谷歌云网络管理与网络用户权限差距的澄清

Question

也许是个愚蠢的问题，但我无法摆脱它。在Google中，共享VPC支持主要角色:共享VPC管理和服务项目管理。此外，最好定义一个网络管理来管理主机项目中的网络：

共享VPC中的IAM角色

在我看来，令人难以理解的是，尽管谷歌声明：

重要：“网络管理”角色不包括“网络用户”角色中的所有权限。仅具有Network角色的IAM >成员没有权限在>其共享VPC网络中使用主机项目或子网。

当我查看网络管理与网络用户的单一权限时，请访问：

计算引擎角色

我不认为在子网中创建VM的权限与网络管理员不包含的权限有关，而网络用户的权限则不包含！显然，在我看来，网络管理包含了网络用户所做的更多内容。有什么想法吗？

Answer 1

如果您查看所链接的计算引擎角色，则需要compute.instances.create创建VM的特定权限。因此，如果用户只将Network作为角色，他们可以创建和管理与网络相关的资源，但不能创建VM，因此他们需要另一个允许他们这样做的角色。

另外，虽然网络管理员似乎拥有更多的权限，但网络用户拥有的一些权限是网络管理员没有的。

希望这能回答你的问题。

Answer 2

Network角色提供权限:仅列出可用的防火墙规则。