当您在项目中添加新成员时,可以使用 Identity and Access Management (IAM) 政策为该成员授予一个或多个 IAM 角色。每个 IAM 角色都包含授予成员访问特定资源的权限。
Compute Engine 具有一组预定义 IAM 角色,本页对这些角色进行了说明。您还可以创建自定义角色,这些角色包含的权限子集直接对应于您的需要。
如需了解每种方法所需的权限,请参阅 Compute Engine API 参考文档:
如需了解如何授予访问权限,请参阅以下页面。
- 如需在项目级层设置 IAM 政策,请参阅 IAM 文档中的授予、更改和撤消对资源的访问权限。
- 如需针对特定 Compute Engine 资源设置政策,请阅读授予对 Compute Engine 资源的访问权限。
- 如需为 Compute Engine 服务帐号分配角色,请阅读为实例创建和启用服务帐号。
准备工作
- 阅读 IAM 文档。
什么是 IAM?
Google Cloud 提供 IAM,可让您授予对特定 Google Cloud 资源的更细化访问权限,并防止对其他资源进行不必要的访问。IAM 允许您采用最小权限安全原则,您只需授予对您资源的必要访问权限。
IAM 允许您通过设置 IAM 政策来控制谁(身份)对哪些资源具有何种权限(角色)。IAM 政策可为项目成员授予一个或多个特定角色,进而授予相应身份特定权限。例如,您可以为 Google 帐号分配给定资源(如项目)的 roles/compute.networkAdmin 角色,此后该帐号便可控制项目中网络相关的资源,但无法管理实例和磁盘等其他资源。您还可以使用 IAM 来管理为项目团队成员授予的 Google Cloud 控制台旧版角色。
serviceAccountUser 角色
同时授予 roles/compute.instanceAdmin.v1 和 roles/iam.serviceAccountUser 角色时,后者会授予成员创建和管理使用服务帐号的实例的权限。具体而言,同时授予 roles/iam.serviceAccountUser 和 roles/compute.instanceAdmin.v1 角色可让成员拥有执行以下操作的权限:
- 创建一个以服务帐号身份运行的实例。
- 将永久性磁盘附加到以服务帐号身份运行的实例上。
- 在以服务帐号身份运行的实例上设置实例元数据。
- 通过 SSH 连接到一个以服务帐号身份运行的实例。
- 将实例重新配置为以服务帐号身份运行。
您可以通过以下两种方式之一授予 roles/iam.serviceAccountUser:
推荐。将该角色授予特定服务帐号中的成员。这会使得该成员有权访问具有
iam.serviceAccountUser角色的服务帐号,但不允许其访问不具有iam.serviceAccountUser角色的其他服务帐号。在项目级层为成员授予该角色。该成员有权访问项目中的所有服务帐号,包括将来创建的服务帐号。
如果您对服务帐号不熟悉,请详细了解服务帐号。
Google Cloud Console 权限
如需使用 Google Cloud Console 访问 Compute Engine 资源,您必须拥有一个包含项目的以下权限的角色:
compute.projects.get
以 instanceAdmin 身份连接到实例
为项目成员授予 roles/compute.instanceAdmin.v1 角色后,该项目成员即可使用标准 Google Cloud 工具(例如 gcloud CLI 或在浏览器中使用 SSH)连接到虚拟机 (VM) 实例。
当成员使用 gcloud CLI 或 SSH-in-browser 时,该工具将自动生成公钥/私钥对,并将公钥添加到项目元数据中。如果成员没有修改项目元数据的权限,则该工具会将成员的公钥添加到实例元数据中。
如果成员已有想使用的现有密钥对,则可以手动将其公钥添加到实例元数据中。详细了解如何将 SSH 密钥添加到实例。
IAM 与服务帐号
创建新的自定义服务帐号并将 IAM 角色授予服务帐号以限制访问实例的权限。将 IAM 角色与自定义服务帐号结合使用,您可以:
- 通过精细的 IAM 角色限制您的实例对 Google Cloud API 的访问权限。
- 为每个实例或每组实例授予唯一身份。
- 限制您的默认服务帐号的访问权限。
托管实例组和 IAM
代管式实例组 (MIG) 是代表您执行操作的资源,无需直接的用户互动。例如,MIG 可以在实例组中添加和移除虚拟机。
由 Compute Engine 执行的属于 MIG 的所有操作都是使用您项目的 Google API 服务代理完成的,此服务代理具有如下所示的电子邮件地址:PROJECT_ID@cloudservices.gserviceaccount.com
默认情况下,Google API 服务代理会在项目级层被授予 Editor 角色 (roles/editor),从而获得足够的权限根据 MIG 的配置创建资源。如果您要为 Google API 服务代理自定义访问权限,请授予 Compute Instance Admin (v1) 角色 (roles/compute.instanceAdmin.v1) 和(可选)Service Account User 角色 (roles/iam.serviceAccountUser)。仅当 MIG 创建可以服务帐号身份运行的虚拟机时,才需要 Service Account User 角色。
请注意,Google API 服务代理也会被其他进程(包括 Deployment Manager)使用。
当您创建 MIG 或更新其实例模板时,Compute Engine 会验证 Google API 服务代理具有以下角色和权限:
- Service Account User 角色;如果您计划创建可以服务帐号身份运行的实例,则该角色很重要
- 针对通过实例模板引用的所有资源(例如映像、磁盘、VPC 网络和子网)的权限
预定义 Compute Engine IAM 角色
使用 IAM 时,Compute Engine API 中的每个 API 方法都要求发出 API 请求的身份具有使用相应资源的适当权限。您可以通过设置政策为项目成员(用户、群组或服务帐号)授予角色,进而授予相应权限。
除了基本角色(Viewer、Editor、Owner)和自定义角色之外,您还可以为项目成员分配以下 Compute Engine 预定义角色。
您可以针对同一资源向某位成员授予多个角色。例如,如果您的网络团队还负责管理防火墙规则,您可以将 roles/compute.networkAdmin 和 roles/compute.securityAdmin 同时授予该网络团队的 Google 群组。
