Compute Engine nutzt einen speziellen Satz von IAM-Rollen (Identity and Access Management).
Jede vordefinierte Rolle enthält eine Reihe von Berechtigungen.
Wenn Sie ein neues Mitglied in Ihr Projekt aufnehmen, können Sie diesem Mitglied mithilfe einer IAM-Richtlinie eine oder mehrere IAM-Rollen zuweisen. Jede IAM-Rolle enthält Berechtigungen, die dem Mitglied Zugriff auf bestimmte Ressourcen gewähren.
Informationen zum Festlegen von Richtlinien auf Projektebene finden Sie in der IAM-Dokumentation unter Zugriff auf Ressourcen erteilen, ändern und entziehen. Informationen zum Festlegen von Richtlinien für Compute Engine-Ressourcen finden Sie unter Zugriff auf Ressourcen gewähren.
Wie Sie einem Compute Engine-Dienstkonto Rollen zuweisen, erfahren Sie unter Dienstkonten für Instanzen erstellen und aktivieren. Weitere Informationen hierzu finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.
Vorbereitung
Was ist IAM?
Mit IAM für die Google Cloud Platform können Sie den Zugriff auf bestimmte Google Cloud Platform-Ressourcen noch genauer steuern. Außerdem wird der unerwünschte Zugriff auf andere Ressourcen verhindert.
Durch IAM haben Sie die Möglichkeit, den Grundsatz der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.
Durch das Festlegen von IAM-Richtlinien können Sie steuern, wer (Identität) welche Berechtigungen (Rollen) für welche Ressourcen hat. Anhand von IAM-Richtlinien werden einem Projektmitglied bestimmte Rollen zugewiesen, mit denen wiederum bestimmte Berechtigungen verknüpft sind. Sie können beispielsweise für eine bestimmte Ressource, sagen wir ein Projekt, die Rolle roles/compute.networkAdmin einem Google-Konto zuweisen. Mit diesem Konto lassen sich dann netzwerkbezogene Ressourcen im Projekt verwalten, jedoch keine anderen Ressourcen wie Instanzen und Laufwerke. Mit IAM können Sie auch die GCP Console-Legacy-Rollen verwalten, die Projektteammitgliedern gewährt wurden.
Vordefinierte Compute Engine-Rollen
Bei IAM muss für jede API-Methode in Compute Engine die Identität, die die API-Anfrage stellt, die entsprechenden Berechtigungen zur Verwendung der Ressource haben.
Berechtigungen werden durch Festlegen von Richtlinien erteilt, die einem Mitglied (Benutzer, Gruppe oder Dienstkonto) Ihres Projekts Rollen zuweisen.
Neben den Legacy-Rollen (Betrachter, Bearbeiter und Inhaber) und benutzerdefinierten Rollen können Sie den Mitgliedern Ihres Projekts die unten beschriebenen vordefinierten Compute Engine-Rollen zuweisen.
Sie können einem Projektmitglied mehrere Rollen für dieselbe Ressource zuweisen. Wenn Ihr Netzwerkteam beispielsweise auch Firewallregeln verwaltet, können Sie der Google-Gruppe des Netzwerkteams sowohl roles/compute.networkAdmin als auch roles/compute.securityAdmin zuweisen.
In den folgenden Tabellen werden die vordefinierten IAM-Rollen von Compute Engine sowie die in den einzelnen Rollen enthaltenen Berechtigungen beschrieben. Jede Rolle enthält eine Reihe von Berechtigungen, die für eine bestimmte Aufgabe geeignet sind. Durch die ersten beiden Rollen werden Berechtigungen zur Verwaltung von Instanzen gewährt, die netzwerkbezogenen Rollen gewähren Berechtigungen zur Verwaltung von netzwerkbezogenen Ressourcen und die Sicherheitsrolle gewährt Berechtigungen zur Verwaltung sicherheitsbezogener Ressourcen, wie Firewalls und SSL-Zertifikate.
Compute Admin role
| Name |
Description |
Permissions |
roles/
compute.admin
|
Full control of all Compute Engine resources.
