Wenn Sie ein neues Mitglied in Ihr Projekt aufnehmen, können Sie diesem Mitglied mithilfe einer Richtlinie für die Identitäts- und Zugriffsverwaltung (IAM) eine oder mehrere IAM-Rollen zuweisen. Jede IAM-Rolle enthält Berechtigungen, die dem Mitglied Zugriff auf bestimmte Ressourcen gewähren.
Compute Engine bietet eine Reihe vordefinierter IAM-Rollen. Diese werden auf dieser Seite beschrieben. Sie können auch benutzerdefinierte Rollen erstellen, die Teilmengen von Berechtigungen enthalten, die sich direkt Ihren Anforderungen zuordnen lassen.
Informationen zu den für die einzelnen Methoden erforderlichen Berechtigungen finden Sie in der Referenzdokumentation zur Compute Engine API:
Informationen zum Gewähren des Zugriffs finden Sie auf den folgenden Seiten.
- Informationen zum Festlegen von IAM-Richtlinien auf Projektebene finden Sie in der IAM-Dokumentation unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
- Informationen zum Festlegen von Richtlinien für bestimmte Compute Engine-Ressourcen finden Sie unter Zugriff auf Compute Engine-Ressourcen gewähren.
- Informationen zum Zuweisen von Rollen zu einem Compute Engine-Dienstkonto finden Sie unter Dienstkonten für Instanzen erstellen und aktivieren.
Hinweis
- Lesen Sie die IAM-Dokumentation.
Was ist IAM?
Google Cloud bietet mit der Identitäts- und Zugriffsverwaltung, abgekürzt IAM (für Identity and Access Management), die Möglichkeit, den Zugriff auf einzelne Google Cloud-Ressourcen präzise zu steuern und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Durch IAM können Sie das Prinzip der geringsten Berechtigung anwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen gewähren.
Durch das Festlegen von IAM-Richtlinien können Sie steuern, wer (Identität) welche (Rollen) Berechtigungen für welche Ressourcen hat. Anhand von IAM-Richtlinien werden einem Projektmitglied bestimmte Rollen zugewiesen, mit denen wiederum bestimmte Berechtigungen verknüpft sind. Für eine bestimmte Ressource, z. B. ein Projekt, können Sie einem Google-Konto die Rolle roles/compute.networkAdmin
zuweisen. Dieses Konto kann netzwerkbezogene Ressourcen im Projekt steuern, aber keine anderen Ressourcen wie Instanzen und Laufwerke verwalten. Mit IAM können Sie auch die Legacy-Rollen der Cloud Console verwalten, die Projektteammitgliedern gewährt wurden.
Rolle "serviceAccountUser"
Wird diese Rolle zusammen mit roles/compute.instanceAdmin.v1
erteilt, können Mitglieder durch roles/iam.serviceAccountUser
Instanzen erstellen und verwalten, für die ein Dienstkonto verwendet wird. Wenn Sie die Rollen roles/iam.serviceAccountUser
und roles/compute.instanceAdmin.v1
zusammen erteilen, erhalten die Mitglieder die folgenden Berechtigungen:
- Instanz erstellen, die als Dienstkonto ausgeführt wird.
- Nichtflüchtigen Speicher zu einer Instanz hinzufügen, die als Dienstkonto ausgeführt wird.
- Instanzmetadaten für eine Instanz festlegen, die als Dienstkonto ausgeführt wird.
- SSH verwenden, um eine Verbindung zu einer Instanz herzustellen, die als Dienstkonto ausgeführt wird.
- Instanz neu konfigurieren, sodass sie als Dienstkonto ausgeführt wird.
roles/iam.serviceAccountUser
kann auf zwei Arten zugewiesen werden:
Empfohlen. Weisen Sie einem Mitglied die Rolle für ein bestimmtes Dienstkonto zu. So erhält ein Mitglied Zugriff auf das Dienstkonto, für das er ein
iam.serviceAccountUser
ist. Der Zugriff auf andere Dienstkonten, für die das Mitglied keiniam.serviceAccountUser
ist, wird hingegen verhindert.Gewähren Sie einem Mitglied die Rolle auf Projektebene. Das Mitglied kann auf alle Dienstkonten in dem Projekt zugreifen, darunter auch Dienstkonten, die erst zukünftig erstellt werden.
Weitere Informationen zu Dienstkonten.
Berechtigung für Google Cloud Console
Wenn Sie über die Google Cloud Console auf Compute Engine-Ressourcen zugreifen möchten, müssen Sie eine Rolle haben, die die folgende Berechtigung für das Projekt umfasst:
compute.projects.get
Als "instanceAdmin" eine Verbindung zu einer Instanz herstellen
Nachdem Sie einem Projektmitglied die Rolle roles/compute.instanceAdmin.v1
zugewiesen haben, kann es über standardmäßige Google Cloud-Tools wie das gcloud
-Tool oder SSH über den Browser Verbindungen zu VM-Instanzen herstellen.
