IAM 角色
本页面介绍了可用于配置 Assured Workloads 的 Identity and Access Management (IAM) 角色。角色可限制主账号对资源的访问权限。请仅向主帐号授予其与适用的 Google Cloud API、功能或资源进行交互所需的权限。
为了能够创建 Assured Workloads 文件夹,您必须具备下列具有相应能力的角色之一,以及 Cloud Billing 访问权限控制角色。您还必须具有有效的结算账号。如需了解详情,请参阅 Cloud Billing 访问权限控制概览。
所需的角色
以下是必需的最低 Assured Workloads 相关角色。如需了解如何使用 IAM 角色授予、更改或撤消对资源的访问权限,请参阅授予、更改和撤消对资源的访问权限。
- Assured Workloads Administrator (
roles/assuredworkloads.admin):用于创建和删除 Assured Workloads 文件夹。 - Resource Manager Organization Viewer (
roles/resourcemanager.organizationViewer):有权查看属于某个组织的所有资源。
Assured Workloads 角色
以下是与 Assured Workloads 关联的 IAM 角色,以及如何使用 Google Cloud CLI 授予这些角色。如需了解如何在 Google Cloud 控制台中或以编程方式授予这些角色,请参阅 IAM 文档中的授予、更改和撤消对资源的访问权限。
将 ORGANIZATION_ID 占位符替换为实际组织标识符,将 example@customer.org 替换为用户电子邮件地址。如需检索您的组织 ID,请参阅检索组织 ID。
roles/assuredworkloads.admin
用于创建和删除 Assured Workloads 文件夹。允许读写权限。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.admin"
roles/assuredworkloads.editor
授予读写权限。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.editor"
roles/assuredworkloads.reader
用于获取和列出 Assured Workloads 文件夹。允许只读访问。
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.reader"
自定义角色
如果您想要定义自己的角色以包含您指定的一组权限,请使用自定义角色。
Assured Workloads IAM 最佳实践
正确保护 IAM 角色以遵循最小权限是 Google Cloud 在安全性方面的最佳做法。此原则遵循的规则是用户只能访问其角色所需的产品、服务和应用。在 Assured Workloads 文件夹之外部署产品和服务时,用户目前无法将范围外的服务与 Assured Workloads 项目搭配使用。
控制软件包涵盖范围内的产品列表有助于安全管理员创建自定义角色,以限制用户对 Assured Workloads 文件夹中仅限范围内产品的访问权限。自定义角色能够帮助支持在 Assured Workloads 文件夹中获取合规性事宜并进行维护。