Auf dieser Seite werden integrierte Identitäten für Ressourcen beschrieben, mit denen Sie Ressourcen in Ihren IAM-Zulassungsrichtlinien Rollen zuweisen können.
Integrierte Identitäten
Einige Ressourcen haben integrierte Identitäten. Mit diesen Identitäten können die Ressourcen wie Hauptkonten agieren. Ressourcen mit integrierten Identitäten können daher Folgendes tun:
- IAM-Rollen mithilfe der Haupt-ID der Ressource zugewiesen bekommen
- Auf andere Ressourcen zugreifen, ohne Dienst-Agents zu verwenden
Nehmen wir beispielsweise Parameter des Parametermanagers mit integrierten Identitäten. Damit Parameter ordnungsgemäß funktionieren, benötigen sie manchmal Zugriff auf Secret Manager. Wenn Sie einem Parameter Zugriff auf Secret Manager gewähren möchten, müssen Sie ihm über seine Kennung die Rolle „Secret Manager Secret Accessor“ (roles/secretmanager.secretAccessor) zuweisen. Anschließend kann der Parameter in Ihrem Namen auf Secret Manager-Secrets zugreifen.
Eine Liste der Ressourcen mit integrierten Identitäten finden Sie unter Ressourcen mit integrierten Identitäten.
Sie können die integrierte Identität einer Ressource nicht zum Authentifizieren von kundenverwalteten Arbeitslasten wie Arbeitslasten verwenden, die auf Compute Engine-Instanzen ausgeführt werden. Wenn Sie eine Arbeitslast authentifizieren müssen, verwenden Sie eine der Methoden, die unter Authentifizierungsmethoden bei Google beschrieben sind.
Ressourcen mit integrierten Identitäten Rollen zuweisen
Wenn eine Ressource eine integrierte Identität hat, können Sie der Ressource Rollen gewähren, indem Sie die Hauptkonto-ID der Ressource in Ihre Zulassungsrichtlinien aufnehmen. Informationen dazu, welches Format für die Hauptkonto-ID der einzelnen Ressourcen verwendet werden soll, finden Sie unter Hauptkonto-IDs für einzelne Ressourcen.
IAM bietet auch IDs für Ressourcengruppen mit integrierten Identitäten, die bestimmte Merkmale wie Typ oder übergeordneten Element gemeinsam haben. Sie können diese IDs in Ihren Zulassungsrichtlinien verwenden, um mehreren Ressourcen dieselbe Rolle zu gewähren. Welche Formate unterstützt werden, erfahren Sie unter Hauptkonto-IDs für Ressourcengruppen.