本页面介绍了如何在 Google Distributed Cloud (GDC) air-gapped 中创建和管理自定义角色。借助自定义角色,您可以管理超出预定义角色中提供的标准权限集的访问权限,从而能够配置权限以满足您的特定条件。
自定义角色遵循最小权限原则,有助于授予敏感任务所需的最低访问权限,从而降低安全风险并防止利益冲突。
创建自定义角色可让您:
- 定义访问权限范围:选择在整个组织或所有项目中应用权限,或将权限限制为仅适用于特定项目。
- 精细调整访问权限:选择一个或多个已通过预定义角色提供的权限,以自定义对特定任务或职责的访问权限。
准备工作
自定义角色访问权限可在组织级层和项目级层进行管理。自定义角色访问权限只能在创建该角色的同一组织或项目中授予。
如需获得创建和管理自定义角色所需的权限,请让管理员向您授予以下角色之一:
自定义角色组织管理员
在组织或项目中创建和管理自定义角色。此角色可提供更新、列出、查看、停用和删除自定义角色的权限。
组织 IAM 管理员用户可以授予此角色。
自定义角色“项目管理员”
在项目中创建和管理自定义角色。此角色包含更新、列出、查看、停用和删除自定义角色的权限。
项目 IAM 管理员用户可以授予此角色。
创建自定义角色
自定义角色是一组您可以分配给用户的权限。您可以将预定义角色中的权限分组在一起,以创建新的自定义角色。自定义角色会继承其所基于的预定义角色的 IAM 多区域功能。
使用 GDC 控制台或 gdcloud CLI 创建自定义角色:
控制台
- 登录 GDC 控制台。
- 在项目选择器中,选择要在哪个组织或项目中创建自定义角色。
- 在导航菜单中,依次点击身份与访问权限 > 角色。
- 点击创建自定义角色。
- 在标题字段中,输入自定义角色的标题。
- 在说明字段中,提供自定义角色的用途说明。
在 ID 字段中,输入自定义角色的唯一标识符。
自定义角色 ID 最多可包含 10 个小写字母数字字符,并且在角色创建后无法更改。
选择发布阶段。
选择自定义角色的范围。
如果您选择组织,自定义角色将应用于整个组织中的所有资源。如果您选择项目,则自定义角色将应用于组织中的所有当前项目和未来项目。如果您想指定哪些项目可以访问自定义角色,可以选择仅限选定项目。
点击添加权限。
选中您要分配给自定义角色的一个或多个受支持的权限旁边的复选框。
可用权限仅限于您选择的范围。如果您在添加权限后更改了范围,则必须确认之前分配的所有权限都已重置。
点击保存。
点击创建。
您的新自定义角色会显示在角色页面上。
gdcloud
- 确保您已安装 gdcloud CLI。如需了解详情,请参阅 gdcloud CLI 概览页面。
创建自定义角色:
gdcloud iam roles create ROLE_ID \ --title=TITLE \ --description=DESCRIPTION \ --permissions=PERMISSIONS替换以下必需元素:
ROLE_ID:自定义角色的唯一标识符。自定义角色 ID 最多可包含 10 个小写字母数字字符,并且可以包含连字符和英文句点。自定义角色 ID 在角色创建后无法更改。TITLE:自定义角色的易记标题。DESCRIPTION:自定义角色的用途说明。PERMISSIONS:为自定义角色授予的支持的权限的列表。
或者,您也可以在 YAML 文件中定义自定义角色,并使用
--file标志:gdcloud iam roles create ROLE_ID --file=YAML_FILE_PATH将
YAML_FILE_PATH替换为包含必需标志和可选标志的 YAML 文件的路径。如果您使用--file标志,系统会忽略所有其他标志,例如--title、--description和--permissions。如需查看必需和可选标志的完整列表以及使用示例,请参阅 gdcloud iam roles create。
管理自定义角色
您负责管理自定义角色的生命周期。当 Distributed Cloud 添加新权限、功能或服务时,它会更新预定义角色。删除预定义角色或从预定义角色中移除权限等更新可能会导致依赖于这些权限的自定义角色无法正常运行。您必须监控这些更新,并手动调整受影响的自定义角色,以确保它们继续按预期运行。
您可以修改、停用或删除自定义角色;不过,您无法修改、停用或删除预定义角色。
查看角色列表
使用 GDC 控制台或 gdcloud CLI 查看可用预定义角色和自定义角色的列表:
