IAM für Bare-Metal-Lösung konfigurieren
Wenn Sie möchten, dass ein Hauptkonto, z. B. ein Google Cloud-Projektnutzer oder -Dienstkonto, Zugriff auf die Ressourcen in Ihrer Bare-Metal-Lösungsumgebung erhält, müssen Sie ihm die entsprechenden Rollen und Berechtigungen gewähren. Um Zugriff zu gewähren, können Sie eine IAM-Richtlinie (Identity and Access Management) erstellen und vordefinierte Rollen speziell für die Bare-Metal-Lösung zuweisen.
Gewähren Sie Rollen mit ausreichenden Berechtigungen, damit Ihre Hauptkonten ihre Aufgabe erfüllen können, aber nicht mehr, damit Sie das Google Cloud-Sicherheitsprinzip der geringsten Berechtigung befolgen können.
Vordefinierte Rollen für die Bare-Metal-Lösung
Jede IAM-Rolle für die Bare-Metal-Lösung enthält Berechtigungen, die dem Hauptkonto Zugriff auf bestimmte Ressourcen gewähren, wie in der folgenden Tabelle dargestellt.
Rollenname | Pfad | Beschreibung |
---|---|---|
Administrator von Bare-Metal-Lösungen | roles/baremetalsolution.admin (Die einfache Rolle „Inhaber“ hat ebenfalls diese Berechtigungen.) |
Uneingeschränkte Kontrolle über alle aktuellen und zukünftigen Bare-Metal-Lösungsressourcen. Diese Rolle erhält Lese- und Schreibberechtigungen auf Projektebene. |
Bearbeiter von Bare-Metal-Lösungen | roles/baremetalsolution.editor (Die einfache Rolle „Bearbeiter“ hat ebenfalls diese Berechtigungen.) |
Bearbeiter für alle aktuellen und zukünftigen Bare Metal Solution-Ressourcen. Diese Rolle erhält Lese- und Schreibberechtigungen auf Projektebene. |
Betrachter von Bare-Metal-Lösungen | roles/baremetalsolution.viewer (Die einfache Rolle „Betrachter“ hat ebenfalls diese Berechtigungen.) |
Betrachter für alle aktuellen und zukünftigen Bare Metal Solution-Ressourcen. Diese Rolle erhält Leseberechtigungen auf Projektebene. |
Administrator von Bare-Metal-Lösungsinstanzen | roles/baremetalsolution.instancesadmin |
Administrator für Bare-Metal-Lösungsserver. |
Bearbeiter von Instanzen von Bare-Metal-Lösungen | roles/baremetalsolution.instanceseditor |
Bearbeiter von Bare-Metal-Lösungsservern. Diese Rolle erhält Berechtigungen zum Monitoring und Verwalten von Servern. |
Betrachter von Bare-Metal-Lösungsinstanzen | roles/baremetalsolution.instancesviewer |
Betrachter von Bare-Metal-Lösungsservern. Diese Rolle erhält schreibgeschützte Berechtigungen zum Aufrufen von Servern. |
Storage-Administrator von Bare-Metal-Lösungen | roles/baremetalsolution.storageadmin |
Administrator für Bare-Metal-Lösungsspeicherressourcen, einschließlich Volumes, LUNs, Snapshots und Richtlinien für den Snapshot-Zeitplan. |
Bearbeiter von Speichern von Bare-Metal-Lösungen | roles/baremetalsolution.storageeditor |
Bearbeiter von Bare-Metal-Lösungsspeicherressourcen, einschließlich Volumes, LUNs, Snapshots und Richtlinien für den Snapshot-Zeitplan. Diese Rolle erhält Berechtigungen zum Monitoring und Verwalten des Speichers. |
Betrachter von Speichern von Bare-Metal-Lösungen | roles/baremetalsolution.storageviewer |
Betrachter von Bare-Metal-Lösungsspeicherressourcen, einschließlich Volumes, LUNs, Snapshots und Richtlinien für den Snapshot-Zeitplan. Diese Rolle erhält schreibgeschützte Berechtigungen zum Abrufen des Speichers. |
Bare Metal Solution-Netzwerkadministrator | roles/baremetalsolution.networksadmin |
Administrator von Volume-Ressourcen von Bare-Metal-Lösungen. |
Netzwerkbearbeiter von Bare-Metal-Lösungen | roles/baremetalsolution.networkseditor |
Bearbeiter von Neztwerkressourcen von Bare-Metal-Lösungen. Diese Rolle erhält Berechtigungen zum Monitoring und Verwalten von Netzwerken. |
Betrachter von Bare Metal-Lösungsnetzwerken | roles/baremetalsolution.networksviewer |
Betrachter von Netzwerkressourcen von Bare-Metal-Lösungen. Diese Rolle erhält schreibgeschützte Berechtigungen zum Aufrufen von Netzwerken. |
Administrator für NFS-Freigaben von Bare-Metal-Lösungen | roles/baremetalsolution.nfssharesadmin |
Administrator für NFS-Ressourcen von Bare-Metal-Lösungen. |
Bearbeiter von NFS-Freigaben für Bare-Metal-Lösungen | roles/baremetalsolution.nfsshareseditor |
