Diese Seite wurde von der Cloud Translation API übersetzt.

Zugriffssteuerung mit IAM

Standardmäßig enthält alle Google Cloud Console-Projekte einen einzigen Nutzer: den ursprünglichen Projektersteller. Weitere Nutzer können erst dann auf das Projekt und Google Cloud-Ressourcen zugreifen, wenn sie als Mitglieder des Projektteams hinzugefügt wurden. Auf dieser Seite werden verschiedene Möglichkeiten beschrieben, wie Sie neue Nutzer zu Ihrem Projekt hinzufügen.

Es wird auch beschrieben, wie Deployment Manager sich bei anderen Google Cloud-APIs in Ihrem Namen authentifiziert, um Ressourcen zu erstellen.

Hinweis

Wenn Sie die Befehlszeilenbeispiele in dieser Anleitung verwenden möchten, installieren Sie das gcloud-Befehlszeilentool.
Wenn Sie die API-Beispiele in dieser Anleitung verwenden möchten, richten Sie den API-Zugriff ein.
Machen Sie sich mit Google Cloud Console-Projekten vertraut.
Machen Sie sich mit der Google Identitäts- und Zugriffsverwaltung vertraut.

Zugriffskontrolle für Nutzer

Fügen Sie Ihre Nutzer als Projektteammitglieder hinzu und weisen Sie die entsprechenden Rollen in der Identitäts- und Zugriffsverwaltung (IAM) zu, um Ihren Nutzern Zugriff auf Ihr Projekt zu gewähren.

Informationen darüber, wie Sie Teammitglieder hinzufügen, finden Sie unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Deployment Manager-Rollen

Rolle Berechtigungen

Rolle	Berechtigungen
Deployment Manager-Bearbeiter (`roles/deploymentmanager.editor`) Bietet das Erstellen und Verwalten von Bereitstellungen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	deploymentmanager.compositeTypes.* deploymentmanager.compositeTypes.create deploymentmanager.compositeTypes.delete deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.compositeTypes.update deploymentmanager.deployments.cancelPreview deploymentmanager.deployments.create deploymentmanager.deployments.delete deploymentmanager.deployments.get deploymentmanager.deployments.list deploymentmanager.deployments.stop deploymentmanager.deployments.update deploymentmanager.manifests.* deploymentmanager.manifests.get deploymentmanager.manifests.list deploymentmanager.operations.* deploymentmanager.operations.get deploymentmanager.operations.list deploymentmanager.resources.* deploymentmanager.resources.get deploymentmanager.resources.list deploymentmanager.typeProviders.* deploymentmanager.typeProviders.create deploymentmanager.typeProviders.delete deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.typeProviders.update deploymentmanager.types.* deploymentmanager.types.create deploymentmanager.types.delete deploymentmanager.types.get deploymentmanager.types.list deploymentmanager.types.update resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list
Bearbeiter von Deployment Manager-Typ (`roles/deploymentmanager.typeEditor`) Bietet Lese- und Schreibzugriff auf alle Ressourcen zur Typregistrierung. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	deploymentmanager.compositeTypes.* deploymentmanager.compositeTypes.create deploymentmanager.compositeTypes.delete deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.compositeTypes.update deploymentmanager.operations.get deploymentmanager.typeProviders.* deploymentmanager.typeProviders.create deploymentmanager.typeProviders.delete deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.typeProviders.update deploymentmanager.types.* deploymentmanager.types.create deploymentmanager.types.delete deploymentmanager.types.get deploymentmanager.types.list deploymentmanager.types.update resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get
Betrachter von Deployment Manager-Typ (`roles/deploymentmanager.typeViewer`) Schreibgeschützter Zugriff auf alle Ressourcen zur Typregistrierung Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.types.get deploymentmanager.types.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get
Deployment Manager-Betrachter (`roles/deploymentmanager.viewer`) Bietet Lesezugriff auf alle Deployment Manager-Ressourcen. Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können: Projekt	deploymentmanager.compositeTypes.get deploymentmanager.compositeTypes.list deploymentmanager.deployments.get deploymentmanager.deployments.list deploymentmanager.manifests.* deploymentmanager.manifests.get deploymentmanager.manifests.list deploymentmanager.operations.* deploymentmanager.operations.get deploymentmanager.operations.list deploymentmanager.resources.* deploymentmanager.resources.get deploymentmanager.resources.list deploymentmanager.typeProviders.get deploymentmanager.typeProviders.getType deploymentmanager.typeProviders.list deploymentmanager.typeProviders.listTypes deploymentmanager.types.get deploymentmanager.types.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

Deployment Manager-Bearbeiter

(roles/deploymentmanager.editor)

Bietet das Erstellen und Verwalten von Bereitstellungen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

