Compute Engine 身分與存取權管理角色

本頁面說明 Compute Engine 的身分與存取權管理 (IAM),包括預先定義的角色,以及每個預先定義的 Compute Engine 身分與存取權管理角色含有的權限。

當您在專案中新增成員時,請使用身分與存取權管理政策,將身分與存取權管理角色指派給新成員,讓新成員獲得特定資源的存取權。

如要瞭解如何設定專案層級的政策,請參閱身分與存取權管理文件中的授予、變更及撤銷資源的存取權。如要瞭解如何設定 Compute Engine 資源上的政策,請參閱授予 Compute Engine 資源的存取權。如要瞭解如何為 Compute Engine 服務帳戶指派角色,請參閱建立和啟用執行個體的服務帳戶說明文件。如要瞭解如何建立含有權限子集的自訂角色,請參閱建立及管理自訂角色

建議您一併參閱個別 API 方法的身分與存取權管理權限完整清單。

事前準備

什麼是身分與存取權管理?

Google Cloud Platform 提供身分與存取權管理 (IAM) 功能,可讓您以更精細的方式授予其他使用者特定 Google Cloud Platform 資源的存取權限,避免其他資源遭到未經授權者擅自存取。透過這項功能,您就能採取最小許可權的安全性原則,僅將必要的資源存取權限授予其他使用者。

設定身分與管理權政策之後,您就能控管哪些使用者具備何種角色權限,可以存取哪些資源。身分與存取權管理政策可將特定角色授予專案成員,讓對方擁有特定權限。舉例來說,您可以將某個特定資源 (例如專案) 的 roles/compute.networkAdmin 角色指派給一個 Google 帳戶,該帳戶即可控管專案中的網路相關資源,但無法管理執行個體和磁碟這類其他的資源。您也可以使用身分與存取權管理來管理授予給專案團隊成員的 GCP 主控台舊版角色

預先定義的 Compute Engine 身分與存取權管理角色

透過身分與存取權管理功能,凡是 Compute Engine 中需要使用者發送 API 要求的 API 方法,都具備使用該資源的適當權限。只要設定政策將角色授予專案成員 (使用者、群組或服務帳戶),即可授予權限。

除了舊版角色 (檢視者、編輯者、擁有者) 和自訂角色之外,您可以為專案成員指派下列預先定義的 Compute Engine 角色。

您可以將多個權限授予相同資源中的專案成員。舉例來說,如果您的網路小組也負責管理防火牆規則,那麼您可以將 roles/compute.networkAdminroles/compute.securityAdmin 授予網路小組的 Google 群組

下表介紹了預先定義的 Compute Engine 身分與存取權管理角色,以及各角色具有的權限。每個角色都具有一組適用於特定工作的權限。舉例來說,表格中的前兩個角色可授予管理執行個體的權限,網路相關角色擁有管理網路相關資源的權限,安全性角色則有權管理安全性相關資源 (例如防火牆與安全資料傳輸層憑證)。

執行個體管理員角色

角色名稱 說明 權限
roles/compute.instanceAdmin.v1

具備建立、修改及刪除虛擬機器執行個體的權限,包括建立、修改及刪除磁碟的權限。

如果使用者日後必須管理以服務帳戶執行的虛擬機器執行個體,您就必須將 iam.serviceAccountUser 角色授予該使用者。

舉例來說,如果貴公司已有人負責管理虛擬機器執行個體群組,但並未管理網路或安全性設定,以及以服務帳戶執行的執行個體,那麼請將這個角色授予該使用者。

如果將此角色授予給使用者時,僅停留在執行個體層級,該使用者會無法建立新執行個體。

  • compute.acceleratorTypes.get
  • compute.acceleratorTypes.list
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers.*
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.clientSslPolicies.get
  • compute.clientSslPolicies.list
  • compute.disks.*
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.*
  • compute.instanceGroupManagers.*
  • compute.instanceGroups.*
  • compute.instances.*
  • compute.instanceTemplates.*
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.get
  • compute.interconnectLocations.list
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenses.*
  • compute.licenseCodes.*
  • compute.machineTypes.get
  • compute.machineTypes.list
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.get
  • compute.regions.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.snapshots.*
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.get
  • compute.zones.list
  • compute.projects.get
  • compute.projects.setCommonInstanceMetadata
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Compute 管理員角色

