IAM für Bare-Metal-Lösung konfigurieren

Wenn Sie möchten, dass ein Hauptkonto, z. B. ein Google Cloud-Projektnutzer oder -Dienstkonto, Zugriff auf die Ressourcen in Ihrer Bare-Metal-Lösungsumgebung erhält, müssen Sie ihm die entsprechenden Rollen und Berechtigungen gewähren. Um Zugriff zu gewähren, können Sie eine IAM-Richtlinie (Identity and Access Management) erstellen und vordefinierte Rollen speziell für die Bare-Metal-Lösung zuweisen.

Gewähren Sie Rollen mit ausreichenden Berechtigungen, damit Ihre Hauptkonten ihre Aufgabe erfüllen können, aber nicht mehr, damit Sie das Google Cloud-Sicherheitsprinzip der geringsten Berechtigung befolgen können.

Vordefinierte Rollen für die Bare-Metal-Lösung

Jede IAM-Rolle für die Bare-Metal-Lösung enthält Berechtigungen, die dem Hauptkonto Zugriff auf bestimmte Ressourcen gewähren, wie in der folgenden Tabelle dargestellt.

Rollenname Pfad Beschreibung
Administrator von Bare-Metal-Lösungen roles/baremetalsolution.admin
(Die einfache Rolle „Inhaber“ hat ebenfalls diese Berechtigungen.)
Uneingeschränkte Kontrolle über alle aktuellen und zukünftigen Bare-Metal-Lösungsressourcen. Diese Rolle erhält Lese- und Schreibberechtigungen auf Projektebene.
Bearbeiter von Bare-Metal-Lösungen roles/baremetalsolution.editor
(Die einfache Rolle „Bearbeiter“ hat ebenfalls diese Berechtigungen.)
Bearbeiter für alle aktuellen und zukünftigen Bare Metal Solution-Ressourcen. Diese Rolle erhält Lese- und Schreibberechtigungen auf Projektebene.
Betrachter von Bare-Metal-Lösungen roles/baremetalsolution.viewer
(Die einfache Rolle „Betrachter“ hat ebenfalls diese Berechtigungen.)
Betrachter für alle aktuellen und zukünftigen Bare Metal Solution-Ressourcen. Diese Rolle erhält Leseberechtigungen auf Projektebene.
Administrator von Bare-Metal-Lösungsinstanzen roles/baremetalsolution.instancesadmin Administrator für Bare-Metal-Lösungsserver.
Bearbeiter von Instanzen von Bare-Metal-Lösungen roles/baremetalsolution.instanceseditor Bearbeiter von Bare-Metal-Lösungsservern. Diese Rolle erhält Berechtigungen zum Monitoring und Verwalten von Servern.
Betrachter von Bare-Metal-Lösungsinstanzen roles/baremetalsolution.instancesviewer Betrachter von Bare-Metal-Lösungsservern. Diese Rolle erhält schreibgeschützte Berechtigungen zum Aufrufen von Servern.
Storage-Administrator von Bare-Metal-Lösungen roles/baremetalsolution.storageadmin Administrator für Bare-Metal-Lösungsspeicherressourcen, einschließlich Volumes, LUNs, Snapshots und Richtlinien für den Snapshot-Zeitplan.
Bearbeiter von Speichern von Bare-Metal-Lösungen roles/baremetalsolution.storageeditor Bearbeiter von Bare-Metal-Lösungsspeicherressourcen, einschließlich Volumes, LUNs, Snapshots und Richtlinien für den Snapshot-Zeitplan. Diese Rolle erhält Berechtigungen zum Monitoring und Verwalten des Speichers.
Betrachter von Speichern von Bare-Metal-Lösungen roles/baremetalsolution.storageviewer Betrachter von Bare-Metal-Lösungsspeicherressourcen, einschließlich Volumes, LUNs, Snapshots und Richtlinien für den Snapshot-Zeitplan. Diese Rolle erhält schreibgeschützte Berechtigungen zum Abrufen des Speichers.
Bare Metal Solution-Netzwerkadministrator roles/baremetalsolution.networksadmin Administrator von Volume-Ressourcen von Bare-Metal-Lösungen.
Netzwerkbearbeiter von Bare-Metal-Lösungen roles/baremetalsolution.networkseditor Bearbeiter von Neztwerkressourcen von Bare-Metal-Lösungen. Diese Rolle erhält Berechtigungen zum Monitoring und Verwalten von Netzwerken.
Betrachter von Bare Metal-Lösungsnetzwerken roles/baremetalsolution.networksviewer Betrachter von Netzwerkressourcen von Bare-Metal-Lösungen. Diese Rolle erhält schreibgeschützte Berechtigungen zum Aufrufen von Netzwerken.
Administrator für NFS-Freigaben von Bare-Metal-Lösungen roles/baremetalsolution.nfssharesadmin Administrator für NFS-Ressourcen von Bare-Metal-Lösungen.
Bearbeiter von NFS-Freigaben für Bare-Metal-Lösungen roles/baremetalsolution.nfsshareseditor Bearbeiter von NFS-Ressourcen von Bare-Metal-Lösungen Diese Rolle erhält Berechtigungen zum Überwachen und Verwalten des NFS-Dateispeichers.
Betrachter von NFS-Freigaben für Bare-Metal-Lösungen roles/baremetalsolution.nfssharesviewer Betrachter von NFS-Ressourcen von Bare-Metal-Lösungen Diese Rolle erhält schreibgeschützte Berechtigungen zum Anzeigen des NFS-Dateispeichers.

