本文档介绍了 2026 年将添加到 Cloud Deploy 中的一项新必需权限(用于回滚)。
添加的内容
自 2026 年 9 月 15 日起,无论是通过Google Cloud 控制台还是 Google Cloud CLI 发起回滚,都将需要获取 clouddeploy.rollouts.rollback 权限。在此次变更之前,只需 clouddeploy.rollouts.create 权限。
此权限已存在,并且 roles/clouddeploy.releaser 和 roles/clouddeploy.operator 等 IAM 角色已包含此权限。但对于通过Google Cloud 控制台或 Google Cloud CLI 发起的回滚,目前尚无此要求。
我需要做什么?
与执行回滚相关的内置 Cloud Deploy 角色已拥有此权限。如果您仅为执行回滚的用户和服务账号授予内置角色,则无需执行任何操作。
如果您有用户或服务账号使用Google Cloud 控制台或 gcloud CLI 执行回滚,并且您为此目的向他们授予了自定义角色,则必须在 2026 年 9 月 15 日之前修改这些角色,以包含 clouddeploy.rollouts.rollback 权限。
查找需要更新的自定义角色
运行以下命令,查找组织中需要 clouddeploy.rollouts.rollback 权限的自定义角色:
项目级
此命令用于查找项目中需要 clouddeploy.rollouts.rollback 权限的自定义角色:
gcloud asset search-all-resources \
--scope=projects/PROJECT_ID \
--asset-types='iam.googleapis.com/Role' \
--filter="additionalAttributes.includedPermissions:clouddeploy.rollouts.create AND NOT additionalAttributes.includedPermissions:clouddeploy.rollouts.rollback" \
--format="table(name, additionalAttributes.includedPermissions)"
组织级层
此命令用于查找组织中在组织级层定义的需要 clouddeploy.rollouts.rollback 权限的自定义角色:
gcloud asset search-all-resources \
--scope=organizations/ORG_NUMBER \
--asset-types='iam.googleapis.com/Role' \
--filter="additionalAttributes.includedPermissions:clouddeploy.rollouts.create AND NOT additionalAttributes.includedPermissions:clouddeploy.rollouts.rollback" \
--format="table(name, additionalAttributes.includedPermissions)"
为角色添加权限
对于您发现需要添加新权限的每个自定义角色,请运行以下命令:
项目级
此命令会将 clouddeploy.rollouts.rollback 添加到项目级层定义的自定义角色:
gcloud iam roles update CUSTOM_ROLE_ID \
--project=PROJECT_ID \
--add-permissions=clouddeploy.rollouts.rollback
组织级层
此命令会将 clouddeploy.rollouts.rollback 添加到组织级层定义的自定义角色:
gcloud iam roles update CUSTOM_ROLE_ID \
--organization=ORG_NUMBER \
--add-permissions=clouddeploy.rollouts.rollback
如需了解详情,请参阅 IAM 角色和权限。