Auf dieser Seite sind die vom Certificate Manager benötigten Berechtigungen und die Rollen der Identitäts- und Zugriffsverwaltung aufgeführt, die sie umfassen.
Berechtigungen
In diesem Abschnitt sind die Berechtigungen aufgeführt, die zum Ausführen bestimmter Vorgänge im Zertifikatsmanager erforderlich sind.
| Vorgang und Methode | Ressource | Berechtigung |
|---|---|---|
Zertifikat erstellencertificates.create |
Zertifikate | certificatemanager.certs.create für das Google Cloud-Zielprojekt.
Bei Verwendung einer DNS-Autorisierung ist außerdem certificatemanager.dnsauthorizations.use für jede zugehörige DNS-Autorisierung erforderlich. |
Zertifikate auflistencertificates.list |
Zertifikate | certificatemanager.certs.list für das Ziel-Google Cloud-Projekt |
Zertifikat abrufencertificates.get |
Zertifikate | certificatemanager.certs.get für das Zielzertifikat |
Zertifikat aktualisierencertificates.patch |
Zertifikate | certificatemanager.certs.update für das Zielzertifikat |
| Zertifikat an eine Ressource anhängen | Zertifikate | certificatemanager.certs.use für das Zielzertifikat |
Zertifikat löschencertificates.delete |
Zertifikate | certificatemanager.certs.delete für das Zielzertifikat |
Zertifikatzuordnung erstellencertificateMaps.create |
Zertifikatszuordnungen | certificatemanager.certmaps.create für das Ziel-Google Cloud-Projekt |
Zertifikatszuordnungen auflistencertificateMaps.list |
Zertifikatszuordnungen | certificatemanager.certmaps.list für das Ziel-Google Cloud-Projekt |
Zertifikatszuordnung abrufencertificateMaps.get |
Zertifikatszuordnungen | certificatemanager.certmaps.get für die Zielzertifikatszuordnung |
Zertifikatzuordnung aktualisierencertificateMaps.patch |
Zertifikatszuordnungen | certificatemanager.certmaps.update für die Zielzertifikatszuordnung |
| Zertifikatszuordnung an eine Ressource anhängen | Zertifikatszuordnungen | certificatemanager.certmaps.use für die Zielzertifikatszuordnung |
Zertifikatszuordnung löschencertificateMaps.delete |
Zertifikatszuordnungen | certificatemanager.certmaps.delete für die Zielzertifikatszuordnung |
Zertifikatszuordnungseintrag erstellencertificateMaps.certificateMapEntries.create |
Zertifikatszuordnungseinträge | certificatemanager.certmapentries.create in der Ziel-Zertifikatszuordnung und certificatemanager.certs.use in jedem zugehörigen Zertifikat. |
Zertifikatzuordnungseinträge auflistencertificateMaps.certificateMapEntries.list |
Zertifikatszuordnungseinträge | certificatemanager.certmapentries.list für die Zielzertifikatszuordnung |
Zertifikatszuordnungseintrag abrufencertificateMaps.certificateMapEntries.get |
Zertifikatszuordnungseinträge | certificatemanager.certmapentries.get für den Zieleintrag der Zertifikatszuordnung |
Zertifikatszuordnungseintrag aktualisierencertificateMaps.certificateMapEntries.patch |
Zertifikatszuordnungseinträge | certificatemanager.certmapentries.update im Eintrag der Ziel-Zertifikatszuordnung und certificatemanager.certs.use in jedem zugehörigen Zertifikat. |
Zertifikatzuordnungseintrag löschencertificateMaps.certificateMapEntries.delete |
Zertifikatszuordnungseinträge | certificatemanager.certmapentries.delete für den Zieleintrag der Zertifikatszuordnung |
DNS-Autorisierung erstellendnsAuthorizations.create |
DNS-Autorisierungen | certificatemanager.dnsauthorizations.create für das Ziel-Google Cloud-Projekt |
DNS-Autorisierungen auflistendnsAuthorizations.list |
DNS-Autorisierungen | certificatemanager.dnsauthorizations.list für das Ziel-Google Cloud-Projekt |
DNS-Autorisierung abrufendnsAuthorizations.get |
DNS-Autorisierungen | certificatemanager.dnsauthorizations.get für die Ziel-DNS-Autorisierung |
DNS-Autorisierung aktualisierendnsAuthorizations.patch |
DNS-Autorisierungen | certificatemanager.dnsauthorizations.update für die Ziel-DNS-Autorisierung |
DNS-Autorisierung löschendnsAuthorizations.delete |