Wenn ein Mitglied das gcloud
-Tool oder SSH über den Browser verwendet, generieren die Tools automatisch ein Paar aus öffentlichem und privatem Schlüssel und fügen den öffentlichen Schlüssel den Projektmetadaten hinzu. Wenn das Mitglied nicht berechtigt ist, Projektmetadaten zu bearbeiten, fügt das Tool stattdessen den öffentlichen Schlüssel des Mitglieds den Instanzmetadaten hinzu.
Verfügt das Mitglied bereits über ein Schlüsselpaar, das es verwenden möchte, kann es seinen öffentlichen Schlüssel manuell den Instanzmetadaten hinzufügen. Weitere Informationen zum Hinzufügen oder Entfernen von SSH-Schlüsseln aus einer Instanz
IAM mit Dienstkonten
Durch die Erstellung neuer benutzerdefinierter Dienstkonten und die Zuweisung von IAM-Rollen zu Dienstkonten haben Sie die Möglichkeit, den Zugriff auf Ihre Instanzen zu beschränken. Wenn Sie IAM-Rollen mit benutzerdefinierten Dienstkonten verwenden, können Sie Folgendes tun:
- Mithilfe detaillierter IAM-Rollen den Zugriff Ihrer Instanzen auf Google Cloud APIs beschränken
- Jeder Instanz oder jeder Gruppe von Instanzen eine eindeutige Identität verleihen
- Den Zugriff auf Ihr Standarddienstkonto beschränken
Hier erfahren Sie mehr über Dienstkonten.
Verwaltete Instanzgruppen und IAM
Verwaltete Instanzgruppen sind Ressourcen, die ohne direkte Nutzerinteraktion Vorgänge in Ihrem Namen ausführen. Dies gilt insbesondere, wenn sie so konfiguriert sind, dass sie automatisch skaliert werden. Verwaltete Instanzgruppen verwenden eine Dienstkontoidentität, um Instanzen in der Instanzgruppe zu erstellen, zu löschen und zu verwalten. Weitere Informationen finden Sie in der Dokumentation zu verwalteten Instanzgruppen und IAM.
Nicht unterstützte Vorgänge
Sie können keinen Zugriff gewähren, um mit IAM-Rollen Rolling Updates für Instanzgruppen auszuführen.
Verwenden Sie die umfassenderen Rollen "Inhaber", "Bearbeiter" oder "Betrachter", um die Berechtigung zur Ausführung dieser Vorgänge zu gewähren.
Vordefinierte Compute Engine-Rollen
Bei IAM erfordert jede API-Methode in der Compute Engine API, dass die Identität, die die API-Anfrage stellt, die entsprechenden Berechtigungen zur Verwendung der Ressource hat. Berechtigungen werden durch Festlegen von Richtlinien erteilt, die einem Mitglied (Nutzer, Gruppe oder Dienstkonto) Ihres Projekts Rollen zuweisen.
Neben den einfachen Rollen (Betrachter, Bearbeiter und Inhaber) und benutzerdefinierten Rollen können Sie den Mitgliedern Ihres Projekts die unten beschriebenen vordefinierten Compute Engine-Rollen zuweisen.
Sie können einem Projektmitglied mehrere Rollen für dieselbe Ressource zuweisen. Wenn Ihr Netzwerkteam z. B. auch Firewallregeln verwaltet, können Sie der Google-Gruppe des Netzwerkteams sowohl roles/compute.networkAdmin
als auch roles/compute.securityAdmin
gewähren.
In den folgenden Tabellen werden die vordefinierten IAM-Rollen von Compute Engine sowie die in den einzelnen Rollen enthaltenen Berechtigungen beschrieben. Jede Rolle enthält eine Reihe von Berechtigungen, die für eine bestimmte Aufgabe geeignet sind. Durch die Instanzadministrator-Rollen werden beispielsweise Berechtigungen zum Verwalten von Instanzen gewährt, die netzwerkbezogenen Rollen gewähren Berechtigungen zum Verwalten von netzwerkbezogenen Ressourcen und die Sicherheitsrolle gewährt Berechtigungen zum Verwalten von sicherheitsbezogenen Ressourcen wie Firewalls und SSL-Zertifikaten.
