Wenn Sie ein neues Mitglied in Ihr Projekt aufnehmen, können Sie diesem Mitglied mithilfe einer Richtlinie für die Identitäts- und Zugriffsverwaltung (IAM) eine oder mehrere IAM-Rollen zuweisen. Jede IAM-Rolle enthält Berechtigungen, die dem Mitglied Zugriff auf bestimmte Ressourcen gewähren.
Compute Engine bietet eine Reihe vordefinierter IAM-Rollen. Diese werden auf dieser Seite beschrieben. Sie können auch benutzerdefinierte Rollen erstellen, die Teilmengen von Berechtigungen enthalten, die sich direkt Ihren Anforderungen zuordnen lassen.
Informationen zu den für die einzelnen Methoden erforderlichen Berechtigungen finden Sie in der Referenzdokumentation zur Compute Engine API:
Informationen zum Gewähren des Zugriffs finden Sie auf den folgenden Seiten.
- Informationen zum Festlegen von IAM-Richtlinien auf Projektebene finden Sie in der IAM-Dokumentation unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
- Informationen zum Festlegen von Richtlinien für bestimmte Compute Engine-Ressourcen finden Sie unter Zugriff auf Compute Engine-Ressourcen gewähren.
- Informationen zum Zuweisen von Rollen zu einem Compute Engine-Dienstkonto finden Sie unter Dienstkonten für Instanzen erstellen und aktivieren.
Hinweis
- Lesen Sie die IAM-Dokumentation.
Was ist IAM?
Google Cloud bietet mit der Identitäts- und Zugriffsverwaltung, abgekürzt IAM (für Identity and Access Management), die Möglichkeit, den Zugriff auf einzelne Google Cloud-Ressourcen präzise zu steuern und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Durch IAM können Sie das Prinzip der geringsten Berechtigung anwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen gewähren.
Durch das Festlegen von IAM-Richtlinien können Sie steuern, wer (Identität) welche (Rollen) Berechtigungen für welche Ressourcen hat. Anhand von IAM-Richtlinien werden einem Projektmitglied bestimmte Rollen zugewiesen, mit denen wiederum bestimmte Berechtigungen verknüpft sind. Für eine bestimmte Ressource, z. B. ein Projekt, können Sie einem Google-Konto die Rolle roles/compute.networkAdmin
zuweisen. Dieses Konto kann netzwerkbezogene Ressourcen im Projekt steuern, aber keine anderen Ressourcen wie Instanzen und Laufwerke verwalten. Mit IAM können Sie auch die Legacy-Rollen der Cloud Console verwalten, die Projektteammitgliedern gewährt wurden.
Rolle "serviceAccountUser"
Wird diese Rolle zusammen mit roles/compute.instanceAdmin.v1
erteilt, können Mitglieder durch roles/iam.serviceAccountUser
Instanzen erstellen und verwalten, für die ein Dienstkonto verwendet wird. Wenn Sie die Rollen roles/iam.serviceAccountUser
und roles/compute.instanceAdmin.v1
zusammen erteilen, erhalten die Mitglieder die folgenden Berechtigungen:
- Instanz erstellen, die als Dienstkonto ausgeführt wird.
- Nichtflüchtigen Speicher zu einer Instanz hinzufügen, die als Dienstkonto ausgeführt wird.
- Instanzmetadaten für eine Instanz festlegen, die als Dienstkonto ausgeführt wird.
- SSH verwenden, um eine Verbindung zu einer Instanz herzustellen, die als Dienstkonto ausgeführt wird.
- Instanz neu konfigurieren, sodass sie als Dienstkonto ausgeführt wird.
roles/iam.serviceAccountUser
kann auf zwei Arten zugewiesen werden:
Empfohlen. Weisen Sie einem Mitglied die Rolle für ein bestimmtes Dienstkonto zu. So erhält ein Mitglied Zugriff auf das Dienstkonto, für das er ein
iam.serviceAccountUser
ist. Der Zugriff auf andere Dienstkonten, für die das Mitglied keiniam.serviceAccountUser
ist, wird hingegen verhindert.Gewähren Sie einem Mitglied die Rolle auf Projektebene. Das Mitglied kann auf alle Dienstkonten in dem Projekt zugreifen, darunter auch Dienstkonten, die erst zukünftig erstellt werden.
