Compute Engine-IAM-Rollen

Auf dieser Seite werden die IAM-Rollen (Identity and Access Management) und die in den einzelnen Compute Engine-IAM-Rollen enthaltenen Berechtigungen beschrieben.

Wenn Sie Ihrem Projekt ein neues Mitglied hinzufügen, können Sie diesem mit IAM-Richtlinien IAM-Rollen zuweisen, um ihm Zugriff auf speziellen Ressourcen zu verschaffen.

Informationen zum Festlegen von Richtlinien auf Projektebene finden Sie in der IAM-Dokumentation unter Zugriff für Projektmitglieder gewähren, ändern und widerrufen. Informationen zum Festlegen von Richtlinien für Compute Engine-Ressourcen finden Sie unter Zugriff auf Ressourcen gewähren. Wie Sie einem Compute Engine-Dienstkonto Rollen zuweisen, erfahren Sie unter Dienstkonten für Instanzen erstellen und aktivieren. Weitere Informationen hierzu finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Auch eine vollständige Liste der IAM-Berechtigungen für einzelne API-Methoden steht Ihnen zur Verfügung.

Vorbereitung

Was ist IAM?

Mit IAM für die Google Cloud Platform können Sie den Zugriff auf bestimmte Google Cloud Platform-Ressourcen noch genauer steuern. Außerdem wird der unerwünschte Zugriff auf andere Ressourcen verhindert. Durch IAM haben Sie die Möglichkeit, den Grundsatz der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.

Durch das Festlegen von IAM-Richtlinien können Sie steuern, wer (Identität) welche Berechtigungen (Rollen) für welche Ressourcen hat. Anhand von IAM-Richtlinien werden einem Projektmitglied bestimmte Rollen zugewiesen, mit denen wiederum bestimmte Berechtigungen verknüpft sind. Sie können beispielsweise für eine bestimmte Ressource, sagen wir ein Projekt, die Rolle roles/compute.networkAdmin einem Google-Konto zuweisen. Mit diesem Konto lassen sich dann netzwerkbezogene Ressourcen im Projekt verwalten, jedoch keine anderen Ressourcen wie Instanzen und Laufwerke. Mit IAM können Sie auch die alten GCP Console-Rollen verwalten, die Projektteammitgliedern gewährt wurden.

Vordefinierte Compute Engine-Rollen

Bei IAM muss für jede API-Methode in Compute Engine die Identität, die die API-Anfrage stellt, die entsprechenden Berechtigungen zur Verwendung der Ressource haben. Berechtigungen werden durch Festlegen von Richtlinien erteilt, die einem Mitglied (Benutzer, Gruppe oder Dienstkonto) Ihres Projekts Rollen zuweisen.

Zusätzlich zu den alten Rollen (Betrachter, Bearbeiter und Inhaber) und benutzerdefinierten Rollen können Sie den Mitgliedern Ihres Projekts die folgenden vordefinierten Compute Engine-Rollen zuweisen.

Sie können einem Projektmitglied mehrere Rollen für dieselbe Ressource zuweisen. Wenn Ihr Netzwerkteam beispielsweise auch Firewallregeln verwaltet, können Sie der Google-Gruppe des Netzwerkteams sowohl roles/compute.networkAdmin als auch roles/compute.securityAdmin hinzufügen.

In den folgenden Tabellen werden die vordefinierten IAM-Rollen von Compute Engine sowie die in den einzelnen Rollen enthaltenen Berechtigungen beschrieben. Jede Rolle enthält eine Reihe von Berechtigungen, die für eine bestimmte Aufgabe geeignet sind. Durch die ersten beiden Rollen werden Berechtigungen zur Verwaltung von Instanzen gewährt, die netzwerkbezogenen Rollen gewähren Berechtigungen zur Verwaltung von netzwerkbezogenen Ressourcen und die Sicherheitsrolle gewährt Berechtigungen zur Verwaltung sicherheitsbezogener Ressourcen, wie Firewalls und SSL-Zertifikate.

Rolle "Instanzadministrator"

Rollenname Beschreibung Berechtigungen
roles/compute.instanceAdmin.v1

Berechtigungen zum Erstellen, Ändern und Löschen von VM-Instanzen. Dies schließt Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken ein.

Wenn der Nutzer VM-Instanzen verwaltet, die zur Ausführung als Dienstkonto konfiguriert sind, müssen Sie ihm auch die Rolle iam.serviceAccountUser zuweisen.

