Compute Engine nutzt einen speziellen Satz von Identitäts- und Zugriffsverwaltungsrollen (IAM).
Jede vordefinierte Rolle enthält eine Reihe von Berechtigungen.
Wenn Sie ein neues Mitglied in Ihr Projekt aufnehmen, können Sie diesem Mitglied mithilfe einer IAM-Richtlinie eine oder mehrere IAM-Rollen zuweisen. Jede IAM-Rolle enthält Berechtigungen, die dem Mitglied Zugriff auf bestimmte Ressourcen gewähren.
Weitere Informationen zum Festlegen von Richtlinien auf Projektebene finden Sie in der IAM-Dokumentation unter Zugriff auf Ressourcen erteilen, ändern und entziehen. Weitere Informationen zum Festlegen von Richtlinien für Compute Engine-Ressourcen finden Sie unter Zugriff auf Compute Engine-Ressourcen gewähren.
Weitere Informationen zum Zuweisen von Rollen zu einem Compute Engine-Dienstkonto finden Sie unter Dienstkonten für Instanzen erstellen und aktivieren.
Weitere Informationen zu Rollen mit einer Berechtigungsteilmenge finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.
Vorbereitung
Was ist IAM?
Google Cloud bietet Cloud Identity and Access Management (IAM). Sie können damit bestimmten Google Cloud-Ressourcen detaillierte Zugriffsrechte zuweisen und unerwünschten Zugriff auf andere Ressourcen verhindern.
Durch IAM können Sie das Prinzip der geringsten Berechtigung anwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen gewähren.
Durch das Festlegen von IAM-Richtlinien können Sie steuern, wer (Identität) welche (Rollen) Berechtigungen für welche Ressourcen hat. Anhand von IAM-Richtlinien werden einem Projektmitglied bestimmte Rollen zugewiesen, mit denen wiederum bestimmte Berechtigungen verknüpft sind. Für eine bestimmte Ressource, z. B. ein Projekt, können Sie einem Google-Konto die Rolle roles/compute.networkAdmin zuweisen. Dieses Konto kann netzwerkbezogene Ressourcen im Projekt steuern, aber keine anderen Ressourcen wie Instanzen und Laufwerke verwalten. Sie können Cloud IAM auch zur Verwaltung der Cloud Console-Legacy-Rollen verwenden, die Projektteam-Mitgliedern gewährt wurden.
Vordefinierte Cloud IAM-Rollen in Compute Engine
Bei Cloud IAM erfordert jede API-Methode in der Compute Engine API, dass die Identität, die die API-Anfrage stellt, über die entsprechenden Berechtigungen zur Verwendung der Ressource verfügt.
Berechtigungen werden durch Festlegen von Richtlinien erteilt, die einem Mitglied (Nutzer, Gruppe oder Dienstkonto) Ihres Projekts Rollen zuweisen.
Neben den Legacy-Rollen (Betrachter, Bearbeiter und Inhaber) und benutzerdefinierten Rollen können Sie den Mitgliedern Ihres Projekts die unten beschriebenen vordefinierten Compute Engine-Rollen zuweisen.
Sie können einem Projektmitglied mehrere Rollen für dieselbe Ressource zuweisen. Wenn Ihr Netzwerkteam z. B. auch Firewallregeln verwaltet, können Sie der Google-Gruppe des Netzwerkteams sowohl roles/compute.networkAdmin als auch roles/compute.securityAdmin gewähren.
In den folgenden Tabellen werden die vordefinierten Cloud IAM-Rollen von Compute Engine sowie die Berechtigungen beschrieben, die in den einzelnen Rollen enthalten sind. Jede Rolle enthält eine Reihe von Berechtigungen, die für eine bestimmte Aufgabe geeignet sind. Durch die ersten beiden Rollen werden Berechtigungen zur Verwaltung von Instanzen gewährt, die netzwerkbezogenen Rollen gewähren Berechtigungen zur Verwaltung von netzwerkbezogenen Ressourcen und die Sicherheitsrolle gewährt Berechtigungen zur Verwaltung sicherheitsbezogener Ressourcen, wie Firewalls und SSL-Zertifikate.