下表描述了预定义 Compute Engine IAM 角色,以及每个角色所包含的权限。每个角色包含一组适合特定任务的权限。例如,Instance Admin 角色授予管理实例的权限,与网络相关的角色具有管理网络相关资源的权限,而安全角色具有管理安全相关资源(如防火墙和 SSL 证书)的权限。
某些权限通过 标记为所有者权限。如果满足以下任一条件,则权限为所有者权限:
- 该权限包含在 Owner 基本角色中,但未包含在 Viewer 或 Editor 基本角色中。
- 该权限未包含在任何基本角色中,但允许主帐号执行帐号所有者可能执行的任务,例如管理结算。
Compute Admin 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Admin ( roles/)
|
拥有所有 Compute Engine 资源的完全控制权。
如果用户要管理配置为以服务帐号身份运行的虚拟机实例,您还必须授予 您可以授予此角色的最低级层资源:
|
|
Compute Image User 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Image User ( roles/)
|
可在不具备其他映像权限的情况下列出和读取映像。在项目级层授予此角色后,获授此角色的用户可以列出项目中的所有映像,并根据项目中的映像创建实例和永久性磁盘等资源。 您可以授予此角色的最低级层资源:
|
|
Compute Instance Admin(Beta 版)角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Instance Admin (beta) ( roles/)
|
拥有创建、修改和删除虚拟机实例的权限。 这包括创建、修改和删除磁盘的权限,以及配置安全强化型虚拟机设置的权限。
如果用户要管理配置为以服务帐号身份运行的虚拟机实例,您还必须授予 例如,如果贵公司的某位员工负责管理多组虚拟机实例,但不负责管理网络或安全设置,也不负责管理以服务帐号身份运行的实例,则您可以在这些实例所属的组织、文件夹或项目级层授予此角色,也可以在个别实例级层授予此角色。 您可以授予此角色的最低级层资源:
|
|
Compute Instance Admin (v1) 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Instance Admin (v1) ( roles/)
|
拥有对 Compute Engine 实例、实例组、磁盘、快照和映像的完整控制权, 拥有所有 Compute Engine 网络资源的读取权限。 如果仅在实例级层向用户授予此角色,则该用户无法创建新实例。 |
|
Compute Load Balancer Admin 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Load Balancer Admin ( roles/)
Beta 版
|
拥有创建、修改和删除负载均衡器及相关资源的权限。 例如,如果您公司的负载均衡团队负责管理负载均衡器、负载均衡器的 SSL 证书、SSL 政策和其他负载均衡资源,而另一个网络团队负责管理其余网络资源,则向负载均衡团队群组授予此角色。 您可以授予此角色的最低级层资源:
|
|
Compute Load Balancer Services User 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Load Balancer Services User ( roles/)
Beta 版
|
拥有使用其他项目中的负载均衡器的服务的权限。 |
|
Compute Network Admin 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Network Admin ( roles/)
|
拥有创建、修改和删除网络资源(不包括防火墙规则和 SSL 证书)的权限。Network Admin 角色允许以只读方式访问防火墙规则、SSL 证书和实例(以查看其临时 IP 地址),但无法让用户创建、启动、停止或删除实例。
例如,如果您公司的安全团队负责管理防火墙和 SSL 证书,而网络团队负责管理其余网络资源,则向网络团队群组授予此角色。
或者,如果您有一个负责管理安全和网络的组合团队,则向组合团队的群组授予此角色以及
您可以授予此角色的最低级层资源:
|
|
Compute Network User 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Network User ( roles/)
|
提供共享 VPC 网络的访问权限 获授此角色的服务所有者可以使用属于宿主项目的 VPC 网络和子网。例如,网络用户可以创建属于宿主项目网络的虚拟机实例,但不能在宿主项目中删除网络或者创建新网络。 您可以授予此角色的最低级层资源:
|
|
Compute Network Viewer 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Network Viewer ( roles/)
|
提供所有网络资源的只读权限 例如,如果您有用于检查网络配置的软件,则可以向该软件的服务帐号授予此角色。 您可以授予此角色的最低级层资源:
|
|
Compute Organization Firewall Policy Admin 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Organization Firewall Policy Admin ( roles/)
|
拥有对 Compute Engine 组织防火墙政策的完全控制权。 |
|
Compute Organization Firewall Policy User 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Organization Firewall Policy User ( roles/)
|
可以查看或使用 Compute Engine 防火墙政策,以便与组织或文件夹相关联。 |
|
Compute Organization Security Policy Admin 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Organization Security Policy Admin ( roles/)
|
拥有对 Compute Engine 组织安全政策的完整控制权。 |