Wenn Ihr Unternehmen beispielsweise einen Mitarbeiter zur Verwaltung von Gruppen mit VM-Instanzen hat, der aber keine Netzwerk- oder Sicherheitseinstellungen und auch keine Instanzen verwaltet, die als Dienstkonten ausgeführt werden, gewähren Sie diese Rolle.

Wenn Sie diese Rolle einem Nutzer nur auf Instanzebene gewähren, kann er keine neuen Instanzen erstellen.

  • compute.acceleratorTypes.get
  • compute.acceleratorTypes.list
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers.*
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.clientSslPolicies.get
  • compute.clientSslPolicies.list
  • compute.disks.*
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.*
  • compute.instanceGroupManagers.*
  • compute.instanceGroups.*
  • compute.instances.*
  • compute.instanceTemplates.*
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.get
  • compute.interconnectLocations.list
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenses.*
  • compute.licenseCodes.*
  • compute.machineTypes.get
  • compute.machineTypes.list
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.get
  • compute.regions.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.snapshots.*
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.get
  • compute.zones.list
  • compute.projects.get
  • compute.projects.setCommonInstanceMetadata
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Rolle "Compute-Administrator"

Rollenname Beschreibung Berechtigungen
roles/compute.admin

Uneingeschränkte Kontrolle über alle Compute Engine-Ressourcen.

Wenn der Nutzer VM-Instanzen verwaltet, die zur Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle roles/iam.serviceAccountUser zuweisen.

  • compute.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

DNS-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/
dns.admin
DNS-Administrator Lese- und Schreibzugriff auf alle Cloud DNS-Ressourcen compute.networks.get
compute.networks.list
dns.changes.*
dns.dnsKeys.*
dns.managedZoneOperations.*
dns.managedZones.*
dns.networks.*
dns.policies.create
dns.policies.delete
dns.policies.get
dns.policies.list
dns.policies.update
dns.projects.*
dns.resourceRecordSets.*
resourcemanager.projects.get
resourcemanager.projects.list
Projekt
roles/
dns.reader
DNS-Leser Lesezugriff auf alle Cloud DNS-Ressourcen compute.networks.get
dns.changes.get
dns.changes.list
dns.dnsKeys.*
dns.managedZoneOperations.*
dns.managedZones.get
dns.managedZones.list
dns.policies.get
dns.policies.list
dns.projects.*
dns.resourceRecordSets.list
resourcemanager.projects.get
resourcemanager.projects.list
Projekt

Rolle "Dienstkontonutzer"

Rollenname Beschreibung Berechtigungen
roles/iam.serviceAccountUser Wenn diese Rolle zusammen mit der Rolle instanceAdmin.v1 zugewiesen wird, gewährt sie die Berechtigung, VMs zu erstellen, Laufwerke daran anzuhängen sowie auf VM-Instanzen, die als Dienstkonto ausgeführt werden können, Metadaten zu aktualisieren.
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Rolle "Image-Nutzer"

Rollenname Beschreibung Berechtigungen
roles/compute.imageUser Berechtigung zum Auflisten und Lesen von Images, ohne dass weitere Image-Berechtigungen (z. B. Erstellen oder Löschen) vorhanden sind. Mitglieder, denen diese Rolle zugewiesen wurde, können alle Images im Projekt auflisten. Dies ist die Voraussetzung dafür, Ressourcen wie Instanzen und nichtflüchtigen Speicher basierend auf Images im Projekt zu erstellen.
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Rolle "Administrator für Compute-Lastenausgleichsmodul"

Rollenname Beschreibung Berechtigungen
roles/compute.loadBalancerAdmin

Vollständige Kontrolle über Compute Engine-Ressourcen, die mit dem Lastenausgleichsmodul zusammenhängen.

  • compute.addresses.*
  • compute.globalAddresses.*
  • compute.backendBuckets.*
  • compute.backendServices.*
  • compute.regionBackendServices.*
  • compute.forwardingRules.*
  • compute.globalForwardingRules.*
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.instanceGroups.*
  • compute.instances.get
  • compute.instances.list
  • compute.instances.use
  • compute.instances.useReadOnly
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.sslCertificates.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.sslPolicies.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.urlMaps.*
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.services.list
  • serviceusage.quotas.get

Rolle "Netzwerkbetrachter"

Rollenname Beschreibung Permissions
roles/compute.networkViewer

Lesezugriff auf alle Netzwerkressourcen

Wenn Sie beispielsweise Software verwenden, die Ihre Netzwerkkonfiguration überprüft, können Sie dem Dienstkonto dieser Software die Rolle networkViewer zuweisen.

