IAM-Rollen

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) beschrieben, mit denen Sie Assured Workloads konfigurieren können. Rollen schränken die Fähigkeit eines Hauptkontos ein, auf Ressourcen zuzugreifen. Gewähren Sie einem Hauptkonto nur die Berechtigungen, die es für die Interaktion mit den entsprechenden APIs, Features oder Ressourcen von Google Cloud benötigt.

Zum Erstellen eines Assured Workloads-Ordners muss Ihnen eine der unten aufgeführten Rollen mit dieser Funktion sowie eine Cloud Billing-Zugriffssteuerungsrolle zugewiesen werden. Sie müssen außerdem ein aktives, gültiges Rechnungskonto haben. Weitere Informationen finden Sie unter Übersicht über die Cloud Billing-Zugriffssteuerung.

Erforderliche Rollen

Im Folgenden sind die mindestens erforderlichen Assured Workloads-bezogenen Rollen aufgeführt. Informationen zum Gewähren, Ändern oder Widerrufen des Zugriffs auf Ressourcen mithilfe von IAM-Rollen finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Assured Workloads-Administrator (roles/assuredworkloads.admin): Zum Erstellen und Löschen von Assured Workloads-Ordnern.
Ressourcenmanager der Organisation (roles/resourcemanager.organizationViewer): Kann alle Ressourcen einer Organisation aufrufen.

Assured Workloads-Rollen

Im Folgenden sind die IAM-Rollen aufgeführt, die mit Assured Workloads verknüpft sind, und wie Sie diese Rollen über die Google Cloud-Befehlszeile zuweisen. Informationen zum Zuweisen dieser Rollen in der Google Cloud Console oder programmatisch finden Sie in der IAM-Dokumentation unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Ersetzen Sie den Platzhalter ORGANIZATION_ID durch die tatsächliche Organisationskennung und example@customer.org durch die E-Mail-Adresse des Nutzers. Informationen zum Abrufen Ihrer Organisations-ID finden Sie unter Organisations-ID abrufen.

`roles/assuredworkloads.admin`

Zum Erstellen und Löschen von Assured Workloads-Ordnern. Lese-/Schreibzugriff.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Ermöglicht Lese- und Schreibzugriff.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Zum Abrufen und Auflisten von Assured Workloads-Ordnern. Lesezugriff.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Benutzerdefinierte Rollen

Wenn Sie eigene Rollen definieren möchten, die von Ihnen festgelegte Berechtigungen enthalten, verwenden Sie benutzerdefinierte Rollen.

IAM-Best Practices für Assured Workloads

IAM-Rollen entsprechend der geringsten Berechtigung zu sichern, ist eine Best Practice für die Google Cloud-Sicherheit. Dieses Prinzip folgt der Regel, dass Nutzer nur Zugriff auf die Produkte, Dienste und Anwendungen haben sollten, die für ihre Rolle erforderlich sind. Nutzer können derzeit Dienste, die nicht im Umfang enthalten sind, in Assured Workloads-Projekten nicht verwenden, wenn sie Produkte und Dienste außerhalb eines Assured Workloads-Ordners bereitstellen.

In der Liste der unter die Vorgaben fallenden Produkte nach Steuerungspaket können Sicherheitsadministratoren beim Erstellen von benutzerdefinierten Rollen, die den Nutzerzugriff auf Produkte innerhalb des Assured Workloads-Ordners beschränken, den Nutzerzugriff beschränken. Benutzerdefinierte Rollen können Sie beim Abrufen und Verwalten von Compliance in einem Assured Workloads-Ordner unterstützen.