一个角色包含一组权限,可让您对 Google Cloud 资源执行特定操作。如需为成员授予权限,请至少为其授予一个角色。
本页面介绍了您可以为身份授予以使其能够访问 Google Cloud 资源的 IAM 角色。
使用本指南的前提条件
- 了解 IAM 的基本概念
角色类型
IAM 中有三种角色:
- 原初角色:包括在引入 IAM 之前已存在的 Owner、Editor 和 Viewer 角色。
- 预定义角色:针对特定服务提供精细访问权限,并由 Google Cloud 管理。
- 自定义角色:根据用户指定的权限列表提供精细访问权限。
如需确定原初角色、预定义角色或自定义角色中是否包含一项或多项权限,您可以使用以下方法之一:
gcloud iam roles describe命令。roles.get()API
以下各部分介绍了每种角色类型并提供了有关如何使用它们的示例。
原初角色
在引入 IAM 之前存在三个角色:Owner、Editor 和 Viewer。这些角色是嵌套的;也就是说,Owner 角色包含 Editor 角色的权限,而 Editor 角色又包含 Viewer 角色的权限。
下表概括了原初角色在所有 Google Cloud 服务中包含的权限:
原初角色定义
| 名称 | 名称 | 权限 |
|---|---|---|
roles/viewer |
Viewer | 拥有执行不会影响状态的只读操作的权限,例如查看(但无法修改)现有资源或数据。 |
roles/editor |
Editor | 拥有所有查看权限,以及修改状态的操作(例如更改现有资源)的权限。 注意:虽然
roles/editor 角色包含为大多数 Google Cloud 服务创建和删除资源的权限,但某些服务不包含这些权限。要详细了解如何检查某项角色是否具有您所需的权限,请参阅上文。 |
roles/owner |
Owner | 拥有所有修改权限,此外还有权执行以下操作:
注意:
|
您可以使用 Cloud Console、API 和 gcloud 工具在项目级层或服务资源级层应用原初角色。
如需相关说明,请参阅授予、更改和撤消访问权限。
邀请流程
您无法使用 Identity and Access Management API 或 gcloud 命令行工具将 Owner 角色授予项目的成员。您只能使用 Cloud Console 将所有者添加到项目中。系统会通过电子邮件向该成员发送邀请,该成员必须接受邀请才能成为项目的所有者。
请注意,在以下情况下,系统不会发送邀请电子邮件:
- 您要授予除 Owner 以外的角色时。
- 组织成员将其组织的其他成员添加为该组织中某个项目的 Owner。
如需了解如何使用 Cloud Console 授予角色,请参阅授予、更改和撤消访问权限。
预定义角色
除了原初角色之外,IAM 还提供其他预定义角色,后者可让您授予对特定 Google Cloud 资源的精细访问权限,同时阻止对其他资源的不必要访问。
下表列出了这些角色、说明以及可设置这些角色的最低级层的资源类型。您可以为此资源类型授予特定角色,或者在大多数情况下可以为该类型在 Google Cloud 层次结构中的任何上级类型授予特定角色。您可以为同一位用户授予多个角色。例如,同一位用户可以拥有项目上的 Network Admi 和 Log Viewer 角色,并且对该项目中的 Pub/Sub 主题具有 Publisher 角色。有关角色中包含的权限的列表,请参阅获取角色元数据。
Access Approval 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Access Approval Approver Beta 版 | 能够查看或处理权限审批请求并查看配置 |
|
|
roles/ |
Access Approval Config Editor Beta 版 | 可更新访问权限审批配置 |
|
|
roles/ |
Access Approval Viewer Beta 版 | 可查看访问权限审批请求和配置 |
|
Access Context Manager 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Access Context Manager Admin | 拥有政策、访问权限级别和访问权限区域的完整访问权限 |
|
|
roles/ |
Access Context Manager Editor | 拥有对政策的修改权限。可创建、修改和更改访问权限级别和访问区域。 |
|
|
roles/ |
Access Context Manager Reader | 拥有对政策、访问权限级别和访问区域的读取权限。 |
|
|
roles/ |
VPC Service Controls Troubleshooter Viewer |
|
Actions 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Actions Admin | 拥有修改和部署某项操作的权限 |
|
|
roles/ |
Actions Viewer | 拥有查看某项操作的权限 |
|
Android Management 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Android 管理用户 | 拥有管理设备的完整权限。 |
|
API Gateway 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
ApiGateway Admin Beta 版 | 拥有对 ApiGateway 及相关资源的完全访问权限。 |
|
|
roles/ |
ApiGateway Viewer Beta 版 | 拥有对 ApiGateway 及相关资源的只读权限。 |
|
Apigee 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Apigee Organization Admin | 拥有对所有 Apigee 资源功能的完全访问权限 |
|
|
roles/ |
Apigee Analytics Agent | 提供一组特选权限,可让 Apigee Universal Data Collection Agent 管理 Apigee 组织的分析数据 |
|
|
roles/ |
Apigee Analytics Editor | 可修改 Apigee 组织的分析数据 |
|
|
roles/ |
Apigee Analytics Viewer | 可查看 Apigee 组织的分析数据 |
|
|
roles/ |
Apigee API Creator | 可创建 Apigee 资源 |
|
|
roles/ |
Apigee Deployer | 可部署 Apigee 资源 |
|
|
roles/ |
Apigee Developer Admin | 可管理 Apigee 资源开发者 |
|
|
roles/ |
Apigee Portal Admin | 可以管理 Apigee 组织的门户 |
|
|
roles/ |
Apigee Read-only Admin | 可查看所有 Apigee 资源 |
|
|
roles/ |
Apigee Runtime Agent | 提供一组特选权限,可让运行时代理访问 Apigee 组织资源 |
|
|
roles/ |
Apigee Synchronizer Manager | 提供一组特选权限,可让 Synchronizer 管理 Apigee 组织中的环境 |
|
|
roles/ |
Apigee Connect Admin | 可以管理 Apigee Connect |
|
|
roles/ |
Apigee Connect Agent | 能够在外部集群和 Google 之间设置 Apigee Connect 代理。 |
|
App Engine 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
App Engine Admin | 拥有对所有应用配置和设置的读取/写入/修改权限。 |
|
项目 |
roles/ |
App Engine Creator | 能够为项目创建 App Engine 资源。 |
|
项目 |
roles/ |
App Engine Viewer | 拥有对所有应用配置和设置的只读权限。 |
|
项目 |
roles/ |
App Engine Code Viewer | 拥有对所有应用配置、设置和已部署源代码的只读权限。 |
|
项目 |
roles/ |
App Engine Deployer |
拥有对所有应用配置和设置的只读权限。 仅拥有创建新版本的写权限;无法修改现有版本,但可删除未收到流量的版本。 |
|
项目 |
roles/ |
App Engine Service Admin |
拥有对所有应用配置和设置的只读权限。 拥有模块级和版本级设置的写权限。无权部署新版本。 |
|
项目 |
Artifact Registry 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Artifact Registry Administrator Beta 版 | 拥有可创建和管理代码库的管理员权限。 |
|
|
roles/ |
Artifact Registry Reader Beta 版 | 可以读取代码库项。 |
|
|
roles/ |
Artifact Registry Repository Administrator Beta 版 | 拥有管理代码库中的工件的权限。 |
|
|
roles/ |
Artifact Registry Writer Beta 版 | 可以读取和写入代码库项。 |
|
Assured Workloads 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Assured Workloads Administrator Beta 版 | 授予对 Assured Workloads 资源的完全访问权限,包括管理 IAM 政策。 |
|
|
roles/ |
Assured Workloads Editor Beta 版 | 授予对 Assured Workloads 资源的读取和写入权限。 |
|
|
roles/ |
Assured Workloads Reader Beta 版 | 授予对所有 Assured Workloads 资源的读取权限。 |
|
AutoML 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
AutoML Admin Beta 版 | 拥有所有 AutoML 资源的完整访问权限 |
|
数据集/模型 |
roles/ |
AutoML Editor Beta 版 | 可修改所有 AutoML 资源 |
|
数据集/模型 |
roles/ |
AutoML Predictor Beta 版 | 可使用模型进行预测 |
|
型号 |
roles/ |
AutoML Viewer Beta 版 | 可查看所有 AutoML 资源 |
|
数据集/模型 |
BigQuery 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
BigQuery Admin | 提供管理项目中所有资源的权限。获授此角色的用户可以管理项目中的所有数据,也可以取消其他用户正在项目中运行的作业。 |
|
项目 |
roles/ |
BigQuery Connection Admin Beta 版 |
|
||
roles/ |
BigQuery Connection User Beta 版 |
|
||
roles/ |
BigQuery Data Editor |
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,还可提供创建新数据集的权限。 |
|
表或视图 |
roles/ |
BigQuery Data Owner |
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,还可提供创建新数据集的权限。 |
|
表或视图 |
roles/ |
BigQuery Data Viewer |
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,还可提供枚举项目中所有数据集的权限。但若要运行作业,还需要具备其他角色。 |
|
表或视图 |
roles/ |
BigQuery Job User | 提供在项目中运行作业(包括查询)的权限。 |
|
项目 |
roles/ |
BigQuery Metadata Viewer |
此角色在应用于表或视图时,可提供以下权限:
此角色无法应用于单个模型或例程。 此角色在应用于数据集时,可提供以下权限:
此角色在应用于项目或组织级层时,可提供以下权限:
但若要运行作业,还需要具备其他角色。 |
|
表或视图 |
roles/ |
BigQuery Read Session User | 拥有创建和使用读取会话的权限 |
|
|
roles/ |
BigQuery Resource Admin Beta 版 | 管理所有 BigQuery 资源。 |
|
|
roles/ |
BigQuery Resource Editor Beta 版 | 管理所有 BigQuery 资源,但不能做出购买决定。 |
|
|
roles/ |
BigQuery Resource Viewer Beta 版 | 可查看所有 BigQuery 资源,但不能执行更改或做出购买决定。 |
|
|
roles/ |
BigQuery User |
此角色应用于数据集时,让您可以读取数据集的元数据并列出数据集中的表。 应用于项目时,此角色还提供在项目内运行作业(包括查询)的能力。具有此角色的成员可以枚举自己的作业、取消自己的作业,还可以枚举项目中的数据集。此外,具有此角色的用户还可以在项目中创建新数据集;对于这些新数据集,系统会为创建者授予 BigQuery Data Owner 角色 ( |
|
数据集 |
Cloud Bigtable 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Bigtable Administrator | 可管理项目中的所有实例(包括表中存储的数据),还可创建新实例。适用于项目管理员。 |
|
实例 |
roles/ |
Bigtable Reader | 提供对表中所存储数据的只读权限。适用于数据科学家、信息中心生成器和其他数据分析情景。 |
|
实例 |
roles/ |
Bigtable User | 提供对表中所存储数据的读写权限。适用于应用开发者或服务帐号。 |
|
实例 |
roles/ |
Bigtable Viewer | 不提供数据访问权限。仅提供适用于 Bigtable 的 Cloud Console 的一组最低访问权限。 |
|
实例 |
Billing 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Billing Account Administrator | 提供查看和管理结算帐号所有方面的权限。 |
|
结算帐号 |
roles/ |
Billing Account Creator | 提供创建结算帐号的权限。 |
|
组织 |
roles/ |
Project Billing Manager | 提供为项目分配结算帐号或停用项目结算功能的权限。 |
|
项目 |
roles/ |
Billing Account User | 提供将项目与结算帐号相关联的权限。 |
|
结算帐号 |
roles/ |
Billing Account Viewer | 查看结算帐号费用信息和交易。 |
|
结算帐号 |
Binary Authorization 角色
Hangouts Chat 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
聊天机器人所有者 | 可以查看和修改机器人配置 |
|
|
roles/ |
聊天机器人查看者 | 可以查看机器人配置 |
|
Cloud Asset 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
云资源所有者 | 拥有云资源元数据的完整访问权限 |
|
|
roles/ |
云资产查看者 | 拥有云资源元数据的只读权限 |
|
Cloud Build 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Cloud Build Service Account | 提供执行构建的权限。 |
|
|
roles/ |
Cloud Build Editor | 提供创建和取消构建作业的权限。 |
|
项目 |
roles/ |
Cloud Build Viewer | 提供查看构建作业的权限。 |
|
项目 |
Cloud Data Fusion 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Cloud Data Fusion Admin Beta 版 | 提供对 Cloud Data Fusion 实例和相关资源的完整访问权限。 |
|
项目 |
roles/ |
Cloud Data Fusion Runner Beta 版 | 提供对 Cloud Data Fusion 运行时资源的访问权限。 |
|
|
roles/ |
Cloud Data Fusion Viewer Beta 版 | 提供对 Cloud Data Fusion 实例及相关资源的只读权限。 |
|
项目 |
Cloud Debugger 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Cloud Debugger Agent Beta 版 | 提供注册调试目标、读取活跃断点和报告断点结果的权限。 |
|
服务帐号 |
roles/ |
Cloud Debugger User Beta 版 | 提供创建、查看、列出和删除断点(快照和日志点)以及列出调试目标(调试对象)的权限。 |
|
项目 |
Cloud Functions 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Cloud Functions Admin | 拥有对函数、运算和位置的完整访问权限。 |
|
|
roles/ |
Cloud Functions Developer | 拥有对所有函数相关资源的读写权限。 |
|
|
roles/ |
Cloud Functions Invoker | 可使用受限的访问权限调用 HTTP 函数。 |
|
|
roles/ |
Cloud Functions Viewer | 拥有对函数和位置的只读权限。 |
|
Cloud IAP 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
IAP Policy Admin | 提供对 Identity-Aware Proxy 资源的完整访问权限。 |
|
项目 |
roles/ |
IAP-secured Web App User | 提供对使用 Identity-Aware Proxy 的 HTTPS 资源的访问权限。 |
|
项目 |
roles/ |
IAP Settings Admin | IAP 设置管理员。 |
|
|
roles/ |
IAP-secured Tunnel User | 可访问使用 Identity-Aware Proxy 的隧道资源 |
|
Cloud IoT 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Cloud IoT Admin | 拥有对所有 Cloud IoT 资源和权限的完全控制权。 |
|
设备 |
roles/ |
Cloud IoT Device Controller | 有权更新设备配置,但无权创建或删除设备。 |
|
设备 |
roles/ |
Cloud IoT Editor | 拥有对所有 Cloud IoT 资源的读写权限。 |
|
设备 |
roles/ |
Cloud IoT Provisioner | 拥有在注册表中创建和删除设备的权限,但无权修改注册表。 |
|
设备 |
roles/ |
Cloud IoT Viewer | 拥有对所有 Cloud IoT 资源的只读权限。 |
|
设备 |
Cloud Talent Solution 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Admin | 拥有 Cloud Talent Solution 自助式工具的访问权限。 |
|
|
roles/ |
Job Editor | 拥有 Cloud Talent Solution 中所有作业数据的写入权限。 |
|
|
roles/ |
Job Viewer | 拥有 Cloud Talent Solution 中所有作业数据的读取权限。 |
|
|
roles/ |
Profile Editor | 拥有 Cloud Talent Solution 中所有个人资料数据的写入权限。 |
|
|
roles/ |
Profile Viewer | 拥有 Cloud Talent Solution 中所有个人资料数据的读取权限。 |
|
Cloud KMS 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Cloud KMS Admin | 提供 Cloud KMS 资源的完整访问权限,但不提供执行加密和解密操作的权限。 |
|
CryptoKey |
roles/ |
Cloud KMS CryptoKey Decrypter | 仅提供使用 Cloud KMS 资源执行解密操作的权限。 |
|
CryptoKey |
roles/ |
Cloud KMS CryptoKey Encrypter | 仅提供使用 Cloud KMS 资源执行加密操作的权限。 |
|
CryptoKey |
roles/ |
Cloud KMS CryptoKey Encrypter/Decrypter | 仅提供使用 Cloud KMS 资源执行加密和解密操作的权限。 |
|
CryptoKey |
roles/ |
Cloud KMS Importer | 可启用 ImportCryptoKeyVersion、CreateImportJob、ListImportJobs 和 GetImportJob 操作 |
|
|
roles/ |
Cloud KMS CryptoKey Public Key Viewer | 可启用 GetPublicKey 操作 |
|
|
roles/ |
Cloud KMS CryptoKey Signer | 可启用 AsymmetricSign 操作 |
|
|
roles/ |
Cloud KMS CryptoKey Signer/Verifier | 可启用 AsymmetricSign 和 GetPublicKey 操作 |
|
Cloud Marketplace 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Consumer Procurement Entitlement Manager Beta 版 | 允许管理使用方项目的授权,启用、停用使用方项目以及检查其服务状态。 |
|
|
roles/ |
Consumer Procurement Entitlement Viewer Beta 版 | 允许检查使用方项目的授权和服务状态。 |
|
|
roles/ |
Consumer Procurement Order Administrator Beta 版 | 允许管理购买交易。 |
|
|
roles/ |
Consumer Procurement Order Viewer Beta 版 | 允许检查购买交易。 |
|
Cloud Migration 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Velostrata Manager Beta 版 | 可创建和管理 Compute 虚拟机以运行 Velostrata 基础架构 |
|
|
roles/ |
Velostrata Storage Access Beta 版 | 可访问迁移存储空间 |
|
|
roles/ |
Velostrata Manager Connection Agent Beta 版 | 可在 Velostrata Manager 与 Google 之间设置连接 |
|
|
roles/ |
VM Migration Administrator Beta 版 | 可查看和修改所有 VM Migration 对象 |
|
|
roles/ |
VM Migration Viewer Beta 版 | 可查看所有 VM Migration 对象 |
|
Cloud Private Catalog 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Catalog Consumer Beta 版 | 可以在目标资源上下文中浏览目录。 |
|
|
roles/ |
Catalog Admin Beta 版 | 可以管理目录并查看其关联情况。 |
|
|
roles/ |
Catalog Manager Beta 版 | 可以管理目录和目标资源之间的关联。 |
|
Cloud Profiler 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Cloud Profiler Agent | Cloud Profiler 代理可以注册和提供性能剖析数据。 |
|
|
roles/ |
Cloud Profiler User | Cloud Profiler 用户可以查询和查看性能剖析数据。 |
|
Cloud Scheduler 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Cloud Scheduler Admin Beta 版 | 拥有作业和执行作业的完整访问权限。 |
|
|
roles/ |
Cloud Scheduler Job Runner Beta 版 | 可以运行作业。 |
|
|
roles/ |
Cloud Scheduler Viewer Beta 版 | 可获取和列出作业、作业执行情况和位置。 |
|
Cloud Security Scanner 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Web Security Scanner Editor | 拥有所有 Web Security Scanner 资源的完整访问权限 |
|
项目 |
roles/ |
Web Security Scanner Runner | 拥有 Scan 和 ScanRun 的读取权限以及启动扫描的权限 |
|
项目 |
roles/ |
Web Security Scanner Viewer | 拥有所有 Web Security Scanner 资源的读取权限 |
|
项目 |
Cloud 服务角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Service Broker Admin | 拥有对 ServiceBroker 资源的完整访问权限。 |
|
|
roles/ |
Service Broker Operator | 拥有对 ServiceBroker 资源的操作权限。 |
|
Cloud SQL 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Cloud SQL Admin | 提供 Cloud SQL 资源的完全控制权。 |
|
项目 |
roles/ |
Cloud SQL Client | 提供 Cloud SQL 实例的连接权限。 |
|
项目 |
roles/ |
Cloud SQL Editor | 提供现有 Cloud SQL 实例的完全控制权,但不能修改用户、SSL 证书或删除资源。 |
|
项目 |
roles/ |
Cloud SQL Instance User | 此角色可访问 Cloud SQL 实例 |
|
|
roles/ |
Cloud SQL Viewer | 提供 Cloud SQL 资源的只读权限。 |
|
项目 |
Cloud Tasks 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Cloud Tasks Admin Beta 版 | 拥有队列和任务的完整访问权限。 |
|
|
roles/ |
Cloud Tasks Enqueuer Beta 版 | 有权创建任务。 |
|
|
roles/ |
Cloud Tasks Queue Admin Beta 版 | 拥有对队列的管理员权限。 |
|
|
roles/ |
Cloud Tasks Task Deleter Beta 版 | 有权删除任务。 |
|
|
roles/ |
Cloud Tasks Task Runner Beta 版 | 有权运行任务。 |
|
|
roles/ |
Cloud Tasks Viewer Beta 版 | 有权获取和列出任务、队列和位置。 |
|
Cloud Trace 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Cloud Trace Admin | 提供 Trace 控制台的完整访问权限以及跟踪记录的读写权限。 |
|
项目 |
roles/ |
Cloud Trace Agent | 适用于服务帐号。提供通过将数据发送到 Stackdriver Trace 来写入跟踪记录的权限。 |
|
项目 |
roles/ |
Cloud Trace User | 提供 Trace 控制台的完整访问权限以及跟踪记录的读取权限。 |
|
项目 |
Cloud Translation 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Cloud Translation API 管理员 | 拥有所有 Cloud Translation 资源的完整访问权限 |
|
|
roles/ |
Cloud Translation API 编辑者 | Cloud Translation 资源的编辑者 |
|
|
roles/ |
Cloud Translation API 用户 | Cloud Translation 和 AutoML 模型用户 |
|
|
roles/ |
Cloud Translation API 查看者 | 所有 Translation 资源查看者 |
|
Workflows 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Workflows Admin Beta 版 | 拥有对工作流及相关资源的完全访问权限。 |
|
|
roles/ |
Workflows Editor Beta 版 | 拥有对工作流及相关资源的读写权限。 |
|
|
roles/ |
Workflows Invoker Beta 版 | 拥有执行工作流及管理执行任务的权限。 |
|
|
roles/ |
Workflows Viewer Beta 版 | 拥有对工作流及相关资源的只读权限。 |
|
Codelab API Keys 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Codelab ApiKeys Admin Beta 版 | 拥有对 API 密钥的完整访问权限 |
|
|
roles/ |
Codelab API Keys Editor Beta 版 | 此角色可查看和修改 API 密钥的所有属性。 |
|
|
roles/ |
Codelab API Keys Viewer Beta 版 | 此角色可查看 API 密钥更改历史记录以外的所有属性。 |
|
Cloud Composer 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Composer Administrator | 提供对 Cloud Composer 资源的完全控制权。 |
|
项目 |
roles/ |
Environment and Storage Object Administrator | 提供对 Cloud Composer 资源和所有项目存储分区中对象的完全控制权。 |
|
项目 |
roles/ |
Environment User and Storage Object Viewer | 提供列出及获取 Cloud Composer 环境和操作所需的权限。 以及对所有项目存储分区中对象的只读权限。 |
|
项目 |
roles/ |
Composer User | 提供列出及获取 Cloud Composer 环境和操作所需的权限。 |
|
项目 |
roles/ |
Composer Worker | 提供运行 Cloud Composer 环境虚拟机所需的权限。适用于服务帐号。 |
|
项目 |
Compute Engine 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Compute Admin |
拥有对所有 Compute Engine 资源的完整控制权。 如果用户要管理配置为以服务帐号身份运行的虚拟机实例,您还必须授予 |
|
磁盘、映像、实例、instanceTemplate、nodeGroup、nodeTemplate、快照Beta 版 |
roles/ |
Compute Image User |
可在不具备其他映像权限的情况下列出和读取映像。在项目级层授予此角色后,获授此角色的用户可以列出项目中的所有映像,并根据项目中的映像创建实例和永久性磁盘等资源。 |
|
映像Beta 版 |
roles/ |
Compute Instance Admin(Beta 版) |
拥有创建、修改和删除虚拟机实例的权限。 这包括创建、修改和删除磁盘的权限,以及配置安全强化型虚拟机Beta 版设置的权限。
如果用户要管理配置为以服务帐号身份运行的虚拟机实例,您还必须授予 例如,如果贵公司的某位员工负责管理多组虚拟机实例,但不负责管理网络或安全设置,也不负责管理以服务帐号身份运行的实例,则您可以在这些实例所属的组织、文件夹或项目级层授予此角色,也可以在个别实例级层授予此角色。 |
|
磁盘、映像、实例、instanceTemplate、快照Beta 版 |
roles/ |
Compute Instance Admin (v1) |
拥有对 Compute Engine 实例、实例组、磁盘、快照和映像的完整控制权, 拥有所有 Compute Engine 网络资源的读取权限。 如果仅在实例级层向用户授予此角色,则该用户无法创建新实例。 |
|
|
roles/ |
Compute Load Balancer Admin Beta 版 |
拥有创建、修改和删除负载平衡器及相关资源的权限。 例如,如果您公司的负载平衡团队负责管理负载平衡器、负载平衡器的 SSL 证书、SSL 政策和其他负载平衡资源,而另一个网络团队负责管理其余网络资源,则向负载平衡团队群组授予此角色。 |
|
实例Beta 版 |
roles/ |
Compute Network Admin |
拥有创建、修改和删除网络资源(不包括防火墙规则和 SSL 证书)的权限。Network Admin 角色允许以只读方式访问防火墙规则、SSL 证书和实例(以查看其临时 IP 地址),但无法让用户创建、启动、停止或删除实例。 例如,如果您公司的安全团队负责管理防火墙和 SSL 证书,而网络团队负责管理其余网络资源,则向网络团队群组授予此角色。 |
|
实例Beta 版 |
roles/ |
Compute Network User |
提供对共享 VPC 网络的访问权限 获授此角色的服务所有者可以使用属于宿主项目的 VPC 网络和子网。例如,网络用户可以创建属于宿主项目网络的虚拟机实例,但不能在宿主项目中删除网络或者创建新网络。 |
|
项目 |
roles/ |
Compute Network Viewer |
提供所有网络资源的只读权限 例如,如果您有用于检查网络配置的软件,则可以向该软件的服务帐号授予此角色。 |
|
实例Beta 版 |
roles/ |
Compute Organization Security Policy Admin Beta 版 | 拥有对 Compute Engine 组织安全政策的完整控制权。 |
|
|
roles/ |
Compute Organization Security Policy User Beta 版 | 可以查看或使用 Compute Engine 安全政策,以便与组织或文件夹相关联。 |
|
|
roles/ |
Compute Organization Resource Admin Beta 版 | 拥有与组织或文件夹关联的 Compute Engine 安全政策的完整控制权。 |
|
|
roles/ |
Compute OS Admin Login | 拥有以管理员用户身份登录 Compute Engine 实例的权限。 |
|
实例Beta 版 |
roles/ |
Compute OS Login | 拥有以标准用户身份登录 Compute Engine 实例的权限。 |
|
实例Beta 版 |
roles/ |
Compute OS Login External User |
此角色仅在组织级层提供。 此角色可为外部用户授予设置与该组织关联的 OS Login 信息的权限,但不授予对实例的访问权限。外部用户必须获授一个必要的 OS Login 角色才能使用 SSH 访问实例。 |
|
组织 |
roles/ |
Compute Packet Mirroring Admin | 指定要生成镜像的资源。 |
|
|
roles/ |
Compute Packet Mirroring User | 可使用 Compute Engine 数据包镜像。 |
|
|
roles/ |
Compute Public IP Admin Beta 版 | 拥有对 Compute Engine 公共 IP 地址管理的完整控制权。 |
|
|
roles/ |
Compute Security Admin |
拥有创建、修改和删除防火墙规则和 SSL 证书的权限,以及配置安全强化型虚拟机Beta 版设置的权限。 例如,如果您的公司拥有一个负责管理防火墙和 SSL 证书的安全团队和一个负责管理其余网络资源的网络团队,则向安全团队群组授予此角色。 |
|
实例Beta 版 |
roles/ |
Compute Storage Admin |
拥有创建、修改和删除磁盘、映像及快照的权限。 例如,如果您公司的某位员工负责管理项目映像,但您不希望该员工拥有项目的 Editor 角色,则向其帐号授予项目的此角色。 |
|
磁盘、映像、快照Beta 版 |
roles/ |
Compute Viewer |
拥有以只读方式获取和列出 Compute Engine 资源的权限,但无权读取这些资源中存储的数据。 例如,获授此角色的帐号可以清点项目中的所有磁盘,但无法读取这些磁盘上的任何数据。 |
|
磁盘、映像、实例、instanceTemplate、nodeGroup、nodeTemplate、快照Beta 版 |
roles/ |
Compute Shared VPC Admin |
拥有管理共享 VPC 宿主项目的权限,具体来说,就是可以启用宿主项目并将共享 VPC 服务项目关联到宿主项目所在的网络。 在组织层级,此角色只能由组织管理员授予。
Google Cloud 建议将 Shared VPC Admin 设为共享 VPC 宿主项目的所有者。Shared VPC Admin 负责向服务所有者授予 Compute Network User 角色 ( |
|
文件夹 |
roles/ |
Assignment Admin | 拥有对 Assignment 的完整管理员权限 |
|
|
roles/ |
Assignment Editor | 可以修改 Assignment 资源 |
|
|
roles/ |
Assignment Viewer | 可以查看 Assignment 资源 |
|
|
roles/ |
GuestPolicy Admin Beta 版 | 拥有对 GuestPolicy 的完整管理员权限 |
|
|
roles/ |
GuestPolicy Editor Beta 版 | 可以修改 GuestPolicy 资源 |
|
|
roles/ |
GuestPolicy Viewer Beta 版 | 可以查看 GuestPolicy 资源 |
|
|
roles/ |
OsConfig Admin | 拥有对 OsConfig 的完整管理员权限 |
|
|
roles/ |
OsConfig Editor | 可以修改 OsConfig 资源 |
|
|
roles/ |
OsConfig Viewer | 可以查看 OsConfig 资源 |
|
|
roles/ |
PatchDeployment Admin | 拥有对 PatchDeployment 的完整管理员权限 |
|
|
roles/ |
PatchDeployment Viewer | 可以查看 PatchDeployment 资源 |
|
|
roles/ |
Patch Job Executor | 有权执行修补作业。 |
|
|
roles/ |
Patch Job Viewer | 获取并列出修补作业。 |
|
Kubernetes Engine 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Kubernetes Engine Admin |
提供对集群及其 Kubernetes API 对象的完整管理权限。
如需在节点上设置一个服务帐号,您还必须授予 Service Account User 角色 ( |
|
项目 |
roles/ |
Kubernetes Engine Cluster Admin |
提供管理集群的权限。
如需在节点上设置一个服务帐号,您还必须授予 Service Account User 角色 ( |
|
项目 |
roles/ |
Kubernetes Engine Cluster Viewer | 拥有获取和列出 GKE 集群的权限。 |
|
|
roles/ |
Kubernetes Engine Developer | 提供对集群内 Kubernetes API 对象的访问权限。 |
|
项目 |
roles/ |
Kubernetes Engine Host Service Agent User | 允许宿主项目中的 Kubernetes Engine 服务帐号为集群管理配置共享网络资源。另外,还授予检查宿主项目中的防火墙规则的权限。 |
|
|
roles/ |
Kubernetes Engine Viewer | 提供对 GKE 资源的只读权限。 |
|
项目 |
Container Analysis 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Container Analysis Admin | 拥有对所有 Container Analysis 资源的访问权限。 |
|
|
roles/ |
Container Analysis Notes Attacher | 可以将 Container Analysis 发生实例附加到备注。 |
|
|
roles/ |
Container Analysis Notes Editor | 可以修改 Container Analysis 备注。 |
|
|
roles/ |
Container Analysis Occurrences for Notes Viewer |
|
||
roles/ |
Container Analysis Notes Viewer | 可以查看 Container Analysis 备注。 |
|
|
roles/ |
Container Analysis Occurrences Editor | 可以修改 Container Analysis 发生实例。 |
|
|
roles/ |
Container Analysis Occurrences Viewer | 可以查看 Container Analysis 发生实例。 |
|
Data Catalog 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Data Catalog Admin | 拥有对所有 DataCatalog 资源的完整访问权限 |
|
|
roles/ |
Policy Tag Admin Beta 版 | 可管理分类 |
|
|
roles/ |
Fine-Grained Reader Beta 版 | 拥有对包含特定政策标记的子资源(例如 BigQuery 列)的读取权限 |
|
|
roles/ |
DataCatalog EntryGroup Creator | 可以新建 entryGroup |
|
|
roles/ |
DataCatalog entryGroup Owner | 拥有对 entryGroup 的完全访问权限 |
|
|
roles/ |
DataCatalog entry Owner | 拥有对条目的完全访问权限 |
|
|
roles/ |
DataCatalog Entry Viewer | 拥有对条目的读取权限 |
|
|
roles/ |
Data Catalog Tag Editor | 提供修改用于 BigQuery 和 Pub/Sub 的 Google Cloud 资产标记的权限 |
|
|
roles/ |
Data Catalog TagTemplate Creator | 可以创建新的标记模板 |
|
|
roles/ |
Data Catalog TagTemplate Owner | 拥有对标记模板的完全访问权限 |
|
|
roles/ |
Data Catalog TagTemplate User | 可以使用模板标记资源 |
|
|
roles/ |
Data Catalog TagTemplate Viewer | 拥有对模板和使用模板创建的标记的读取权限 |
|
|
roles/ |
Data Catalog Viewer | 提供对用于 BigQuery 和 Pub/Sub 且已编入目录的 Google Cloud 资产的元数据读取权限 |
|
Dataflow 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Dataflow Admin | 创建和管理 Dataflow 作业需要的最低权限角色。 |
|
|
roles/ |
Dataflow Developer | 提供执行和操作 Dataflow 作业所需的权限。 |
|
项目 |
roles/ |
Dataflow Viewer | 提供对所有 Dataflow 相关资源的只读权限。 |
|
项目 |
roles/ |
Dataflow Worker | 提供让 Compute Engine 服务帐号执行 Cloud Dataflow 流水线工作单元所需的权限。 |
|
项目 |
Cloud Data Labeling 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
DataLabeling Service Admin Beta 版 | 拥有所有 DataLabeling 资源的完整访问权限 |
|
|
roles/ |
DataLabeling Service Editor Beta 版 | 可修改所有 DataLabeling 资源 |
|
|
roles/ |
DataLabeling Service Viewer Beta 版 | 可查看所有 DataLabeling 资源 |
|
Dataprep 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Dataprep User Beta 版 | 可以使用 Dataprep。 |
|
Dataproc 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Dataproc Administrator | 拥有对 Dataproc 资源的完全控制权。 |
|
|
roles/ |
Dataproc Editor | 提供查看管理 Dataproc 所需资源(包括机器类型、网络、项目和区域)而应具备的权限。 |
|
项目 |
roles/ |
Dataproc Viewer | 提供对 Dataproc 资源的只读权限。 |
|
项目 |
roles/ |
Dataproc Worker | 提供对 Dataproc 资源的处理权限。适用于服务帐号。 |
|
Datastore 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Cloud Datastore Import Export Admin | 提供对导入和导出作业的完整管理权限。 |
|
项目 |
roles/ |
Cloud Datastore Index Admin | 提供对索引定义的完整访问权限。 |
|
项目 |
roles/ |
Cloud Datastore Owner | 提供对 Datastore 资源的完整访问权限。 |
|
项目 |
roles/ |
Cloud Datastore User | 提供对 Cloud Datastore 数据库中数据的读写权限。 |
|
项目 |
roles/ |
Cloud Datastore Viewer | 提供对 Cloud Datastore 资源的读取权限。 |
|
项目 |
Deployment Manager 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Deployment Manager Editor | 提供创建和管理部署所需的权限。 |
|
项目 |
roles/ |
Deployment Manager Type Editor | 提供对所有类型注册表资源的读写权限。 |
|
项目 |
roles/ |
Deployment Manager Type Viewer | 提供对所有类型注册表资源的只读权限。 |
|
项目 |
roles/ |
Deployment Manager Viewer | 提供对所有 Deployment Manager 相关资源的只读权限。 |
|
项目 |
Dialogflow 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Dialogflow API Admin | 向需要对 Dialogflow 特定资源完整访问权限的 Dialogflow API 管理员授予权限。 另请参阅 Dialogflow 访问权限控制。 |
|
项目 |
roles/ |
Dialogflow API Client | 授予使用执行 Dialogflow 特定修改并使用 Dialogflow API 检测意图调用的 Dialogflow API 客户端。 另请参阅 Dialogflow 访问权限控制。 |
|
项目 |
roles/ |
Dialogflow Console Agent Editor | 授予修改现有代理的 Dialogflow 控制台编辑者。 另请参阅 Dialogflow 访问权限控制。 |
|
项目 |
roles/ |
Dialogflow API Reader | 授予使用 Dialogflow API 执行 Dialogflow 特定只读调用的 Dialogflow API 客户端。 另请参阅 Dialogflow 访问权限控制。 |
|
项目 |
Cloud DLP 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
DLP Administrator | 可管理 DLP,包括作业和模板。 |
|
|
roles/ |
DLP Analyze Risk Templates Editor | 可修改 DLP 分析风险模板。 |
|
|
roles/ |
DLP Analyze Risk Templates Reader | 可读取 DLP 分析风险模板。 |
|
|
roles/ |
DLP De-identify Templates Editor | 可修改 DLP 去标识化模板。 |
|
|
roles/ |
DLP De-identify Templates Reader | 可读取 DLP 去标识化模板。 |
|
|
roles/ |
DLP Inspect Findings Reader | 可读取 DLP 存储的发现结果。 |
|
|
roles/ |
DLP Inspect Templates Editor | 可修改 DLP 检查模板。 |
|
|
roles/ |
DLP Inspect Templates Reader | 可读取 DLP 检查模板。 |
|
|
roles/ |
DLP Job Triggers Editor | 可修改作业触发器配置。 |
|
|
roles/ |
DLP Job Triggers Reader | 可读取作业触发器。 |
|
|
roles/ |
DLP Jobs Editor | 可修改和创建作业 |
|
|
roles/ |
DLP Jobs Reader | 可读取作业 |
|
|
roles/ |
DLP Reader | 可读取作业和模板等 DLP 实体。 |
|
|
roles/ |
DLP Stored InfoTypes Editor | 可修改 DLP 存储的信息类型。 |
|
|
roles/ |
DLP Stored InfoTypes Reader | 可读取 DLP 存储的信息类型。 |
|
|
roles/ |
DLP User | 可检查和遮盖内容,以及对内容进行去标识化处理 |
|
DNS 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
DNS Administrator | 提供对所有 Cloud DNS 资源的读写权限。 |
|
项目 |
roles/ |
DNS Peer | 可通过 DNS 对等互连地区访问目标网络 |
|
|
roles/ |
DNS Reader | 提供对所有 Cloud DNS 资源的只读权限。 |
|
项目 |
Endpoints 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Endpoints Portal Admin Beta 版 | 提供在 Cloud Console 的 Endpoints > 开发者门户页面中添加、查看和删除自定义网域所需的全部权限。在为 API 创建的门户上,提供更改设置页面上网站级标签页中设置的权限。 |
|
项目 |
Error Reporting 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Error Reporting Admin Beta 版 | 提供对 Error Reporting 数据的完整访问权限。 |
|
项目 |
roles/ |
Error Reporting User Beta 版 | 提供读取和写入 Error Reporting 数据的权限,但不提供发送新错误事件的权限。 |
|
项目 |
roles/ |
Error Reporting Viewer Beta 版 | 提供对 Error Reporting 数据的只读权限。 |
|
项目 |
roles/ |
Errors Writer Beta 版 | 提供将错误事件发送到 Error Reporting 的权限。 |
|
服务帐号 |
Cloud Filestore 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Cloud Filestore Editor Beta 版 | 拥有对 Filestore 实例及相关资源的读写权限。 |
|
|
roles/ |
Cloud Filestore Viewer Beta 版 | 拥有对 Filestore 实例及相关资源的只读权限。 |
|
Firebase 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Firebase Admin | 拥有对 Firebase 产品的完整访问权限。 |
|
|
roles/ |
Firebase Analytics Admin | 拥有对 Google Analytics for Firebase 的完整访问权限。 |
|
|
roles/ |
Firebase Analytics Viewer | 拥有对 Google Analytics for Firebase 的读取权限。 |
|
|
roles/ |
Firebase Develop Admin | 拥有对 Firebase 开发类产品和 Analytics 的完整访问权限。 |
|
|
roles/ |
Firebase Develop Viewer | 拥有对 Firebase 开发类产品和 Analytics 的读取权限。 |
|
|
roles/ |
Firebase Grow Admin | 拥有对 Firebase 发展类产品和 Analytics 的完整访问权限。 |
|
|
roles/ |
Firebase Grow Viewer | 拥有对 Firebase 发展类产品和 Analytics 的读取权限。 |
|
|
roles/ |
Firebase Quality Admin | 拥有对 Firebase 质量类产品和 Analytics 的完整访问权限。 |
|
|
roles/ |
Firebase Quality Viewer | 拥有对 Firebase 质量类产品和 Analytics 的读取权限。 |
|
|
roles/ |
Firebase Viewer | 拥有对 Firebase 产品的只读权限。 |
|
Firebase 产品角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Firebase Remote Config Admin | 拥有对 Firebase 远程配置资源的完整访问权限。 |
|
|
roles/ |
Firebase Remote Config Viewer | 拥有对 Firebase 远程配置资源的读取权限。 |
|
|
roles/ |
Firebase 测试实验室管理员 | 拥有所有测试实验室功能的完整访问权限 |
|
|
roles/ |
Firebase 测试实验室查看者 | 拥有测试实验室功能的读取权限 |
|
|
roles/ |
Firebase A/B Testing Admin Beta 版 | 拥有 Firebase A/B 测试资源的完全读写权限。 |
|
|
roles/ |
Firebase A/B Testing Viewer Beta 版 | 拥有 Firebase A/B 测试资源的只读权限。 |
|
|
roles/ |
Firebase App Distribution Admin Beta 版 | 拥有 Firebase 应用分发资源的完全读写权限。 |
|
|
roles/ |
Firebase App Distribution Viewer Beta 版 | 拥有 Firebase 应用分发资源的只读权限。 |
|
|
roles/ |
Firebase 身份验证管理员 | 拥有 Firebase 身份验证资源的完全读写权限。 |
|
|
roles/ |
Firebase 身份验证查看者 | 拥有 Firebase 身份验证资源的只读权限。 |
|
|
roles/ |
Firebase Crashlytics 管理员 | 拥有 Firebase Crashlytics 资源的完全读写权限。 |
|
|
roles/ |
Firebase Crashlytics 查看者 | 拥有 Firebase Crashlytics 资源的只读权限。 |
|
|
roles/ |
Firebase Realtime Database Admin | 拥有 Firebase 实时数据库资源的完全读写权限。 |
|
|
roles/ |
Firebase Realtime Database Viewer | 拥有 Firebase 实时数据库资源的只读权限。 |
|
|
roles/ |
Firebase Dynamic Links Admin | 拥有对 Firebase 动态链接资源的完整读写权限。 |
|
|
roles/ |
Firebase 动态链接查看者 | 拥有 Firebase 动态链接资源的只读权限。 |
|
|
roles/ |
Firebase 托管管理员 | 拥有 Firebase 托管资源的完全读写权限。 |
|
|
roles/ |
Firebase 托管查看者 | 拥有 Firebase 托管资源的只读权限。 |
|
|
roles/ |
Firebase In-App Messaging Admin Beta 版 | 拥有 Firebase 应用内消息资源的完全读写权限。 |
|
|
roles/ |
Firebase In-App Messaging Viewer Beta 版 | 拥有 Firebase 应用内消息资源的只读权限。 |
|
|
roles/ |
Firebase ML Kit Admin Beta 版 | 拥有 Firebase 机器学习套件资源的完全读写权限。 |
|
|
roles/ |
Firebase ML Kit Viewer Beta 版 | 拥有 Firebase 机器学习套件资源的只读权限。 |
|
|
roles/ |
Firebase Cloud Messaging Admin | 拥有 Firebase 云消息传递资源的完全读写权限。 |
|
|
roles/ |
Firebase Cloud Messaging Viewer | 拥有 Firebase 云消息传递资源的只读权限。 |
|
|
roles/ |
Firebase Performance Reporting Admin | 拥有对 firebaseperformance 资源的完整访问权限。 |
|
|
roles/ |
Firebase Performance Reporting Viewer | 拥有 firebaseperformance 资源的只读权限。 |
|
|
roles/ |
Firebase 预测管理员 | 拥有 Firebase 预测资源的完全读写权限。 |
|
|
roles/ |
Firebase 预测查看者 | 拥有 Firebase 预测资源的只读权限。 |
|
|
roles/ |
Firebase Rules Admin | 拥有 Firebase 规则的完全管理权限。 |
|
|
roles/ |
Firebase Rules Viewer | 拥有对具有规则集测试功能的所有资源的只读权限。 |
|
Cloud Game Services 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Game Services API Admin | 拥有对 Game Services API 及相关资源的完全访问权限。 |
|
|
roles/ |
Game Services API Viewer | 拥有对 Game Services API 及相关资源的只读权限。 |
|
Genomics 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Genomics 管理员 | 拥有基因组数据集和操作的完整访问权限。 |
|
|
roles/ |
Genomics 编辑者 | 可以读取和编辑基因组数据集和操作。 |
|
|
roles/ |
Genomics 流水线运行者 | 拥有对基因组管道进行操作的完整访问权限。 |
|
|
roles/ |
Genomics 查看者 | 有权查看基因组数据集和操作。 |
|
GKE Hub 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
GKE Hub Admin | 拥有对 GKE Hub 和相关资源的完整访问权限。 |
|
|
roles/ |
GKE Hub Connection Agent | 可在外部集群与 Google 之间设置 GKE Connect。 |
|
|
roles/ |
Connect Gateway Admin | 拥有对 Connect Gateway 的完整访问权限。 |
|
|
roles/ |
GKE Hub Viewer | 拥有对 GKE Hub 和相关资源的只读权限。 |
|
Cloud Healthcare 角色
| 角色 | 名称 | 说明 | 权限 | 最低资源要求 |
|---|---|---|---|---|
roles/ |
Healthcare Annotation Editor | 可创建、删除、更新、读取、列出注释。 |
|
|
roles/ |
Healthcare Annotation Reader | 可读取和列出注释存储区中的注释。 |
|