Zugriffskontrolloptionen

Standardmäßig haben alle Projekte in der Google Cloud Platform Console nur einen Nutzer: den ursprünglichen Projektersteller. Weitere Nutzer können erst dann auf das Projekt und Google Cloud Platform-Ressourcen zugreifen, wenn sie als Mitglieder des Projektteams hinzugefügt wurden. Auf dieser Seite werden verschiedene Möglichkeiten beschrieben, wie Sie neue Nutzer zu Ihrem Projekt hinzufügen.

Es wird auch beschrieben, wie Deployment Manager sich bei anderen Cloud Platform-APIs in Ihrem Namen authentifiziert, um Ressourcen zu erstellen.

Vorbereitung

Zugriffskontrolle für Nutzer

Fügen Sie Ihre Nutzer als Projektteammitglieder hinzu und weisen Sie Ihnen die entsprechende Rolle der Identitäts- und Zugriffsverwaltung (IAM) zu, um Ihren Nutzern Zugriff auf Ihr Projekt zu gewähren. IAM unterstützt zwei Arten von Rollen: vordefinierte und einfache Rollen.

Informationen darüber, wie Sie Teammitglieder hinzufügen, finden Sie in der Dokumentation für das Hinzufügen von Teammitgliedern.

Vordefinierte Rollen

Mit vordefinierten Rollen gewähren Sie bestimmte zusammengehörige Berechtigungen. In der folgenden Tabelle werden die vordefinierten Rollen, die in Deployment Manager verfügbar sind, beschrieben:

Rolle Umfasst die Berechtigungen: Für Ressourcentyp
roles/deploymentmanager.viewer deploymentmanager.deployments.get Bereitstellung
deploymentmanager.manifests.get Manifest
deploymentmanager.manifests.list Projekt
deploymentmanager.resources.get Ressource
deploymentmanager.resources.list Projekt
deploymentmanager.types.list Projekt
deploymentmanager.operations.get Betrieb
deploymentmanager.operations.list Projekt
roles/deploymentmanager.editor Alle Berechtigungen von deploymentmanager.viewer plus:
deploymentmanager.deployments.cancelPreview Bereitstellungen
deploymentmanager.deployments.create Projekt
deploymentmanager.deployments.delete Bereitstellungen
deploymentmanager.deployments.stop Bereitstellungen
deploymentmanager.deployments.update Bereitstellungen
roles/deploymentmanager.typeViewer deploymentmanager.types.list Projekt
deploymentmanager.typeProviders.get Typanbieter
deploymentmanager.typeProviders.list Projekt
deploymentmanager.compositeTypes.get Zusammengesetzter Typ
deploymentmanager.compositeTypes.list Projekt
roles/deploymentmanager.typeEditor Alle Berechtigungen von deploymentmanager.typeViewer plus:
deploymentmanager.typeProviders.create Projekt
deploymentmanager.typeProviders.delete Typanbieter
deploymentmanager.typeProviders.update Typanbieter
deploymentmanager.compositeTypes.create Projekt
deploymentmanager.compositeTypes.delete Zusammengesetzter Typ
deploymentmanager.compositeTypes.update Zusammengesetzter Typ

Jede API-Methode benötigt eine spezifische Berechtigung, um aufgerufen zu werden. Verwenden Sie die folgende Tabelle, um herauszufinden, welche Berechtigungen für die gewünschte API-Methode nötig sind.

Methode Erforderliche Berechtigungen Rollen zum Methodenaufruf
deployments.cancelPreview deploymentmanager.deployments.cancelPreview
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.delete deploymentmanager.deployments.delete
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.get deploymentmanager.deployments.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
deployments.insert deploymentmanager.deployments.create
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.list deploymentmanager.deployments.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
deployments.patch deploymentmanager.deployments.update
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.stop deploymentmanager.deployments.stop
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.update deploymentmanager.deployments.update
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
manifests.get deploymentmanager.manifests.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
manifests.list deploymentmanager.manifests.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
resources.get deploymentmanager.resources.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
resources.list deploymentmanager.resources.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
types.list deploymentmanager.types.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
compositeTypes.delete deploymentmanager.compositeTypes.delete
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
compositeTypes.get deploymentmanager.compositeTypes.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
compositeTypes.insert deploymentmanager.compositeTypes.create
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
compositeTypes.list deploymentmanager.compositeTypes.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
compositeTypes.patch deploymentmanager.compositeTypes.patch
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
compositeTypes.list deploymentmanager.compositeTypes.update
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.delete deploymentmanager.typeProviders.delete
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.get deploymentmanager.typeProviders.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
typeProviders.insert deploymentmanager.typeProviders.create
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.list deploymentmanager.typeProviders.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
typeProviders.patch deploymentmanager.typeProviders.patch
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.update deploymentmanager.typeProviders.update
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer

Einfache Rollen

Die einfachen IAM-Rollen sind den alten Rollen Projektinhaber, Bearbeiter und Betrachter direkt zugeordnet. Diese Rollen erlauben einen wesentlich umfangreicheren Zugriff auf Dienste als vordefinierte Rollen. Sie sollten möglichst immer vordefinierte Rollen zuweisen. Wenn IAM noch nicht unterstützt wird, müssen Sie eventuell eine einfache Rolle verwenden, um die korrekten Berechtigungen zu gewähren.

In der Dokumentation zu einfachen Rollen erfahren Sie mehr über diese.

Zugriffskontrolle für Deployment Manager

Deployment Manager nutzt die Anmeldedaten des Google APIs-Dienstkontos, um sich bei anderen APIs zu authentifizieren und andere Google Cloud Platform-Ressourcen zu erstellen. Das Google APIs-Dienstkonto wurde speziell entworfen, um interne Google-Vorgänge in Ihrem Namen auszuführen. Das Dienstkonto ist durch die E-Mail-Adresse identifizierbar:

[PROJECT_NUMBER]@cloudservices.gserviceaccount.com

Das Google APIs-Dienstkonto erhält automatisch Schreibberechtigung in dem Projekt und wird im Bereich IAM der Google Cloud Platform Console aufgelistet. Das Dienstkonto besteht unbegrenzt zusammen mit dem Projekt und wird erst gelöscht, wenn das Projekt gelöscht wird. Da Deployment Manager und andere Dienste wie verwaltete Instanzgruppen dieses Dienstkonto benötigen, um Ressourcen zu erstellen, löschen und verwalten, empfiehlt es sich nicht, die Berechtigungen dieses Kontos zu ändern.

Weitere Informationen

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Cloud Deployment Manager-Dokumentation