Für die oben genannten Rollen wird empfohlen, sie so anzuwenden:

  • Aufnahmeformular ausfüllen

    • Bare Metal Solution-Rollen: Administrator, Bearbeiter oder Instanzadministrator UND Compute-Netzwerkbetrachter
    • Einfache Rollen: Inhaber oder Bearbeiter
  • Server der Bare-Metal-Lösung neu starten

    • Bare-Metal-Lösungsrollen: Administrator oder Bearbeiter
    • Einfache Rollen: Inhaber oder Bearbeiter
  • Server auflisten oder Status anfragen

    • Bare-Metal-Lösungsrollen: Betrachter oder Instanzbetrachter
    • Einfache Rolle: Betrachter
  • Speicherkomponenten verwalten

    • Bare-Metal-Lösung-Rollen: Administrator, Bearbeiter oder Speicheradministrator
    • Einfache Rollen: Inhaber oder Bearbeiter
  • Netzwerkkomponenten verwalten

    • Bare-Metal-Lösung-Rollen: Administrator, Bearbeiter oder Netzwerkadministrator
    • Einfache Rollen: Inhaber oder Bearbeiter

Eine vollständige Liste der Rollen für Bare-Metal-Lösung finden Sie unter Vordefinierte Rollen. Geben Sie in das Suchfeld baremetalsolution. ein.

Eine vollständige Liste der Berechtigungen für Bare-Metal-Lösung finden Sie unter Berechtigung suchen. Geben Sie dabei baremetalsolution. in das Suchfeld ein.

IAM-Rolle erteilen

Fügen Sie eine IAM-Richtlinie hinzu, um einem Hauptkonto eine Rolle der Bare-Metal-Lösung zuzuweisen. Die Rolle enthält Berechtigungen, mit denen das Hauptkonto bestimmte Aktionen ausführen kann. So weisen Sie eine Rolle zu:

Console

  1. Achten Sie darauf, dass Sie eine Rolle mit den entsprechenden IAM-Berechtigungen haben, um anderen Rollen zuzuweisen, z. B. Inhaber, Projekt-IAM-Administrator oder Sicherheitsadministrator. Weitere Informationen zu dieser Anforderung finden Sie unter Erforderliche Rollen.

  2. Rufen Sie in der Google Cloud Console die Seite „IAM-Berechtigungen“ auf.

    IAM aufrufen

  3. Klicken Sie auf Zugriff erlauben.

  4. Geben Sie die folgenden Informationen ein:

    • Geben Sie unter Hauptkonten hinzufügen Ihre Nutzer ein. Sie können einzelne Nutzer, Google-Gruppen, Dienstkonten oder Google Workspace-Domains hinzufügen.

    • Wählen Sie unter Rollen zuweisen eine Rolle aus dem Menü Rolle auswählen aus, um den Hauptkonten diese Rolle zuzuweisen.

    • Klicken Sie auf Weitere Rolle hinzufügen, wenn Sie Ihren Hauptkonten mehrere Rollen zuweisen müssen.

    • Klicken Sie auf Speichern.

    Ihre Hauptkonten und die ihnen zugewiesenen Rollen werden auf der Statusseite IAM-Berechtigungen angezeigt.

gcloud

  1. Achten Sie darauf, dass Sie eine Rolle mit den entsprechenden IAM-Berechtigungen haben, um anderen Rollen zuzuweisen, z. B. Inhaber, Projekt-IAM-Administrator oder Sicherheitsadministrator. Weitere Informationen zu dieser Anforderung finden Sie unter Erforderliche Rollen.

  2. Öffnen Sie in Ihrem Google Cloud-Projekt ein Cloud Shell-Fenster.

  3. Fügen Sie Ihre Google Cloud-Projekt-ID, die E-Mail-Adresse für das Google Cloud-Konto des Hauptkontos und den gewünschten Rollenpfad der Bare-Metal-Lösung in den folgenden Befehl ein:

    gcloud projects add-iam-policy-binding PROJECT_ID \
     --member=user:username@example.com \
     --role=roles/baremetalsolution.admin
     

  4. Kopieren Sie den Befehl und fügen Sie ihn in Ihr Cloud Shell-Fenster ein.

  5. Drücken Sie die Eingabe- bzw. Returntaste.

  6. In einigen Fällen wird das Fenster Cloud Shell autorisieren geöffnet, in dem Sie den API-Aufruf zulassen. Wenn Sie diese Option sehen, klicken Sie auf Autorisieren.

  7. Wenn Sie die Befehle eingegeben haben, sieht die Ausgabe so aus:

    Updated IAM policy for project [PROJECT_ID].
      bindings:
      - members:
       - user:username@example.com
       role: roles/baremetalsolution.admin
      - members:
       - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com
       role: roles/compute.serviceAgent
      - members:
       - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com
       - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com
       role: roles/editor
      - members:
       - user:username@example.com
       role: roles/owner
      etag: ETAG_NUMBER
      version: 1
     

Weitere Informationen zu IAM finden Sie unter Identity and Access Management.