Какие минимальные разрешения IAM требуются для бета-тестеров Google Action Assistant?

Я ожидаю публичного бета-тестирования моего бота Google Assistant, Google (документы и модальные ресурсы) заявляют, что соответствующие разрешения Google Cloud являются "Project Viewer", но это обеспечивает доступ только для чтения ко всей консоли Google Cloud (включая конфиденциальные электронные письма членов группы, IP-адреса, настройки безопасности и т. д.), которые не подходят для фазы открытого бета-тестирования.

Я не вижу никакой роли Google-Actions/Google-Assistant IAM, поэтому, поскольку роль "зрителя" работает, одно из 404 назначенных ей разрешений ( https://console.cloud.google.com/iam-admin/roles/details/roles+viewer?project=PROJECT_NAME) должны иметь отношение к обеспечению доступа к симулятору Google Assistant. Кто-нибудь знает, какие уместные / релевантные разрешения только для чтения?

В идеале, учитывая указанные разрешения, я мог бы создать собственную роль IAM для доступа к симулятору действий Google.

Изменить: я начал пытаться создать менее мощную роль "зрителя", создав собственную роль IAM на основе роли "зрителя" проекта, за исключением того, что все попытки легкого удаления доступа для чтения к конфиденциальным областям облака Google не увенчались успехом. Закончилось просто жить с этим нарушением конфиденциальности во время тестирования толпы ботов.