Auf dieser Seite wird beschrieben, wie Sie benutzerdefinierte Rollen in Google Distributed Cloud (GDC) Air-Gapped erstellen und verwalten. Mit benutzerdefinierten Rollen können Sie den Zugriff über die in vordefinierten Rollen verfügbaren Standardberechtigungssätze hinaus verwalten und Berechtigungen entsprechend Ihren spezifischen Anforderungen konfigurieren.
Benutzerdefinierte Rollen folgen dem Prinzip der geringsten Berechtigung und sind nützlich, um den geringsten Zugriff zu gewähren, der für sensible Aufgaben erforderlich ist. So lassen sich Sicherheitsrisiken minimieren und Interessenkonflikte vermeiden.
Wenn Sie eine benutzerdefinierte Rolle erstellen, haben Sie folgende Möglichkeiten:
- Zugriffsbereich definieren: Sie können Berechtigungen für Ihre gesamte Organisation, für alle Projekte oder nur für bestimmte Projekte anwenden.
- Detaillierten Zugriff anpassen: Wählen Sie eine oder mehrere Berechtigungen aus, die bereits über vordefinierte Rollen verfügbar sind, um den Zugriff auf bestimmte Aufgaben oder Verantwortlichkeiten anzupassen.
Weitere Informationen finden Sie unter Beschreibungen vordefinierter Rollen und Rollendefinitionen.
Hinweise
Der Zugriff auf benutzerdefinierte Rollen wird sowohl auf Organisations- als auch auf Projektebene verwaltet. Der Zugriff auf benutzerdefinierte Rollen kann nur innerhalb derselben Organisation oder desselben Projekts gewährt werden, in dem die Rolle erstellt wurde.
Bitten Sie Ihren Administrator, Ihnen eine der folgenden Rollen zuzuweisen, um die erforderlichen Berechtigungen zum Erstellen und Verwalten benutzerdefinierter Rollen zu erhalten:
Administrator für benutzerdefinierte Rollen
Erstellt und verwaltet benutzerdefinierte Rollen in einer Organisation oder einem Projekt. Diese Rolle umfasst die Möglichkeit, benutzerdefinierte Rollen zu aktualisieren, aufzulisten, anzusehen, zu deaktivieren und zu löschen.
Nutzer mit der Rolle „IAM-Administrator der Organisation“ können diese Rolle zuweisen.
Benutzerdefinierte Rolle „Projektadministrator“
Erstellt und verwaltet benutzerdefinierte Rollen in einem Projekt. Diese Rolle umfasst die Möglichkeit, benutzerdefinierte Rollen zu aktualisieren, aufzulisten, aufzurufen, zu deaktivieren und zu löschen.
Nutzer mit der Rolle „Projekt-IAM-Administrator“ können diese Rolle zuweisen.
Weitere Informationen zum Zuweisen von Rollenberechtigungen für Organisationen und Projekte
Benutzerdefinierte Rolle erstellen
Eine benutzerdefinierte Rolle ist eine Gruppe von Berechtigungen, die Sie Nutzern zuweisen können. Sie können eine neue benutzerdefinierte Rolle erstellen, indem Sie Berechtigungen aus vordefinierten Rollen gruppieren. Benutzerdefinierte Rollen erben die IAM-Multizonenfunktionen der vordefinierten Rollen, auf denen sie basieren.
Erstellen Sie eine benutzerdefinierte Rolle mit der GDC Console oder der gdcloud CLI:
Console
- Melden Sie sich in der GDC-Konsole an.
- Wählen Sie in der Projektauswahl die Organisation oder das Projekt aus, in dem Sie eine benutzerdefinierte Rolle erstellen möchten.
- Klicken Sie im Navigationsmenü auf Identität & Zugriff > Rollen.
- Klicken Sie auf Benutzerdefinierte Rolle erstellen.
- Geben Sie im Feld Titel den Titel Ihrer benutzerdefinierten Rolle ein.
- Geben Sie im Feld Beschreibung eine Beschreibung des Zwecks der benutzerdefinierten Rolle ein.
Geben Sie im Feld ID die eindeutige Kennung für Ihre benutzerdefinierte Rolle ein.
Benutzerdefinierte Rollen-IDs können bis zu 10 alphanumerische Kleinbuchstaben enthalten und nach dem Erstellen der Rolle nicht mehr geändert werden.
Wählen Sie eine Startphase aus.
Wählen Sie den Umfang Ihrer benutzerdefinierten Rolle aus.
Wenn Sie Organisation auswählen, gilt die benutzerdefinierte Rolle für alle Ressourcen in der Organisation. Wenn Sie Projekte auswählen, gilt die benutzerdefinierte Rolle für alle aktuellen und zukünftigen Projekte in der Organisation. Sie können Auf ausgewählte Projekte beschränken auswählen, um festzulegen, welche Projekte auf die benutzerdefinierte Rolle zugreifen können.
Klicken Sie auf Berechtigungen hinzufügen.