  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.get
  • compute.interconnectLocations.list
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.networks.get
  • compute.networks.list
  • compute.projects.get
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regions.get
  • compute.regions.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zones.get
  • compute.zones.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Rolle "Netzwerkadministrator"

Rollenname Beschreibung Berechtigungen
roles/compute.networkAdmin

Berechtigungen zum Erstellen, Ändern und Löschen von Netzwerkressourcen mit Ausnahme von Firewallregeln und SSL-Zertifikaten. Durch die Rolle networkAdmin wird Lesezugriff auf Firewallregeln, SSL-Zertifikate und Instanzen gewährt, um ihre sitzungsspezifischen IP-Adressen anzeigen zu können. Die Rolle gewährt einem Nutzer jedoch nicht die Berechtigung, Instanzen zu erstellen, zu starten, anzuhalten oder zu löschen.

Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam für die Verwaltung von Firewalls und SSL-Zertifikaten und ein Netzwerkteam für die Verwaltung der übrigen Netzwerkressourcen hat, gewähren Sie der Gruppe des Netzwerkteams die Rolle networkAdmin.

  • compute.addresses.*
  • compute.globalAddresses.*
  • compute.backendBuckets.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.backendServices.*
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.*
  • compute.globalForwardingRules.*
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.interconnectAttachments.*
  • compute.interconnectLocations.*
  • compute.interconnects.*
  • compute.networks.*
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.packetMirrorings.use
  • compute.routes.*
  • compute.routers.*
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.clientSslPolicies.*
  • compute.sslPolicies.*
  • compute.subnetworks.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.targetVpnGateways.*
  • compute.urlMaps.*
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.instances.use
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceGroups.use
  • compute.instanceGroups.update
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroupManagers.use
  • compute.instanceGroupManagers.update
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.vpns.*
  • compute.vpnTunnels.*
  • compute.scopes.get
  • compute.scopes.list
  • compute.regions.get
  • compute.regions.list
  • compute.zones.get
  • compute.zones.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Rolle "Sicherheitsadministrator"

Rollenname Beschreibung Berechtigungen
roles/compute.securityAdmin

Berechtigungen zum Erstellen, Ändern und Löschen von Firewallregeln und SSL-Zertifikaten.

Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam für die Verwaltung von Firewalls und SSL-Zertifikaten und ein Netzwerkteam für die Verwaltung der übrigen Netzwerkressourcen hat, gewähren Sie der Gruppe des Sicherheitsteams die Rolle securityAdmin.

  • compute.firewalls.*
  • compute.packetMirrorings.*
  • compute.sslCertificates.*
  • compute.clientSslPolicies.*
  • compute.securityPolicies.*
  • compute.sslPolicies.*
  • compute.instances.setShieldedVmIntegrityPolicy
  • compute.instances.updateSecurity
  • compute.instances.updateShieldedVmConfig
  • compute.networks.get
  • compute.networks.list
  • compute.networks.updatePolicy
  • compute.routes.get
  • compute.routes.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.updatePolicy
  • compute.scopes.get
  • compute.scopes.list
  • compute.regions.get
  • compute.regions.list
  • compute.zones.get
  • compute.zones.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Rolle "Compute-Betrachter"

Rollenname Beschreibung Berechtigungen
roles/compute.viewer

Lesezugriff zum Abrufen und Auflisten von Compute Engine-Ressourcen, aber ohne die Möglichkeit, die in ihnen gespeicherten Daten zu lesen.

Mit einem Konto mit dieser Rolle auf Projektebene können alle Laufwerke in einem Projekt aufgeführt werden. Es können jedoch keine Daten auf diesen Laufwerken gelesen werden.

  • compute.*.get
  • compute.*.getIamPolicy
  • compute.*.list
  • compute.forwardingRules.externalGet
  • compute.images.getFromFamily
  • compute.instances.getGuestAttributes
  • compute.instances.getSerialPortOutput
  • compute.instances.listReferrers
  • compute.networks.listIpOwners
  • compute.networks.listUsableSubnets
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.listIpOwners
  • compute.urlMaps.validate
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Rolle "Storage-Administrator"

Rollenname Beschreibung Berechtigungen
roles/compute.storageAdmin

Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken, Images und Snapshots.

