Zugriffssteuerungsoptionen

Standardmäßig wird für alle Google Cloud Platform Console-Projekte ein einzelner Nutzer verwendet: der ursprüngliche Projektersteller. Weitere Nutzer können erst dann auf das Projekt und Google Cloud Platform-Ressourcen zugreifen, wenn sie als Mitglieder des Projektteams hinzugefügt wurden. Auf dieser Seite werden verschiedene Möglichkeiten beschrieben, wie Sie neue Nutzer zu Ihrem Projekt hinzufügen.

Es wird auch beschrieben, wie Deployment Manager sich bei anderen Cloud Platform-APIs in Ihrem Namen authentifiziert, um Ressourcen zu erstellen.

Hinweise

Zugriffssteuerung für Nutzer

Fügen Sie Ihre Nutzer als Projektteammitglieder hinzu und weisen Sie die entsprechenden Rollen in der Identitäts- und Zugriffsverwaltung (IAM) zu, um Ihren Nutzern Zugriff auf Ihr Projekt zu gewähren. IAM unterstützt zwei Rollentypen: vordefinierte und einfache Rollen.

Informationen darüber, wie Sie Teammitglieder hinzufügen, finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Vordefinierte Rollen

Mit vordefinierten Rollen gewähren Sie bestimmte zusammengehörige Berechtigungen. In der folgenden Tabelle werden die vordefinierten Rollen, die in Deployment Manager verfügbar sind, beschrieben:

Rolle Umfasst die Berechtigungen: Für Ressourcentyp
roles/deploymentmanager.viewer deploymentmanager.deployments.get Bereitstellung
deploymentmanager.manifests.get Manifest
deploymentmanager.manifests.list Projekt
deploymentmanager.resources.get Ressource
deploymentmanager.resources.list Projekt
deploymentmanager.types.list Projekt
deploymentmanager.operations.get Vorgänge
deploymentmanager.operations.list Projekt
roles/deploymentmanager.editor Alle Berechtigungen von deploymentmanager.viewer, plus:
deploymentmanager.deployments.cancelPreview Bereitstellungen
deploymentmanager.deployments.create Projekt
deploymentmanager.deployments.delete Bereitstellungen
deploymentmanager.deployments.stop Bereitstellungen
deploymentmanager.deployments.update Bereitstellungen
roles/deploymentmanager.typeViewer deploymentmanager.types.list Projekt
deploymentmanager.typeProviders.get Typanbieter
deploymentmanager.typeProviders.list Projekt
deploymentmanager.compositeTypes.get Zusammengesetzter Typ
deploymentmanager.compositeTypes.list Projekt
roles/deploymentmanager.typeEditor Alle Berechtigungen von deploymentmanager.typeViewer, plus:
deploymentmanager.typeProviders.create Projekt
deploymentmanager.typeProviders.delete Typanbieter
deploymentmanager.typeProviders.update Typanbieter
deploymentmanager.compositeTypes.create Projekt
deploymentmanager.compositeTypes.delete Zusammengesetzter Typ
deploymentmanager.compositeTypes.update Zusammengesetzter Typ

Jede API-Methode benötigt eine spezifische Berechtigung, um aufgerufen zu werden. Verwenden Sie die folgende Tabelle, um herauszufinden, welche Berechtigungen für die gewünschte API-Methode nötig sind.

Methode Erforderliche Berechtigungen Rollen, mit denen Sie diese Methode aufrufen können
deployments.cancelPreview deploymentmanager.deployments.cancelPreview
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.delete deploymentmanager.deployments.delete
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.get deploymentmanager.deployments.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
deployments.insert deploymentmanager.deployments.create
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.list deploymentmanager.deployments.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
deployments.patch deploymentmanager.deployments.update
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.stop deploymentmanager.deployments.stop
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.update deploymentmanager.deployments.update
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
manifests.get deploymentmanager.manifests.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
manifests.list deploymentmanager.manifests.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
resources.get deploymentmanager.resources.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
resources.list deploymentmanager.resources.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
types.list deploymentmanager.types.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
compositeTypes.delete deploymentmanager.compositeTypes.delete
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
compositeTypes.get deploymentmanager.compositeTypes.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
compositeTypes.insert deploymentmanager.compositeTypes.create
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
compositeTypes.list deploymentmanager.compositeTypes.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
compositeTypes.patch deploymentmanager.compositeTypes.patch
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
compositeTypes.list deploymentmanager.compositeTypes.update
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.delete deploymentmanager.typeProviders.delete
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.get deploymentmanager.typeProviders.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
typeProviders.insert deploymentmanager.typeProviders.create
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.list deploymentmanager.typeProviders.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
typeProviders.patch deploymentmanager.typeProviders.patch
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.update deploymentmanager.typeProviders.update
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer

Einfache Rollen

Die einfachen IAM-Rollen sind den alten Rollen Projektinhaber, Bearbeiter und Betrachter direkt zugeordnet. Diese Rollen erlauben einen wesentlich umfangreicheren Zugriff auf Dienste als vordefinierte Rollen. Sie sollten möglichst immer vordefinierte Rollen zuweisen. Wenn IAM noch nicht unterstützt wird, müssen Sie eventuell eine einfache Rolle verwenden, um die korrekten Berechtigungen zu gewähren.

In der Dokumentation zu einfachen Rollen erfahren Sie mehr.

Zugriffssteuerung für Deployment Manager

Zum Erstellen anderer Google Cloud Platform-Ressourcen verwendet Deployment Manager die Anmeldedaten des Google APIs-Dienstkontos zur Authentifizierung bei anderen APIs. Das Google APIs-Dienstkonto wurde speziell für die Ausführung von internen Google-Prozessen in Ihrem Namen entwickelt. Das Dienstkonto ist durch die E-Mail-Adresse identifizierbar:

[PROJECT_NUMBER]@cloudservices.gserviceaccount.com
    

Das Google APIs-Dienstkonto erhält automatisch Schreibberechtigung in dem Projekt und wird im Bereich IAM der Google Cloud Platform Console aufgelistet. Das Dienstkonto besteht unbegrenzt zusammen mit dem Projekt und wird erst gelöscht, wenn das Projekt gelöscht wird. Da Deployment Manager und andere Dienste wie verwaltete Instanzgruppen dieses Dienstkonto benötigen, um Ressourcen zu erstellen, zu löschen und zu verwalten, empfiehlt es sich nicht, die Berechtigungen dieses Kontos zu ändern.

Nächste Schritte