控制台
- 登录 GDC 控制台。
- 在项目选择器中,选择要查看角色的组织或项目。
在导航菜单中,依次点击身份与访问权限 > 角色。
系统会显示可用预定义角色和自定义角色的列表。
gdcloud
- 确保您已安装 gdcloud CLI。如需了解详情,请参阅 gdcloud CLI 概览页面。
列出角色:
gdcloud iam roles list ROLE_TYPE \ --project=PROJECT替换以下元素:
ROLE_TYPE:predefined、custom或all。PROJECT:您要查看角色的项目命名空间。如果未指定--project标志,则会列出组织级角色。
如需了解详情和使用示例,请参阅 gcloud iam roles list。
修改自定义角色
使用 GDC 控制台或 gdcloud CLI 修改自定义角色:
控制台
- 登录 GDC 控制台。
- 在项目选择器中,选择要修改自定义角色的组织或项目。
- 在导航菜单中,依次点击身份与访问权限 > 角色。
- 从角色列表中,选择要修改的自定义角色。
- 在自定义角色详情页面上,点击修改。
- 修改自定义角色详细信息,例如标题、说明、ID 或发布阶段。
- (可选)添加或移除分配的权限。
- 点击添加权限,从可用权限列表中进行选择。
- 如需移除已分配的权限,请选中要移除的权限旁边的复选框,然后点击移除。
点击保存。
系统会显示一条消息,确认您已保存更改。
gdcloud
- 确保您已安装 gdcloud CLI。如需了解详情,请参阅 gdcloud CLI 概览页面。
修改自定义角色:
gdcloud iam roles update ROLE_ID \ --title=TITLE \ --description=DESCRIPTION \ --permissions=PERMISSIONS替换以下必需元素:
ROLE_ID:自定义角色的唯一标识符。TITLE:自定义角色的易记标题。DESCRIPTION:自定义角色的用途说明。PERMISSIONS:为自定义角色授予的支持的权限的列表。
或者,您也可以在自定义角色的 YAML 文件中更新该角色,然后使用
--file标志:gdcloud iam roles update ROLE_ID --file=YAML_FILE_PATH将
YAML_FILE_PATH替换为包含更新后的必需标志和可选标志的 YAML 文件的路径。如果您使用--file标志,系统会忽略所有其他标志,例如--title、--description和--permissions。如需查看必需和可选标志的完整列表以及使用示例,请参阅 gdcloud iam roles update。
停用自定义角色
停用的自定义角色仍会显示在您的角色列表中,并且仍可分配给用户;不过,该角色不会产生任何影响。您可以随时重新启用自定义角色。
使用 GDC 控制台或 gdcloud CLI 停用自定义角色:
控制台
- 登录 GDC 控制台。
- 在项目选择器中,选择要停用自定义角色的组织或项目。
- 在导航菜单中,依次点击身份与访问权限 > 角色。
- 在角色列表中,选择要停用的自定义角色。
- 在自定义角色详情页面上,点击停用。
gdcloud
- 确保您已安装 gdcloud CLI。如需了解详情,请参阅 gdcloud CLI 概览页面。
停用自定义角色:
gdcloud iam roles update ROLE_ID --stage=DISABLED替换以下必需元素:
ROLE_ID:自定义角色的唯一标识符。
如需了解详情,请参阅 gdcloud iam roles update。
删除自定义角色
仅支持使用 gdcloud CLI 删除自定义角色。已删除的角色会从系统中永久移除;不过,您可以创建同名的新角色。
使用 gcloud CLI 删除自定义角色:
- 确保您已安装 gdcloud CLI。如需了解详情,请参阅 gdcloud CLI 概览页面。
删除自定义角色:
gdcloud iam roles delete ROLE_ID --project=PROJECT替换以下内容:
ROLE_ID:自定义角色的唯一标识符。PROJECT:您要删除自定义角色的项目命名空间。如果未指定--project标志,则删除组织级角色。
如需了解详情和使用示例,请参阅 gdcloud iam roles delete。