If the user will be managing virtual machine instances that are configured
to run as a service account, you must also grant the
roles/iam.serviceAccountUser role.
|
compute.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Image User role
| Name |
Description |
Permissions |
roles/
compute.imageUser
|
Permission to list and read images without having other permissions on the
image. Granting the compute.imageUser role at the project level
gives users the ability to list all images in the project and create
resources, such as instances and persistent disks, based on images in the
project.
|
compute.images.getcompute.images.getFromFamilycompute.images.listcompute.images.useReadOnlyresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Instance Admin (beta) role
| Name |
Description |
Permissions |
roles/
compute.instanceAdmin
|
Permissions to create, modify, and delete virtual machine instances.
This includes permissions to create, modify, and delete disks, and also to
configure Shielded VMBETA
settings.
If the user will be managing virtual machine instances that are configured
to run as a service account, you must also grant the
roles/iam.serviceAccountUser role.
For example, if your company has someone who manages groups of virtual
machine instances but does not manage network or security settings and
does not manage instances that run as service accounts, you can grant this
role on the organization, folder, or project that contains the instances,
or you can grant it on individual instances.
|
compute.acceleratorTypes.*compute.addresses.getcompute.addresses.listcompute.addresses.usecompute.autoscalers.*compute.diskTypes.*compute.disks.createcompute.disks.createSnapshotcompute.disks.deletecompute.disks.getcompute.disks.listcompute.disks.resizecompute.disks.setLabelscompute.disks.updatecompute.disks.usecompute.disks.useReadOnlycompute.globalAddresses.getcompute.globalAddresses.listcompute.globalAddresses.usecompute.globalOperations.getcompute.globalOperations.listcompute.images.getcompute.images.getFromFamilycompute.images.listcompute.images.useReadOnlycompute.instanceGroupManagers.*compute.instanceGroups.*compute.instanceTemplates.*compute.instances.*compute.licenses.getcompute.licenses.listcompute.machineTypes.*compute.networkEndpointGroups.*compute.networks.getcompute.networks.listcompute.networks.usecompute.networks.useExternalIpcompute.projects.getcompute.regionOperations.getcompute.regionOperations.listcompute.regions.*compute.reservations.getcompute.reservations.listcompute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.usecompute.subnetworks.useExternalIpcompute.targetPools.getcompute.targetPools.listcompute.zoneOperations.getcompute.zoneOperations.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Instance Admin (v1) role
| Name |
Description |
Permissions |
roles/
compute.instanceAdmin.v1
|
Full control of Compute Engine instances, instance groups, disks, snapshots, and images.
Read access to all Compute Engine networking resources.
If you grant a user this role only at an instance level, then that user cannot create new instances.
|
compute.acceleratorTypes.*compute.addresses.getcompute.addresses.listcompute.addresses.usecompute.autoscalers.*compute.backendBuckets.getcompute.backendBuckets.listcompute.backendServices.getcompute.backendServices.listcompute.diskTypes.*compute.disks.*compute.externalVpnGateways.getcompute.externalVpnGateways.listcompute.firewalls.getcompute.firewalls.listcompute.forwardingRules.getcompute.forwardingRules.listcompute.globalAddresses.getcompute.globalAddresses.listcompute.globalAddresses.usecompute.globalForwardingRules.getcompute.globalForwardingRules.listcompute.globalOperations.getcompute.globalOperations.listcompute.healthChecks.getcompute.healthChecks.listcompute.httpHealthChecks.getcompute.httpHealthChecks.listcompute.httpsHealthChecks.getcompute.httpsHealthChecks.listcompute.images.*compute.instanceGroupManagers.*compute.instanceGroups.*compute.instanceTemplates.*compute.instances.*compute.interconnectAttachments.getcompute.interconnectAttachments.listcompute.interconnectLocations.*compute.interconnects.getcompute.interconnects.listcompute.licenseCodes.*compute.licenses.*compute.machineTypes.*compute.networkEndpointGroups.*compute.networks.getcompute.networks.listcompute.networks.usecompute.networks.useExternalIpcompute.projects.getcompute.projects.setCommonInstanceMetadatacompute.regionBackendServices.getcompute.regionBackendServices.listcompute.regionOperations.getcompute.regionOperations.listcompute.regions.*compute.reservations.getcompute.reservations.listcompute.resourcePolicies.*compute.routers.getcompute.routers.listcompute.routes.getcompute.routes.listcompute.snapshots.*compute.sslCertificates.getcompute.sslCertificates.listcompute.sslPolicies.getcompute.sslPolicies.listcompute.sslPolicies.listAvailableFeaturescompute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.usecompute.subnetworks.useExternalIpcompute.targetHttpProxies.getcompute.targetHttpProxies.listcompute.targetHttpsProxies.getcompute.targetHttpsProxies.listcompute.targetInstances.getcompute.targetInstances.listcompute.targetPools.getcompute.targetPools.listcompute.targetSslProxies.getcompute.targetSslProxies.listcompute.targetTcpProxies.getcompute.targetTcpProxies.listcompute.targetVpnGateways.getcompute.targetVpnGateways.listcompute.urlMaps.getcompute.urlMaps.listcompute.vpnGateways.getcompute.vpnGateways.listcompute.vpnTunnels.getcompute.vpnTunnels.listcompute.zoneOperations.getcompute.zoneOperations.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Load Balancer Admin role
| Name |
Description |
Permissions |
roles/
compute.loadBalancerAdmin
Beta
|
Permissions to create, modify, and delete load balancers and associate
resources.