Rolle "Compute-Administrator"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.admin
|
Vollständige Kontrolle über alle Compute Engine-Ressourcen
Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle roles/iam.serviceAccountUser zuweisen.
|
compute.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Compute Image-Nutzer"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.imageUser
|
Berechtigung zum Auflisten und Lesen von Images ohne weitere Berechtigungen für das jeweilige Image. Mit der Rolle compute.imageUser auf Projektebene können Nutzer alle Images in dem Projekt auflisten und Ressourcen wie Instanzen und nichtflüchtige Speicher basierend auf Images in diesem Projekt erstellen.
|
compute.images.getcompute.images.getFromFamilycompute.images.listcompute.images.useReadOnlyresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Compute-Instanzadministrator" (Beta)
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.instanceAdmin
|
Berechtigungen zum Erstellen, Ändern und Löschen von VM-Instanzen.
Dazu gehören auch Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken sowie zum Konfigurieren der Einstellungen für Shielded VMBETA.
Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle roles/iam.serviceAccountUser zuweisen.
Wenn ein Mitarbeiter in Ihrem Unternehmen beispielsweise VM-Instanzgruppen, aber keine Netzwerk- oder Sicherheitseinstellungen und keine als Dienstkonto ausgeführten Instanzen verwaltet, können Sie diese Rolle der Organisation, dem Ordner oder dem Projekt mit den Instanzen oder den Instanzen selbst zuweisen.
|
compute.acceleratorTypes.*compute.addresses.getcompute.addresses.listcompute.addresses.usecompute.autoscalers.*compute.diskTypes.*compute.disks.createcompute.disks.createSnapshotcompute.disks.deletecompute.disks.getcompute.disks.listcompute.disks.resizecompute.disks.setLabelscompute.disks.updatecompute.disks.usecompute.disks.useReadOnlycompute.globalAddresses.getcompute.globalAddresses.listcompute.globalAddresses.usecompute.globalOperations.getcompute.globalOperations.listcompute.images.getcompute.images.getFromFamilycompute.images.listcompute.images.useReadOnlycompute.instanceGroupManagers.*compute.instanceGroups.*compute.instanceTemplates.*compute.instances.*compute.licenses.getcompute.licenses.listcompute.machineTypes.*compute.networkEndpointGroups.*compute.networks.getcompute.networks.listcompute.networks.usecompute.networks.useExternalIpcompute.projects.getcompute.regionOperations.getcompute.regionOperations.listcompute.regions.*compute.reservations.getcompute.reservations.listcompute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.usecompute.subnetworks.useExternalIpcompute.targetPools.getcompute.targetPools.listcompute.zoneOperations.getcompute.zoneOperations.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Compute-Instanzadministrator" (v1)
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.instanceAdmin.v1
|
Vollständige Kontrolle über Compute Engine-Instanzen, Instanzgruppen, Laufwerke, Snapshots und Images.
Lesezugriff auf alle Compute Engine-Netzwerkressourcen.
Wenn Sie diese Rolle einem Nutzer nur auf Instanzebene gewähren, kann er keine neuen Instanzen erstellen.
