本页面介绍 Compute Engine Identity and Access Management (IAM),包括预定义角色以及每个预定义 Compute Engine IAM 角色所具有的权限。
当向项目中添加新成员时,请使用 IAM 政策将 IAM 角色分配给新成员,以便允许该成员访问特定资源。
要了解如何在项目级层设置政策,请阅读 IAM 文档中的授予、更改和撤消对资源的访问权限。要了解如何在 Compute Engine 资源上设置政策,请阅读授予对 Compute Engine 资源的访问权限。要了解如何为 Compute Engine 服务帐号分配角色,请阅读为实例创建和启用服务帐号文档。要了解如何创建包含任何权限子集的自定义角色,请参阅创建和管理自定义角色。
您可能还有兴趣查看适用于个别 API 方法的 IAM 权限的完整列表。
准备工作
- 阅读 Google Cloud IAM 文档。
什么是 IAM?
Google Cloud Platform 提供 Identity and Access Management (IAM),允许您为特定 Google Cloud Platform 资源指定更细化的访问权限,并阻止对其他资源的不必要访问。IAM 允许您采用最小权限安全原则,因此您只需授予对您的资源的必要访问权限即可。
IAM 可让您通过设置 IAM 政策来控制谁(身份)对哪些资源拥有什么权限(角色)。IAM 政策向项目成员授予一个或多个特定角色,给予该身份某些权限。例如,对于给定资源,比方说项目,您可以将 roles/compute.networkAdmin 角色分配给某个 Google 帐号,该帐号可以控制项目中的网络相关资源,但无法管理诸如实例和磁盘等其他资源。您也可以利用 IAM 来管理已授予项目团队成员的 GCP Console 旧版角色。
预定义 Compute Engine IAM 角色
使用 IAM 时,Compute Engine 中的每种 API 方法要求发出 API 请求的身份拥有适当权限才能使用该资源。您可以通过设置向项目成员(用户、群组或服务帐号)授予角色的政策来授予权限。
除了旧版角色(所有者、编辑者和查看者)和自定义角色之外,您还可以为项目成员分配以下 Compute Engine 预定义角色。
您可以针对同一资源向某位成员授予多个角色。例如,如果您的网络团队管理着防火墙规则,则可以将 roles/compute.networkAdmin 和 roles/compute.securityAdmin 角色都授予该网络团队的 Google 群组。
下表描述了预定义的 Compute Engine IAM 角色,以及每个角色所包含的权限。每个角色包含一组适合特定任务的权限。例如,前两个角色授予管理实例的权限,与网络相关的角色包含管理网络相关资源的权限,安全角色包含管理安全相关资源(如防火墙和 SSL 证书)的权限。
实例管理员角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/compute.instanceAdmin.v1
|
提供创建、修改和删除虚拟机实例的权限。这包括创建、修改和删除磁盘的权限。 如果用户要管理被配置为以服务帐号身份运行的虚拟机实例,您还必须授予 例如,如果贵公司有人管理着多组虚拟机实例,但并未管理网络或安全设置,也并未管理以服务帐号身份运行的实例,则可授予此角色。 如果仅在实例级层向用户授予此角色,则该用户无法创建新实例。 |
|
计算管理员角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/compute.admin |
拥有所有 Compute Engine 资源的完全控制权。 如果用户要管理被配置为以服务帐号身份运行的虚拟机实例,您还必须授予 |
|
DNS 管理员角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/dns.admin |
拥有所有 Cloud DNS 资源的完全控制权。 |
|
DNS 读取者角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/dns.reader |
拥有 Cloud DNS 资源的查看权限。 |
|
服务帐号用户角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/iam.serviceAccountUser |
在与 instanceAdmin.v1 一起被授予时,授予在以服务帐号身份运行的虚拟机实例上创建虚拟机、附加磁盘和更新元数据的权限。 |
|
映像用户角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/compute.imageUser |
提供列出和读取映像的权限,不提供诸如创建或删除等其他映像权限。在项目级层授予此角色使成员可列出项目中的所有映像,同时是根据项目中的映像创建资源(如实例和永久性磁盘)的前提条件。 |
|
负载平衡器管理员角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/compute.loadBalancerAdmin |
拥有与负载平衡器相关的 Compute Engine 资源的完整控制权。 |
|
网络查看者角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/compute.networkViewer |
提供所有网络资源的只读权限 例如,如果您有检查网络配置的软件,则可以对该软件的服务帐号授予 |
|
网络管理员角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/compute.networkAdmin