Rolle "Compute-Administrator"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Vollständige Kontrolle über alle Compute Engine-Ressourcen. Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle |
|
Rolle "Compute Image-Nutzer"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Berechtigung zum Auflisten und Lesen von Images ohne weitere Berechtigungen für das jeweilige Image. Wenn Sie diese Rolle auf Projektebene zuweisen, können Nutzer alle Images im Projekt auflisten sowie Ressourcen wie Instanzen und nichtflüchtige Speicher anhand der Images im Projekt erstellen. |
|
Rolle "Compute-Instanzadministrator" (Beta)
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Berechtigungen zur Erstellung, Änderung und Löschung von VM-Instanzen. Dazu gehören auch Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken sowie zum Konfigurieren der Einstellungen für Shielded VMBETA. Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle Wenn ein Mitarbeiter in Ihrem Unternehmen beispielsweise VM-Instanzgruppen, aber keine Netzwerk- oder Sicherheitseinstellungen und keine als Dienstkonto ausgeführten Instanzen verwaltet, können Sie diese Rolle der Organisation, dem Ordner oder dem Projekt mit den Instanzen oder den Instanzen selbst zuweisen. |
|
Rolle "Compute-Instanzadministrator" (v1)
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Vollständige Kontrolle über Compute Engine-Instanzen, Instanzgruppen, Laufwerke, Snapshots und Images. Lesezugriff auf alle Compute Engine-Netzwerkressourcen. Wenn Sie diese Rolle einem Nutzer nur auf Instanzebene gewähren, kann er keine neuen Instanzen erstellen. |
|
Rolle "Administrator für Compute-Load-Balancer"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
Beta |
Berechtigungen zum Erstellen, Ändern und Löschen von Load-Balancern und zugehörigen Ressourcen. Wenn Ihr Unternehmen beispielsweise ein Load-Balancing-Team hat, das Load-Balancer, SSL-Zertifikate für Load-Balancer, SSL-Richtlinien und andere Load-Balancing-Ressourcen verwaltet, sowie ein separates Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie diese Rolle der Gruppe des Load-Balancing-Teams zu. |
|
Rolle "Compute-Netzwerkadministrator"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Berechtigungen zum Erstellen, Ändern und Löschen von Netzwerkressourcen mit Ausnahme von Firewallregeln und SSL-Zertifikaten. Die Rolle "Netzwerkadministrator" gewährt Lesezugriff auf Firewallregeln, SSL-Zertifikate und Instanzen für den Aufruf der zugehörigen sitzungsspezifischen IP-Adressen. Mit der Rolle "Netzwerkadministrator" können Nutzer keine Instanzen erstellen, starten, beenden oder löschen. Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie dieser Gruppe die Rolle des Netzwerkteams zu. |
|
Rolle "Compute-Netzwerknutzer"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Zugriff auf ein freigegebenes VPC-Netzwerk. Nach der Zugriffserteilung können Dienstinhaber VPC-Netzwerke und Subnetze verwenden, die zum Hostprojekt gehören. Beispielsweise hat ein Netzwerknutzer die Möglichkeit, eine VM-Instanz zu erstellen, die zu einem Netzwerk des Hostprojekts gehört. Er kann aber im Hostprojekt keine neuen Netzwerke löschen oder erstellen. |
|
Rolle "Compute-Netzwerkbetrachter"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Lesezugriff auf alle Netzwerkressourcen Wenn Sie beispielsweise Software haben, die Ihre Netzwerkkonfiguration überprüft, können Sie diese Rolle dem Dienstkonto dieser Software zuweisen. |
|
Rolle „Administrator von Compute-Firewall-Richtlinien für die Organisation”
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Vollständige Kontrolle über Compute Engine-Firewall-Richtlinien für die Organisation. |
|
Rolle „Nutzer von Compute-Firewall-Richtlinien für die Organisation”
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Aufruf oder Nutzung von Compute Engine-Firewall-Richtlinien zur Verknüpfung mit der Organisation oder Ordnern. |
|
Rolle "Administrator von Compute-Sicherheitsrichtlinien für die Organisation"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Vollständige Kontrolle über Sicherheitsrichtlinien der Organisation in Compute Engine |
|
Rolle "Nutzer von Compute-Sicherheitsrichtlinien für die Organisation"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Aufruf oder Nutzung von Compute Engine-Sicherheitsrichtlinien zur Verknüpfung mit der Organisation oder Ordnern. |
|
Rolle "Administrator für Compute-Organisationsressourcen"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Vollständige Kontrolle über Verknüpfungen von Compute Engine-Sicherheitsrichtlinien mit der Organisation oder Ordnern. |
|
Rolle "Compute OS-Administrator-Login"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Berechtigung zur Anmeldung bei einer Compute Engine-Instanz als Administrator. |
|
Rolle "Compute OS-Log-in"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Berechtigung zur Anmeldung bei einer Compute Engine-Instanz als Standardnutzer. |
|