|
Compute Organization Security Policy User 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Organization Security Policy User ( roles/)
|
可以查看或使用 Compute Engine 安全政策,以便与组织或文件夹相关联。 |
|
Compute Organization Resource Admin 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Organization Resource Admin ( roles/)
|
拥有与组织或文件夹关联的 Compute Engine 防火墙政策的完全控制权。 |
|
Compute OS Admin Login 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute OS Admin Login ( roles/)
|
拥有以管理员用户身份登录 Compute Engine 实例的权限。 您可以授予此角色的最低级层资源:
|
|
Compute OS Login 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute OS Login ( roles/)
|
拥有以标准用户身份登录 Compute Engine 实例的权限。 您可以授予此角色的最低级层资源:
|
|
Compute OS Login External User 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute OS Login External User ( roles/)
|
此角色仅在组织级层提供。 此角色可为外部用户授予设置与该组织关联的 OS Login 信息的权限,但不授予对实例的访问权限。外部用户必须获授必要的 OS Login 角色之一,才能使用 SSH 访问实例。 您可以授予此角色的最低级层资源:
|
|
Compute Packet Mirroring Admin 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute packet mirroring admin ( roles/)
|
指定要生成镜像的资源。 |
|
Compute Packet Mirroring User 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute packet mirroring user ( roles/)
|
可使用 Compute Engine 数据包镜像。 |
|
Compute Public IP Admin 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Public IP Admin ( roles/)
|
拥有对 Compute Engine 公共 IP 地址管理的完整控制权。 |
|
Compute Security Admin 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Security Admin ( roles/)
|
拥有创建、修改和删除防火墙规则和 SSL 证书的权限,以及配置安全强化型虚拟机设置的权限。 例如,如果您的公司拥有一个负责管理防火墙和 SSL 证书的安全团队和一个负责管理其余网络资源的网络团队,则向安全团队群组授予此角色。 您可以授予此角色的最低级层资源:
|
|
Compute Sole Tenant Viewer 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Sole Tenant Viewer ( roles/)
|
查看单租户节点组所需的权限 |
|
Compute Storage Admin 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Storage Admin ( roles/)
|
拥有创建、修改和删除磁盘、映像及快照的权限。 例如,如果您公司的某位员工负责管理项目映像,但您不希望该员工拥有项目的 Editor 角色,则向其帐号授予项目的此角色。 您可以授予此角色的最低级层资源:
|
|
Compute Viewer 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Viewer ( roles/)
|
拥有以只读方式获取和列出 Compute Engine 资源的权限,但无权读取这些资源中存储的数据。 例如,获授此角色的帐号可以清点项目中的所有磁盘,但无法读取这些磁盘上的任何数据。 您可以授予此角色的最低级层资源:
|
|
Compute Shared VPC Admin 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Compute Shared VPC Admin ( roles/)
|
拥有管理共享 VPC 宿主项目的权限,具体来说,就是可以启用宿主项目并将共享 VPC 服务项目关联到宿主项目所在的网络。 在组织层级,此角色只能由组织管理员授予。
Google Cloud 建议将 Shared VPC Admin 设为共享 VPC 宿主项目的所有者。Shared VPC Admin 负责向服务所有者授予 Compute Network User 角色 ( 您可以授予此角色的最低级层资源:
|
|
GuestPolicy Admin 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
GuestPolicy Admin ( roles/)
Beta 版
|
拥有对 GuestPolicy 的完整管理员权限 |
|
GuestPolicy Editor 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
GuestPolicy Editor ( roles/)
Beta 版
|
可以修改 GuestPolicy 资源 |
|
GuestPolicy Viewer 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
GuestPolicy Viewer ( roles/)
Beta 版
|
可以查看 GuestPolicy 资源 |
|