Weitere Informationen zu Dienstkonten.
Berechtigung für Google Cloud Console
Wenn Sie über die Google Cloud Console auf Compute Engine-Ressourcen zugreifen möchten, müssen Sie eine Rolle haben, die die folgende Berechtigung für das Projekt umfasst:
compute.projects.get
Als "instanceAdmin" eine Verbindung zu einer Instanz herstellen
Nachdem Sie einem Projektmitglied die Rolle roles/compute.instanceAdmin.v1
zugewiesen haben, kann es über standardmäßige Google Cloud-Tools wie die gcloud CLI oder SSH über den Browser Verbindungen zu VM-Instanzen herstellen.
Wenn ein Mitglied die gcloud CLI oder SSH über den Browser verwendet, generieren die Tools automatisch ein Paar aus öffentlichem und privatem Schlüssel und fügen den öffentlichen Schlüssel den Projektmetadaten hinzu. Wenn das Mitglied nicht berechtigt ist, Projektmetadaten zu bearbeiten, fügt das Tool stattdessen den öffentlichen Schlüssel des Mitglieds den Instanzmetadaten hinzu.
Verfügt das Mitglied bereits über ein Schlüsselpaar, das es verwenden möchte, kann es seinen öffentlichen Schlüssel manuell den Instanzmetadaten hinzufügen. Weitere Informationen zum Hinzufügen von SSH-Schlüsseln zu einer Instanz
IAM mit Dienstkonten
Durch die Erstellung neuer benutzerdefinierter Dienstkonten und die Zuweisung von IAM-Rollen zu Dienstkonten haben Sie die Möglichkeit, den Zugriff auf Ihre Instanzen zu beschränken. Wenn Sie IAM-Rollen mit benutzerdefinierten Dienstkonten verwenden, können Sie Folgendes tun:
- Mithilfe detaillierter IAM-Rollen den Zugriff Ihrer Instanzen auf Google Cloud APIs beschränken
- Jeder Instanz oder jeder Gruppe von Instanzen eine eindeutige Identität verleihen
- Den Zugriff auf Ihr Standarddienstkonto beschränken
Hier erfahren Sie mehr über Dienstkonten.
Verwaltete Instanzgruppen und IAM
Verwaltete Instanzgruppen (MIGs) sind Ressourcen, die ohne direkte Nutzerinteraktion Aktionen für Sie ausführen. Beispielsweise kann die MIG VMs zur Gruppe hinzufügen und daraus entfernen.
Alle Vorgänge, die Compute Engine als Teil der MIG ausführt, werden vom Google APIs-Dienst-Agent für Ihr Projekt ausgeführt. Dieser hat eine E-Mail-Adresse wie die folgende:
PROJECT_ID@cloudservices.gserviceaccount.com
Standardmäßig erhält der Google APIs-Dienst-Agent auf Projektebene die Rolle "Bearbeiter" (roles/editor
), die genügend Berechtigungen zum Erstellen von Ressourcen basierend auf der MIG-Konfiguration gewährt. Wenn Sie den Zugriff für den Google APIs-Dienst-Agent anpassen, gewähren Sie die Rolle Compute-Instanzadministrator (v1) roles/compute.instanceAdmin.v1
und optional die Nutzerrolle Dienstkonto (roles/iam.serviceAccountUser
). Die Rolle Dienstkonto ist nur erforderlich, wenn die MIG VMs erstellt, die als Dienstkonto ausgeführt werden können.
Der Google APIs-Dienst-Agent wird auch von anderen Prozessen wie Deployment Manager verwendet.
Wenn Sie eine MIG erstellen oder die Instanzvorlage aktualisieren, wird von Compute Engine überprüft, ob der Google APIs-Dienst-Agent die folgende Rolle und Berechtigungen hat:
- Die Nutzerrolle Dienstkonto ist wichtig, wenn Sie Instanzen erstellen möchten, die als Dienstkonto ausgeführt werden können.
- Berechtigungen für alle Ressourcen, auf die Instanzvorlagen verweisen, wie Images, Laufwerke, VPC-Netzwerke und Subnetzwerke.
