Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

IAM-Rollen

In diesem Thema werden die IAM-Rollen (Identity and Access Management) beschrieben, mit denen Sie Assured Workloads konfigurieren können. Rollen beschränken die Fähigkeit eines Hauptkontos, auf Ressourcen zuzugreifen. Gewähren Sie einem Hauptkonto nur die Berechtigungen, die für die Interaktion mit anwendbaren Google Cloud APIs, Features oder Ressourcen erforderlich sind.

Wenn Sie eine Assured Workloads-Umgebung erstellen möchten, benötigen Sie eine der unten aufgeführten Rollen, die diese Möglichkeit bieten, sowie eine Cloud Billing-Zugriffssteuerungsrolle. Sie müssen außerdem ein aktives, gültiges Rechnungskonto haben. Weitere Informationen finden Sie unter Übersicht über die Cloud Billing-Zugriffssteuerung.

Erforderliche Rollen

Im Folgenden sind die mindestens erforderlichen Assured Workloads-bezogenen Rollen aufgeführt. Informationen zum Gewähren, Ändern oder Entziehen des Zugriffs auf Ressourcen mit IAM-Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

  • Assured Workloads-Administrator (roles/assuredworkloads.admin): Zum Erstellen und Löschen von Arbeitslastumgebungen.
  • Ressourcenmanager (roles/resourcemanager.organizationViewer): Zugriff zum Ansehen aller Ressourcen einer Organisation.

Assured Workloads-Rollen

Im Folgenden finden Sie die IAM-Rollen, die mit Assured Workloads verknüpft sind, und wie Sie diese Rollen über die Google Cloud CLI zuweisen. Informationen zum Zuweisen dieser Rollen in der Google Cloud Console oder programmgesteuert finden Sie in der IAM-Dokumentation unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Ersetzen Sie den Platzhalter ORGANIZATION_ID durch die tatsächliche Organisations-ID und example@customer.org durch die E-Mail-Adresse des Nutzers. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisations-ID abrufen.

roles/assuredworkloads.admin

Zum Erstellen und Löschen von Arbeitslasten. Ermöglicht Lese- und Schreibzugriff.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

roles/assuredworkloads.editor

Ermöglicht Lese- und Schreibzugriff.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

roles/assuredworkloads.reader

Zum Abrufen und Auflisten von Arbeitslasten. Ermöglicht schreibgeschützten Zugriff.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Benutzerdefinierte Rollen

Wenn Sie eigene Rollen definieren möchten, die von Ihnen festgelegte Berechtigungen enthalten, verwenden Sie benutzerdefinierte Rollen.

IAM-Best Practices für Assured Workloads

Die ordnungsgemäße Sicherung von IAM-Rollen zur Einhaltung des Prinzips der geringsten Berechtigung ist eine Best Practice für die Sicherheit von Google Cloud. Dieses Prinzip folgt der Regel, dass Nutzer nur Zugriff auf die Produkte, Dienste und Anwendungen haben sollten, die für ihre Rolle benötigt werden. Nutzer werden derzeit nicht daran gehindert, bei Assured Workloads-Projekten Dienste außerhalb des Geltungsbereichs zu verwenden, wenn sie Produkte und Dienste außerhalb der Assured Workloads-Umgebung bereitstellen.

Die Liste der Produkte innerhalb des Geltungsbereichs nach Compliance-Regelung unterstützt Sicherheitsadministratoren beim Erstellen von benutzerdefinierten Rollen, die den Nutzerzugriff in der Assured Workloads-Umgebung auf Produkte innerhalb des Geltungsbereichs beschränken. Mit benutzerdefinierten Rollen können Sie die Compliance in einer Assured Workloads-Umgebung herstellen und aufrechterhalten.