Zugriffskontrolloptionen

Standardmäßig haben alle Projekte in der Google Cloud Platform Console nur einen Nutzer: den ursprünglichen Projektersteller. Weitere Nutzer können erst dann auf das Projekt und Google Cloud Platform-Ressourcen zugreifen, wenn sie als Mitglieder des Projektteams hinzugefügt wurden. Auf dieser Seite werden verschiedene Möglichkeiten beschrieben, wie Sie neue Nutzer zu Ihrem Projekt hinzufügen.

Es wird auch beschrieben, wie Deployment Manager sich bei anderen Cloud Platform-APIs in Ihrem Namen authentifiziert, um Ressourcen zu erstellen.

Vorbereitung

Machen Sie sich mit Projekten in der Google Cloud Platform Console vertraut.
Machen Sie sich mit der Google Identitäts- und Zugriffsverwaltung vertraut.

Zugriffskontrolle für Nutzer

Fügen Sie Ihre Nutzer als Projektteammitglieder hinzu und weisen Sie Ihnen die entsprechende Rolle der Identitäts- und Zugriffsverwaltung (IAM) zu, um Ihren Nutzern Zugriff auf Ihr Projekt zu gewähren. IAM unterstützt zwei Arten von Rollen: vordefinierte und einfache Rollen.

Informationen darüber, wie Sie Teammitglieder hinzufügen, finden Sie in der Dokumentation für das Hinzufügen von Teammitgliedern.

Vordefinierte Rollen

Mit vordefinierten Rollen gewähren Sie bestimmte zusammengehörige Berechtigungen. In der folgenden Tabelle werden die vordefinierten Rollen, die in Deployment Manager verfügbar sind, beschrieben:

Rolle	Umfasst die Berechtigungen:	Für Ressourcentyp
`roles/deploymentmanager.viewer`	`deploymentmanager.deployments.get`	Bereitstellung
	`deploymentmanager.manifests.get`	Manifest
	`deploymentmanager.manifests.list`	Projekt
	`deploymentmanager.resources.get`	Ressource
	`deploymentmanager.resources.list`	Projekt
	`deploymentmanager.types.list`	Projekt
	`deploymentmanager.operations.get`	Betrieb
	`deploymentmanager.operations.list`	Projekt
`roles/deploymentmanager.editor`	Alle Berechtigungen von `deploymentmanager.viewer` plus:
	`deploymentmanager.deployments.cancelPreview`	Bereitstellungen
	`deploymentmanager.deployments.create`	Projekt
	`deploymentmanager.deployments.delete`	Bereitstellungen
	`deploymentmanager.deployments.stop`	Bereitstellungen
	`deploymentmanager.deployments.update`	Bereitstellungen
`roles/deploymentmanager.typeViewer`	`deploymentmanager.types.list`	Projekt
	`deploymentmanager.typeProviders.get`	Typanbieter
	`deploymentmanager.typeProviders.list`	Projekt
	`deploymentmanager.compositeTypes.get`	Zusammengesetzter Typ
	`deploymentmanager.compositeTypes.list`	Projekt
	`roles/deploymentmanager.typeEditor`	Alle Berechtigungen von `deploymentmanager.typeViewer` plus:
		`deploymentmanager.typeProviders.create`	Projekt
`deploymentmanager.typeProviders.delete`		Typanbieter
`deploymentmanager.typeProviders.update`		Typanbieter
`deploymentmanager.compositeTypes.create`		Projekt
`deploymentmanager.compositeTypes.delete`		Zusammengesetzter Typ
`deploymentmanager.compositeTypes.update`		Zusammengesetzter Typ

Jede API-Methode benötigt eine spezifische Berechtigung, um aufgerufen zu werden. Verwenden Sie die folgende Tabelle, um herauszufinden, welche Berechtigungen für die gewünschte API-Methode nötig sind.