InstanceOSPoliciesCompliance Viewer 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
InstanceOSPoliciesCompliance Viewer ( roles/)
Beta 版
|
虚拟机实例的操作系统政策合规情况的查看者 |
|
OS Inventory Viewer 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
OS Inventory Viewer ( roles/)
|
操作系统清单的查看者 |
|
OSPolicyAssignment Admin 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
OSPolicyAssignment Admin ( roles/)
|
对操作系统政策分配具有完整管理员访问权限 |
|
OSPolicyAssignment Editor 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
OSPolicyAssignment Editor ( roles/)
|
操作系统政策分配的编辑者 |
|
OSPolicyAssignmentReport Viewer 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
OSPolicyAssignmentReport Viewer ( roles/)
|
可以查看虚拟机实例的操作系统政策分配报告 |
|
OSPolicyAssignment Viewer 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
OSPolicyAssignment Viewer ( roles/)
|
操作系统政策分配的查看者 |
|
PatchDeployment Admin 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
PatchDeployment Admin ( roles/)
|
拥有对 PatchDeployment 的完整管理员权限 |
|
PatchDeployment Viewer 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
PatchDeployment Viewer ( roles/)
|
可以查看 PatchDeployment 资源 |
|
Patch Job Executor 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Patch Job Executor ( roles/)
|
有权执行修补作业。 |
|
Patch Job Viewer 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
Patch Job Viewer ( roles/)
|
获取并列出修补作业。 |
|
OS VulnerabilityReport Viewer 角色
| 角色和名称 | 说明 | 权限 |
|---|---|---|
|
OS VulnerabilityReport Viewer ( roles/)
|
操作系统漏洞报告的查看者 |
|
DNS Administrator role
| Details | Permissions |
|---|---|
DNS Administrator( Provides read-write access to all Cloud DNS resources. Lowest-level resources where you can grant this role:
|
compute.networks.get compute.networks.list dns.changes.*
dns.dnsKeys.*
dns.managedZoneOperations.*
dns.managedZones.create dns.managedZones.delete dns.managedZones.get dns.managedZones.getIamPolicy dns.managedZones.list dns.managedZones.update dns.networks.*
dns.policies.create dns.policies.delete dns.policies.get dns.policies.getIamPolicy dns.policies.list dns.policies.update dns.projects.get dns.resourceRecordSets.*
dns.responsePolicies.*
dns.responsePolicyRules.*
resourcemanager.projects.get resourcemanager.projects.list |
DNS Peer role
| Details | Permissions |
|---|---|
DNS Peer( Access to target networks with DNS peering zones |
dns. |
DNS Reader role
| Details | Permissions |
|---|---|
DNS Reader( Provides read-only access to all Cloud DNS resources. Lowest-level resources where you can grant this role:
|
compute.networks.get dns.changes.get dns.changes.list dns.dnsKeys.*
dns.managedZoneOperations.*
dns.managedZones.get dns.managedZones.list dns.policies.get dns.policies.list dns.projects.get dns.resourceRecordSets.get dns.resourceRecordSets.list dns.responsePolicies.get dns.responsePolicies.list dns.responsePolicyRules.get dns.responsePolicyRules.list resourcemanager.projects.get resourcemanager.projects.list |