Rolle "Externer Nutzer von Compute OS-Log-in"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Nur auf Organisationsebene verfügbar. Ermöglicht den Zugriff für einen externen Nutzer, um die OS-Login-Informationen der Organisation festzulegen. Diese Rolle berechtigt nicht zum Zugriff auf Instanzen. Externen Nutzern muss eine der erforderlichen OS Login-Rollen zugewiesen werden, damit auf Instanzen mit SSH zugegriffen werden kann. |
|
Rolle "Administrator der Compute-Paketspiegelung"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Geben Sie die zu spiegelnden Ressourcen an. |
|
Rolle "Nutzer der Compute-Paketspiegelung"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Verwenden Sie Compute Engine-Paketspiegelungen. |
|
Rolle "Compute Public-IP-Administrator"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
Beta |
Vollständige Kontrolle über die Verwaltung öffentlicher IP-Adressen für Compute Engine. |
|
Rolle "Compute-Sicherheitsadministrator"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Berechtigungen zum Erstellen, Ändern und Löschen von Firewallregeln und SSL-Zertifikaten sowie zum Konfigurieren der Einstellungen von Shielded VMBETA Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie der Gruppe des Sicherheitsteams diese Rolle zu. |
|
Rolle "Compute Storage-Administrator"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken, Images und Snapshots. Wenn in Ihrem Unternehmen beispielsweise ein Mitarbeiter Projekt-Images verwaltet, und Sie nicht möchten, dass diese Person die Bearbeiterrolle für das Projekt hat, weisen Sie diese Rolle ihrem Konto für das Projekt zu. |
|
Rolle "Compute-Betrachter"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Lesezugriff zum Abrufen und Auflisten von Compute Engine-Ressourcen, aber ohne die Möglichkeit, die darin gespeicherten Daten zu lesen. Ein Konto mit dieser Rolle kann beispielsweise zwar alle Laufwerke in einem Projekt inventarisieren, aber keine Daten auf diesen Laufwerken lesen. |
|
Rolle "Administrator für freigegebene Compute-VPC"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Berechtigung zum Verwalten freigegebener VPC-Hostprojekte, insbesondere die Aktivierung der Hostprojekte und die Verknüpfung freigegebener VPC-Dienstprojekte mit dem Netzwerk des Hostprojekts Auf Organisationsebene kann diese Rolle nur von einem Organisationsadministrator zugewiesen werden.
Google Cloud empfiehlt, dass der Administrator für freigegebene VPCs der Inhaber des Hostprojekts einer freigegebenen VPC ist. Der Administrator für freigegebene VPCs ist für die Zuweisung der Rolle "Compute-Netzwerknutzer" ( |
|
Rolle "GuestPolicy-Administrator"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
Beta |
Vollständiger Administratorzugriff auf GuestPolicies |
|
Rolle "GuestPolicy-Bearbeiter"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
Beta |
Mitbearbeiter von GuestPolicy-Ressourcen |
|
Rolle "GuestPolicy-Betrachter"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
Beta |
Betrachter von GuestPolicy-Ressourcen |
|
Rolle "PatchDeployment-Administrator"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Vollständiger Administratorzugriff auf PatchDeployments |
|
Rolle "PatchDeployment-Betrachter"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Betrachter von PatchDeployment-Ressourcen |
|
Rolle "Patch-Job-Ausführer"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Zugriff zum Ausführen von Patch-Jobs. |
|
Rolle "Patch-Job-Betrachter"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Abrufen und Auflisten von Patch-Jobs. |
|
DNS-Administrator-Rolle
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Lese- und Schreibzugriff auf alle Cloud DNS-Ressourcen |
|
DNS-Peer-Rolle
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Zugriff auf Zielnetzwerke mit DNS-Peering-Zonen |
|
DNS-Leser-Rolle
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Lesezugriff auf alle Cloud DNS-Ressourcen |
|
Rolle "Dienstkonto-Administrator"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Dienstkonten erstellen und verwalten |
|
Rolle "Dienstkonten erstellen"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Kann Dienstkonten erstellen. |
|
Rolle "Dienstkonten löschen"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Zugriff zum Löschen von Dienstkonten. |
|
Rolle "Dienstkontoschlüssel-Administrator"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Dienstkontoschlüssel erstellen und verwalten (und rotieren) |
|
Rolle "Dienstkonto-Token-Ersteller"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Übernahme der Identität von Dienstkonten (OAuth2-Zugriffstoken erstellen, Blobs oder JWTs signieren usw.). |
|
Rolle "Dienstkontonutzer"
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Vorgänge als Dienstkonto ausführen |
|
Workload Identity-Nutzerrolle
Name | Beschreibung | Berechtigungen |
---|---|---|
roles/
|
Identität von Dienstkonten von GKE-Arbeitslasten übernehmen |
|
Nächste Schritte
- Mehr über IAM erfahren
- Benutzerdefinierte IAM-Rollen erstellen und verwalten
- Projektnutzern IAM-Rollen zuweisen
- IAM-Rollen für bestimmte Compute Engine-Ressourcen zuweisen
- Neues Dienstkonto erstellen