Projekt

deploymentmanager.compositeTypes.*

deploymentmanager.compositeTypes.create
deploymentmanager.compositeTypes.delete
deploymentmanager.compositeTypes.get
deploymentmanager.compositeTypes.list
deploymentmanager.compositeTypes.update

deploymentmanager.deployments.cancelPreview

deploymentmanager.deployments.create

deploymentmanager.deployments.delete

deploymentmanager.deployments.get

deploymentmanager.deployments.list

deploymentmanager.deployments.stop

deploymentmanager.deployments.update

deploymentmanager.manifests.*

deploymentmanager.manifests.get
deploymentmanager.manifests.list

deploymentmanager.operations.*

deploymentmanager.operations.get
deploymentmanager.operations.list

deploymentmanager.resources.*

deploymentmanager.resources.get
deploymentmanager.resources.list

deploymentmanager.typeProviders.*

deploymentmanager.typeProviders.create
deploymentmanager.typeProviders.delete
deploymentmanager.typeProviders.get
deploymentmanager.typeProviders.getType
deploymentmanager.typeProviders.list
deploymentmanager.typeProviders.listTypes
deploymentmanager.typeProviders.update

deploymentmanager.types.*

deploymentmanager.types.create
deploymentmanager.types.delete
deploymentmanager.types.get
deploymentmanager.types.list
deploymentmanager.types.update

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.quotas.get

serviceusage.services.get

serviceusage.services.list

Bearbeiter von Deployment Manager-Typ

(roles/deploymentmanager.typeEditor)

Bietet Lese- und Schreibzugriff auf alle Ressourcen zur Typregistrierung.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

Projekt

deploymentmanager.compositeTypes.*

deploymentmanager.compositeTypes.create
deploymentmanager.compositeTypes.delete
deploymentmanager.compositeTypes.get
deploymentmanager.compositeTypes.list
deploymentmanager.compositeTypes.update

deploymentmanager.operations.get

deploymentmanager.typeProviders.*

deploymentmanager.typeProviders.create
deploymentmanager.typeProviders.delete
deploymentmanager.typeProviders.get
deploymentmanager.typeProviders.getType
deploymentmanager.typeProviders.list
deploymentmanager.typeProviders.listTypes
deploymentmanager.typeProviders.update

deploymentmanager.types.*

deploymentmanager.types.create
deploymentmanager.types.delete
deploymentmanager.types.get
deploymentmanager.types.list
deploymentmanager.types.update

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.quotas.get

serviceusage.services.get

Betrachter von Deployment Manager-Typ

(roles/deploymentmanager.typeViewer)

Schreibgeschützter Zugriff auf alle Ressourcen zur Typregistrierung

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

Projekt

deploymentmanager.compositeTypes.get

deploymentmanager.compositeTypes.list

deploymentmanager.typeProviders.get

deploymentmanager.typeProviders.getType

deploymentmanager.typeProviders.list

deploymentmanager.typeProviders.listTypes

deploymentmanager.types.get

deploymentmanager.types.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.quotas.get

serviceusage.services.get

Deployment Manager-Betrachter

(roles/deploymentmanager.viewer)

Bietet Lesezugriff auf alle Deployment Manager-Ressourcen.

Ressourcen auf der niedrigsten Ebene, für die Sie diese Rolle zuweisen können:

Projekt

deploymentmanager.compositeTypes.get

deploymentmanager.compositeTypes.list

deploymentmanager.deployments.get

deploymentmanager.deployments.list

deploymentmanager.manifests.*

deploymentmanager.manifests.get
deploymentmanager.manifests.list

deploymentmanager.operations.*

deploymentmanager.operations.get
deploymentmanager.operations.list

deploymentmanager.resources.*

deploymentmanager.resources.get
deploymentmanager.resources.list

deploymentmanager.typeProviders.get

deploymentmanager.typeProviders.getType

deploymentmanager.typeProviders.list

deploymentmanager.typeProviders.listTypes

deploymentmanager.types.get

deploymentmanager.types.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.quotas.get

serviceusage.services.get

serviceusage.services.list

Zugriffskontrolle für Deployment Manager

Zum Erstellen weiterer Google Cloud-Ressourcen verwendet Deployment Manager die Anmeldedaten des Google APIs-Dienst-Agents, um sich bei anderen APIs zu authentifizieren. Der Google APIs-Dienst-Agent ist speziell dafür entwickelt, interne Google-Prozesse in Ihrem Namen auszuführen. Dieses Dienstkonto ist über die E-Mail-Adresse identifizierbar:

[PROJECT_NUMBER]@cloudservices.gserviceaccount.com

Der Google APIs-Dienst-Agent erhält automatisch die Rolle "Bearbeiter“ auf Projektebene und wird im Abschnitt "IAM“ der Google Cloud Console aufgeführt. Dieses Dienstkonto besteht unbegrenzt zusammen mit dem Projekt und wird erst gelöscht, wenn das Projekt gelöscht wird. Da Deployment Manager und andere Dienste wie verwaltete Instanzgruppen dieses Dienstkonto benötigen, um Ressourcen zu erstellen, zu löschen und zu verwalten, empfiehlt es sich nicht, die Berechtigungen dieses Kontos zu ändern.

Weitere Informationen

Weitere Informationen zu Dienstkonten
Weitere Informationen darüber, wie Teammitglieder hinzugefügt werden
IAM