角色名稱 說明 權限
roles/compute.admin

具備 Compute Engine 資源的完整控制權。

如果使用者日後必須管理以服務帳戶執行的虛擬機器執行個體,您就必須將 roles/iam.serviceAccountUser 角色授予對方。

  • compute.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

服務帳戶使用者角色

角色名稱 說明 權限
roles/iam.serviceAccountUser 如果一併授予 instanceAdmin.v1,則會授予以下權限:建立 VM、針對可透過服務帳戶形式執行的 VM 執行個體,執行磁碟連結及更新其上的中繼資料。
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

映像檔使用者角色

角色名稱 說明 權限
roles/compute.imageUser 具備列出及讀取映像檔的權限,但不具備其他權限 (例如建立或刪除映像檔)。在專案層級授予此角色可讓成員列出專案中的所有映像檔,而且必須先如此,之後才能根據專案中的映像檔建立資源 (例如執行個體和永久磁碟)。
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

負載平衡器管理員角色

角色名稱 說明 權限
roles/compute.loadBalancerAdmin

對於與負載平衡器相關的 Compute Engine 資源具有完整控制權。

  • compute.addresses.*
  • compute.globalAddresses.*
  • compute.backendBuckets.*
  • compute.backendServices.*
  • compute.regionBackendServices.*
  • compute.forwardingRules.*
  • compute.globalForwardingRules.*
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.instanceGroups.*
  • compute.instances.get
  • compute.instances.list
  • compute.instances.use
  • compute.instances.useReadOnly
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.sslCertificates.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.sslPolicies.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.urlMaps.*
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.services.list
  • serviceusage.quotas.get

網路檢視者角色

角色名稱 說明 權限
roles/compute.networkViewer

具備所有網路資源的唯讀權限

舉例來說,如果您的軟體可檢查網路配置,那麼請將 networkViewer 角色授予該軟體的服務帳戶。

  • compute.addresses.get
  • compute.addresses.list
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.get
  • compute.interconnectLocations.list
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.networks.get
  • compute.networks.list
  • compute.projects.get
  • compute.regionBackendServices.get
  • compute.regionBackendServices.list
  • compute.regions.get
  • compute.regions.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zones.get
  • compute.zones.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicenetworking.services.get
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

網路管理員角色

角色名稱 說明 權限
roles/compute.networkAdmin

具備建立、修改及刪除網路資源的權限 (防火牆規則和安全資料傳輸層 (SSL) 憑證除外)。networkAdmin 角色可將防火牆規則、SSL 憑證和執行個體的唯讀權限授予使用者 (以查看臨時 IP 位址),但無法讓使用者建立、啟動、停止或刪除執行個體。

舉例來說,如果貴公司的安全性小組負責管理防火牆和 SSL 憑證,而網路小組負責管理其他網路資源,那麼請將 networkAdmin 角色授予網路小組所屬的網上論壇。

  • compute.addresses.*
  • compute.globalAddresses.*
  • compute.backendBuckets.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.backendServices.*
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.*
  • compute.globalForwardingRules.*
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.interconnectAttachments.*
  • compute.interconnectLocations.*
  • compute.interconnects.*
  • compute.networks.*
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.packetMirrorings.use
  • compute.routes.*
  • compute.routers.*
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.clientSslPolicies.*
  • compute.sslPolicies.*
  • compute.subnetworks.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.targetVpnGateways.*
  • compute.urlMaps.*
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.instances.use
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceGroups.use
  • compute.instanceGroups.update
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroupManagers.use
  • compute.instanceGroupManagers.update
  • compute.autoscalers.get
  • compute.autoscalers.list
  • compute.vpns.*
  • compute.vpnTunnels.*
  • compute.scopes.get
  • compute.scopes.list
  • compute.regions.get
  • compute.regions.list
  • compute.zones.get
  • compute.zones.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