|
compute.acceleratorTypes.*compute.addresses.getcompute.addresses.listcompute.addresses.usecompute.autoscalers.*compute.backendBuckets.getcompute.backendBuckets.listcompute.backendServices.getcompute.backendServices.listcompute.diskTypes.*compute.disks.*compute.externalVpnGateways.getcompute.externalVpnGateways.listcompute.firewalls.getcompute.firewalls.listcompute.forwardingRules.getcompute.forwardingRules.listcompute.globalAddresses.getcompute.globalAddresses.listcompute.globalAddresses.usecompute.globalForwardingRules.getcompute.globalForwardingRules.listcompute.globalOperations.getcompute.globalOperations.listcompute.healthChecks.getcompute.healthChecks.listcompute.httpHealthChecks.getcompute.httpHealthChecks.listcompute.httpsHealthChecks.getcompute.httpsHealthChecks.listcompute.images.*compute.instanceGroupManagers.*compute.instanceGroups.*compute.instanceTemplates.*compute.instances.*compute.interconnectAttachments.getcompute.interconnectAttachments.listcompute.interconnectLocations.*compute.interconnects.getcompute.interconnects.listcompute.licenseCodes.*compute.licenses.*compute.machineTypes.*compute.networkEndpointGroups.*compute.networks.getcompute.networks.listcompute.networks.usecompute.networks.useExternalIpcompute.projects.getcompute.projects.setCommonInstanceMetadatacompute.regionBackendServices.getcompute.regionBackendServices.listcompute.regionOperations.getcompute.regionOperations.listcompute.regions.*compute.reservations.getcompute.reservations.listcompute.resourcePolicies.*compute.routers.getcompute.routers.listcompute.routes.getcompute.routes.listcompute.snapshots.*compute.sslCertificates.getcompute.sslCertificates.listcompute.sslPolicies.getcompute.sslPolicies.listcompute.sslPolicies.listAvailableFeaturescompute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.usecompute.subnetworks.useExternalIpcompute.targetHttpProxies.getcompute.targetHttpProxies.listcompute.targetHttpsProxies.getcompute.targetHttpsProxies.listcompute.targetInstances.getcompute.targetInstances.listcompute.targetPools.getcompute.targetPools.listcompute.targetSslProxies.getcompute.targetSslProxies.listcompute.targetTcpProxies.getcompute.targetTcpProxies.listcompute.targetVpnGateways.getcompute.targetVpnGateways.listcompute.urlMaps.getcompute.urlMaps.listcompute.vpnGateways.getcompute.vpnGateways.listcompute.vpnTunnels.getcompute.vpnTunnels.listcompute.zoneOperations.getcompute.zoneOperations.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Administrator für Compute-Load-Balancer"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.loadBalancerAdmin
Beta
|
Berechtigungen zum Erstellen, Ändern und Löschen von Load-Balancern und zugehörigen Ressourcen
Wenn Ihr Unternehmen beispielsweise ein Team für das Load-Balancing zur Verwaltung von Load-Balancern, SSL-Zertifikaten für Load-Balancer, SSL-Richtlinien und anderen Load-Balancing-Ressourcen sowie ein eigenes Netzwerkteam zur Verwaltung der übrigen Netzwerkressourcen hat, weisen Sie der Gruppe des Load-Balancing-Teams die Rolle loadBalancerAdmin zu.
|
compute.addresses.*compute.backendBuckets.*compute.backendServices.*compute.forwardingRules.*compute.globalAddresses.*compute.globalForwardingRules.*compute.healthChecks.*compute.httpHealthChecks.*compute.httpsHealthChecks.*compute.instanceGroups.*compute.instances.getcompute.instances.listcompute.instances.usecompute.networkEndpointGroups.*compute.networks.getcompute.networks.listcompute.networks.usecompute.projects.getcompute.regionBackendServices.*compute.securityPolicies.getcompute.securityPolicies.listcompute.securityPolicies.usecompute.sslCertificates.*compute.sslPolicies.*compute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.usecompute.targetHttpProxies.*compute.targetHttpsProxies.*compute.targetInstances.*compute.targetPools.*compute.targetSslProxies.*compute.targetTcpProxies.*compute.urlMaps.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Compute-Netzwerkadministrator"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.networkAdmin
|
Berechtigungen zum Erstellen, Ändern und Löschen von Netzwerkressourcen mit Ausnahme von Firewallregeln und SSL-Zertifikaten. Die Rolle "Netzwerkadministrator" gewährt Lesezugriff auf Firewallregeln, SSL-Zertifikate und Instanzen für den Aufruf der zugehörigen sitzungsspezifischen IP-Adressen. Mit der Rolle "Netzwerkadministrator" können Nutzer keine Instanzen erstellen, starten, beenden oder löschen.
Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam für die Verwaltung von Firewalls und SSL-Zertifikaten und ein Netzwerkteam für die Verwaltung der übrigen Netzwerkressourcen hat, weisen Sie der Gruppe des Netzwerkteams die Rolle networkAdmin zu.
|
compute.addresses.*compute.autoscalers.getcompute.autoscalers.listcompute.backendBuckets.*compute.backendServices.*compute.externalVpnGateways.*compute.firewalls.getcompute.firewalls.listcompute.forwardingRules.*compute.globalAddresses.*compute.globalForwardingRules.*compute.globalOperations.getcompute.globalOperations.listcompute.healthChecks.*compute.httpHealthChecks.*compute.httpsHealthChecks.*compute.instanceGroupManagers.getcompute.instanceGroupManagers.listcompute.instanceGroupManagers.updatecompute.instanceGroupManagers.usecompute.instanceGroups.getcompute.instanceGroups.listcompute.instanceGroups.updatecompute.instanceGroups.usecompute.instances.getcompute.instances.getGuestAttributescompute.instances.getSerialPortOutputcompute.instances.listcompute.instances.listReferrerscompute.instances.usecompute.interconnectAttachments.*compute.interconnectLocations.*compute.interconnects.*compute.networkEndpointGroups.getcompute.networkEndpointGroups.listcompute.networkEndpointGroups.usecompute.networks.*compute.projects.getcompute.regionBackendServices.*compute.regionOperations.getcompute.regionOperations.listcompute.regions.*compute.routers.*compute.routes.*compute.securityPolicies.getcompute.securityPolicies.listcompute.securityPolicies.usecompute.sslCertificates.getcompute.sslCertificates.listcompute.sslPolicies.*compute.subnetworks.*compute.targetHttpProxies.*compute.targetHttpsProxies.*compute.targetInstances.*compute.targetPools.*compute.targetSslProxies.*compute.targetTcpProxies.*compute.targetVpnGateways.*compute.urlMaps.*compute.vpnGateways.*compute.vpnTunnels.*compute.zoneOperations.getcompute.zoneOperations.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listservicenetworking.operations.getservicenetworking.services.addPeeringservicenetworking.services.getserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Compute-Netzwerknutzer"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.networkUser
|
Zugriff auf ein freigegebenes VPC-Netzwerk
Nach der Zugriffserteilung können Dienstinhaber VPC-Netzwerke und Subnetze verwenden, die zum Hostprojekt gehören. Beispielsweise kann ein Netzwerknutzer eine VM-Instanz erstellen, die zu einem Hostprojekt-Netzwerk gehört, ohne jedoch im Hostprojekt neue Netzwerke löschen oder erstellen zu können.
|
compute.addresses.createInternalcompute.addresses.deleteInternalcompute.addresses.getcompute.addresses.listcompute.addresses.useInternalcompute.externalVpnGateways.getcompute.externalVpnGateways.listcompute.externalVpnGateways.usecompute.firewalls.getcompute.firewalls.listcompute.interconnectAttachments.getcompute.interconnectAttachments.listcompute.interconnectLocations.*compute.interconnects.getcompute.interconnects.listcompute.interconnects.usecompute.networks.getcompute.networks.listcompute.networks.usecompute.networks.useExternalIpcompute.projects.getcompute.regions.*compute.routers.getcompute.routers.listcompute.routes.getcompute.routes.listcompute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.usecompute.subnetworks.useExternalIpcompute.targetVpnGateways.getcompute.targetVpnGateways.listcompute.vpnGateways.getcompute.vpnGateways.listcompute.vpnGateways.usecompute.vpnTunnels.getcompute.vpnTunnels.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listservicenetworking.services.getserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Compute-Netzwerkbetrachter"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.networkViewer
|
Lesezugriff auf alle Netzwerkressourcen
Wenn Sie beispielsweise Software verwenden, die Ihre Netzwerkkonfiguration überprüft, können Sie dem Dienstkonto dieser Software die Rolle networkViewer zuweisen.