Wenn beispielsweise ein Mitarbeiter in Ihrem Unternehmen Projekt-Images verwaltet und Sie ihm nicht die Bearbeiterrolle für das Projekt gewähren möchten, erteilen Sie seinem Konto die Rolle storageAdmin auf Projektebene.

  • compute.disks.*
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.images.*
  • compute.licenses.*
  • compute.licenseCodes.*
  • compute.snapshots.*
  • compute.scopes.get
  • compute.scopes.list
  • compute.regions.get
  • compute.regions.list
  • compute.zones.get
  • compute.zones.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Rolle "Administrator für freigegebene VPC"

Rollenname Beschreibung Berechtigungen
roles/compute.xpnAdmin

Berechtigungen zur Verwaltung einer freigegebenen VPC: Angabe der Hostprojekte einer freigegebenen VPC und Verknüpfung der Dienstprojekte einer freigegebenen VPC mit dem Netzwerk des Hostprojekts.

Die Google Cloud Platform empfiehlt, dass der Administrator für freigegebene VPC der Inhaber des Hostprojekts einer freigegebenen VPC ist. Der Administrator für freigegebene VPC ist für die Gewährung der Rolle compute.networkUser für Dienstinhaber verantwortlich und der Inhaber des Hostprojekts der freigegebenen VPC steuert das eigentliche Projekt. Die Verwaltung des Projekts ist einfacher, wenn ein einzelner Verantwortlicher (Einzelperson oder Gruppe) beide Rollen übernehmen kann.

  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.organizations.administerXpn
  • compute.organizations.enableXpnHost
  • compute.organizations.disableXpnHost
  • compute.organizations.enableXpnResource
  • compute.organizations.disableXpnResource
  • compute.projects.get
  • compute.subnetworks.getIamPolicy
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.projects.getIamPolicy

Rolle "Netzwerknutzer"

Rollenname Beschreibung Berechtigungen
roles/compute.networkUser Berechtigungen für die Verwendung eines freigegebenen VPC-Netzwerks. Gewähren Sie diese Rolle insbesondere Dienstinhabern, die in dem Netzwerk des Hostprojekts der freigegebenen VPC Ressourcen erstellen müssen.
  • compute.addresses.get
  • compute.addresses.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.get
  • compute.interconnectLocations.list
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.interconnects.use
  • compute.networks.get
  • compute.networks.list
  • compute.networks.listIpOwners
  • compute.networks.listUsableSubnets
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.routes.get
  • compute.routes.list
  • compute.routers.get
  • compute.routers.list
  • compute.subnetworks.list
  • compute.subnetworks.listIpOwners
  • compute.subnetworks.get
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.vpns.get
  • compute.vpns.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.scopes.get
  • compute.scopes.list
  • compute.regions.get
  • compute.regions.list
  • compute.zones.get
  • compute.zones.list
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Rolle "Compute OS-Administrator-Login"

Rollenname Beschreibung Berechtigungen
roles/compute.osAdminLogin

Kann sich in einer Compute Engine-Instanz als Administrator anmelden.

  • compute.instances.get
  • compute.instances.list
  • compute.instances.osAdminLogin
  • compute.instances.osLogin
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Rolle "Compute OS-Log-in"

Rollenname Beschreibung Berechtigungen
roles/compute.osLogin

Kann sich in einer Compute Engine-Instanz als Standardnutzer (kein Administrator) anmelden.

  • compute.instances.get
  • compute.instances.list
  • compute.instances.osLogin
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Rolle "Externer Nutzer von Compute OS-Log-in"

Rollenname Beschreibung Berechtigungen
roles/compute.osLoginExternalUser

Nur auf Organisationsebene verfügbar.

Zugriff für einen externen Nutzer, um die Informationen der Organisation zum OS-Log-in festzulegen. Diese Rolle berechtigt nicht zum Zugriff auf Instanzen. Externen Nutzern muss eine der erforderlichen OS-Log-in-IAM-Rollen gewährt werden, damit sie über SSH auf Instanzen zugreifen können.

