Berechtigungen konfigurieren

In diesem Thema wird beschrieben, wie Sie die Berechtigungen und Anmeldedaten konfigurieren, die zum Aufrufen der Cloud Asset Inventory API erforderlich sind.

Authentifizierung

Bevor Sie die Cloud Asset Inventory API aufrufen können, müssen Sie sich entweder als Endnutzer oder als Dienstkonto authentifizieren. Weitere Informationen zur Authentifizierung finden Sie unter Authentifizierung.

Erforderliche Berechtigungen für die gcloud CLI gewähren

Wenn Sie die gcloud CLI für den Zugriff auf die Cloud Asset Inventory API verwenden möchten, müssen Sie die erforderlichen Berechtigungen für das übergeordnete Element der Zielressource erteilen, das entweder eine Organisation, ein Projekt oder ein Ordner sein kann. Dieses übergeordnete Element müssen Sie im Feld parent Ihrer API-Anfragen angeben.

Wenn Ihr Konto die Cloud-Asset-Inhaberrolle (roles/cloudasset.owner) oder die einfache Inhaberrolle (roles/owner) für das übergeordnete Element der Ressource hat, verfügt es über ausreichende Berechtigungen, um die Cloud Asset Inventory-API aufzurufen, und Sie können zum Herunterladen der Anmeldeinformationen übergehen. Weitere Informationen zu Cloud Asset Inventory-Rollen finden Sie unter Rollen.

Rollen werden gewährt

Führen Sie die folgenden Schritte mit der Google Cloud CLI aus, um einem Konto eine Rolle zuzuweisen. gcloud CLI installieren und initialisieren

Nutzerkonto

Führen Sie die folgenden Schritte aus, um einem Nutzerkonto die erforderlichen Rollen zuzuweisen.

  1. Führen Sie den folgenden Befehl aus, um sich mit Ihrem Nutzerkonto anzumelden.

    gcloud auth login USER_ACCOUNT_EMAIL

  2. Weisen Sie Ihrem Nutzerkonto die Rolle „Cloud-Asset-Betrachter“ (roles/cloudasset.viewer) oder die Rolle „Cloud-Asset-Inhaber“ (roles/cloudasset.owner) für die Stammressource (übergeordnete Ressource) zu. Dies kann das Projekt sein, in dem die Cloud Asset Inventory API aktiviert ist.

    Führen Sie den folgenden Befehl aus, um Ihrem Nutzerkonto die Rolle „Cloud-Asset-Betrachter” zuzuweisen.

    gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \
    --member user:USER_ACCOUNT_EMAIL \
    --role roles/cloudasset.viewer

    Sie können dem Befehl gcloud asset das Flag --billing-project hinzufügen, um das Abrechnungsprojekt anzugeben, in dem die Cloud Asset Inventory API aktiviert ist.

    --billing-project PROJECT_ID

    Wenn Sie dieses Flag angeben, benötigt Ihr Konto die Berechtigung serviceusage.services.use für das Projekt PROJECT_ID. Unter Informationen zu Rollen finden Sie eine Liste der vordefinierten Rollen, die diese Berechtigung enthalten.

Dienstkonto

Führen Sie die folgenden Schritte aus, um einem Dienstkonto die erforderlichen Rollen zuzuweisen. Weitere Informationen zu Dienstkonten finden Sie unter Dienstkonten erstellen und verwalten.

  1. Führen Sie den folgenden Befehl aus, um ein neues Dienstkonto zu erstellen. Wenn Sie bereits ein Dienstkonto in einem Projekt haben, in dem die Cloud Asset Inventory API aktiviert ist, können Sie diesen Schritt überspringen.

    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
    --display-name "SERVICE_ACCOUNT_DISPLAY_NAME"

  2. Gewähren Sie Ihrem Dienstkonto die Rolle „Cloud-Asset-Betrachter” (roles/cloudasset.viewer) oder die Rolle „Cloud-Asset-Inhaber” (roles/cloudasset.owner) für die Stammressource (übergeordnet). Dieses Projekt kann mit dem Projekt identisch sein, in dem die Cloud Asset Inventory API aktiviert ist.

    Führen Sie den folgenden Befehl aus, um Ihrem Dienstkonto die Rolle „Cloud Asset Viewer“ zu gewähren.

    gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \
    --member serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --role roles/cloudasset.viewer