Service Account Admin role
| Details | Permissions |
|---|---|
Service Account Admin( Create and manage service accounts. Lowest-level resources where you can grant this role:
Contains 2 owner permissions |
iam.serviceAccounts.create iam.serviceAccounts.delete iam.serviceAccounts.disable iam.serviceAccounts.enable iam.serviceAccounts.get iam. iam.serviceAccounts.list
iam. iam.serviceAccounts.undelete iam.serviceAccounts.update resourcemanager.projects.get resourcemanager.projects.list |
Create Service Accounts role
| Details | Permissions |
|---|---|
Create Service Accounts( Access to create service accounts. |
iam.serviceAccounts.create iam.serviceAccounts.get iam.serviceAccounts.list resourcemanager.projects.get resourcemanager.projects.list |
Delete Service Accounts role
| Details | Permissions |
|---|---|
Delete Service Accounts( Access to delete service accounts. |
iam.serviceAccounts.delete iam.serviceAccounts.get iam.serviceAccounts.list resourcemanager.projects.get resourcemanager.projects.list |
Service Account Key Admin role
| Details | Permissions |
|---|---|
Service Account Key Admin( Create and manage (and rotate) service account keys. Lowest-level resources where you can grant this role:
|
iam.serviceAccountKeys.*
iam.serviceAccounts.get iam.serviceAccounts.list resourcemanager.projects.get resourcemanager.projects.list |
Service Account OpenID Connect Identity Token Creator role
| Details | Permissions |
|---|---|
Service Account OpenID Connect Identity Token Creator( Create OpenID Connect (OIDC) identity tokens Contains 1 owner permission |
iam. |
Service Account Token Creator role
| Details | Permissions |
|---|---|
Service Account Token Creator( Impersonate service accounts (create OAuth2 access tokens, sign blobs or JWTs, etc). Lowest-level resources where you can grant this role:
Contains 5 owner permissions |
iam.serviceAccounts.get
iam.
iam.
iam. iam.serviceAccounts.list iam.serviceAccounts.signBlob iam.serviceAccounts.signJwt resourcemanager.projects.get resourcemanager.projects.list |
Service Account User role
| Details | Permissions |
|---|---|
Service Account User( Run operations as the service account. Lowest-level resources where you can grant this role:
|
iam.serviceAccounts.actAs iam.serviceAccounts.get iam.serviceAccounts.list resourcemanager.projects.get resourcemanager.projects.list |
View Service Accounts role
| Details | Permissions |
|---|---|
View Service Accounts( Read access to service accounts, metadata, and keys. |
iam.serviceAccountKeys.get iam.serviceAccountKeys.list iam.serviceAccounts.get iam. iam.serviceAccounts.list resourcemanager.projects.get resourcemanager.projects.list |
Workload Identity User role
| Details | Permissions |
|---|---|
Workload Identity User( Impersonate service accounts from GKE Workloads Contains 2 owner permissions |
iam.serviceAccounts.get
iam.
iam. iam.serviceAccounts.list |