DNS-Autorisierungen | certificatemanager.dnsauthorizations.delete für die Ziel-DNS-Autorisierung |
Konfiguration der Zertifikatsausstellung erstellencertificateIssuanceConfigs.create |
Konfigurationen von Zertifikatsausstellungen | certificatemanager.certissuanceconfigs.create für das Ziel-Google Cloud-Projekt |
Konfigurationen der Zertifikatsausstellung auflistencertificateIssuanceConfigs.list |
Konfigurationen von Zertifikatsausstellungen | certificatemanager.certissuanceconfigs.list für das Ziel-Google Cloud-Projekt |
Konfiguration der Zertifikatsausstellung abrufencertificateIssuanceConfigs.get |
Konfigurationen von Zertifikatsausstellungen | certificatemanager.certissuanceconfigs.get für die Zielkonfiguration der Zertifikatsausstellung |
Konfiguration der Zertifikatsausstellung löschencertificateIssuanceConfigs.delete |
Konfigurationen von Zertifikatsausstellungen | certificatemanager.certissuanceconfigs.delete für die Zielkonfiguration der Zertifikatsausstellung |
Vertrauenskonfiguration erstellentrustConfigs.create |
Konfigurationen von Vertrauensstellungen | certificatemanager.trustconfigs.create für das Ziel-Google Cloud-Projekt |
Konfigurationen der Vertrauensstellung auflistentrustConfigs.list |
Konfigurationen von Vertrauensstellungen | certificatemanager.trustconfigs.list für das Ziel-Google Cloud-Projekt |
Vertrauensstellungs-Konfiguration aktualisierentrustConfigs.patch |
Konfigurationen von Vertrauensstellungen | certificatemanager.trustconfigs.update für die Zielkonfiguration der Vertrauensstellung |
Status einer Konfiguration der Vertrauensstellung abrufentrustConfigs.get |
Konfigurationen von Vertrauensstellungen | certificatemanager.trustconfigs.get für die Zielkonfiguration der Vertrauensstellung |
| Vertrauenskonfiguration an eine Ressource anhängen | Konfigurationen von Vertrauensstellungen | certificatemanager.trustconfigs.use für die Zielkonfiguration der Vertrauensstellung |
Konfiguration der Vertrauensstellung löschentrustConfigs.delete |
Konfigurationen von Vertrauensstellungen | certificatemanager.trustconfigs.delete für die Zielkonfiguration der Vertrauensstellung |
Externen Kontoschlüssel erstellenexternalAccountKeys.create |
Externe Kontoschlüssel | publicca.externalAccountKeys.create für das Ziel-Google Cloud-Projekt |
Rollen
In diesem Abschnitt werden die IAM-Rollen aufgeführt, die Berechtigungen für Certificate Manager umfassen.
Zertifikatmanager-Rollen für Google Cloud-Projekte
In der folgenden Tabelle sind die Google Cloud-Projektrollen und die von ihnen umfassten Berechtigungen für den Zertifikatsmanager aufgeführt.
| Role | Permissions |
|---|---|
Certificate Manager Editor( Edit access to Certificate Manager all resources. |
|
Certificate Manager Owner( Full access to Certificate Manager all resources. |
|
Certificate Manager Viewer( Read-only access to Certificate Manager all resources. |
|
Rollen für öffentliche Zertifizierungsstellen für Google Cloud-Projekte
Die folgenden Rollen und die von ihnen umfassten Berechtigungen sind speziell für die Ausführung von Public-CA-Vorgängen erforderlich:
| Rolle | Berechtigungen |
|---|---|
| Externer Kontoschlüssel-Ersteller für öffentliche Zertifizierungsstellen ( roles/publicca.externalAccountKeyCreator)
Erstellen Sie Zugriff für Ressourcen des externen Schlüsselkontos der Public CA. |
resourcemanager.projects.get resourcemanager.projects.list publicca.externalAccountKeys.create |
Benutzerdefinierte Rollen
MitGoogle Cloud können Sie auch benutzerdefinierte Rollen erstellen, die Berechtigungen umfassen, die speziell auf Ihre Geschäftsanforderungen zugeschnitten sind, z. B. das Prinzip der geringsten Berechtigung. Eine Anleitung finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.
Nächste Schritte
- Zertifikat in den Zertifikatmanager migrieren
- Zertifikate verwalten
- Zertifikatzuordnungen verwalten
- Zertifikatzuordnungseinträge verwalten
- DNS-Autorisierungen verwalten