Zugriffsteuerung

Standardmäßig haben alle Google Cloud-Projekte nur einen Nutzer: den ursprünglichen Projektersteller. Weitere Nutzer können erst dann auf das Projekt und Google Cloud-Ressourcen zugreifen, wenn sie als Mitglieder des Projektteams hinzugefügt wurden. Auf dieser Seite werden verschiedene Möglichkeiten beschrieben, wie Sie neue Nutzer zu Ihrem Projekt hinzufügen.

Es wird auch beschrieben, wie Deployment Manager sich bei anderen Google Cloud-APIs in Ihrem Namen authentifiziert, um Ressourcen zu erstellen.

Hinweis

Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten, installieren Sie das gcloud-Befehlszeilentool.
Wenn Sie die API-Beispiele in dieser Anleitung verwenden möchten, richten Sie den API-Zugriff ein.
Informationen zu Google Cloud Console-Projekten
Machen Sie sich mit der Google Identitäts- und Zugriffsverwaltung vertraut.

Zugriffskontrolle für Nutzer

Fügen Sie Ihre Nutzer als Projektteammitglieder hinzu und weisen Sie die entsprechenden Rollen in der Identitäts- und Zugriffsverwaltung (IAM) zu, um Ihren Nutzern Zugriff auf Ihr Projekt zu gewähren.

Informationen darüber, wie Sie Teammitglieder hinzufügen, finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Deployment Manager-Rollen

Rolle	Titel	Beschreibung	Berechtigungen	Niedrigste Ressource
`roles/deploymentmanager.editor`	Deployment Manager-Bearbeiter	Bietet das Erstellen und Verwalten von Bereitstellungen.	deploymentmanager.compositeTypes.* deploymentmanager.deployments.cancelPreview deploymentmanager.deployments.create deploymentmanager.deployments.delete deploymentmanager.deployments.get deploymentmanager.deployments.list deploymentmanager.deployments.stop deploymentmanager.deployments.update deploymentmanager.manifests.* deploymentmanager.operations.* deploymentmanager.resources.* deploymentmanager.typeProviders.* deploymentmanager.types.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Projekt
`roles/deploymentmanager.typeEditor`	Bearbeiter von Deployment Manager-Typ	Bietet Lese- und Schreibzugriff auf alle Ressourcen zur Typregistrierung.	deploymentmanager.compositeTypes.* deploymentmanager.operations.get deploymentmanager.typeProviders.* deploymentmanager.types.* resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get	Projekt
`roles/deploymentmanager.typeViewer`	Betrachter von Deployment Manager-Typ	Schreibgeschützter Zugriff auf alle Ressourcen zur Typregistrierung	deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.types.get deploymentmanager.types.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get	Projekt
`roles/deploymentmanager.viewer`	Deployment Manager-Betrachter	Bietet Lesezugriff auf alle Deployment Manager-Ressourcen.	deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.deployments.get deploymentmanager.deployments.list deploymentmanager.manifests.* deploymentmanager.operations.* deploymentmanager.resources.* deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.types.get deploymentmanager.types.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list	Projekt

Zugriffskontrolle für Deployment Manager

Zum Erstellen anderer Google Cloud-Ressourcen verwendet Deployment Manager die Anmeldedaten des Google APIs-Dienstkontos zur Authentifizierung bei anderen APIs. Das Google APIs-Dienstkonto ist speziell für die Ausführung interner Google-Prozesse in Ihrem Namen vorgesehen. Das Dienstkonto ist durch die E-Mail-Adresse identifizierbar:

[PROJECT_NUMBER]@cloudservices.gserviceaccount.com

Das Google APIs-Dienstkonto erhält automatisch Bearbeitungsberechtigungen in dem Projekt und wird im Abschnitt "IAM" der Google Cloud Console aufgelistet. Das Dienstkonto besteht unbegrenzt zusammen mit dem Projekt und wird erst gelöscht, wenn das Projekt gelöscht wird. Da Deployment Manager und andere Dienste wie verwaltete Instanzgruppen dieses Dienstkonto benötigen, um Ressourcen zu erstellen, zu löschen und zu verwalten, empfiehlt es sich nicht, die Berechtigungen dieses Kontos zu ändern.

Nächste Schritte

Weitere Informationen zu Dienstkonten
Weitere Informationen darüber, wie Teammitglieder hinzugefügt werden
IAM