For example, if your company has a load balancing team that manages load
balancers, SSL certificates for load balancers, SSL policies, and other
load balancing resources, and a separate networking team that manages
the rest of the networking resources, then grant the load balancing
team's group the loadBalancerAdmin role.
|
compute.addresses.*compute.backendBuckets.*compute.backendServices.*compute.forwardingRules.*compute.globalAddresses.*compute.globalForwardingRules.*compute.healthChecks.*compute.httpHealthChecks.*compute.httpsHealthChecks.*compute.instanceGroups.*compute.instances.getcompute.instances.listcompute.instances.usecompute.networkEndpointGroups.*compute.networks.getcompute.networks.listcompute.networks.usecompute.projects.getcompute.regionBackendServices.*compute.securityPolicies.getcompute.securityPolicies.listcompute.securityPolicies.usecompute.sslCertificates.*compute.sslPolicies.*compute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.usecompute.targetHttpProxies.*compute.targetHttpsProxies.*compute.targetInstances.*compute.targetPools.*compute.targetSslProxies.*compute.targetTcpProxies.*compute.urlMaps.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Network Admin role
| Name |
Description |
Permissions |
roles/
compute.networkAdmin
|
Permissions to create, modify, and delete networking resources,
except for firewall rules and SSL certificates. The network admin role
allows read-only access to firewall rules, SSL certificates, and instances
(to view their ephemeral IP addresses). The network admin role does not
allow a user to create, start, stop, or delete instances.
For example, if your company has a security team that manages firewalls
and SSL certificates and a networking team that manages the rest of the
networking resources, then grant the networking team's group the
networkAdmin role.
|
compute.addresses.*compute.autoscalers.getcompute.autoscalers.listcompute.backendBuckets.*compute.backendServices.*compute.externalVpnGateways.*compute.firewalls.getcompute.firewalls.listcompute.forwardingRules.*compute.globalAddresses.*compute.globalForwardingRules.*compute.globalOperations.getcompute.globalOperations.listcompute.healthChecks.*compute.httpHealthChecks.*compute.httpsHealthChecks.*compute.instanceGroupManagers.getcompute.instanceGroupManagers.listcompute.instanceGroupManagers.updatecompute.instanceGroupManagers.usecompute.instanceGroups.getcompute.instanceGroups.listcompute.instanceGroups.updatecompute.instanceGroups.usecompute.instances.getcompute.instances.getGuestAttributescompute.instances.getSerialPortOutputcompute.instances.listcompute.instances.listReferrerscompute.instances.usecompute.interconnectAttachments.*compute.interconnectLocations.*compute.interconnects.*compute.networkEndpointGroups.getcompute.networkEndpointGroups.listcompute.networkEndpointGroups.usecompute.networks.*compute.projects.getcompute.regionBackendServices.*compute.regionOperations.getcompute.regionOperations.listcompute.regions.*compute.routers.*compute.routes.*compute.securityPolicies.getcompute.securityPolicies.listcompute.securityPolicies.usecompute.sslCertificates.getcompute.sslCertificates.listcompute.sslPolicies.*compute.subnetworks.*compute.targetHttpProxies.*compute.targetHttpsProxies.*compute.targetInstances.*compute.targetPools.*compute.targetSslProxies.*compute.targetTcpProxies.*compute.targetVpnGateways.*compute.urlMaps.*compute.vpnGateways.*compute.vpnTunnels.*compute.zoneOperations.getcompute.zoneOperations.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listservicenetworking.operations.getservicenetworking.services.addPeeringservicenetworking.services.getserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Network User role
| Name |
Description |
Permissions |
roles/
compute.networkUser
|
Provides access to a shared VPC network
Once granted, service owners can use VPC networks and subnets that belong
to the host project. For example, a network user can create a VM instance
that belongs to a host project network but they cannot delete or create
new networks in the host project.
