本頁面說明如何在 Google Distributed Cloud (GDC) Air-gapped 中建立及管理自訂角色。自訂角色可讓您管理存取權,不受預先定義角色提供的標準權限集限制,並根據特定條件設定權限。
自訂角色遵循最低權限原則,可授予執行敏感工作所需的最低存取權,有助於降低安全風險及避免利益衝突。
建立自訂角色可讓您:
- 定義存取權範圍:選擇在整個機構或所有專案中套用權限,或將權限限制在特定專案。
- 調整精細的存取權:選取一或多個預先定義角色已提供的權限,自訂特定工作或職責的存取權。
事前準備
自訂角色存取權是在機構和專案層級管理。自訂角色存取權只能在建立該角色的相同機構或專案中授予。
如要取得建立及管理自訂角色所需的權限,請要求管理員授予下列其中一個角色:
自訂角色機構管理員
在機構或專案中建立及管理自訂角色。這個角色可更新、列出、查看、停用及刪除自訂角色。
機構 IAM 管理員使用者可以授予這個角色。
自訂角色專案管理員
在專案中建立及管理自訂角色。這個角色可更新、列出、查看、停用及刪除自訂角色。
專案 IAM 管理員使用者可以授予這個角色。
建立自訂角色
自訂角色是一組權限,可指派給使用者。您可以將預先定義角色的權限分組,建立新的自訂角色。自訂角色會沿用所建構預先定義角色的 IAM 多區域功能。
使用 GDC 控制台或 gdcloud CLI 建立自訂角色:
控制台
- 登入 GDC 控制台。
- 在專案選取器中,選取要建立自訂角色的機構或專案。
- 在導覽選單中,依序點選「Identity & Access」>「Roles」。
- 按一下「建立自訂角色」。
- 在「Title」(名稱) 欄位中,輸入自訂角色的名稱。
- 在「說明」欄位中,提供自訂角色用途的說明。
在「ID」欄位中,輸入自訂角色的專屬 ID。
自訂角色 ID 最多可包含 10 個小寫英數字元,且角色建立後即無法變更。
選取「發布階段」。
選取自訂角色的範圍。
如果選取「機構」,自訂角色會套用至整個機構的所有資源。如果選取「專案」,自訂角色會套用至機構中所有現有和日後的專案。如要指定哪些專案可以存取自訂角色,請選取「Limit to selected projects」(僅限所選專案)。
按一下 [Add Permissions] (新增權限)。
找出要指派給自訂角色的一或多個支援權限,然後勾選旁邊的核取方塊。
可用權限僅限於所選範圍。如果您在新增權限後變更範圍,請務必確認先前指派的所有權限已重設。
按一下 [儲存]。
按一下 [Create]。
新的自訂角色會顯示在「角色」頁面中。
gdcloud
- 確認已安裝 gdcloud CLI。詳情請參閱 gcloud CLI 總覽頁面。
建立自訂角色:
gdcloud iam roles create ROLE_ID \ --title=TITLE \ --description=DESCRIPTION \ --permissions=PERMISSIONS替換下列必要元素:
ROLE_ID:自訂角色的專屬 ID。自訂角色 ID 最多可包含 10 個小寫英數字元,且可包含連字號和半形句號。自訂角色 ID 建立後即無法變更。TITLE:自訂角色的簡單易懂名稱。DESCRIPTION:自訂角色用途的說明。PERMISSIONS:自訂角色獲准的支援權限清單。
或者,您也可以在 YAML 檔案中定義自訂角色,並使用
--file標記:gdcloud iam roles create ROLE_ID --file=YAML_FILE_PATH請將
YAML_FILE_PATH改成 YAML 檔案的路徑,該檔案包含必要和選用旗標。如果使用--file旗標,系統會忽略所有其他旗標,例如--title、--description和--permissions。如需必要和選用標記的完整清單,以及使用範例,請參閱 gdcloud iam roles create。
管理自訂角色
您有責任管理自訂角色的生命週期。當 Distributed Cloud 新增權限、功能或服務時,會更新預先定義的角色。如果更新預先定義的角色,例如刪除或移除權限,依賴這些權限的自訂角色就會無法運作。您必須監控這些更新,並手動調整受影響的自訂角色,確保這些角色能繼續正常運作。
您可以編輯、停用或刪除自訂角色,但無法編輯、停用或刪除預先定義的角色。
查看角色清單
使用 GDC 控制台或 gdcloud CLI,查看可用預先定義角色和自訂角色的清單:
