Zugriffskontrolloptionen

Standardmäßig haben alle Projekte in der Google Cloud Platform Console nur einen Nutzer: den ursprünglichen Projektersteller. Weitere Nutzer können erst dann auf das Projekt und Google Cloud Platform-Ressourcen zugreifen, wenn sie als Mitglieder des Projektteams hinzugefügt wurden. Auf dieser Seite werden verschiedene Möglichkeiten beschrieben, wie Sie neue Nutzer zu Ihrem Projekt hinzufügen.

Es wird auch beschrieben, wie Deployment Manager sich bei anderen Cloud Platform-APIs in Ihrem Namen authentifiziert, um Ressourcen zu erstellen.

Hinweise

Zugriffskontrolle für Nutzer

Fügen Sie Ihre Nutzer als Projektteammitglieder hinzu und weisen Sie die entsprechenden Rollen in der Identitäts- und Zugriffsverwaltung (IAM) zu, um Ihren Nutzern Zugriff auf Ihr Projekt zu gewähren.

Informationen darüber, wie Sie Teammitglieder hinzufügen, finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Deployment Manager-Rollen

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/deploymentmanager.editor Deployment Manager-Bearbeiter Bietet das Erstellen und Verwalten von Bereitstellungen.
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.deployments.cancelPreview
  • deploymentmanager.deployments.create
  • deploymentmanager.deployments.delete
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.deployments.stop
  • deploymentmanager.deployments.update
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt
roles/deploymentmanager.typeEditor Bearbeiter von Deployment Manager-Typ Bietet Lese- und Schreibzugriff auf alle Ressourcen zur Typregistrierung.
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.operations.get
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
Projekt
roles/deploymentmanager.typeViewer Betrachter von Deployment Manager-Typ Schreibgeschützter Zugriff auf alle Ressourcen zur Typregistrierung
  • deploymentmanager.compositeTypes.get
  • deploymentmanager.compositeTypes.list
  • deploymentmanager.typeProviders.get
  • deploymentmanager.typeProviders.getType
  • deploymentmanager.typeProviders.list
  • deploymentmanager.typeProviders.listTypes
  • deploymentmanager.types.get
  • deploymentmanager.types.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
Projekt
roles/deploymentmanager.viewer Deployment Manager-Betrachter Bietet Lesezugriff auf alle Deployment Manager-Ressourcen.
  • deploymentmanager.compositeTypes.get
  • deploymentmanager.compositeTypes.list
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.get
  • deploymentmanager.typeProviders.getType
  • deploymentmanager.typeProviders.list
  • deploymentmanager.typeProviders.listTypes
  • deploymentmanager.types.get
  • deploymentmanager.types.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projekt

Zugriffskontrolle für Deployment Manager

Zum Erstellen anderer Google Cloud Platform-Ressourcen verwendet Deployment Manager die Anmeldedaten des Google APIs-Dienstkontos zur Authentifizierung bei anderen APIs. Das Google APIs-Dienstkonto ist speziell für die Ausführung interner Google-Prozesse in Ihrem Namen vorgesehen. Das Dienstkonto ist durch die E-Mail-Adresse identifizierbar:

[PROJECT_NUMBER]@cloudservices.gserviceaccount.com

Das Google APIs-Dienstkonto erhält automatisch Schreibberechtigung in dem Projekt und wird im Bereich IAM der Google Cloud Platform Console aufgelistet. Das Dienstkonto besteht unbegrenzt zusammen mit dem Projekt und wird erst gelöscht, wenn das Projekt gelöscht wird. Da Deployment Manager und andere Dienste wie verwaltete Instanzgruppen dieses Dienstkonto benötigen, um Ressourcen zu erstellen, zu löschen und zu verwalten, empfiehlt es sich nicht, die Berechtigungen dieses Kontos zu ändern.

Nächste Schritte