Standardmäßig wird für alle Google Cloud Platform Console-Projekte ein einzelner Nutzer verwendet: der ursprüngliche Projektersteller. Weitere Nutzer können erst dann auf das Projekt und Google Cloud Platform-Ressourcen zugreifen, wenn sie als Mitglieder des Projektteams hinzugefügt wurden. Auf dieser Seite werden verschiedene Möglichkeiten beschrieben, wie Sie neue Nutzer zu Ihrem Projekt hinzufügen.
Es wird auch beschrieben, wie Deployment Manager sich bei anderen Cloud Platform-APIs in Ihrem Namen authentifiziert, um Ressourcen zu erstellen.
Hinweise
- Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten, installieren Sie das gcloud-Befehlszeilentool.
- Wenn Sie die API-Beispiele in dieser Anleitung verwenden möchten, richten Sie den API-Zugriff ein.
- Informationen zu Google Cloud Console-Projekten
- Machen Sie sich mit der Google Identitäts- und Zugriffsverwaltung vertraut.
Zugriffssteuerung für Nutzer
Fügen Sie Ihre Nutzer als Projektteammitglieder hinzu und weisen Sie die entsprechenden Rollen in der Identitäts- und Zugriffsverwaltung (IAM) zu, um Ihren Nutzern Zugriff auf Ihr Projekt zu gewähren. IAM unterstützt zwei Rollentypen: vordefinierte und einfache Rollen.
Informationen darüber, wie Sie Teammitglieder hinzufügen, finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Vordefinierte Rollen
Mit vordefinierten Rollen gewähren Sie bestimmte zusammengehörige Berechtigungen. In der folgenden Tabelle werden die vordefinierten Rollen, die in Deployment Manager verfügbar sind, beschrieben:
| Rolle | Umfasst die Berechtigungen: | Für Ressourcentyp |
|---|---|---|
roles/deploymentmanager.viewer |
deploymentmanager.deployments.get |
Bereitstellung |
deploymentmanager.manifests.get |
Manifest | |
deploymentmanager.manifests.list |
Projekt | |
deploymentmanager.resources.get |
Ressource | |
deploymentmanager.resources.list |
Projekt | |
deploymentmanager.types.list |
Projekt | |
deploymentmanager.operations.get |
Vorgänge | |
deploymentmanager.operations.list |
Projekt | |
roles/deploymentmanager.editor |
Alle Berechtigungen von deploymentmanager.viewer, plus: |
|
deploymentmanager.deployments.cancelPreview |
Bereitstellungen | |
deploymentmanager.deployments.create |
Projekt | |
deploymentmanager.deployments.delete |
Bereitstellungen | |
deploymentmanager.deployments.stop |
Bereitstellungen | |
deploymentmanager.deployments.update |
Bereitstellungen | |
roles/deploymentmanager.typeViewer |
deploymentmanager.types.list |
Projekt |
deploymentmanager.typeProviders.get |
Typanbieter | |
deploymentmanager.typeProviders.list |
Projekt | |
deploymentmanager.compositeTypes.get |
Zusammengesetzter Typ | |
deploymentmanager.compositeTypes.list |
Projekt | |
roles/deploymentmanager.typeEditor |
Alle Berechtigungen von deploymentmanager.typeViewer, plus: |
|
deploymentmanager.typeProviders.create |
Projekt | |
deploymentmanager.typeProviders.delete |
Typanbieter | |
deploymentmanager.typeProviders.update |
Typanbieter | |
deploymentmanager.compositeTypes.create |
Projekt | |
deploymentmanager.compositeTypes.delete |
Zusammengesetzter Typ | |
deploymentmanager.compositeTypes.update |
Zusammengesetzter Typ |
Jede API-Methode benötigt eine spezifische Berechtigung, um aufgerufen zu werden. Verwenden Sie die folgende Tabelle, um herauszufinden, welche Berechtigungen für die gewünschte API-Methode nötig sind.
| Methode | Erforderliche Berechtigungen | Rollen, mit denen Sie diese Methode aufrufen können |
|---|---|---|
deployments.cancelPreview
|
deploymentmanager.deployments.cancelPreview |
|
deployments.delete
|
deploymentmanager.deployments.delete |
|
deployments.get
|
deploymentmanager.deployments.get |
|
deployments.insert
|
deploymentmanager.deployments.create |
|
deployments.list
|
deploymentmanager.deployments.list |
|
deployments.patch
|
deploymentmanager.deployments.update |
|
deployments.stop
|
deploymentmanager.deployments.stop |
|
deployments.update
|
deploymentmanager.deployments.update |
|
manifests.get
|
deploymentmanager.manifests.get |
|
manifests.list
|
deploymentmanager.manifests.list |
|
resources.get
|
deploymentmanager.resources.get |
|
resources.list
|
deploymentmanager.resources.list |
|
types.list
|
deploymentmanager.types.list |
|
compositeTypes.delete
|
deploymentmanager.compositeTypes.delete |
|
compositeTypes.get
|
deploymentmanager.compositeTypes.get |
|
compositeTypes.insert
|
deploymentmanager.compositeTypes.create |
|
compositeTypes.list
|
deploymentmanager.compositeTypes.list |
|
compositeTypes.patch
|
deploymentmanager.compositeTypes.patch |
|
compositeTypes.list
|
deploymentmanager.compositeTypes.update |
|
typeProviders.delete
|
deploymentmanager.typeProviders.delete |
|
typeProviders.get
|
deploymentmanager.typeProviders.get |
|
typeProviders.insert
|
deploymentmanager.typeProviders.create |
|
typeProviders.list
|
deploymentmanager.typeProviders.list |
|
typeProviders.patch
|
deploymentmanager.typeProviders.patch |
|
typeProviders.update
|
deploymentmanager.typeProviders.update |
|
Einfache Rollen
Die einfachen IAM-Rollen sind den alten Rollen Projektinhaber, Bearbeiter und Betrachter direkt zugeordnet. Diese Rollen erlauben einen wesentlich umfangreicheren Zugriff auf Dienste als vordefinierte Rollen. Sie sollten möglichst immer vordefinierte Rollen zuweisen. Wenn IAM noch nicht unterstützt wird, müssen Sie eventuell eine einfache Rolle verwenden, um die korrekten Berechtigungen zu gewähren.
In der Dokumentation zu einfachen Rollen erfahren Sie mehr.
Zugriffssteuerung für Deployment Manager
Zum Erstellen anderer Google Cloud Platform-Ressourcen verwendet Deployment Manager die Anmeldedaten des Google APIs-Dienstkontos zur Authentifizierung bei anderen APIs. Das Google APIs-Dienstkonto wurde speziell für die Ausführung von internen Google-Prozessen in Ihrem Namen entwickelt. Das Dienstkonto ist durch die E-Mail-Adresse identifizierbar:
[PROJECT_NUMBER]@cloudservices.gserviceaccount.com
Das Google APIs-Dienstkonto erhält automatisch Schreibberechtigung in dem Projekt und wird im Bereich IAM der Google Cloud Platform Console aufgelistet. Das Dienstkonto besteht unbegrenzt zusammen mit dem Projekt und wird erst gelöscht, wenn das Projekt gelöscht wird. Da Deployment Manager und andere Dienste wie verwaltete Instanzgruppen dieses Dienstkonto benötigen, um Ressourcen zu erstellen, zu löschen und zu verwalten, empfiehlt es sich nicht, die Berechtigungen dieses Kontos zu ändern.
Nächste Schritte
- Weitere Informationen zu Dienstkonten
- Weitere Informationen darüber, wie Teammitglieder hinzugefügt werden
- IAM