安全性管理員角色

角色名稱 說明 權限
roles/compute.securityAdmin

具備建立、修改及刪除防火牆規則和安全資料傳輸層 (SSL) 憑證的權限。

舉例來說,如果貴公司的安全性小組負責管理防火牆和 SSL 憑證,而網路小組負責管理其他網路資源,那麼請將 securityAdmin 角色授予安全性小組所屬的網上論壇。

  • compute.firewalls.*
  • compute.packetMirrorings.*
  • compute.sslCertificates.*
  • compute.clientSslPolicies.*
  • compute.securityPolicies.*
  • compute.sslPolicies.*
  • compute.instances.setShieldedVmIntegrityPolicy
  • compute.instances.updateSecurity
  • compute.instances.updateShieldedVmConfig
  • compute.networks.get
  • compute.networks.list
  • compute.networks.updatePolicy
  • compute.routes.get
  • compute.routes.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.updatePolicy
  • compute.scopes.get
  • compute.scopes.list
  • compute.regions.get
  • compute.regions.list
  • compute.zones.get
  • compute.zones.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Compute 檢視者角色

角色名稱 說明 權限
roles/compute.viewer

具備唯讀權限,可以取得及列出 Compute Engine 資源,而無法讀取這類資源上儲存的資料。

舉例來說,於專案層級具備這個角色的帳戶,可以列出專案中的所有磁碟,但無法讀取這些磁碟上的任何資料。

  • compute.*.get
  • compute.*.getIamPolicy
  • compute.*.list
  • compute.forwardingRules.externalGet
  • compute.images.getFromFamily
  • compute.instances.getGuestAttributes
  • compute.instances.getSerialPortOutput
  • compute.instances.listReferrers
  • compute.networks.listIpOwners
  • compute.networks.listUsableSubnets
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.listIpOwners
  • compute.urlMaps.validate
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

儲存空間管理員角色

角色名稱 說明 權限
roles/compute.storageAdmin

具備建立、修改及刪除磁碟、映像檔和快照的權限。

舉例來說,如果貴公司有人負責管理專案映像檔,而您並不想讓他們擁有專案的編輯者角色,就可將專案層級的 storageAdmin 角色授予對方的帳戶。

  • compute.disks.*
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.images.*
  • compute.licenses.*
  • compute.licenseCodes.*
  • compute.snapshots.*
  • compute.scopes.get
  • compute.scopes.list
  • compute.regions.get
  • compute.regions.list
  • compute.zones.get
  • compute.zones.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

共用 VPC 管理員角色

角色名稱 說明 權限
roles/compute.xpnAdmin

具備管理共用 VPC的權限:指定共用 VPC 託管專案,以及將共用 VPC 服務帳戶連結至託管專案網路。

Google Cloud Platform 建議您將共用 VPC 管理員設為共用 VPC 託管專案的擁有者。共用 VPC 管理員負責將 compute.networkUser 角色授予服務擁有者,而共用 VPC 託管專案擁有者則可自行控管專案。如果單一主體 (單一使用者或群體) 可以同時擔任這兩個角色,就能更輕鬆管理專案。

  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.organizations.administerXpn
  • compute.organizations.enableXpnHost
  • compute.organizations.disableXpnHost
  • compute.organizations.enableXpnResource
  • compute.organizations.disableXpnResource
  • compute.projects.get
  • compute.subnetworks.getIamPolicy
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.projects.getIamPolicy

網路使用者角色

角色名稱 說明 權限
roles/compute.networkUser 具備使用共用 VPC 網路的權限。具體而言,如果服務擁有者需要在共用 VPC 託管專案網路中建立資源,則請將這個權限授予對方。
  • compute.addresses.get
  • compute.addresses.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.get
  • compute.interconnectLocations.list
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.interconnects.use
  • compute.networks.get
  • compute.networks.list
  • compute.networks.listIpOwners
  • compute.networks.listUsableSubnets
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.routes.get
  • compute.routes.list
  • compute.routers.get
  • compute.routers.list
  • compute.subnetworks.list
  • compute.subnetworks.listIpOwners
  • compute.subnetworks.get
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.vpns.get
  • compute.vpns.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.scopes.get
  • compute.scopes.list
  • compute.regions.get
  • compute.regions.list
  • compute.zones.get
  • compute.zones.list
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