Vordefinierte Compute Engine-Rollen
Bei IAM erfordert jede API-Methode in der Compute Engine API, dass die Identität, die die API-Anfrage stellt, die entsprechenden Berechtigungen zur Verwendung der Ressource hat. Berechtigungen werden durch Festlegen von Richtlinien erteilt, die einem Mitglied (Nutzer, Gruppe oder Dienstkonto) Ihres Projekts Rollen zuweisen.
Neben den einfachen Rollen (Betrachter, Bearbeiter und Inhaber) und benutzerdefinierten Rollen können Sie den Mitgliedern Ihres Projekts die unten beschriebenen vordefinierten Compute Engine-Rollen zuweisen.
Sie können einem Projektmitglied mehrere Rollen für dieselbe Ressource zuweisen. Wenn Ihr Netzwerkteam z. B. auch Firewallregeln verwaltet, können Sie der Google-Gruppe des Netzwerkteams sowohl roles/compute.networkAdmin
als auch roles/compute.securityAdmin
gewähren.
In den folgenden Tabellen werden die vordefinierten IAM-Rollen von Compute Engine sowie die in den einzelnen Rollen enthaltenen Berechtigungen beschrieben. Jede Rolle enthält eine Reihe von Berechtigungen, die für eine bestimmte Aufgabe geeignet sind. Durch die Instanzadministrator-Rollen werden beispielsweise Berechtigungen zum Verwalten von Instanzen gewährt, die netzwerkbezogenen Rollen gewähren Berechtigungen zum Verwalten von netzwerkbezogenen Ressourcen und die Sicherheitsrolle gewährt Berechtigungen zum Verwalten von sicherheitsbezogenen Ressourcen wie Firewalls und SSL-Zertifikaten.
Rolle "Compute-Administrator"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Compute-Administrator ( roles/ )
|
Uneingeschränkte Kontrolle über alle Compute Engine-Ressourcen. Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Rolle "Compute Image-Nutzer"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Compute Image-Nutzer ( roles/ )
|
Berechtigung zum Auflisten und Lesen von Images ohne weitere Berechtigungen für das jeweilige Image. Wenn Sie diese Rolle auf Projektebene zuweisen, können Nutzer alle Images im Projekt auflisten sowie Ressourcen wie Instanzen und nichtflüchtige Speicher anhand der Images im Projekt erstellen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Rolle "Compute-Instanzadministrator" (Beta)
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Compute-Instanzadministrator (Beta) ( roles/ )
|
Berechtigungen zur Erstellung, Änderung und Löschen von VM-Instanzen. Dazu gehören auch Berechtigungen zum Erstellen, Ändern und Löschen von Laufwerken sowie zum Konfigurieren der Einstellungen für Shielded VM. Wenn der Nutzer VM-Instanzen verwaltet, die für die Ausführung als Dienstkonto konfiguriert sind, müssen Sie dem Nutzer auch die Rolle Wenn ein Mitarbeiter in Ihrem Unternehmen beispielsweise VM-Instanzgruppen, aber keine Netzwerk- oder Sicherheitseinstellungen und keine als Dienstkonto ausgeführten Instanzen verwaltet, können Sie diese Rolle der Organisation, dem Ordner oder dem Projekt mit den Instanzen oder den Instanzen selbst zuweisen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Rolle "Compute-Instanzadministrator" (v1)
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Compute-Instanzadministrator (Version 1) ( roles/ )
|
Vollständige Kontrolle über Compute Engine-Instanzen, Instanzgruppen, Laufwerke, Snapshots und Images. Lesezugriff auf alle Compute Engine-Netzwerkressourcen. Wenn Sie diese Rolle einem Nutzer nur auf Instanzebene gewähren, kann er keine neuen Instanzen erstellen. |
|
Rolle "Administrator für Compute-Load-Balancer"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Compute-Load-Balancer-Admin ( roles/ )
Beta
|
Berechtigungen zum Erstellen, Ändern und Löschen von Load-Balancern und zugehörigen Ressourcen Wenn Ihr Unternehmen beispielsweise ein Load-Balancing-Team hat, das Load-Balancer, SSL-Zertifikate für Load-Balancing-Module, SSL-Richtlinien und andere Load-Balancing-Ressourcen verwaltet, sowie ein separates Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie diese Rolle der Gruppe des Load-Balancing-Teams zu. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Rolle „Nutzer von Compute-Load-Balancer-Diensten“
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Nutzer von Compute-Load-Balancer-Diensten ( roles/ )
Beta
|
Berechtigungen zur Verwendung von Diensten eines Load-Balancers in anderen Projekten. |
|
Rolle "Compute-Netzwerkadministrator"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Compute-Netzwerkadministrator ( roles/ )
|
Berechtigungen zur Erstellung, Änderung und Löschen von Netzwerkressourcen mit Ausnahme von Firewallregeln und SSL-Zertifikaten. Die Rolle "Netzwerkadministrator" gewährt Lesezugriff auf Firewallregeln, SSL-Zertifikate und Instanzen für den Aufruf der zugehörigen sitzungsspezifischen IP-Adressen. Mit der Rolle "Netzwerkadministrator" können Nutzer keine Instanzen erstellen, starten, beenden oder löschen.
Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie diese Rolle der Gruppe des Netzwerkteams zu.
Wenn Sie ein kombiniertes Team haben, das sowohl Sicherheit als auch Netzwerke verwaltet, gewähren Sie diese Rolle sowie die Rolle
Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Rolle "Compute-Netzwerknutzer"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Compute-Netzwerknutzer ( roles/ )
|
Bietet Zugriff auf ein freigegebenes VPC-Netzwerk Nach der Zugriffserteilung können Dienstinhaber VPC-Netzwerke und Subnetze verwenden, die zum Hostprojekt gehören. Beispielsweise kann ein Netzwerknutzer eine VM-Instanz erstellen, die zu einem Hostprojekt-Netzwerk gehört, ohne jedoch im Hostprojekt neue Netzwerke löschen oder erstellen zu können. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Rolle "Compute-Netzwerkbetrachter"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Compute-Netzwerkbetrachter ( roles/ )
|
Lesezugriff auf alle Netzwerkressourcen Wenn Sie beispielsweise Software haben, die Ihre Netzwerkkonfiguration überprüft, können Sie diese Rolle dem Dienstkonto dieser Software zuweisen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Rolle „Administrator von Compute-Firewall-Richtlinien für die Organisation”
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Administrator von Compute-Firewall-Richtlinien für die Organisation ( roles/ )
|
Vollständige Kontrolle über Compute Engine-Firewall-Richtlinien für die Organisation. |
|
Rolle „Nutzer von Compute-Firewall-Richtlinien für die Organisation”
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Nutzer von Compute-Firewall-Richtlinien für die Organisation ( roles/ )
|
Aufruf oder Nutzung von Compute Engine-Firewall-Richtlinien zur Verknüpfung mit der Organisation oder Ordnern. |
|
Rolle "Administrator von Compute-Sicherheitsrichtlinien für die Organisation"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Administrator von Compute Engine-Sicherheitsrichtlinien für die Organisation ( roles/ )
|
Vollständige Kontrolle über Sicherheitsrichtlinien der Organisation in Compute Engine |
|
Rolle "Nutzer von Compute-Sicherheitsrichtlinien für die Organisation"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Nutzer von Compute Engine-Sicherheitsrichtlinien für die Organisation ( roles/ )
|
Aufruf oder Nutzung von Compute Engine-Sicherheitsrichtlinien zur Verknüpfung mit der Organisation oder Ordnern. |
|
Rolle "Administrator für Compute-Organisationsressourcen"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Administrator für Compute Engine-Organisationsressourcen ( roles/ )
|
Vollständige Kontrolle über Verknüpfungen von Compute Engine-Firewall-Richtlinien mit der Organisation oder Ordnern. |
|
Rolle "Compute OS-Administrator-Login"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Compute OS-Administrator-Login ( roles/ )
|
Ermöglicht Anmeldung bei einer Compute Engine-Instanz als Administrator. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Rolle "Compute OS-Log-in"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Compute OS Login ( roles/ )
|
Anmeldung als Standardnutzer in einer Compute Engine-Instanz Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Rolle "Externer Nutzer von Compute OS-Log-in"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Compute OS Login für externen Nutzer ( roles/ )
