Diese Seite wurde von der Cloud Translation API übersetzt.

IAM-Rollen

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, die Sie für Folgendes verwenden können: Assured Workloads konfigurieren. Rollen schränken die Möglichkeiten eines Hauptkontos ein: auf Ressourcen zugreifen. Gewähren Sie einem Hauptkonto nur die Berechtigungen, die zum Ausführen mit anwendbaren APIs, Features oder Ressourcen von Google Cloud interagieren.

Damit Sie einen Assured Workloads-Ordner erstellen können, muss Ihnen Folgendes zugewiesen sein: eine der unten aufgeführten Rollen mit dieser Berechtigung sowie eine Cloud Billing-Ressource die Zugriffssteuerung. Sie müssen außerdem ein aktives, gültiges Rechnungskonto haben. Weitere Informationen finden Sie unter Übersicht über die Cloud Billing-Zugriffssteuerung.

Erforderliche Rollen

Im Folgenden sind die mindestens erforderlichen Assured Workloads-bezogenen Rollen aufgeführt. Bis erfahren Sie, wie Sie den Zugriff auf Ressourcen mit IAM-Rollen, siehe Zugriff auf Ressourcen erteilen, ändern und entziehen

Assured Workloads-Administrator (roles/assuredworkloads.admin): Zum Erstellen und Löschen von Assured Workloads-Ordnern.
Ressourcenmanager der Organisation (roles/resourcemanager.organizationViewer): Kann alle Ressourcen einer Organisation aufrufen.

Assured Workloads-Rollen

Im Folgenden sind die IAM-Rollen aufgeführt, die mit Assured Workloads verknüpft sind, und wie Sie diese Rollen über die Google Cloud-Befehlszeile zuweisen. Weitere Informationen zum Zuweisen dieser Rollen in der oder programmatisch, siehe Zugriff auf Ressourcen erteilen, ändern und entziehen in der IAM-Dokumentation.

Ersetzen Sie den Platzhalter ORGANIZATION_ID durch die tatsächliche Organisations-ID und example@customer.org durch die E-Mail-Adresse des Nutzers. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisations-ID abrufen.

`roles/assuredworkloads.admin`

Zum Erstellen und Löschen von Assured Workloads-Ordnern Lese-/Schreibzugriff zulassen Zugriff haben.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Ermöglicht Lese- und Schreibzugriff.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Zum Abrufen und Auflisten von Assured Workloads-Ordnern. Schreibgeschützt Zugriff haben.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Benutzerdefinierte Rollen

Wenn Sie eigene Rollen definieren möchten, die von Ihnen festgelegte Berechtigungen enthalten, verwenden Sie benutzerdefinierte Rollen.

IAM-Best Practices für Assured Workloads

IAM-Rollen richtig sichern Geringste Berechtigung ist ein Google Cloud-Sicherheitssystem Best Practice. Dieses Prinzip folgt der Regel, dass Nutzer nur Zugriff auf die Produkte, Dienste und Anwendungen haben sollten, die für ihre Rolle benötigt werden. Nutzer*innen sind derzeit nicht daran gehindert, Dienste, die nicht im Projektumfang enthalten sind, mit Assured Workloads-Projekte beim Bereitstellen von Produkten und Diensten außerhalb von eines Assured Workloads-Ordners aus.

Die Liste der im Projektumfang enthaltenen Produkte nach Kontrollpaket hilft Sicherheitsadministratoren dabei, benutzerdefinierte Rollen, die den Nutzerzugriff auf nur Produkte innerhalb des Assured Workloads-Ordners, die den Vorgaben entsprechen. Benutzerdefiniert können die Einhaltung und Aufrechterhaltung von Compliance innerhalb eines Assured Workloads-Ordner.