|
compute.addresses.createInternalcompute.addresses.deleteInternalcompute.addresses.getcompute.addresses.listcompute.addresses.useInternalcompute.externalVpnGateways.getcompute.externalVpnGateways.listcompute.externalVpnGateways.usecompute.firewalls.getcompute.firewalls.listcompute.interconnectAttachments.getcompute.interconnectAttachments.listcompute.interconnectLocations.*compute.interconnects.getcompute.interconnects.listcompute.interconnects.usecompute.networks.getcompute.networks.listcompute.networks.usecompute.networks.useExternalIpcompute.projects.getcompute.regions.*compute.routers.getcompute.routers.listcompute.routes.getcompute.routes.listcompute.subnetworks.getcompute.subnetworks.listcompute.subnetworks.usecompute.subnetworks.useExternalIpcompute.targetVpnGateways.getcompute.targetVpnGateways.listcompute.vpnGateways.getcompute.vpnGateways.listcompute.vpnGateways.usecompute.vpnTunnels.getcompute.vpnTunnels.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listservicenetworking.services.getserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Network Viewer role
| Name |
Description |
Permissions |
roles/
compute.networkViewer
|
Read-only access to all networking resources
For example, if you have software that inspects your network
configuration, you could grant that software's service account the
networkViewer role.
|
compute.addresses.getcompute.addresses.listcompute.autoscalers.getcompute.autoscalers.listcompute.backendBuckets.getcompute.backendBuckets.listcompute.backendServices.getcompute.backendServices.listcompute.firewalls.getcompute.firewalls.listcompute.forwardingRules.getcompute.forwardingRules.listcompute.globalAddresses.getcompute.globalAddresses.listcompute.globalForwardingRules.getcompute.globalForwardingRules.listcompute.healthChecks.getcompute.healthChecks.listcompute.httpHealthChecks.getcompute.httpHealthChecks.listcompute.httpsHealthChecks.getcompute.httpsHealthChecks.listcompute.instanceGroupManagers.getcompute.instanceGroupManagers.listcompute.instanceGroups.getcompute.instanceGroups.listcompute.instances.getcompute.instances.getGuestAttributescompute.instances.getSerialPortOutputcompute.instances.listcompute.instances.listReferrerscompute.interconnectAttachments.getcompute.interconnectAttachments.listcompute.interconnectLocations.*compute.interconnects.getcompute.interconnects.listcompute.networks.getcompute.networks.listcompute.projects.getcompute.regionBackendServices.getcompute.regionBackendServices.listcompute.regions.*compute.routers.getcompute.routers.listcompute.routes.getcompute.routes.listcompute.sslCertificates.getcompute.sslCertificates.listcompute.sslPolicies.getcompute.sslPolicies.listcompute.sslPolicies.listAvailableFeaturescompute.subnetworks.getcompute.subnetworks.listcompute.targetHttpProxies.getcompute.targetHttpProxies.listcompute.targetHttpsProxies.getcompute.targetHttpsProxies.listcompute.targetInstances.getcompute.targetInstances.listcompute.targetPools.getcompute.targetPools.listcompute.targetSslProxies.getcompute.targetSslProxies.listcompute.targetTcpProxies.getcompute.targetTcpProxies.listcompute.targetVpnGateways.getcompute.targetVpnGateways.listcompute.urlMaps.getcompute.urlMaps.listcompute.vpnGateways.getcompute.vpnGateways.listcompute.vpnTunnels.getcompute.vpnTunnels.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listservicenetworking.services.getserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Organization Security Policy Admin role
| Name |
Description |
Permissions |
roles/
compute.orgSecurityPolicyAdmin
Beta
|
Full control of Compute Engine Organization Security Policies.
|
compute.globalOperations.getcompute.globalOperations.getIamPolicycompute.globalOperations.listcompute.globalOperations.setIamPolicycompute.projects.getcompute.securityPolicies.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Organization Security Policy User role
| Name |
Description |
Permissions |
roles/
compute.orgSecurityPolicyUser
Beta
|
View or use Compute Engine Security Policies to associate with the organization or folders.
