Google cloud platform 谷歌云网络管理员与网络用户权限差距澄清

也许是个愚蠢的问题，但我无法摆脱它。 在谷歌云中，共享VPC支持以下主要角色：共享VPC管理员和服务项目管理员。此外，建议定义网络管理员来管理主机项目中的网络：

我很难理解的是，虽然谷歌表示：

重要提示：网络管理员角色不包括网络用户角色中的所有权限。IAM>仅具有网络管理员角色的成员无权在其共享VPC网络中使用主机项目或子网

当我查看网络管理员与网络用户的单一权限时：

---

我看不出与在网络管理员不包含而网络用户包含的子网中创建VM相关的权限！显然，在我看来，网络管理员包含的内容比网络用户所做的要多得多。有什么想法吗？

如果您查看链接的计算引擎角色，您需要compute.instances.create来创建VM的特定权限。因此，如果用户只是将网络管理员作为一个角色，那么他们可以创建和管理与网络相关的资源，但不能创建VM，因此他们需要另一个允许他们这样做的角色

此外，尽管看起来网络管理员拥有更多的权限，但网络用户有一些权限，而网络管理员没有

---

希望这能回答您的问题。

谢谢您的回答。NetworkUser中缺少您提到的compute.instances.create权限。根据谷歌的说法，网络用户应该能够创建虚拟机。这正是我的问题；除非我找错了来源。两个角色都没有该权限。网络用户应该能够使用网络/资源，而不是真正创建网络/资源。您在哪里看到它应该有实例。创建？好的，但这并不奇怪吗？GCP中的任何IAM角色都有一个关联权限列表（角色只是一组权限）。所以我想知道“网络用户只是应该能够使用网络/资源，而不是真正创建它们”。我相信你，但我看不出与IAM角色的一般概念一致。当然，我应该分析一个角色，检查相关的权限列表，以了解它能做什么和不能做什么。你知道我的意思吗？好的，我知道你现在看到的。“例如，网络用户可以创建属于主机项目网络的VM实例”这有点误导，因为用户本身没有权限。我想他们的意思是，如果用户确实拥有另一个角色的权限，他们将能够使用来自主机项目的共享VPC，并在这些网络上创建VM。它的措辞可能会更好。似乎用户没有管理员没有的权限。我已经向谷歌申请更新他们的文件。