|
compute.addresses.getcompute.addresses.listcompute.autoscalers.getcompute.autoscalers.listcompute.backendBuckets.getcompute.backendBuckets.listcompute.backendServices.getcompute.backendServices.listcompute.firewalls.getcompute.firewalls.listcompute.forwardingRules.getcompute.forwardingRules.listcompute.globalAddresses.getcompute.globalAddresses.listcompute.globalForwardingRules.getcompute.globalForwardingRules.listcompute.healthChecks.getcompute.healthChecks.listcompute.httpHealthChecks.getcompute.httpHealthChecks.listcompute.httpsHealthChecks.getcompute.httpsHealthChecks.listcompute.instanceGroupManagers.getcompute.instanceGroupManagers.listcompute.instanceGroups.getcompute.instanceGroups.listcompute.instances.getcompute.instances.getGuestAttributescompute.instances.getSerialPortOutputcompute.instances.listcompute.instances.listReferrerscompute.interconnectAttachments.getcompute.interconnectAttachments.listcompute.interconnectLocations.*compute.interconnects.getcompute.interconnects.listcompute.networks.getcompute.networks.listcompute.projects.getcompute.regionBackendServices.getcompute.regionBackendServices.listcompute.regions.*compute.routers.getcompute.routers.listcompute.routes.getcompute.routes.listcompute.sslCertificates.getcompute.sslCertificates.listcompute.sslPolicies.getcompute.sslPolicies.listcompute.sslPolicies.listAvailableFeaturescompute.subnetworks.getcompute.subnetworks.listcompute.targetHttpProxies.getcompute.targetHttpProxies.listcompute.targetHttpsProxies.getcompute.targetHttpsProxies.listcompute.targetInstances.getcompute.targetInstances.listcompute.targetPools.getcompute.targetPools.listcompute.targetSslProxies.getcompute.targetSslProxies.listcompute.targetTcpProxies.getcompute.targetTcpProxies.listcompute.targetVpnGateways.getcompute.targetVpnGateways.listcompute.urlMaps.getcompute.urlMaps.listcompute.vpnGateways.getcompute.vpnGateways.listcompute.vpnTunnels.getcompute.vpnTunnels.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listservicenetworking.services.getserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Administrator von Compute-Sicherheitsrichtlinien für die Organisation"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.orgSecurityPolicyAdmin
Beta
|
Vollständige Kontrolle über Sicherheitsrichtlinien der Organisation in Compute Engine |
compute.globalOperations.getcompute.globalOperations.getIamPolicycompute.globalOperations.listcompute.globalOperations.setIamPolicycompute.projects.getcompute.securityPolicies.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Nutzer von Compute-Sicherheitsrichtlinien für die Organisation"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.orgSecurityPolicyUser
Beta
|
Aufruf oder Nutzung von Compute Engine-Sicherheitsrichtlinien zur Verknüpfung mit der Organisation oder Ordnern |
compute.globalOperations.getcompute.globalOperations.getIamPolicycompute.globalOperations.listcompute.globalOperations.setIamPolicycompute.projects.getcompute.securityPolicies.getcompute.securityPolicies.listcompute.securityPolicies.useresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Administrator für Compute-Organisationsressourcen"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.orgSecurityResourceAdmin
Beta
|
Vollständige Kontrolle über Verknüpfungen von Compute Engine-Sicherheitsrichtlinien mit der Organisation oder Ordnern |
compute.globalOperations.getcompute.globalOperations.getIamPolicycompute.globalOperations.listcompute.globalOperations.setIamPolicycompute.projects.getresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Compute OS-Administrator-Login"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.osAdminLogin
|
Berechtigung zur Anmeldung in einer Compute Engine-Instanz als Administrator
|
compute.instances.getcompute.instances.listcompute.instances.osAdminLogincompute.instances.osLogincompute.projects.getresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Compute OS-Log-in"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.osLogin
|
Anmeldung in einer Compute Engine-Instanz als Standardnutzer
|
compute.instances.getcompute.instances.listcompute.instances.osLogincompute.projects.getresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Externer Nutzer von Compute OS-Log-in"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.osLoginExternalUser
|
Nur auf Organisationsebene verfügbar.
