IAM 角色

本主题介绍可用于配置 Assured Workloads 的 Identity and Access Management (IAM) 角色。角色可限制已经过身份验证的身份对资源的访问权限。请仅授予身份必要的权限,以便与适用的 Google Cloud API、功能或资源进行交互。

为了能够创建 Assured Workloads 环境,您必须获得以下任一具有该能力的角色以及 Cloud Billing 访问权限控制角色。您还必须具有有效的结算帐号。如需了解详情,请参阅 Cloud Billing 访问权限控制概览

所需的角色

以下是所需的最低 Assured Workloads 相关角色。如需了解如何使用 IAM 角色授予、更改或撤消对资源的访问权限,请参阅授予、更改和撤消对资源的访问权限

  • Assured Workloads Administrator:用于创建工作负载环境。
  • Resource Manager Organization Admin:拥有管理属于组织的所有资源的权限。

Assured Workloads 角色

以下是与 Assured Workloads 关联的 IAM 角色,并且介绍了如何使用 gcloud 命令行工具授予这些角色。如需了解如何在 Cloud Console 中或以编程方式授予这些角色,请参阅 IAM 文档中的授予、更改和撤消对资源的访问权限

ORGANIZATION_ID 占位符替换为实际组织标识符,并将 example@customer.org 替换为用户电子邮件地址。如需检索您的组织 ID,请参阅检索组织 ID

roles/assuredworkloads.admin

用于创建工作负载。授予读写权限。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

roles/assuredworkloads.editor

授予读写权限。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

roles/assuredworkloads.reader

用于获取和列出工作负载。授予只读权限。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

自定义角色

如果您想要定义自己的角色以包含您指定的一组权限,请使用自定义角色

Assured Workloads IAM 最佳实践

妥善保护 IAM 角色以遵循最小权限原则是 Google Cloud 安全性的最佳实践。该原则遵循以下规则:用户应仅有权访问其角色所需的产品、服务和应用。目前,用户在 Assured Workloads 环境之外部署产品和服务时,可以将范围外的服务与 Assured Workloads 项目搭配使用。

合规制度内的适用产品列表有助于指导安全管理员在创建自定义角色时,只允许用户访问 Assured Workloads 环境中的范围内产品。自定义角色有助于在 Assured Workloads 环境中满足合规性要求并保持合规状态。