Klicken Sie das Kästchen neben einer oder mehreren der unterstützten Berechtigungen an, die Sie Ihrer benutzerdefinierten Rolle zuweisen möchten.
Die verfügbaren Berechtigungen sind auf den ausgewählten Bereich beschränkt. Wenn Sie den Bereich ändern, nachdem Sie Berechtigungen hinzugefügt haben, müssen Sie bestätigen, dass alle zuvor zugewiesenen Berechtigungen zurückgesetzt werden.
Klicken Sie auf Speichern.
Klicken Sie auf Erstellen.
Die neue benutzerdefinierte Rolle wird auf der Seite Rollen angezeigt.
gdcloud
- Prüfen Sie, ob die gcloud CLI installiert ist. Weitere Informationen finden Sie auf der Seite Übersicht über die gcloud CLI.
So erstellen Sie eine benutzerdefinierte Rolle:
gdcloud iam roles create ROLE_ID \ --title=TITLE \ --description=DESCRIPTION \ --permissions=PERMISSIONSErsetzen Sie die folgenden erforderlichen Elemente:
ROLE_ID: Die eindeutige Kennung für Ihre benutzerdefinierte Rolle. Benutzerdefinierte Rollen-IDs können bis zu 10 alphanumerische Zeichen in Kleinschreibung enthalten und dürfen Bindestriche und Punkte enthalten. Benutzerdefinierte Rollen-IDs können nach dem Erstellen der Rolle nicht mehr geändert werden.TITLE: Ein nutzerfreundlicher Titel für die benutzerdefinierte Rolle.DESCRIPTION: Eine Beschreibung des Zwecks der benutzerdefinierten Rolle.PERMISSIONS: Eine Liste der unterstützten Berechtigungen, die für die benutzerdefinierte Rolle gewährt werden.
Alternativ können Sie die benutzerdefinierte Rolle in einer YAML-Datei definieren und das Flag
--fileverwenden:gdcloud iam roles create ROLE_ID --file=YAML_FILE_PATHErsetzen Sie
YAML_FILE_PATHdurch den Pfad zur YAML-Datei mit den erforderlichen und optionalen Flags. Wenn Sie das Flag--fileverwenden, werden alle anderen Flags wie--title,--descriptionund--permissionsignoriert.Eine vollständige Liste der erforderlichen und optionalen Flags sowie Beispiele für die Verwendung finden Sie unter gdcloud iam roles create.
Benutzerdefinierte Rolle verwalten
Sie sind für die Verwaltung des Lebenszyklus Ihrer benutzerdefinierten Rollen verantwortlich. Wenn Distributed Cloud neue Berechtigungen, Funktionen oder Dienste hinzufügt, werden vordefinierte Rollen aktualisiert. Durch Aktualisierungen wie das Löschen einer vordefinierten Rolle oder das Entfernen von Berechtigungen aus einer vordefinierten Rolle können benutzerdefinierte Rollen, die auf diesen Berechtigungen basieren, funktionsunfähig werden. Sie müssen diese Updates im Blick behalten und betroffene benutzerdefinierte Rollen manuell anpassen, damit sie weiterhin wie erwartet funktionieren.
Sie können eine benutzerdefinierte Rolle bearbeiten, deaktivieren oder löschen. Vordefinierte Rollen lassen sich jedoch nicht bearbeiten, deaktivieren oder löschen.
Rollenliste ansehen
Sie können eine Liste der verfügbaren vordefinierten und benutzerdefinierten Rollen über die GDC-Konsole oder die gdcloud CLI aufrufen:
Console
- Melden Sie sich in der GDC-Konsole an.
- Wählen Sie in der Projektauswahl die Organisation oder das Projekt aus, in dem Sie Rollen aufrufen möchten.
Klicken Sie im Navigationsmenü auf Identität & Zugriff > Rollen.
Eine Liste der verfügbaren vordefinierten und benutzerdefinierten Rollen wird angezeigt.
gdcloud
- Prüfen Sie, ob die gcloud CLI installiert ist. Weitere Informationen finden Sie auf der Seite Übersicht über die gcloud CLI.
Rollen auflisten:
gdcloud iam roles list ROLE_TYPE \ --project=PROJECTErsetzen Sie die folgenden Elemente:
ROLE_TYPE: Entwederpredefined,custom> oderall.PROJECT: Der Projekt-Namespace, in dem Sie Rollen aufrufen möchten. Wenn das Flag--projectnicht angegeben ist, werden Rollen mit Organisationsbereich aufgeführt.
Weitere Informationen und Beispiele für die Verwendung finden Sie unter gdcloud iam roles list.
Benutzerdefinierte Rolle bearbeiten
So bearbeiten Sie eine benutzerdefinierte Rolle über die GDC Console oder die gdcloud CLI:
Console
- Melden Sie sich in der GDC-Konsole an.
- Wählen Sie in der Projektauswahl die Organisation oder das Projekt aus, in dem Sie eine benutzerdefinierte Rolle bearbeiten möchten.
- Klicken Sie im Navigationsmenü auf Identität & Zugriff > Rollen.