Ermöglicht den Zugriff für einen externen Nutzer, um die OS-Login-Informationen der Organisation festzulegen. Diese Rolle berechtigt nicht zum Zugriff auf Instanzen. Externen Nutzern muss eine der erforderlichen OS Login-Rollen zugewiesen werden, damit auf Instanzen mit SSH zugegriffen werden kann.
|
|
Rolle "Administrator der Compute-Paketspiegelung"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.packetMirroringAdmin
Alpha
|
Festlegung der zu spiegelnden Ressourcen |
compute.networks.mirrorcompute.projects.getcompute.subnetworks.mirrorresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Nutzer der Compute-Paketspiegelung"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.packetMirroringUser
Alpha
|
Verwendung von Compute Engine-Paketspiegelungen |
compute.packetMirrorings.*compute.projects.getresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Compute-Sicherheitsadministrator"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.securityAdmin
|
Berechtigungen zum Erstellen, Ändern und Löschen von Firewallregeln und SSL-Zertifikaten sowie zum Konfigurieren der Einstellungen von Shielded VMBETA
Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam für die Verwaltung von Firewalls und SSL-Zertifikaten und ein Netzwerkteam für die Verwaltung der übrigen Netzwerkressourcen hat, weisen Sie der Gruppe des Sicherheitsteams die Rolle securityAdmin zu.
|
compute.firewalls.*compute.globalOperations.getcompute.globalOperations.listcompute.instances.setShieldedInstanceIntegrityPolicycompute.instances.setShieldedVmIntegrityPolicycompute.instances.updateShieldedInstanceConfigcompute.instances.updateShieldedVmConfigcompute.networks.getcompute.networks.listcompute.networks.updatePolicycompute.packetMirrorings.*compute.projects.getcompute.regionOperations.getcompute.regionOperations.listcompute.regions.*compute.routes.getcompute.routes.listcompute.securityPolicies.*compute.sslCertificates.*compute.sslPolicies.*compute.subnetworks.getcompute.subnetworks.listcompute.zoneOperations.getcompute.zoneOperations.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Compute Storage-Administrator"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.storageAdmin
|
Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken, Images und Snapshots
Wenn beispielsweise ein Mitarbeiter in Ihrem Unternehmen Projekt-Images verwaltet und Sie ihm nicht die Bearbeiterrolle für das Projekt zuweisen möchten, gewähren Sie seinem Konto die Rolle storageAdmin für das Projekt.
|
compute.diskTypes.*compute.disks.*compute.globalOperations.getcompute.globalOperations.listcompute.images.*compute.licenseCodes.*compute.licenses.*compute.projects.getcompute.regionOperations.getcompute.regionOperations.listcompute.regions.*compute.resourcePolicies.*compute.snapshots.*compute.zoneOperations.getcompute.zoneOperations.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list |
Rolle "Compute-Betrachter"
Rolle "Administrator für freigegebene Compute-VPC"
| Name |
Beschreibung |
Berechtigungen |
roles/
compute.xpnAdmin
|
Berechtigung zum Verwalten freigegebener VPC-Hostprojekte, insbesondere die Aktivierung der Hostprojekte und die Verknüpfung freigegebener VPC-Dienstprojekte mit dem Netzwerk des Hostprojekts
Diese Rolle kann nur der Organisation von einem Organisationsadministrator zugewiesen werden.
Google Cloud empfiehlt, dass der Administrator für freigegebene VPCs der Inhaber des Hostprojekts einer freigegebenen VPC ist. Der Administrator für freigegebene VPCs ist für die Zuweisung der Rolle compute.networkUser für Dienstinhaber verantwortlich und der Inhaber des Hostprojekts der freigegebenen VPC steuert das eigentliche Projekt. Die Verwaltung des Projekts ist einfacher, wenn ein Verantwortlicher (Einzelperson oder Gruppe) beide Rollen übernehmen kann.