OS 管理員登入角色

角色名稱 說明 權限
roles/compute.osAdminLogin

以管理員使用者身分登入 Compute Engine 執行個體的存取權。

  • compute.instances.get
  • compute.instances.list
  • compute.instances.osAdminLogin
  • compute.instances.osLogin
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

OS 登入角色

角色名稱 說明 權限
roles/compute.osLogin

以標準 (非管理員) 使用者身分登入 Compute Engine 執行個體的存取權。

  • compute.instances.get
  • compute.instances.list
  • compute.instances.osLogin
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

OS 登入外部使用者角色

角色名稱 說明 權限
roles/compute.osLoginExternalUser

僅可用於機構層級。

允許外部使用者設定這個機構的 OS 登入資訊。此角色無法讓您存取執行個體。外部使用者必須獲得必要的OS 登入身分與存取權管理角色,才能使用 SSH 存取執行個體。

  • compute.oslogin.updateExternalUser

serviceAccountUser 角色

roles/iam.serviceAccountUser 角色與 roles/compute.instanceAdmin.v1 一併授予時,會讓成員能夠建立並管理使用服務帳戶的執行個體。具體而言,同時將 roles/iam.serviceAccountUserroles/compute.instanceAdmin.v1 角色授予成員,即可授予以下權限:

  • 建立以服務帳戶執行的執行個體。
  • 將永久磁碟連結至以服務帳戶執行的執行個體。
  • 為以服務帳戶執行的執行個體設定相關中繼資料。
  • 透過 SSH 連線至以服務帳戶執行的執行個體。
  • 重新設定以服務帳戶執行的執行個體。

您可以透過以下兩種方式授予 roles/iam.serviceAccountUser

  • [建議做法] 依照特定服務帳戶將角色授予成員。這麼做可讓該成員存取具備 iam.serviceAccountUser 角色的服務帳戶,但禁止對方存取不具備 iam.serviceAccountUser 角色的其他服務帳戶。

  • 專案層級將角色授予成員。該成員可以存取專案中的所有服務帳戶 (包括日後建立的服務帳戶)。

如要進一步瞭解服務帳戶,請參閱說明文章

透過 instanceAdmin 連結執行個體

roles/compute.instanceAdmin.v1 角色授予專案成員後,對方即可透過標準 Google Cloud Platform 工具 (例如 gcloud 工具或透過瀏覽器建立 SSH 連線) 連結到虛擬機器執行個體。

如果有成員使用 gcloud 指令列工具或透過瀏覽器建立 SSH 連線,該工具會自動產生公開/私密金鑰組合,並將公開金鑰新增至專案中繼資料。如果成員不具備編輯專案中繼資料的權限,該工具則會改將該成員的公開金鑰新增至執行個體中繼資料。

如果成員已有想要使用的金鑰組合,可以將其公開金鑰手動新增至執行個體的中繼資料。 進一步瞭解如何將 SSH 金鑰新增至執行個體及從當中移除。

透過服務帳戶使用身分與存取權管理功能

建立新的自訂服務帳戶,並將身分與存取權管理角色授予服務帳戶,即可限制執行個體的存取權。透過自訂服務帳戶使用身分與存取權管理角色,您就能執行下列操作:

  • 透過精細的身分與存取權管理角色來限制執行個體對 Cloud Platform API 的存取權。
  • 為每個執行個體 (或一組執行個體) 提供獨特的身分。
  • 限制預設服務帳戶的存取權。

進一步瞭解服務帳戶

代管執行個體群組和身分與存取權管理

代管執行個體群組 (尤其在設為自動調度資源時) 是可以代表您執行操作的資源,完全不需直接的使用者互動。代管執行個體群組會透過服務帳戶身分在執行個體群組中建立、刪除及管理執行個體群組。如要瞭解詳情,請參閱代管執行個體群組和身分與存取權管理說明文件。

不支援的操作

您無法透過身分與存取權管理角色授予對執行個體群組執行輪動式更新的權限。

如要授予可執行這類操作的權限,請使用更廣泛的擁有者、編輯者或檢視者角色。

後續步驟

本頁內容對您是否有任何幫助?請提供意見:

傳送您對下列選項的寶貴意見...

這個網頁
Compute Engine 說明文件