|
compute.globalOperations.getcompute.globalOperations.getIamPolicycompute.globalOperations.listcompute.globalOperations.setIamPolicycompute.projects.getcompute.securityPolicies.getcompute.securityPolicies.listcompute.securityPolicies.useresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Organization Resource Admin role
| Name |
Description |
Permissions |
roles/
compute.orgSecurityResourceAdmin
Beta
|
Full control of Compute Engine Security Policy associations to the organization or folders.
|
compute.globalOperations.getcompute.globalOperations.getIamPolicycompute.globalOperations.listcompute.globalOperations.setIamPolicycompute.projects.getresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute OS Admin Login role
| Name |
Description |
Permissions |
roles/
compute.osAdminLogin
|
Access to log in to a Compute Engine instance as an administrator
user.
|
compute.instances.getcompute.instances.listcompute.instances.osAdminLogincompute.instances.osLogincompute.projects.getresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute OS Login role
| Name |
Description |
Permissions |
roles/
compute.osLogin
|
Access to log in to a Compute Engine instance as a standard user.
|
compute.instances.getcompute.instances.listcompute.instances.osLogincompute.projects.getresourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute OS Login External User role
| Name |
Description |
Permissions |
roles/
compute.osLoginExternalUser
|
Available only at the organization level.
Access for an external user to set OS Login information associated with
this organization. This role does not grant access to instances. External
users must be granted one of the required
OS Login roles
in order to allow access to instances using SSH.
|
|
Compute Security Admin role
| Name |
Description |
Permissions |
roles/
compute.securityAdmin
|
Permissions to create, modify, and delete firewall rules and SSL
certificates, and also to
configure Shielded VMBETA
settings.
For example, if your company has a security team that manages firewalls
and SSL certificates and a networking team that manages the rest of the
networking resources, then grant the security team's group the
securityAdmin role.
|
compute.firewalls.*compute.globalOperations.getcompute.globalOperations.listcompute.instances.setShieldedInstanceIntegrityPolicycompute.instances.setShieldedVmIntegrityPolicycompute.instances.updateShieldedInstanceConfigcompute.instances.updateShieldedVmConfigcompute.networks.getcompute.networks.listcompute.networks.updatePolicycompute.projects.getcompute.regionOperations.getcompute.regionOperations.listcompute.regions.*compute.routes.getcompute.routes.listcompute.securityPolicies.*compute.sslCertificates.*compute.sslPolicies.*compute.subnetworks.getcompute.subnetworks.listcompute.zoneOperations.getcompute.zoneOperations.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Storage Admin role
| Name |
Description |
Permissions |
roles/
compute.storageAdmin
|
Permissions to create, modify, and delete disks, images, and snapshots.
For example, if your company has someone who manages project images and
you don't want them to have the editor role on the project, then grant
their account the storageAdmin role on the project.
|
compute.diskTypes.*compute.disks.*compute.globalOperations.getcompute.globalOperations.listcompute.images.*compute.licenseCodes.*compute.licenses.*compute.projects.getcompute.regionOperations.getcompute.regionOperations.listcompute.regions.*compute.resourcePolicies.*compute.snapshots.*compute.zoneOperations.getcompute.zoneOperations.listcompute.zones.*resourcemanager.projects.getresourcemanager.projects.listserviceusage.quotas.getserviceusage.services.getserviceusage.services.list
|
Compute Viewer role
Compute Shared VPC Admin role
| Name |
Description |
Permissions |
roles/
compute.xpnAdmin
|
Permissions to administer shared VPC host projects,
specifically enabling the host projects and associating shared VPC service projects to the host
project's network.
This role can only be granted on the organization by an organization
admin.
Google Cloud Platform recommends that the Shared VPC Admin be the owner of the shared VPC host
project. The Shared VPC Admin is responsible for granting the compute.networkUser role
to service owners, and the shared VPC host project owner controls the project itself. Managing the
project is easier if a single principal (individual or group) can fulfill both roles.