|
compute.globalOperations.getcompute.globalOperations.listcompute.organizations.*compute.projects.getcompute.subnetworks.getIamPolicycompute.subnetworks.setIamPolicyresourcemanager.organizations.getresourcemanager.projects.getresourcemanager.projects.getIamPolicyresourcemanager.projects.list |
DNS-Administrator-Rolle
| Name |
Beschreibung |
Berechtigungen |
roles/
dns.admin
|
Lese- und Schreibzugriff auf alle Cloud DNS-Ressourcen |
compute.networks.getcompute.networks.listdns.changes.*dns.dnsKeys.*dns.managedZoneOperations.*dns.managedZones.*dns.networks.*dns.policies.createdns.policies.deletedns.policies.getdns.policies.listdns.policies.updatedns.projects.*dns.resourceRecordSets.*resourcemanager.projects.getresourcemanager.projects.list |
DNS-Peer-Rolle
| Name |
Beschreibung |
Berechtigungen |
roles/
dns.peer
Beta
|
Zugriff auf Zielnetzwerke mit DNS-Peering-Zonen |
dns.networks.targetWithPeeringZone
|
DNS-Leser-Rolle
| Name |
Beschreibung |
Berechtigungen |
roles/
dns.reader
|
Lesezugriff auf alle Cloud DNS-Ressourcen |
compute.networks.getdns.changes.getdns.changes.listdns.dnsKeys.*dns.managedZoneOperations.*dns.managedZones.getdns.managedZones.listdns.policies.getdns.policies.listdns.projects.*dns.resourceRecordSets.listresourcemanager.projects.getresourcemanager.projects.list |
Rolle "Dienstkonto-Administrator"
| Name |
Beschreibung |
Berechtigungen |
roles/
iam.serviceAccountAdmin
|
Erstellen und Verwalten von Dienstkonten |
iam.serviceAccounts.createiam.serviceAccounts.deleteiam.serviceAccounts.getiam.serviceAccounts.getIamPolicyiam.serviceAccounts.listiam.serviceAccounts.setIamPolicyiam.serviceAccounts.updateresourcemanager.projects.getresourcemanager.projects.list |
Rolle "Dienstkonten erstellen"
| Name |
Beschreibung |
Berechtigungen |
roles/
iam.serviceAccountCreator
|
Zugriff zum Erstellen von Dienstkonten |
iam.serviceAccounts.createiam.serviceAccounts.getiam.serviceAccounts.listresourcemanager.projects.getresourcemanager.projects.list |
Rolle "Dienstkonten löschen"
| Name |
Beschreibung |
Berechtigungen |
roles/
iam.serviceAccountDeleter
|
Zugriff zum Löschen von Dienstkonten |
iam.serviceAccounts.deleteiam.serviceAccounts.getiam.serviceAccounts.listresourcemanager.projects.getresourcemanager.projects.list |
Rolle "Dienstkontoschlüssel-Administrator"
| Name |
Beschreibung |
Berechtigungen |
roles/
iam.serviceAccountKeyAdmin
|
Erstellen und Verwalten (und Drehen) von Dienstkontoschlüsseln |
iam.serviceAccountKeys.*iam.serviceAccounts.getiam.serviceAccounts.listresourcemanager.projects.getresourcemanager.projects.list |
Rolle "Dienstkonto-Token-Ersteller"
| Name |
Beschreibung |
Berechtigungen |
roles/
iam.serviceAccountTokenCreator
|
Übernahme der Identität von Dienstkonten (OAuth2-Zugriffstoken erstellen, Blobs oder JWTs signieren usw.) |
iam.serviceAccounts.getiam.serviceAccounts.getAccessTokeniam.serviceAccounts.implicitDelegationiam.serviceAccounts.listiam.serviceAccounts.signBlobiam.serviceAccounts.signJwtresourcemanager.projects.getresourcemanager.projects.list |
Rolle "Dienstkontonutzer"
| Name |
Beschreibung |
Berechtigungen |
roles/
iam.serviceAccountUser
|
Ausführung von Vorgängen als Dienstkonto |
iam.serviceAccounts.actAsiam.serviceAccounts.getiam.serviceAccounts.listresourcemanager.projects.getresourcemanager.projects.list |
Workload Identity-Nutzerrolle
| Name |
Beschreibung |
Berechtigungen |
roles/
iam.workloadIdentityUser
|
Übernahme der Identität von Dienstkonten von GKE-Arbeitslasten |
iam.serviceAccounts.getiam.serviceAccounts.getAccessTokeniam.serviceAccounts.list |
Die Rolle "serviceAccountUser"
Bei Erteilung zusammen mit roles/compute.instanceAdmin.v1, roles/iam.serviceAccountUser können Mitglieder Instanzen erstellen und verwalten, die ein Dienstkonto verwenden. Wenn Sie roles/iam.serviceAccountUser und roles/compute.instanceAdmin.v1 zusammen gewähren, erhalten die Mitglieder die folgenden Berechtigungen:
- Instanz erstellen, die als Dienstkonto ausgeführt wird.
