本文說明 2026 年 Cloud Deploy 將新增的回復作業必要權限。
新增內容
2026 年 9 月 15 日起,如要透過Google Cloud 控制台或 Google Cloud CLI 啟動復原作業,必須具備 clouddeploy.rollouts.rollback 權限。在這項異動前,只需要 clouddeploy.rollouts.create 權限。
這項權限已存在,且 roles/clouddeploy.releaser 和 roles/clouddeploy.operator 等 IAM 角色已包含這項權限。但透過Google Cloud 控制台或 Google Cloud CLI 啟動回溯作業時,目前還不需要這項權限。
我需要做些什麼?
內建的 Cloud Deploy 角色已具備這項權限,因此適用於執行回溯作業。如果您只為執行復原作業的使用者和服務帳戶授予內建角色,則無需採取任何行動。
如果使用者或服務帳戶是透過Google Cloud 控制台或 gcloud CLI 執行復原作業,且您為此授予自訂角色,請務必在 2026 年 9 月 15 日前編輯這些角色,加入 clouddeploy.rollouts.rollback 權限。
找出需要更新的自訂角色
執行下列指令,找出貴機構需要 clouddeploy.rollouts.rollback 權限的自訂角色:
專案層級
這項指令會找出專案中定義的自訂角色,並列出需要 clouddeploy.rollouts.rollback 權限的角色:
gcloud asset search-all-resources \
--scope=projects/PROJECT_ID \
--asset-types='iam.googleapis.com/Role' \
--filter="additionalAttributes.includedPermissions:clouddeploy.rollouts.create AND NOT additionalAttributes.includedPermissions:clouddeploy.rollouts.rollback" \
--format="table(name, additionalAttributes.includedPermissions)"
組織層級
這項指令會找出機構中定義於機構層級的自訂角色,這些角色需要 clouddeploy.rollouts.rollback 權限:
gcloud asset search-all-resources \
--scope=organizations/ORG_NUMBER \
--asset-types='iam.googleapis.com/Role' \
--filter="additionalAttributes.includedPermissions:clouddeploy.rollouts.create AND NOT additionalAttributes.includedPermissions:clouddeploy.rollouts.rollback" \
--format="table(name, additionalAttributes.includedPermissions)"
將權限新增至角色
針對每個需要新增權限的自訂角色,執行下列指令:
專案層級
這個指令會將 clouddeploy.rollouts.rollback 新增至專案層級定義的自訂角色:
gcloud iam roles update CUSTOM_ROLE_ID \
--project=PROJECT_ID \
--add-permissions=clouddeploy.rollouts.rollback
組織層級
這項指令會將 clouddeploy.rollouts.rollback 新增至機構層級定義的自訂角色:
gcloud iam roles update CUSTOM_ROLE_ID \
--organization=ORG_NUMBER \
--add-permissions=clouddeploy.rollouts.rollback
詳情請參閱「身分與存取權管理角色和權限」。