|
compute.globalOperations.getcompute.globalOperations.listcompute.organizations.*compute.projects.getcompute.subnetworks.getIamPolicycompute.subnetworks.setIamPolicyresourcemanager.organizations.getresourcemanager.projects.getresourcemanager.projects.getIamPolicyresourcemanager.projects.list
|
DNS-Administrator-Rolle
| Name |
Beschreibung |
Berechtigungen |
roles/
dns.admin
|
Lese- und Schreibzugriff auf alle Cloud DNS-Ressourcen
|
compute.networks.getcompute.networks.listdns.changes.*dns.dnsKeys.*dns.managedZoneOperations.*dns.managedZones.*dns.networks.*dns.policies.createdns.policies.deletedns.policies.getdns.policies.listdns.policies.updatedns.projects.*dns.resourceRecordSets.*resourcemanager.projects.getresourcemanager.projects.list
|
DNS-Peer-Rolle
| Name |
Beschreibung |
Permissions |
roles/
dns.peer
Beta
|
Zugriff auf Zielnetzwerke mit DNS-Peering-Zonen
|
dns.networks.targetWithPeeringZone
|
DNS-Leser-Rolle
| Name |
Beschreibung |
Berechtigungen |
roles/
dns.reader
|
Lesezugriff auf alle Cloud DNS-Ressourcen
|
compute.networks.getdns.changes.getdns.changes.listdns.dnsKeys.*dns.managedZoneOperations.*dns.managedZones.getdns.managedZones.listdns.policies.getdns.policies.listdns.projects.*dns.resourceRecordSets.listresourcemanager.projects.getresourcemanager.projects.list
|
Rolle "Dienstkonto-Administrator"
| Name |
Beschreibung |
Berechtigungen |
roles/
iam.serviceAccountAdmin
|
Dienstkonten erstellen und verwalten
|
iam.serviceAccounts.createiam.serviceAccounts.deleteiam.serviceAccounts.getiam.serviceAccounts.getIamPolicyiam.serviceAccounts.listiam.serviceAccounts.setIamPolicyiam.serviceAccounts.updateresourcemanager.projects.getresourcemanager.projects.list
|
Rolle "Dienstkonten erstellen"
| Name |
Beschreibung |
Berechtigungen |
roles/
iam.serviceAccountCreator
|
Kann Dienstkonten erstellen.
|
iam.serviceAccounts.createiam.serviceAccounts.getiam.serviceAccounts.listresourcemanager.projects.getresourcemanager.projects.list
|
Rolle "Dienstkonten löschen"
| Name |
Beschreibung |
Berechtigungen |
roles/
iam.serviceAccountDeleter
|
Zugriff zum Löschen von Dienstkonten.
|
iam.serviceAccounts.deleteiam.serviceAccounts.getiam.serviceAccounts.listresourcemanager.projects.getresourcemanager.projects.list
|
Rolle "Dienstkontoschlüssel-Administrator"
| Name |
Beschreibung |
Berechtigungen |
roles/
iam.serviceAccountKeyAdmin
|
Dienstkontoschlüssel erstellen und verwalten (und rotieren)
|
iam.serviceAccountKeys.*iam.serviceAccounts.getiam.serviceAccounts.listresourcemanager.projects.getresourcemanager.projects.list
|
Rolle "Dienstkonto-Token-Ersteller"
| Name |
Beschreibung |
Berechtigungen |
roles/
iam.serviceAccountTokenCreator
|
Identität von Dienstkonten übernehmen (OAuth2-Zugriffstoken erstellen, Blobs oder JWTs signieren usw.).
|
iam.serviceAccounts.getiam.serviceAccounts.getAccessTokeniam.serviceAccounts.implicitDelegationiam.serviceAccounts.listiam.serviceAccounts.signBlobiam.serviceAccounts.signJwtresourcemanager.projects.getresourcemanager.projects.list
|
Rolle "Dienstkontonutzer"
| Name |
Beschreibung |
Berechtigungen |
roles/
iam.serviceAccountUser
|
Vorgänge als Dienstkonto ausführen
|
iam.serviceAccounts.actAsiam.serviceAccounts.getiam.serviceAccounts.listresourcemanager.projects.getresourcemanager.projects.list
|
Workload Identity-Nutzerrolle
| Name |
Beschreibung |
Permissions |
roles/
iam.workloadIdentityUser
|
Identität von Dienstkonten von GKE-Arbeitslasten übernehmen
|
iam.serviceAccounts.getiam.serviceAccounts.getAccessTokeniam.serviceAccounts.list
|
Rolle "serviceAccountUser"
Wenn einem Mitglied diese Rolle zusammen mit roles/compute.instanceAdmin.v1 gewährt wird, verleiht roles/iam.serviceAccountUser Mitgliedern die Möglichkeit, Instanzen, die ein Dienstkonto verwenden, zu erstellen und zu verwalten. Durch die Kombination von roles/iam.serviceAccountUser und roles/compute.instanceAdmin.v1 erhalten Mitglieder im Einzelnen folgende Berechtigungen:
- Instanz erstellen, die als Dienstkonto ausgeführt wird.