|
Nur auf Organisationsebene verfügbar. Ermöglicht den Zugriff für einen externen Nutzer, um die OS-Login-Informationen der Organisation festzulegen. Diese Rolle berechtigt nicht zum Zugriff auf Instanzen. Externen Nutzern muss eine der erforderlichen OS Login-Rollen zugewiesen werden, damit auf Instanzen mit SSH zugegriffen werden kann. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Rolle "Administrator der Compute-Paketspiegelung"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Administrator der Compute-Paketspiegelung ( roles/ )
|
Gibt zu spiegelnde Ressourcen an. |
|
Rolle "Nutzer der Compute-Paketspiegelung"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Nutzer der Compute-Paketspiegelung ( roles/ )
|
Verwendet Compute Engine-Paketspiegelungen. |
|
Rolle "Compute Public-IP-Administrator"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Administrator öffentlicher IP-Adressen für Compute Engine ( roles/ )
|
Vollständige Kontrolle der öffentlichen IP-Adressverwaltung für Compute Engine. |
|
Rolle "Compute-Sicherheitsadministrator"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Compute-Sicherheitsadministrator ( roles/ )
|
Berechtigungen zum Erstellen, Ändern und Löschen von Firewallregeln und SSL-Zertifikaten sowie zum Konfigurieren der Einstellungen von Shielded VM. Wenn Ihr Unternehmen beispielsweise ein Sicherheitsteam hat, das Firewalls und SSL-Zertifikate verwaltet, sowie ein Netzwerkteam, das die übrigen Netzwerkressourcen verwaltet, weisen Sie diese Rolle der Gruppe des Sicherheitsteams zu. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Rolle „Betrachter einzelner Mandanten“
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Betrachter einzelner Compute-Mandanten ( roles/ )
Beta
|
Berechtigungen zum Aufrufen von Knotengruppen für einzelne Mandanten |
|
Rolle "Compute Storage-Administrator"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Compute Storage-Administrator ( roles/ )
|
Berechtigungen zum Erstellen, Ändern und Löschen von Festplatten, Images und Snapshots. Wenn in Ihrem Unternehmen beispielsweise ein Mitarbeiter Projekt-Images verwaltet und Sie nicht möchten, dass er die Bearbeiterrolle für das Projekt hat, weisen Sie diese Rolle seinem Konto für das Projekt zu. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Rolle "Compute-Betrachter"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Compute-Betrachter ( roles/ )
|
Lesezugriff zum Abrufen und Auflisten von Compute Engine-Ressourcen, aber ohne die Möglichkeit, die darin gespeicherten Daten zu lesen. Ein Konto mit dieser Rolle kann beispielsweise zwar alle Laufwerke in einem Projekt inventarisieren, aber keine Daten auf diesen Laufwerken lesen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Rolle "Administrator für freigegebene Compute-VPC"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Administrator für freigegebene Compute-VPC ( roles/ )
|
Berechtigung zum Verwalten freigegebener VPC-Hostprojekte, insbesondere die Aktivierung der Hostprojekte und die Verknüpfung freigegebener VPC-Dienstprojekte mit dem Netzwerk des Hostprojekts Auf Organisationsebene kann diese Rolle nur von einem Organisationsadministrator zugewiesen werden.