| 提供创建、修改和删除网络资源(但防火墙规则和 SSL 证书除外)的权限。 例如,如果您的公司由安全团队管理防火墙和 SSL 证书,网络团队管理其余网络资源,那么请将 |
|
安全管理员角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/compute.securityAdmin |
提供创建、修改和删除防火墙规则和 SSL 证书的权限。 例如,如果您的公司由安全团队管理防火墙和 SSL 证书,网络团队管理其余网络资源,那么请将 |
|
计算查看者角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/compute.viewer |
提供获取和列出 Compute Engine 资源的只读权限,无权读取上面存储的数据。 例如,在项目级层拥有此角色的帐号可以清点项目中的所有磁盘,但无法读取这些磁盘上的任何数据。 |
|
存储管理员角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/compute.storageAdmin |
提供创建、修改和删除磁盘、映像及快照的权限。 例如,如果您不希望贵公司负责管理项目映像的人员拥有项目的编辑者角色,则可在项目级层为其帐号授予 |
|
共享 VPC 管理员角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/compute.xpnAdmin |
提供管理共享 VPC 的权限:指定共享 VPC 宿主项目,并将共享 VPC 服务项目关联到宿主项目的网络。 Google Cloud Platform 建议共享 VPC 宿主项目的所有者担任共享 VPC 管理员。共享 VPC 管理员负责向服务所有者授予 |
|
网络用户角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/compute.networkUser |
拥有使用共享 VPC 网络的权限。具体而言,就是将此角色授予需要在共享 VPC 宿主项目网络中创建资源的服务所有者。 |
|
操作系统管理员登录角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/compute.osAdminLogin
|
能够以管理员用户身份登录到 Compute Engine 实例。 |
|
操作系统登录角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/compute.osLogin
|
能够以标准(非管理员)用户身份登录到 Compute Engine 实例。 |
|
操作系统登录外部用户角色
| 角色名称 | 说明 | 权限 |
|---|---|---|
roles/compute.osLoginExternalUser
|
仅在组织级层提供。 外部用户可以设置与此组织关联的操作系统登录信息。此角色不授予对实例的访问权限。外部用户必须获授一个必需的操作系统登录 IAM 角色才可以使用 SSH 访问实例。 |
|
serviceAccountUser 角色
与 roles/compute.instanceAdmin.v1 角色一起授予时,roles/iam.serviceAccountUser 让成员可创建和管理使用服务帐号的实例。具体而言,同时授予 roles/iam.serviceAccountUser 和 roles/compute.instanceAdmin.v1 为成员提供以下权限:
- 创建一个以服务帐号身份运行的实例。
- 将永久性磁盘附加到以服务帐号身份运行的实例上。
- 在以服务帐号身份运行的实例上设置实例元数据。
- 通过 SSH 连接到一个以服务帐号身份运行的实例。
- 将某个实例重新配置为以服务帐号身份运行。
您可以从下列两种方式中任选一种来授予 roles/iam.serviceAccountUser:
[推荐] 将该角色授予某个特定服务帐号中的成员。这让成员有权访问其作为
iam.serviceAccountUser的服务帐号,但对于其他服务帐号,如果该成员不是iam.serviceAccountUser,则无法访问。在项目级层向成员授予该角色。该成员有权访问项目中的所有服务帐号,包括将来创建的服务帐号。
如果您不熟悉服务帐号,请详细了解服务帐号。
以 instanceAdmin 身份连接到实例
为项目成员授予 roles/compute.instanceAdmin.v1 角色后,他们即可使用标准 Google Cloud Platform 工具(如 gcloud 工具)连接到虚拟机实例,或通过浏览器进行 SSH 连接。
当成员使用 gcloud 命令行工具或通过浏览器使用 SSH 时,这些工具将自动生成公钥/私钥对,并将公钥添加到项目元数据中。如果该成员没有修改项目元数据的权限,则该工具会将该成员的公钥添加到实例元数据中。
如果成员拥有要使用的现有密钥对,则可以手动将其公钥添加到实例元数据中。 详细了解如何为实例添加和移除 SSH 密钥。
IAM 与服务帐号
创建新的自定义服务帐号并将 IAM 角色授予服务帐号以限制访问实例的权限。将具备自定义服务帐号的 IAM 角色用于:
- 使用粒度 IAM 角色限制您的实例对 Cloud Platform API 的访问权限。
- 为每个实例或每组实例提供一个唯一标识。
- 限制您的默认服务帐号的访问权限。
托管实例组和 IAM
托管实例组,尤其当配置为自动调节时,指的是代表您执行操作而无需用户直接交互的资源。托管实例组通过服务帐号身份来创建、删除和管理实例组中的实例。欲了解更多信息,请阅读托管实例组和 IAM 文档。
不受支持的操作
您无法授予在采用 IAM 角色的实例组上执行滚动更新的权限。
要授予执行这些操作的权限,请使用更广泛的所有者、修改者或查看者角色。