  • compute.oslogin.updateExternalUser

Rolle "serviceAccountUser"

Wenn einem Mitglied diese Rolle zusammen mit roles/compute.instanceAdmin.v1 gewährt wird, verleiht roles/iam.serviceAccountUser Mitgliedern die Möglichkeit, Instanzen, die ein Dienstkonto verwenden, zu erstellen und zu verwalten. Durch die Kombination von roles/iam.serviceAccountUser und roles/compute.instanceAdmin.v1 erhalten Mitglieder im Einzelnen folgende Berechtigungen:

  • Instanz erstellen, die als Dienstkonto ausgeführt wird.
  • Nichtflüchtigen Speicher zu einer Instanz hinzufügen, die als Dienstkonto ausgeführt wird.
  • Instanzmetadaten für eine Instanz festlegen, die als Dienstkonto ausgeführt wird.
  • SSH verwenden, um eine Verbindung zu einer Instanz herzustellen, die als Dienstkonto ausgeführt wird.
  • Instanz neu konfigurieren, sodass sie als Dienstkonto ausgeführt wird.

roles/iam.serviceAccountUser kann auf zwei Arten zugewiesen werden:

  • [Empfohlen] Weisen Sie einem Mitglied die Rolle für ein bestimmtes Dienstkonto zu. So erhält das Mitglied Zugriff auf das Dienstkonto, bei dem es als iam.serviceAccountUser angemeldet ist, kann aber nicht auf Dienstkonten zugreifen, bei denen es nicht als iam.serviceAccountUser angemeldet ist.

  • Gewähren Sie einem Mitglied die Rolle auf Projektebene. Das Mitglied kann auf alle Dienstkonten in dem Projekt zugreifen, darunter auch Dienstkonten, die erst zukünftig erstellt werden.

Wenn Sie sich nicht mit Dienstkonten auskennen, können Sie hier mehr erfahren.

Als "instanceAdmin" eine Verbindung zu einer Instanz herstellen

Nachdem Sie einem Projektmitglied die Rolle roles/compute.instanceAdmin.v1 zugewiesen haben, kann es sich über standardmäßige Google Cloud Platform-Tools wie gcloud oder SSH über den Browser mit VM-Instanzen verbinden.

Wenn ein Mitglied das gcloud-Befehlszeilentool oder SSH über den Browser verwendet, wird von den Tools automatisch ein Paar aus öffentlichem/privatem Schlüssel generiert und der öffentliche Schlüssel den Projektmetadaten hinzugefügt. Falls das Mitglied nicht zur Bearbeitung der Projektmetadaten berechtigt ist, fügt das Tool den öffentlichen Schlüssel stattdessen den Instanzmetadaten hinzu.

Verfügt das Mitglied bereits über ein Schlüsselpaar, das es verwenden möchte, kann es seinen öffentlichen Schlüssel manuell den Instanzmetadaten hinzufügen. Hier erfahren Sie mehr über das Hinzufügen und Entfernen von SSH-Schlüsseln aus einer Instanz.

IAM mit Dienstkonten

Durch die Erstellung neuer benutzerdefinierter Dienstkonten und die Zuweisung von IAM-Rollen zu Dienstkonten haben Sie die Möglichkeit, den Zugriff auf Ihre Instanzen zu beschränken. Wenn Sie IAM-Rollen mit benutzerdefinierten Dienstkonten verwenden, können Sie die folgenden Schritte ausführen:

  • Den Zugriff Ihrer Instanzen auf Cloud Platform-APIs beschränken, die detaillierte IAM-Rollen verwenden
  • Jeder Instanz oder jeder Gruppe von Instanzen eine eindeutige Identität verleihen
  • Den Zugriff auf Ihr Standarddienstkonto beschränken

Hier erfahren Sie mehr über Dienstkonten.

Verwaltete Instanzgruppen und IAM

Verwaltete Instanzgruppen sind Ressourcen, die ohne direkte Nutzerinteraktion Vorgänge in Ihrem Namen ausführen. Dies gilt insbesondere, wenn sie so konfiguriert sind, dass sie automatisch skaliert werden. Verwaltete Instanzgruppen verwenden eine Dienstkontoidentität, um Instanzen in der Instanzgruppe zu erstellen, zu löschen und zu verwalten. Mehr erfahren Sie in der Dokumentation zu verwalteten Instanzgruppen und IAM.

Nicht unterstützte Vorgänge

Sie können keinen Zugriff gewähren, um mit IAM-Rollen Rolling Updates für Instanzgruppen auszuführen.

Verwenden Sie die umfassenderen Rollen "Inhaber", "Bearbeiter" oder "Betrachter", um die Berechtigung zur Ausführung dieser Vorgänge zu gewähren.

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Compute Engine-Dokumentation