- Nichtflüchtigen Speicher zu einer Instanz hinzufügen, die als Dienstkonto ausgeführt wird.
- Instanzmetadaten für eine Instanz festlegen, die als Dienstkonto ausgeführt wird.
- SSH verwenden, um eine Verbindung zu einer Instanz herzustellen, die als Dienstkonto ausgeführt wird.
- Instanz neu konfigurieren, sodass sie als Dienstkonto ausgeführt wird.
roles/iam.serviceAccountUser kann auf zwei Arten zugewiesen werden:
[Empfohlen] Weisen Sie einem Mitglied die Rolle für ein bestimmtes Dienstkonto zu.
So erhält das Mitglied Zugriff auf das Dienstkonto, bei dem es als iam.serviceAccountUser angemeldet ist, kann aber nicht auf Dienstkonten zugreifen, bei denen es nicht als iam.serviceAccountUser angemeldet ist.
Gewähren Sie einem Mitglied die Rolle auf Projektebene. Das Mitglied kann auf alle Dienstkonten in dem Projekt zugreifen, darunter auch Dienstkonten, die erst zukünftig erstellt werden.
Wenn Sie sich nicht mit Dienstkonten auskennen, können Sie hier mehr erfahren.
Als "instanceAdmin" eine Verbindung zu einer Instanz herstellen
Nachdem Sie einem Projektmitglied die Rolle roles/compute.instanceAdmin.v1 zugewiesen haben, kann es über standardmäßige Google Cloud Platform-Tools wie das gcloud-Tool oder SSH über den Browser Verbindungen zu VM-Instanzen herstellen.
Wenn ein Mitglied das gcloud-Befehlszeilentool oder SSH über den Browser verwendet, wird von den Tools automatisch ein Paar aus öffentlichem/privatem Schlüssel generiert und der öffentliche Schlüssel den Projektmetadaten hinzugefügt. Falls das Mitglied nicht zur Bearbeitung der Projektmetadaten berechtigt ist, fügt das Tool den öffentlichen Schlüssel stattdessen den Instanzmetadaten hinzu.
Verfügt das Mitglied bereits über ein Schlüsselpaar, das es verwenden möchte, kann es seinen öffentlichen Schlüssel manuell den Instanzmetadaten hinzufügen.
Hier erfahren Sie mehr über das Hinzufügen und Entfernen von SSH-Schlüsseln aus einer Instanz.
IAM mit Dienstkonten
Durch die Erstellung neuer benutzerdefinierter Dienstkonten und die Zuweisung von IAM-Rollen zu Dienstkonten haben Sie die Möglichkeit, den Zugriff auf Ihre Instanzen zu beschränken. Wenn Sie IAM-Rollen mit benutzerdefinierten Dienstkonten verwenden, können Sie die folgenden Schritte ausführen:
- Den Zugriff Ihrer Instanzen auf Cloud Platform-APIs beschränken, die detaillierte IAM-Rollen verwenden
- Jeder Instanz oder jeder Gruppe von Instanzen eine eindeutige Identität verleihen
- Den Zugriff auf Ihr Standarddienstkonto beschränken
Hier erfahren Sie mehr über Dienstkonten.
Verwaltete Instanzgruppen und IAM
Verwaltete Instanzgruppen sind Ressourcen, die ohne direkte Nutzerinteraktion Vorgänge in Ihrem Namen ausführen. Dies gilt insbesondere, wenn sie so konfiguriert sind, dass sie automatisch skaliert werden. Verwaltete Instanzgruppen verwenden eine Dienstkontoidentität, um Instanzen in der Instanzgruppe zu erstellen, zu löschen und zu verwalten. Mehr erfahren Sie in der Dokumentation zu
verwalteten Instanzgruppen und IAM.
Nicht unterstützte Vorgänge
Sie können keinen Zugriff gewähren, um mit IAM-Rollen Rolling Updates für Instanzgruppen auszuführen.
Verwenden Sie die umfassenderen Rollen "Inhaber", "Bearbeiter" oder "Betrachter", um die Berechtigung zur Ausführung dieser Vorgänge zu gewähren.
Weitere Informationen
