相关资源的只读权限。 您可以授予此角色的最低级层资源:
|
|
Cloud Data Labeling 角色
| 角色 | 权限 |
|---|---|
|
Data Labeling Service Admin
Beta 版
拥有对所有 Data Labeling 资源的完全访问权限 |
|
|
Data Labeling Service Editor
Beta 版
可以修改所有 Data Labeling 资源 |
|
|
Data Labeling Service Viewer
Beta 版
可以查看所有 Data Labeling 资源 |
|
Cloud Debugger 角色
| 角色 | 权限 |
|---|---|
|
Cloud Debugger Agent
Beta 版
提供注册调试目标、读取活跃断点和报告断点结果的权限。 您可以授予此角色的最低级层资源:
|
|
|
Cloud Debugger User
Beta 版
提供创建、查看、列出和删除断点(快照和日志点)以及列出调试目标(调试对象)的权限。 您可以授予此角色的最低级层资源:
|
|
Cloud Deploy 角色
| 角色 | 权限 |
|---|---|
|
Cloud Deploy Admin
Beta 版
拥有对 Cloud Deploy 资源的完全控制权。 |
|
|
Cloud Deploy Approver
Beta 版
拥有批准或拒绝发布的权限。 |
|
|
Cloud Deploy Developer
Beta 版
有权管理部署配置,但无权访问操作资源,例如目标。 |
|
|
Cloud Deploy Runner
Beta 版
拥有执行 Cloud Deploy 作业的权限,但无权将其传送到目标。 |
|
|
Cloud Deploy Operator
Beta 版
拥有管理部署配置的权限。 |
|
|
Cloud Deploy Releaser
Beta 版
拥有创建 Cloud Deploy 版本和发布的权限。 |
|
|
Cloud Deploy Viewer
Beta 版
可以查看 Cloud Deploy 资源。 |
|
Cloud DLP 角色
| 角色 | 权限 |
|---|---|
|
DLP Administrator
可管理 DLP,包括作业和模板。 |
|
|
DLP Analyze Risk Templates Editor
可修改 DLP 分析风险模板。 |
|
|
DLP Analyze Risk Templates Reader
可读取 DLP 分析风险模板。 |
|
|
DLP Column Data Profiles Reader
可读取 DLP 列配置文件。 |
|
|
DLP Data Profiles Reader
可读取 DLP 配置文件。 |
|
|
DLP De-identify Templates Editor
可修改 DLP 去标识化模板。 |
|
|
DLP De-identify Templates Reader
可读取 DLP 去标识化模板。 |
|
|
DLP Cost Estimation
管理 DLP 费用估算。 |
|
|
DLP Inspect Findings Reader
可读取 DLP 存储的发现结果。 |
|
|
DLP Inspect Templates Editor
可修改 DLP 检查模板。 |
|
|
DLP Inspect Templates Reader
可读取 DLP 检查模板。 |
|
|
DLP Job Triggers Editor
可修改作业触发器配置。 |
|
|
DLP Job Triggers Reader
可读取作业触发器。 |
|
|
DLP Jobs Editor
可修改和创建作业 |
|
|
DLP Jobs Reader
可读取作业 |
|
|
DLP Organization Data Profiles Driver
DLP 服务帐号在组织或文件夹中生成数据配置文件所需的权限。 |
|
|
DLP Project Data Profiles Reader
可读取 DLP 项目配置文件。 |
|
|
DLP Project Data Profiles Driver
DLP 服务帐号在项目中生成数据配置文件所需的权限。 |
|
|
DLP Reader
可读取作业和模板等 DLP 实体。 |
|
|
DLP Stored InfoTypes Editor
可修改 DLP 存储的信息类型。 |
|
|
DLP Stored InfoTypes Reader
可读取 DLP 存储的信息类型。 |
|
|
DLP Table Data Profiles Reader
可读取 DLP 表配置文件。 |
|
|
DLP User
可检查和遮盖内容,以及对内容进行去标识化处理 |
|
Cloud Domains 角色
| 角色 | 权限 |
|---|---|
|
Cloud Domains Admin
拥有 Cloud 网域注册信息和相关资源的完整访问权限。 |
|
|
Cloud Domains Viewer
拥有 Cloud 网域注册信息及相关资源的只读权限。 |
|
Cloud Filestore 角色
| 角色 | 权限 |
|---|---|
|
Cloud Filestore Editor
Beta 版
拥有对 Filestore 实例及相关资源的读写权限。 |
|
|
Cloud Filestore Viewer
Beta 版
拥有对 Filestore 实例及相关资源的只读权限。 |
|
Cloud Functions 角色
| 角色 | 权限 |
|---|---|
|
Cloud Functions Admin
拥有对函数、运算和位置的完整访问权限。 |
|
|
Cloud Functions Developer
拥有对所有函数相关资源的读写权限。 |
|
|
Cloud Functions Invoker
可使用受限的访问权限调用 HTTP 函数。 |
|
|
Cloud Functions Viewer
拥有对函数和位置的只读权限。 |
|
Cloud Game Services 角色
| 角色 | 权限 |
|---|---|
|
Game Services API Admin
拥有对 Game Services API 及相关资源的完全访问权限。 |
|
|
Game Services API Viewer
