Администратор облачной сети Google против сетевого разрешения для пользователей

Question

Может быть, глупый вопрос, но я не могу от него избавиться. В Google Cloud Shared VP C поддерживает, среди прочего, основные роли: Shared VP C Admin и Service Project Admin. Кроме того, желательно определить администратора сети для администрирования сетей в хост-проекте:

Роли IAM в Shared VP C

Что мне сложно понять, так это что в то время как Google заявляет:

Важно: роль администратора сети не включает все разрешения в роли пользователя сети. Члены IAM>, имеющие только роль администратора сети, не имеют права использовать хост-проект или подсети в> его общих сетях VP C.

, когда я смотрю на отдельные разрешения администратора сети против Пользователь сети по адресу:

Роли вычислительного механизма

Я не вижу, какое разрешение имеет отношение к созданию виртуальных машин в Su bnet, который администратор сети НЕ содержит, тогда как Пользователь Сети делает! По-видимому, мне кажется, что Сетевой администратор содержит гораздо больше того, что делает Сетевой пользователь. Есть идеи?

Answer 1

Если вы посмотрите на роли вычислительного движка, которые вы связали, укажите разрешение c, которое вам понадобится compute.instances.create для создания виртуальных машин вообще. Поэтому, если у пользователя есть роль сетевого администратора в качестве роли, он может создавать и управлять сетевыми ресурсами, но не может создавать виртуальные машины, поэтому ему потребуется другая роль, которая позволяет ему это делать.

Кроме того, хотя кажется, что сетевой администратор имеет больше разрешений для всех, есть несколько разрешений, которые есть у сетевого пользователя, а у сетевого администратора нет.

Надеюсь, что ответит на ваш вопрос.