IAM 角色

本页介绍可用于配置 Assured Workloads 的 Identity and Access Management (IAM) 角色。角色可限制主账号执行以下操作的权限 访问资源。请仅向主账号授予执行以下操作所需的权限 与适用的 Google Cloud API、功能或资源交互。

为了能够创建 Assured Workloads 文件夹,您必须被指定为 以及 Cloud Billing 访问权限控制角色您还必须具有有效的结算账号。对于 请参阅 Cloud Billing 访问权限控制概览

所需的角色

以下是必需的最低 Assured Workloads 相关角色。接收者 了解如何授予、更改或撤消对资源的访问权限, 有关 IAM 角色的信息,请参阅 授予、更改和撤消对资源的访问权限

  • Assured Workloads Administrator (roles/assuredworkloads.admin):用于创建和删除 Assured Workloads 文件夹。
  • Resource Manager Organization Viewer (roles/resourcemanager.organizationViewer):有权查看属于某个组织的所有资源。

Assured Workloads 角色

以下是与 Assured Workloads 关联的 IAM 角色,以及如何使用 Google Cloud CLI 授予这些角色。要了解如何在 或以编程方式 Google Cloud 控制台,请参阅 授予、更改和撤消对资源的访问权限

ORGANIZATION_ID 占位符替换为实际组织标识符,并将 example@customer.org 替换为用户电子邮件地址。如需检索您的组织 ID,请参阅检索组织 ID

roles/assuredworkloads.admin

用于创建和删除 Assured Workloads 文件夹。允许读写 访问权限。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

roles/assuredworkloads.editor

授予读写权限。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

roles/assuredworkloads.reader

用于获取和列出 Assured Workloads 文件夹。允许只读 访问权限。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

自定义角色

如果您想要定义自己的角色以包含您指定的一组权限,请使用自定义角色

Assured Workloads IAM 最佳实践

妥善保护 IAM 角色以遵循最小权限原则是 Google Cloud 安全性的最佳实践。该原则遵循以下规则:用户应仅有权访问其角色所需的产品、服务和应用。目前,用户在 Assured Workloads 文件夹之外部署产品和服务时,可以将范围外的服务与 Assured Workloads 项目搭配使用。

按控制包划分的适用产品列表有助于指导安全管理员在创建自定义角色时,只允许用户访问 Assured Workloads 文件夹中的范围内产品。自定义角色有助于在 Assured Workloads 文件夹中满足合规性要求并保持合规状态。