拥有对 Game Services API 及相关资源的只读权限。 |
|
Cloud Healthcare 角色
| 角色 | 权限 |
|---|---|
|
Healthcare Annotation Editor
可创建、删除、更新、读取、列出注释。 |
|
|
Healthcare Annotation Reader
可读取和列出注释存储区中的注释。 |
|
|
Healthcare Annotation Administrator
可管理注释存储区。 |
|
|
Healthcare Annotation Store Viewer
可列出数据集中的注释存储区。 |
|
|
Healthcare Attribute Definition Editor
可以修改 AttributeDefinition 对象。 |
|
|
Healthcare Attribute Definition Reader
可以读取许可存储区中的 AttributeDefinition 对象。 |
|
|
Healthcare Consent Artifact Administrator
可以管理 ConsentArtifact 对象。 |
|
|
Healthcare Consent Artifact Editor
可以修改 ConsentArtifact 对象。 |
|
|
Healthcare Consent Artifact Reader
可以读取许可存储区中的 ConsentArtifact 对象。 |
|
|
Healthcare Consent Editor
可以修改 Consent 对象。 |
|
|
Healthcare Consent Reader
可以读取许可存储区中的 Consent 对象。 |
|
|
Healthcare Consent Store Administrator
可以管理许可存储区。 |
|
|
Healthcare Consent Store Viewer
可以列出数据集中的许可存储区。 |
|
|
Healthcare Dataset Administrator
可以管理医疗保健数据集。 |
|
|
Healthcare Dataset Viewer
可以列出项目中的医疗保健数据集。 |
|
|
Healthcare DICOM Editor
可逐个及批量修改 DICOM 映像。 |
|
|
Healthcare DICOM Store Administrator
可管理 DICOM 存储区。 |
|
|
Healthcare DICOM Store Viewer
可列出数据集中的 DICOM 存储区。 |
|
|
Healthcare DICOM Viewer
可从 DICOM 存储区检索 DICOM 映像。 |
|
|
Healthcare FHIR Resource Editor
可创建、删除、更新、读取和搜索 FHIR 资源。 |
|
|
Healthcare FHIR Resource Reader
可读取和搜索 FHIR 资源。 |
|
|
Healthcare FHIR Store Administrator
可以管理 FHIR 资源存储区。 |
|
|
Healthcare FHIR Store Viewer
可列出数据集中的 FHIR 存储区。 |
|
|
Healthcare HL7v2 Message Consumer
可列出和读取 HL7v2 消息,更新消息标签,以及发布新消息。 |
|
|
Healthcare HL7v2 Message Editor
拥有对 HL7v2 消息的读取、写入和删除权限。 |
|
|
Healthcare HL7v2 Message Ingest
可提取从来源网络接收到的 HL7v2 消息。 |
|
|
Healthcare HL7v2 Store Administrator
可管理 HL7v2 存储区。 |
|
|
Healthcare HL7v2 Store Viewer
可查看数据集中的 HL7v2 存储区。 |
|
|
Healthcare NLP Service Viewer
Beta 版
从给定文字中提取和分析医疗实体。 |
|
|
Healthcare User Data Mapping Editor
可以修改 UserDataMapping 对象。 |
|
|
Healthcare User Data Mapping Reader
可以读取许可存储区中的 UserDataMapping 对象。 |
|
Cloud IAP 角色
| 角色 | 权限 |
|---|---|
|
IAP Policy Admin
提供对 Identity-Aware Proxy 资源的完整访问权限。 您可以授予此角色的最低级层资源:
|
|
|
IAP-secured Web App User
提供对使用 Identity-Aware Proxy 的 HTTPS 资源的访问权限。 |
|
|
IAP Settings Admin
IAP 设置管理员。 |
|
|
IAP-secured Tunnel User
可访问使用 Identity-Aware Proxy 的隧道资源 |
|
Cloud IoT 角色
| 角色 | 权限 |
|---|---|
|
Cloud IoT Admin
拥有对所有 Cloud IoT 资源和权限的完全控制权。 您可以授予此角色的最低级层资源:
|
|
|
Cloud IoT Device Controller
有权更新设备配置,但无权创建或删除设备。 您可以授予此角色的最低级层资源:
|
|
|
Cloud IoT Editor
拥有对所有 Cloud IoT 资源的读写权限。 您可以授予此角色的最低级层资源:
|
|
|
Cloud IoT Provisioner
拥有在注册表中创建和删除设备的权限,但无权修改注册表,并且允许设备发布到与 IoT 注册表相关联的主题。 您可以授予此角色的最低级层资源:
|
|
|
Cloud IoT Viewer
拥有对所有 Cloud IoT 资源的只读权限。 您可以授予此角色的最低级层资源:
|
|
Cloud KMS 角色
| 角色 | 权限 |
|---|---|
|
Cloud KMS Admin
提供 Cloud KMS 资源的完整访问权限,但不提供执行加密和解密操作的权限。 您可以授予此角色的最低级层资源:
|
|
|
Cloud KMS CryptoKey Decrypter
仅提供使用 Cloud KMS 资源执行解密操作的权限。 |