Methode	Erforderliche Berechtigungen	Rollen zum Methodenaufruf
`deployments.cancelPreview`	`deploymentmanager.deployments.cancelPreview`	`roles/deploymentmanager.editor` `roles/owner` `roles/editor`
`deployments.delete`	`deploymentmanager.deployments.delete`	`roles/deploymentmanager.editor` `roles/owner` `roles/editor`
`deployments.get`	`deploymentmanager.deployments.get`	`roles/deploymentmanager.editor` `roles/deploymentmanager.viewer` `roles/owner` `roles/editor` `roles/viewer`
`deployments.insert`	`deploymentmanager.deployments.create`	`roles/deploymentmanager.editor` `roles/owner` `roles/editor`
`deployments.list`	`deploymentmanager.deployments.list`	`roles/deploymentmanager.editor` `roles/deploymentmanager.viewer` `roles/owner` `roles/editor` `roles/viewer`
`deployments.patch`	`deploymentmanager.deployments.update`	`roles/deploymentmanager.editor` `roles/owner` `roles/editor`
`deployments.stop`	`deploymentmanager.deployments.stop`	`roles/deploymentmanager.editor` `roles/owner` `roles/editor`
`deployments.update`	`deploymentmanager.deployments.update`	`roles/deploymentmanager.editor` `roles/owner` `roles/editor`
`manifests.get`	`deploymentmanager.manifests.get`	`roles/deploymentmanager.editor` `roles/deploymentmanager.viewer` `roles/owner` `roles/editor` `roles/viewer`
`manifests.list`	`deploymentmanager.manifests.list`	`roles/deploymentmanager.editor` `roles/deploymentmanager.viewer` `roles/owner` `roles/editor` `roles/viewer`
`resources.get`	`deploymentmanager.resources.get`	`roles/deploymentmanager.editor` `roles/deploymentmanager.viewer` `roles/owner` `roles/editor` `roles/viewer`
`resources.list`	`deploymentmanager.resources.list`	`roles/deploymentmanager.editor` `roles/deploymentmanager.viewer` `roles/owner` `roles/editor` `roles/viewer`
`types.list`	`deploymentmanager.types.list`	`roles/deploymentmanager.editor` `roles/deploymentmanager.viewer` `roles/deploymentmanager.typeEditor` `roles/deploymentmanager.typeViewer` `roles/owner` `roles/editor` `roles/viewer`
`compositeTypes.delete`	`deploymentmanager.compositeTypes.delete`	`roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` `roles/owner` `roles/editor`
`compositeTypes.get`	`deploymentmanager.compositeTypes.get`	`roles/deploymentmanager.editor` `roles/deploymentmanager.viewer` `roles/deploymentmanager.typeEditor` `roles/deploymentmanager.typeViewer` `roles/owner` `roles/editor` `roles/viewer`
`compositeTypes.insert`	`deploymentmanager.compositeTypes.create`	`roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` `roles/owner` `roles/editor`
`compositeTypes.list`	`deploymentmanager.compositeTypes.list`	`roles/deploymentmanager.editor` `roles/deploymentmanager.viewer` `roles/deploymentmanager.typeEditor` `roles/deploymentmanager.typeViewer` `roles/owner` `roles/editor` `roles/viewer`
`compositeTypes.patch`	`deploymentmanager.compositeTypes.patch`	`roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` `roles/owner` `roles/editor`
`compositeTypes.list`	`deploymentmanager.compositeTypes.update`	`roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` `roles/owner` `roles/editor`
`typeProviders.delete`	`deploymentmanager.typeProviders.delete`	`roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` `roles/owner` `roles/editor`
`typeProviders.get`	`deploymentmanager.typeProviders.get`	`roles/deploymentmanager.editor` `roles/deploymentmanager.viewer` `roles/deploymentmanager.typeEditor` `roles/deploymentmanager.typeViewer` `roles/owner` `roles/editor` `roles/viewer`
`typeProviders.insert`	`deploymentmanager.typeProviders.create`	`roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` `roles/owner` `roles/editor`
`typeProviders.list`	`deploymentmanager.typeProviders.list`	`roles/deploymentmanager.editor` `roles/deploymentmanager.viewer` `roles/deploymentmanager.typeEditor` `roles/deploymentmanager.typeViewer` `roles/owner` `roles/editor` `roles/viewer`
`typeProviders.patch`	`deploymentmanager.typeProviders.patch`	`roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` `roles/owner` `roles/editor`
`typeProviders.update`	`deploymentmanager.typeProviders.update`	`roles/deploymentmanager.editor` `roles/deploymentmanager.typeEditor` `roles/deploymentmanager.typeViewer` `roles/owner` `roles/editor` `roles/viewer`

Einfache Rollen

Die einfachen IAM-Rollen sind den alten Rollen Projektinhaber, Bearbeiter und Betrachter direkt zugeordnet. Diese Rollen erlauben einen wesentlich umfangreicheren Zugriff auf Dienste als vordefinierte Rollen. Sie sollten möglichst immer vordefinierte Rollen zuweisen. Wenn IAM noch nicht unterstützt wird, müssen Sie eventuell eine einfache Rolle verwenden, um die korrekten Berechtigungen zu gewähren.

In der Dokumentation zu einfachen Rollen erfahren Sie mehr über diese.

Zugriffskontrolle für Deployment Manager

Deployment Manager nutzt die Anmeldedaten des Google APIs-Dienstkontos, um sich bei anderen APIs zu authentifizieren und andere Google Cloud Platform-Ressourcen zu erstellen. Das Google APIs-Dienstkonto wurde speziell entworfen, um interne Google-Vorgänge in Ihrem Namen auszuführen. Das Dienstkonto ist durch die E-Mail-Adresse identifizierbar:

[PROJECT_NUMBER]@cloudservices.gserviceaccount.com

Das Google APIs-Dienstkonto erhält automatisch Schreibberechtigung in dem Projekt und wird im Bereich IAM der Google Cloud Platform Console aufgelistet. Das Dienstkonto besteht unbegrenzt zusammen mit dem Projekt und wird erst gelöscht, wenn das Projekt gelöscht wird. Da Deployment Manager und andere Dienste wie verwaltete Instanzgruppen dieses Dienstkonto benötigen, um Ressourcen zu erstellen, löschen und verwalten, empfiehlt es sich nicht, die Berechtigungen dieses Kontos zu ändern.

Weitere Informationen

Weitere Informationen zu Dienstkonten.
Weitere Informationen darüber, wie Teammitglieder hinzugefügt werden.
Weitere Informationen zu IAM.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Except as otherwise noted, the content of this page is licensed under the Creative Commons Attribution 4.0 License, and code samples are licensed under the Apache 2.0 License. For details, see our Site Policies. Java is a registered trademark of Oracle and/or its affiliates.

Zuletzt aktualisiert: Februar 2, 2018