- Nichtflüchtigen Speicher zu einer Instanz hinzufügen, die als Dienstkonto ausgeführt wird.
- Instanzmetadaten für eine Instanz festlegen, die als Dienstkonto ausgeführt wird.
- SSH verwenden, um eine Verbindung zu einer Instanz herzustellen, die als Dienstkonto ausgeführt wird.
- Instanz neu konfigurieren, sodass sie als Dienstkonto ausgeführt wird.
roles/iam.serviceAccountUser kann auf zwei Arten zugewiesen werden:
Empfohlen. Weisen Sie einem Mitglied die Rolle für ein bestimmtes Dienstkonto zu.
So erhält ein Mitglied Zugriff auf das Dienstkonto, für das er ein iam.serviceAccountUser ist. Der Zugriff auf andere Dienstkonten, für die das Mitglied kein iam.serviceAccountUser ist, wird hingegen verhindert.
Gewähren Sie einem Mitglied die Rolle auf Projektebene. Das Mitglied kann auf alle Dienstkonten in dem Projekt zugreifen, darunter auch Dienstkonten, die erst zukünftig erstellt werden.
Wenn Sie sich nicht mit Dienstkonten auskennen, können Sie hier mehr erfahren.
Als "instanceAdmin" eine Verbindung zu einer Instanz herstellen
Nachdem Sie einem Projektmitglied die Rolle roles/compute.instanceAdmin.v1 zugewiesen haben, kann es über standardmäßige Google Cloud-Tools wie das gcloud-Tool oder SSH über den Browser Verbindungen zu VM-Instanzen herstellen.
Wenn ein Mitglied das gcloud-Befehlszeilentool oder SSH aus dem Browser verwendet, generieren die Tools automatisch ein öffentliches/privates Schlüsselpaar und fügen den öffentlichen Schlüssel den Projektmetadaten hinzu. Wenn das Mitglied nicht berechtigt ist, Projektmetadaten zu bearbeiten, fügt das Tool stattdessen den öffentlichen Schlüssel des Mitglieds den Instanzmetadaten hinzu.
Verfügt das Mitglied bereits über ein Schlüsselpaar, das es verwenden möchte, kann es seinen öffentlichen Schlüssel manuell den Instanzmetadaten hinzufügen.
Weitere Informationen zum Hinzufügen oder Entfernen von SSH-Schlüsseln aus einer Instanz
IAM mit Dienstkonten
Erstellen Sie neue benutzerdefinierte Dienstkonten und gewähren Sie Dienstkonten Cloud IAM-Rollen, um den Zugriff auf Ihre Instanzen einzuschränken. Wenn Sie Cloud IAM-Rollen mit benutzerdefinierten Dienstkonten verwenden, können Sie die folgenden Schritte ausführen:
- Den Zugriff Ihrer Instanzen auf Google Cloud APIs mithilfe detaillierter Cloud IAM-Rollen beschränken
- Jeder Instanz oder jeder Gruppe von Instanzen eine eindeutige Identität verleihen
- Den Zugriff auf Ihr Standarddienstkonto beschränken
Hier erfahren Sie mehr über Dienstkonten.
Verwaltete Instanzgruppen und Cloud IAM
Verwaltete Instanzgruppen sind Ressourcen, die ohne direkte Nutzerinteraktion Vorgänge in Ihrem Namen ausführen. Dies gilt insbesondere, wenn sie so konfiguriert sind, dass sie automatisch skaliert werden. Verwaltete Instanzgruppen verwenden eine Dienstkontoidentität, um Instanzen in der Instanzgruppe zu erstellen, zu löschen und zu verwalten. Weitere Informationen finden Sie in der Dokumentation Verwaltete Instanzgruppen und Cloud IAM.
Nicht unterstützte Vorgänge
Sie können keinen Zugriff gewähren, um Rolling Updates für Instanzgruppen mithilfe von Cloud IAM-Rollen auszuführen.
Verwenden Sie die umfassenderen Rollen "Inhaber", "Bearbeiter" oder "Betrachter", um die Berechtigung zur Ausführung dieser Vorgänge zu gewähren.
Weitere Informationen
