Benutzerdefinierte Rollen erstellen und verwalten

Auf dieser Seite wird das Erstellen und Verwalten von benutzerdefinierten Rollen beschrieben.

Vorbereitung

Verfügbare Berechtigungen für eine Ressource anzeigen

Bevor Sie eine benutzerdefinierte Rolle erstellen, möchten Sie möglicherweise wissen, welche Berechtigungen auf eine Ressource angewandt werden können. Mit der Cloud Console oder der IAM API haben Sie die Möglichkeit, alle Berechtigungen abzurufen, die auf eine Ressource und alle Ressourcen in der Hierarchie unter ihr angewendet werden können. Sie können beispielsweise alle Berechtigungen abrufen, die Sie auf eine Organisation und Projekte in dieser Organisation anwenden können.

Konsole


  1. Rufen Sie in der Cloud Platform Console die Seite "Rollen" auf.

    Weiter zur Seite "Rollen"

  2. Wählen Sie das Projekt oben auf der Seite aus der Drop-down-Liste aus.
  3. Aktivieren Sie das Kontrollkästchen für die Administratorrolle einer Ressource, um alle Berechtigungen aufzurufen, die Sie auf diese Ressource anwenden können. Wenn Sie beispielsweise die Rolle "Compute-Instanzadministrator" auswählen, werden im rechten Bereich alle Berechtigungen angezeigt, die auf eine Compute Engine-Instanz angewendet werden können.

API


QueryTestablePermissions gibt alle Berechtigungen zurück, die auf eine Ressource angewendet werden können. Bei den zurückgegebenen Berechtigungen handelt es sich um diejenigen, mit denen in dieser Ressource sowie in allen Ressourcen, die sich in der Hierarchie unter ihr befinden, eine benutzerdefinierte Rolle erstellt werden kann. Die einzige erforderliche Eingabe bei dieser Anfrage ist der vollständige Name der Ressource, zum Beispiel //cloudresourcemanager.googleapis.com/projects/my-project.

Der Aufrufer kann optional Support für die Paginierung bereitstellen, wenn die Ressource über eine lange Liste mit Berechtigungen verfügt.

Beispiel

full_resource_name: '//cloudresourcemanager.googleapis.com/projects/my-project/buckets/bucket1'`

Fehlercodes

FehlercodeStatusmeldung
INVALID_ARGUMENTMuss zwischen 0 und 100 liegen
INVALID_ARGUMENTUngültige Codierung des Paginierungstokens
INVALID_ARGUMENTUngültiges Paginierungstoken
INVALID_ARGUMENTDas Paginierungstoken gilt nicht für den angegebenen Container.
INVALID_ARGUMENTUngültiger Ausgangspunkt im Paginierungstoken
INVALID_ARGUMENTUngültiger Paginierungstoken-Cookie
INVALID_ARGUMENTAbgelaufenes Paginierungstoken
INVALID_ARGUMENT{full_resource_name} muss angegeben werden
INVALID_ARGUMENT{full_resource_name}, stimmt nicht mit //[a-z0-9.-]/.a-z0-9.-]/ überein

Metadaten der Rollen abrufen

Bevor Sie eine benutzerdefinierte Rolle erstellen, können Sie die Metadaten für sowohl vordefinierte als auch benutzerdefinierte Rollen abrufen. Die Rollenmetadaten umfassen die Rollen-ID und die in der Rolle enthaltenen Berechtigungen. Sie können die Metadaten über die Google Cloud Platform Console oder die IAM API anzeigen.

Verwenden Sie eine der folgenden Methoden, um die Rollenmetadaten aufzurufen:

Konsole


  1. