需要的權限

這個頁麵說明了所需的權限創建和管理一個磚工作區在穀歌的雲。

穀歌雲上,每個工作空間內運行一個客戶擁有的工作區項目。磚創建並擁有per-workspace服務帳戶管理工作區所需的最小權限。磚使用憑證工作區創造者授予權限的服務帳戶工作區項目。磚賬戶管理必須在工作區項目所需的權限成功創建一個工作區。

在你開始之前

確保下列適用於您如果您計劃創建工作區:

你的項目所有者穀歌雲項目工作區創建期間您所指定的。
你在我管理的項目編輯器和穀歌雲項目工作區創建期間您所指定的。

需要用戶權限或服務帳戶權限創建工作區

磚使用帳戶管理員的權限驗證設置,授予權限,使所需的服務和供應工作區。完成這個過程,磚需要以下權限工作區項目和網絡項目。

Google許可	目的
`compute.networks.get`	驗證VPC網絡的存在。這是需要驗證customer-provided VPC網絡的網絡資源,這可能屬於一個項目工作區以外的項目。這個許可不要求如果工作區使用默認VPC,換句話說,如果它不使用customer-managed VPC。
`compute.projects.get`	獲得主機VPC網絡工程。這是需要驗證customer-provided VPC網絡的網絡資源,這可能屬於一個項目工作區以外的項目。這個許可不要求如果工作區使用默認VPC,換句話說,如果它不使用customer-managed VPC。
`compute.subnetworks.get`	驗證VPC網絡的子網。這是需要驗證customer-provided VPC網絡的網絡資源,這可能屬於一個項目工作區以外的項目。這個許可不要求如果工作區使用默認VPC,換句話說,如果它不使用customer-managed VPC。
`iam.roles.create`	創建自定義的角色。這是需要創建和管理一個自定義角色授予權限工作空間的服務帳戶。
`iam.roles.delete`	刪除自定義角色。這是需要創建和管理一個自定義角色授予權限工作空間的服務帳戶。
`iam.roles.get`	自定義的角色。這是需要創建和管理一個自定義角色授予權限工作空間的服務帳戶。
`iam.roles.update`	更新自定義角色。這是需要創建和管理一個自定義角色授予權限工作空間的服務帳戶。
`iam.serviceAccounts.getIamPolicy`	得到我的政策。這是授予和管理工作區服務帳戶所需的服務帳戶用戶角色穀歌雲計算引擎(GCE)服務帳戶啟動GKE集群。
`iam.serviceAccounts.setIamPolicy`	設置我的政策。這是授予和管理工作區服務帳戶所需的服務帳戶用戶角色穀歌雲計算引擎(GCE)服務帳戶啟動GKE集群。
`resourcemanager.projects.get`	得到一個項目從項目ID號碼。這是需要對工作區項目基本信息。
`resourcemanager.projects.getIamPolicy`	得到我的政策。這是需要授予權限工作區項目工作區服務帳戶。
`resourcemanager.projects.setIamPolicy`	設置我的政策。這是需要授予權限工作區項目工作區服務帳戶。
`serviceusage.services.get`	驗證客戶項目是否已經啟用所需的穀歌雲api。這需要使穀歌磚工作負載需要的雲服務。
`serviceusage.services.list`	驗證客戶項目是否已經啟用所需的穀歌雲api。這需要使穀歌磚工作負載需要的雲服務。
`serviceusage.services.enable`	啟用所需的穀歌雲api項目如果他們不是已經啟用。這需要使穀歌磚工作負載需要的雲服務。

權限自定義角色,磚資助服務帳戶

在創建一個工作區,磚創建一個服務帳戶和授予角色權限,磚需要管理您的工作區。這部分是指這個工作區服務帳戶。

如果您的工作區使用customer-managed VPC,它不需要盡可能多的權限。磚的角色創建省略了權限,如創建、更新和刪除對象(如網絡、路由器和子網。

除了表中的權限,以下預定義角色所需的工作區服務帳戶。

GKE管理角色:這是需要經營和管理客戶GKE上運行的工作負載。
GCE存儲管理角色:這是需要經營和管理穀歌計算引擎(GCE)與GKE相關的持久存儲。
磚的工作空間的作用:per-workspace定製角色授予額外的權限需要管理一個工作區。

下表列出了服務帳戶權限:

Google許可	目的
`compute.globalOperations.get`	Get操作數據的可視性GCE操作期間GCE中斷。這是需要管理GCE資源運行工作負載。
`compute.instanceGroups.get`	獲得GCE故障排除實例組。這是需要管理GCE資源運行工作負載。
`compute.instanceGroups.list`	GCE故障排除實例組列表。這是需要管理GCE資源運行工作負載。
`compute.instances.get`	得到計算實例。這是需要管理GCE資源運行工作負載。
`compute.instances.list`	列表計算GCE故障診斷的實例。這是需要管理GCE資源運行工作負載。
`compute.instances.setLabels`	設置標簽計算實例。這是需要管理GCE資源運行工作負載。
`compute.disks.get`	獲取磁盤。這是需要管理GCE資源運行工作負載。
`compute.disks.setLabels`	設置磁盤標簽。這是需要管理GCE資源運行工作負載。
`compute.networks.access`	管理網絡資源。這是需要管理GCE資源運行工作負載。
`compute.networks.create`	管理網絡資源。如果你使用一個customer-managed VPC,這個許可不在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。
`compute.networks.delete`	管理網絡資源。如果你使用一個customer-managed VPC,這個許可不在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。
`compute.networks.get`	管理網絡資源。這是需要管理GCE資源運行工作負載。
`compute.networks.getEffectiveFirewalls`	管理網絡資源。這是需要管理GCE資源運行工作負載。
`compute.networks.update`	管理網絡資源。如果你使用一個customer-managed VPC,這個許可不在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。
`compute.networks.updatePolicy`	管理網絡資源。如果你使用一個customer-managed VPC,這個許可不在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。
`compute.networks.use`	管理網絡資源。這是需要管理GCE資源運行工作負載。
`compute.networks.useExternalIp`	管理網絡資源。這是需要管理GCE資源運行工作負載。
`compute.regionOperations.get`	得到區域操作可視性穀歌計算引擎(GCE)操作期間GCE中斷。這是需要管理GKE集群工作負載運行。
`compute.routers.create`	管理網絡資源。如果你使用一個customer-managed VPC,這個許可不在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。
`compute.routers.delete`	管理網絡資源。如果你使用一個customer-managed VPC,這個許可不在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。
`compute.routers.get`	管理網絡資源。這是需要管理GCE資源運行工作負載。
`compute.routers.update`	管理網絡資源。如果你使用一個customer-managed VPC,這個許可不在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。
`compute.routers.use`	管理網絡資源。這是需要管理GCE資源運行工作負載。
`compute.subnetworks.create`	管理網絡資源。如果你使用一個customer-managed VPC,這個許可不在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。
`compute.subnetworks.delete`	管理網絡資源。如果你使用一個customer-managed VPC,這個許可不在自定義角色,磚資助服務帳戶。
`compute.subnetworks.expandIpCidrRange`	管理網絡資源。如果你使用一個customer-managed VPC,這個許可不在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。
`compute.subnetworks.get`	管理網絡資源。這是需要管理GCE資源運行工作負載。
`compute.subnetworks.getIamPolicy`	管理網絡資源。這是需要管理GCE資源運行工作負載。
`compute.subnetworks.setIamPolicy`	管理網絡資源。如果你使用一個customer-managed VPC,這個許可不在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。
`compute.subnetworks.setPrivateIpGoogleAccess`	管理網絡資源。如果你使用一個customer-managed VPC,這個許可不在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。
`compute.subnetworks.update`	管理網絡資源。如果你使用一個customer-managed VPC,這個許可不在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。
`compute.subnetworks.use`	管理網絡資源。這是需要管理GCE資源運行工作負載。
`compute.subnetworks.useExternalIp`	管理網絡資源。這是需要管理GCE資源運行工作負載。
`container.clusterRoleBindings.create`	創建集群角色綁定。這是需要管理GKE集群工作負載運行。
`container.clusterRoleBindings.get`	集群角色綁定。這是需要管理GKE集群工作負載運行。
`container.clusterRoles.bind`	結合集群角色綁定。這是需要管理GKE集群工作負載運行。
`container.clusterRoles.create`	創建集群的角色。這是需要管理GKE集群工作負載運行。
`container.clusterRoles.get`	集群的角色。這是需要管理GKE集群工作負載運行。
`container.clusters.create`	創建集群的角色。這是需要管理GKE集群工作負載運行。
`container.clusters.delete`	刪除集群的角色。這是需要管理GKE集群工作負載運行。
`container.clusters.get`	獲取集群。這是需要管理GKE集群工作負載運行。
`container.clusters.getCredentials`	集群的憑證。這是需要管理GKE集群工作負載運行。
`container.clusters.list`	集群列表。這是需要管理GKE集群工作負載運行。
`container.clusters.update`	更新集群。這是需要管理GKE集群工作負載運行。
`container.configMaps.create`	創建configMaps。這是需要管理GKE集群工作負載運行。
`container.configMaps.get`	得到configMaps。這是需要管理GKE集群工作負載運行。
`container.configMaps.update`	更新configMaps。這是需要管理GKE集群工作負載運行。
`container.customResourceDefinitions.create`	創建自定義的資源定義。這是需要管理GKE集群工作負載運行。
`container.customResourceDefinitions.get`	自定義資源定義。這是需要管理GKE集群工作負載運行。
`container.customResourceDefinitions.update`	更新自定義資源定義。這是需要管理GKE集群工作負載運行。
`container.daemonSets.create`	創建程序集。這是需要管理GKE集群工作負載運行。
`container.daemonSets.get`	守護程序集。這是需要管理GKE集群工作負載運行。
`container.daemonSets.update`	更新程序集。這是需要管理GKE集群工作負載運行。
`container.deployments.create`	創建部署。這是需要管理GKE集群工作負載運行。
`container.deployments.get`	得到部署。這是需要管理GKE集群工作負載運行。
`container.deployments.update`	更新部署。這是需要管理GKE集群工作負載運行。
`container.jobs.create`	創建工作。這是需要管理GKE集群工作負載運行。
`container.jobs.get`	得到工作。這是需要管理GKE集群工作負載運行。
`container.jobs.update`	更新工作。這是需要管理GKE集群工作負載運行。
`container.namespaces.create`	創建名稱空間。這是需要管理GKE集群工作負載運行。
`container.namespaces.get`	名稱空間。這是需要管理GKE集群工作負載運行。
`container.namespaces.list`	列表名稱空間。這是需要管理GKE集群工作負載運行。
`container.operations.get`	獲取操作。這是需要管理GKE集群工作負載運行。
`container.pods.get`	豆莢。這是需要管理GKE集群工作負載運行。
`container.pods.getLogs`	pod日誌。這是需要管理GKE集群工作負載運行。
`container.pods.list`	豆莢列表。這是需要管理GKE集群工作負載運行。
`container.roleBindings.create`	創建角色綁定。這是需要管理GKE集群工作負載運行。
`container.roleBindings.get`	角色綁定。這是需要管理GKE集群工作負載運行。
`container.roles.bind`	綁定的角色。這是需要管理GKE集群工作負載運行。
`container.roles.create`	創建角色。這是需要管理GKE集群工作負載運行。
`container.roles.get`	得到的角色。這是需要管理GKE集群工作負載運行。
`container.secrets.create`	創建的秘密。這是需要管理GKE集群工作負載運行。
`container.secrets.get`	得到一個秘密。這是需要管理GKE集群工作負載運行。
`container.secrets.update`	更新一個秘密。這是需要管理GKE集群工作負載運行。
`container.serviceAccounts.create`	創建一個服務帳戶。這是需要管理GKE集群工作負載運行。
`container.serviceAccounts.get`	服務帳戶。這是需要管理GKE集群工作負載運行。
`container.services.create`	創建一個服務。這是需要管理GKE集群工作負載運行。
`container.services.get`	得到服務。這是需要管理GKE集群工作負載運行。
`container.thirdPartyObjects.create`	創建一個第三方的對象。這是需要管理GKE集群工作負載運行。
`container.thirdPartyObjects.delete`	刪除第三方對象。這是需要管理GKE集群工作負載運行。
`container.thirdPartyObjects.get`	獲得一個第三方的對象。這是需要管理GKE集群工作負載運行。
`container.thirdPartyObjects.list`	第三方對象列表。這是需要管理GKE集群工作負載運行。
`container.thirdPartyObjects.update`	更新第三方對象。這是需要管理GKE集群工作負載運行。
`iam.serviceAccounts.getIamPolicy`	檢查服務帳戶或將其綁定到一個集群。這是需要配置GKE工作負載的身份一個集群的服務帳戶來訪問你的數據。
`iam.serviceAccounts.setIamPolicy`	檢查服務帳戶或將其綁定到一個集群。這是需要配置GKE工作負載的身份一個集群的服務帳戶來訪問你的數據。
`resourcemanager.projects.get`	客戶項目ID轉換為一個項目號碼。這是穀歌需要驗證項目狀態,無論是生活和工作空間等服務帳戶有足夠的權限。
`resourcemanager.projects.getIamPolicy`	檢查項目我政策是否正確配置。這是穀歌需要驗證項目狀態,無論是生活和工作空間等服務帳戶有足夠的權限。
`storage.buckets.create`	創建一個桶。這是需要創建和管理GCS桶DBFS、內部構件和日誌記錄。
`storage.buckets.delete`	刪除一個桶。這是需要創建和管理GCS桶DBFS、內部構件和日誌記錄。
`storage.buckets.get`	得到一桶。這是需要創建和管理GCS桶DBFS、內部構件和日誌記錄。
`storage.buckets.getIamPolicy`	獲取存儲我的政策。這是需要創建和管理GCS桶DBFS、內部構件和日誌記錄。
`storage.buckets.list`	桶列表。這是需要創建和管理GCS桶DBFS、內部構件和日誌記錄。
`storage.buckets.setIamPolicy`	設置存儲我的政策。這是需要創建和管理GCS桶DBFS、內部構件和日誌記錄。
`storage.buckets.update`	更新存儲我的政策。這是需要創建和管理GCS桶DBFS、內部構件和日誌記錄。
`storage.objects.create`	創建一個存儲對象。這是需要讀和寫DBFS對象、內部構件和日誌記錄。
`storage.objects.delete`	刪除存儲對象。這是需要讀和寫DBFS對象、內部構件和日誌記錄。
`storage.objects.get`	得到一個存儲對象。這是需要讀和寫DBFS對象、內部構件和日誌記錄。
`storage.objects.list`	存儲對象列表。這是需要讀和寫DBFS對象、內部構件和日誌記錄。
`storage.objects.update`	更新一個存儲對象。這是需要讀和寫DBFS對象、內部構件和日誌記錄。