Google Cloud empfiehlt, dass der Administrator für freigegebene VPCs der Inhaber des Hostprojekts einer freigegebenen VPC ist. Der Administrator für freigegebene VPCs ist für die Zuweisung der Rolle "Compute-Netzwerknutzer" ( Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Rolle "GuestPolicy-Administrator"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
GuestPolicy-Administrator ( roles/ )
Beta
|
Vollständiger Administratorzugriff auf GuestPolicies |
|
Rolle "GuestPolicy-Bearbeiter"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
GuestPolicy-Bearbeiter ( roles/ )
Beta
|
GuestPolicy-Ressourcen-Bearbeiter |
|
Rolle "GuestPolicy-Betrachter"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
GuestPolicy-Betrachter ( roles/ )
Beta
|
Betrachter von GuestPolicy-Ressourcen |
|
Rolle "InstanceOSPoliciesCompliance-Betrachter"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
InstanceOSPoliciesCompliance-Betrachter ( roles/ )
Beta
|
Betrachter der Betriebssystemrichtlinien-Compliance von VM-Instanzen |
|
Rolle „Betrachter von Betriebssysteminventaren“
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Betrachter von Betriebssysteminventaren ( roles/ )
|
Betrachter von Betriebssysteminventaren |
|
Rolle "OSPolicyAssignment-Administrator"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
OSPolicyAssignment-Administrator ( roles/ )
|
Vollständiger Administratorzugriff auf Zuweisungen von Betriebssystemrichtlinien |
|
Rolle "OSPolicyAssignment-Bearbeiter"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
OSPolicyAssignment-Bearbeiter ( roles/ )
|
Bearbeiter von Zuweisungen von Betriebssystemrichtlinien |
|
Rolle „OSPolicyAssignmentReport-Betrachter“
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
OSPolicyAssignmentReport-Betrachter ( roles/ )
|
Betrachter von Berichten zur Zuweisung von Betriebssystemrichtlinien für VM-Instanzen |
|
Rolle "OSPolicyAssignment-Betrachter"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
OSPolicyAssignment-Betrachter ( roles/ )
|
Betrachter von Zuweisungen von Betriebssystemrichtlinien |
|
Rolle "PatchDeployment-Administrator"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
PatchDeployment-Administrator ( roles/ )
|
Vollständiger Administratorzugriff auf PatchDeployments |
|
Rolle "PatchDeployment-Betrachter"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
PatchDeployment-Betrachter ( roles/ )
|
Betrachter von PatchDeployment-Ressourcen |
|
Rolle "Patch-Job-Executor"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Patch-Job-Executor ( roles/ )
|
Zugriff zum Ausführen von Patch-Jobs |
|
Rolle "Patch-Job-Betrachter"
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Patch-Job-Betrachter ( roles/ )
|
Abrufen und Auflisten von Patch-Jobs |
|
Rolle „Betrachter des VulnerabilityReports des Betriebssystems“
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
Betrachter von Betriebssystem-VulnerabilityReports ( roles/ )
|
Betrachter von Betriebssystem-VulnerabilityReports |
|
DNS-Administrator-Rolle
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
DNS-Administrator ( roles/ )
|
Lese- und Schreibzugriff auf alle Cloud DNS-Ressourcen Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
DNS-Peer-Rolle
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
DNS-Peer ( roles/ )
|
Zugriff auf Zielnetzwerke mit DNS-Peering-Zonen |
|
DNS-Leser-Rolle
Titel und Name | Beschreibung | Berechtigungen |
---|---|---|
DNS-Leser ( roles/ )
|
Lesezugriff auf alle Cloud DNS-Ressourcen Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:
|
|
Service Account Admin role
Title and name | Description | Permissions |
---|---|---|
Service Account Admin ( roles/ )
|
Create and manage service accounts.
Lowest-level resources where you can grant this role:
|
|
Create Service Accounts role
Title and name | Description | Permissions |
---|---|---|
Create Service Accounts ( roles/ )
|
Access to create service accounts. |
|
Delete Service Accounts role
Title and name | Description | Permissions |
---|---|---|
Delete Service Accounts ( roles/ )
|
Access to delete service accounts. |
|
Service Account Key Admin role
Title and name | Description | Permissions |
---|---|---|
Service Account Key Admin ( roles/ )
|
Create and manage (and rotate) service account keys.
Lowest-level resources where you can grant this role:
|
|
Service Account Token Creator role
Title and name | Description | Permissions |
---|---|---|
Service Account Token Creator ( roles/ )
|
Impersonate service accounts (create OAuth2 access tokens, sign blobs or JWTs, etc).
Lowest-level resources where you can grant this role:
|
|
Service Account User role
Title and name | Description | Permissions |
---|---|---|
Service Account User ( roles/ )
|
Run operations as the service account.
Lowest-level resources where you can grant this role:
|
|
View Service Accounts role
Title and name | Description | Permissions |
---|---|---|
View Service Accounts ( roles/ )
|
Read access to service accounts, metadata, and keys. |
|
Workload Identity User role
Title and name | Description | Permissions |
---|---|---|
Workload Identity User ( roles/ )
|
Impersonate service accounts from GKE Workloads |
|
Nächste Schritte
- Mehr über IAM erfahren
- Benutzerdefinierte IAM-Rollen erstellen und verwalten
- Projektnutzern IAM-Rollen zuweisen
- IAM-Rollen für bestimmte Compute Engine-Ressourcen zuweisen
- Neues Dienstkonto erstellen