- Wählen Sie in der Liste der Rollen die benutzerdefinierte Rolle aus, die Sie bearbeiten möchten.
- Klicken Sie auf der Seite mit den Details zur benutzerdefinierten Rolle auf Bearbeiten.
- Bearbeiten Sie die Details Ihrer benutzerdefinierten Rolle, z. B. Titel, Beschreibung, ID oder Einführungsphase.
- Optional: Zugewiesene Berechtigungen hinzufügen oder entfernen.
- Klicken Sie auf Berechtigungen hinzufügen, um aus der Liste der verfügbaren Berechtigungen auszuwählen.
- Wenn Sie eine zugewiesene Berechtigung entfernen möchten, klicken Sie auf das Kästchen neben der Berechtigung, die Sie entfernen möchten, und dann auf Entfernen.
Klicken Sie auf Speichern.
Es wird eine Meldung angezeigt, die Ihre gespeicherten Änderungen bestätigt.
gdcloud
- Prüfen Sie, ob die gcloud CLI installiert ist. Weitere Informationen finden Sie auf der Seite Übersicht über die gcloud CLI.
So bearbeiten Sie eine benutzerdefinierte Rolle:
gdcloud iam roles update ROLE_ID \ --title=TITLE \ --description=DESCRIPTION \ --permissions=PERMISSIONSErsetzen Sie die folgenden erforderlichen Elemente:
ROLE_ID: Die eindeutige Kennung für Ihre benutzerdefinierte Rolle.TITLE: Ein nutzerfreundlicher Titel für die benutzerdefinierte Rolle.DESCRIPTION: Eine Beschreibung des Zwecks der benutzerdefinierten Rolle.PERMISSIONS: Eine Liste der unterstützten Berechtigungen, die für die benutzerdefinierte Rolle gewährt werden.
Alternativ können Sie die benutzerdefinierte Rolle in der zugehörigen YAML-Datei aktualisieren und das Flag
--fileverwenden:gdcloud iam roles update ROLE_ID --file=YAML_FILE_PATHErsetzen Sie
YAML_FILE_PATHdurch den Pfad zur YAML-Datei mit den aktualisierten erforderlichen und optionalen Flags. Wenn Sie das Flag--fileverwenden, werden alle anderen Flags wie--title,--descriptionund--permissionsignoriert.Eine vollständige Liste der erforderlichen und optionalen Flags sowie Beispiele für die Verwendung finden Sie unter gcloud iam roles update.
Benutzerdefinierte Rolle deaktivieren
Deaktivierte benutzerdefinierte Rollen bleiben in Ihrer Liste der Rollen und können weiterhin Nutzern zugewiesen werden. Die Rolle hat jedoch keine Auswirkungen. Sie können die benutzerdefinierte Rolle jederzeit wieder aktivieren.
So deaktivieren Sie eine benutzerdefinierte Rolle über die GDC-Konsole oder die gdcloud-CLI:
Console
- Melden Sie sich in der GDC-Konsole an.
- Wählen Sie in der Projektauswahl die Organisation oder das Projekt aus, in dem Sie eine benutzerdefinierte Rolle deaktivieren möchten.
- Klicken Sie im Navigationsmenü auf Identität & Zugriff > Rollen.
- Wählen Sie in der Liste der Rollen die benutzerdefinierte Rolle aus, die Sie deaktivieren möchten.
- Klicken Sie auf der Seite mit den Details zur benutzerdefinierten Rolle auf Deaktivieren.
gdcloud
- Prüfen Sie, ob die gcloud CLI installiert ist. Weitere Informationen finden Sie auf der Seite Übersicht über die gcloud CLI.
So deaktivieren Sie eine benutzerdefinierte Rolle:
gdcloud iam roles update ROLE_ID --stage=DISABLEDErsetzen Sie das folgende erforderliche Element:
ROLE_ID: Die eindeutige Kennung für Ihre benutzerdefinierte Rolle.
Weitere Informationen finden Sie unter gdcloud iam roles update.
Benutzerdefinierte Rollen löschen
Das Löschen einer benutzerdefinierten Rolle wird nur über die gcloud CLI unterstützt. Gelöschte Rollen werden dauerhaft aus dem System entfernt. Sie können jedoch eine neue Rolle mit demselben Namen erstellen.
So löschen Sie eine benutzerdefinierte Rolle mit der gcloud CLI:
- Prüfen Sie, ob die gcloud CLI installiert ist. Weitere Informationen finden Sie auf der Seite Übersicht über die gcloud CLI.
So löschen Sie eine benutzerdefinierte Rolle:
gdcloud iam roles delete ROLE_ID --project=PROJECTErsetzen Sie Folgendes:
ROLE_ID: Die eindeutige ID für Ihre benutzerdefinierte Rolle.PROJECT: Der Projekt-Namespace, in dem Sie die benutzerdefinierte Rolle löschen möchten. Wenn das Flag--projectnicht angegeben ist, wird die organisationsbezogene Rolle gelöscht.
Weitere Informationen und Beispiele für die Verwendung finden Sie unter gcloud iam roles delete.