Bearbeiter von NFS-Ressourcen von Bare-Metal-Lösungen Diese Rolle erhält Berechtigungen zum Überwachen und Verwalten des NFS-Dateispeichers. |
Betrachter von NFS-Freigaben für Bare-Metal-Lösungen | roles/baremetalsolution.nfssharesviewer |
Betrachter von NFS-Ressourcen von Bare-Metal-Lösungen Diese Rolle erhält schreibgeschützte Berechtigungen zum Anzeigen des NFS-Dateispeichers. |
Für die oben genannten Rollen wird empfohlen, sie so anzuwenden:
Aufnahmeformular ausfüllen
- Bare Metal Solution-Rollen: Administrator, Bearbeiter oder Instanzadministrator UND Compute-Netzwerkbetrachter
- Einfache Rollen: Inhaber oder Bearbeiter
Server der Bare-Metal-Lösung neu starten
- Bare-Metal-Lösungsrollen: Administrator oder Bearbeiter
- Einfache Rollen: Inhaber oder Bearbeiter
Server auflisten oder Status anfragen
- Bare-Metal-Lösungsrollen: Betrachter oder Instanzbetrachter
- Einfache Rolle: Betrachter
Speicherkomponenten verwalten
- Bare-Metal-Lösung-Rollen: Administrator, Bearbeiter oder Speicheradministrator
- Einfache Rollen: Inhaber oder Bearbeiter
Netzwerkkomponenten verwalten
- Bare-Metal-Lösung-Rollen: Administrator, Bearbeiter oder Netzwerkadministrator
- Einfache Rollen: Inhaber oder Bearbeiter
Eine vollständige Liste der Rollen für Bare-Metal-Lösung finden Sie unter Vordefinierte Rollen. Geben Sie in das Suchfeld baremetalsolution.
ein.
Eine vollständige Liste der Berechtigungen für Bare-Metal-Lösung finden Sie unter Berechtigung suchen. Geben Sie dabei baremetalsolution.
in das Suchfeld ein.
IAM-Rolle erteilen
Fügen Sie eine IAM-Richtlinie hinzu, um einem Hauptkonto eine Rolle der Bare-Metal-Lösung zuzuweisen. Die Rolle enthält Berechtigungen, mit denen das Hauptkonto bestimmte Aktionen ausführen kann. So weisen Sie eine Rolle zu:
Console
Achten Sie darauf, dass Sie eine Rolle mit den entsprechenden IAM-Berechtigungen haben, um anderen Rollen zuzuweisen, z. B. Inhaber, Projekt-IAM-Administrator oder Sicherheitsadministrator. Weitere Informationen zu dieser Anforderung finden Sie unter Erforderliche Rollen.
Rufen Sie in der Google Cloud Console die Seite „IAM-Berechtigungen“ auf.
Klicken Sie auf Zugriff erlauben.
Geben Sie die folgenden Informationen ein:
Geben Sie unter Hauptkonten hinzufügen Ihre Nutzer ein. Sie können einzelne Nutzer, Google-Gruppen, Dienstkonten oder Google Workspace-Domains hinzufügen.
Wählen Sie unter Rollen zuweisen eine Rolle aus dem Menü Rolle auswählen aus, um den Hauptkonten diese Rolle zuzuweisen.
Klicken Sie auf
Weitere Rolle hinzufügen, wenn Sie Ihren Hauptkonten mehrere Rollen zuweisen müssen.Klicken Sie auf Speichern.
Ihre Hauptkonten und die ihnen zugewiesenen Rollen werden auf der Statusseite IAM-Berechtigungen angezeigt.
gcloud
Achten Sie darauf, dass Sie eine Rolle mit den entsprechenden IAM-Berechtigungen haben, um anderen Rollen zuzuweisen, z. B. Inhaber, Projekt-IAM-Administrator oder Sicherheitsadministrator. Weitere Informationen zu dieser Anforderung finden Sie unter Erforderliche Rollen.
Öffnen Sie in Ihrem Google Cloud-Projekt ein Cloud Shell-Fenster.
Fügen Sie Ihre Google Cloud-Projekt-ID, die E-Mail-Adresse für das Google Cloud-Konto des Hauptkontos und den gewünschten Rollenpfad der Bare-Metal-Lösung in den folgenden Befehl ein:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:username@example.com \ --role=roles/baremetalsolution.admin
Kopieren Sie den Befehl und fügen Sie ihn in Ihr Cloud Shell-Fenster ein.
Drücken Sie die Eingabe- bzw. Returntaste.
In einigen Fällen wird das Fenster Cloud Shell autorisieren geöffnet, in dem Sie den API-Aufruf zulassen. Wenn Sie diese Option sehen, klicken Sie auf Autorisieren.
Wenn Sie die Befehle eingegeben haben, sieht die Ausgabe so aus:
Updated IAM policy for project [PROJECT_ID]. bindings: - members: - user:username@example.com role: roles/baremetalsolution.admin - members: - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com role: roles/compute.serviceAgent - members: - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com role: roles/editor - members: - user:username@example.com role: roles/owner etag: ETAG_NUMBER version: 1
Weitere Informationen zu IAM finden Sie unter Identity and Access Management.