控制台
- 登入 GDC 控制台。
- 在專案選取器中,選取要查看角色的機構或專案。
在導覽選單中,依序點選「Identity & Access」>「Roles」。
畫面上會顯示可用的預先定義角色和自訂角色清單。
gdcloud
- 確認已安裝 gdcloud CLI。詳情請參閱 gcloud CLI 總覽頁面。
列出角色:
gdcloud iam roles list ROLE_TYPE \ --project=PROJECT取代下列元素:
ROLE_TYPE:predefined、custom或all。PROJECT:要查看角色的專案命名空間。如未指定--project旗標,系統會列出機構範圍的角色。
如需更多資訊和使用範例,請參閱 gdcloud iam roles list。
編輯自訂角色
使用 GDC 控制台或 gdcloud CLI 編輯自訂角色:
控制台
- 登入 GDC 控制台。
- 在專案選取器中,選取要編輯自訂角色的機構或專案。
- 在導覽選單中,依序點選「Identity & Access」>「Roles」。
- 從角色清單中,選取要編輯的自訂角色。
- 在自訂角色詳細資料頁面中,按一下「編輯」。
- 編輯自訂角色詳細資料,例如名稱、說明、ID 或發布階段。
- 視需要新增或移除指派的權限。
- 按一下「新增權限」,從可用權限清單中選取。
- 如要移除已指派的權限,請勾選要移除的權限旁邊的核取方塊,然後按一下「移除」。
按一下 [儲存]。
系統會顯示訊息,確認變更已儲存。
gdcloud
- 確認已安裝 gdcloud CLI。詳情請參閱 gcloud CLI 總覽頁面。
編輯自訂角色:
gdcloud iam roles update ROLE_ID \ --title=TITLE \ --description=DESCRIPTION \ --permissions=PERMISSIONS替換下列必要元素:
ROLE_ID:自訂角色的專屬 ID。TITLE:自訂角色的簡單易懂名稱。DESCRIPTION:自訂角色用途的說明。PERMISSIONS:自訂角色獲准的支援權限清單。
或者,您也可以在自訂角色的 YAML 檔案中更新角色,並使用
--file標記:gdcloud iam roles update ROLE_ID --file=YAML_FILE_PATH請將
YAML_FILE_PATH改成 YAML 檔案的路徑,該檔案包含更新後的必要和選用旗標。如果您使用--file旗標,系統會忽略所有其他旗標,例如--title、--description和--permissions。如需必要和選用標記的完整清單,以及使用範例,請參閱 gdcloud iam roles update。
停用自訂角色
停用的自訂角色仍會保留在角色清單中,且仍可指派給使用者,但不會生效。您隨時可以重新啟用自訂角色。
使用 GDC 控制台或 gdcloud CLI 停用自訂角色:
控制台
- 登入 GDC 控制台。
- 在專案選取器中,選取要停用自訂角色的機構或專案。
- 在導覽選單中,依序點選「Identity & Access」>「Roles」。
- 在角色清單中,選取要停用的自訂角色。
- 在自訂角色詳細資料頁面中,按一下「停用」。
gdcloud
- 確認已安裝 gdcloud CLI。詳情請參閱 gcloud CLI 總覽頁面。
停用自訂角色:
gdcloud iam roles update ROLE_ID --stage=DISABLED替換下列必要元素:
ROLE_ID:自訂角色的專屬 ID。
詳情請參閱 gdcloud iam roles update。
刪除自訂角色
系統僅支援使用 gdcloud CLI 刪除自訂角色。 系統會永久移除已刪除的角色,但您可以建立同名的新角色。
使用 gdcloud CLI 刪除自訂角色:
- 確認已安裝 gdcloud CLI。詳情請參閱 gcloud CLI 總覽頁面。
刪除自訂角色:
gdcloud iam roles delete ROLE_ID --project=PROJECT更改下列內容:
ROLE_ID:自訂角色的專屬 ID。PROJECT:要刪除自訂角色的專案命名空間。如果未指定--project旗標,系統會刪除機構範圍的角色。
如需更多資訊和使用範例,請參閱 gdcloud iam roles delete。