Diese Seite wurde von der Cloud Translation API übersetzt.

IAM-Rollen

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, mit denen Sie Assured Workloads konfigurieren können. Rollen schränken die Fähigkeit eines Hauptkontos ein, auf Ressourcen zuzugreifen. Gewähren Sie einem Hauptkonto nur die Berechtigungen, die für die Interaktion mit den erforderlichen APIs, Features oder Ressourcen von Google Cloud erforderlich sind.

Wenn Sie einen Assured Workloads-Ordner erstellen möchten, benötigen Sie eine der unten aufgeführten Rollen, die diese Möglichkeit bieten, sowie eine Cloud Billing-Zugriffssteuerungsrolle. Sie müssen außerdem ein aktives, gültiges Rechnungskonto haben. Weitere Informationen finden Sie unter Übersicht über die Cloud Billing-Zugriffssteuerung.

Erforderliche Rollen

Im Folgenden sind die mindestens erforderlichen Assured Workloads-bezogenen Rollen aufgeführt. Informationen zum Gewähren, Ändern oder Entziehen des Zugriffs auf Ressourcen mit IAM-Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Assured Workloads-Administrator (roles/assuredworkloads.admin): Zum Erstellen und Löschen von Assured Workloads-Ordnern.
Ressourcenmanager der Organisation (roles/resourcemanager.organizationViewer): Kann alle Ressourcen einer Organisation aufrufen.

Assured Workloads-Rollen

Im Folgenden sind die IAM-Rollen aufgeführt, die mit Assured Workloads verknüpft sind, und wie Sie diese Rollen über die Google Cloud-Befehlszeile zuweisen. Informationen zum Zuweisen dieser Rollen in derGoogle Cloud -Console oder auf programmatische Weise finden Sie in der IAM-Dokumentation unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Ersetzen Sie den Platzhalter ORGANIZATION_ID durch die tatsächliche Organisations-ID und example@customer.org durch die E-Mail-Adresse des Nutzers. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisations-ID abrufen.

`roles/assuredworkloads.admin`

Zum Erstellen und Löschen von Assured Workloads-Ordnern Ermöglicht Lese- und Schreibzugriff.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Ermöglicht Lese- und Schreibzugriff.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Zum Abrufen und Auflisten von Assured Workloads-Ordnern. Ermöglicht Lesezugriff.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Benutzerdefinierte Rollen

Wenn Sie eigene Rollen definieren möchten, die von Ihnen festgelegte Berechtigungen enthalten, verwenden Sie benutzerdefinierte Rollen.

IAM-Best Practices für Assured Workloads

Die ordnungsgemäße Sicherung von IAM-Rollen zur Einhaltung des Prinzips der geringsten Berechtigung ist eine Best Practice für die Sicherheit von Google Cloud . Dieses Prinzip folgt der Regel, dass Nutzer nur Zugriff auf die Produkte, Dienste und Anwendungen haben sollten, die für ihre Rolle benötigt werden. Nutzer werden derzeit nicht daran gehindert, bei Assured Workloads-Projekten Dienste außerhalb des Geltungsbereichs zu verwenden, wenn sie Produkte und Dienste außerhalb eines Assured Workloads-Ordners bereitstellen.

Die Liste der Produkte innerhalb des Geltungsbereichs nach Kontrollpaket unterstützt Sicherheitsadministratoren beim Erstellen von benutzerdefinierten Rollen, die den Nutzerzugriff im Assured Workloads-Ordner auf Produkte innerhalb des Geltungsbereichs beschränken. Mit benutzerdefinierten Rollen können Sie die Compliance in einem Assured Workloads-Ordner herstellen und aufrechterhalten.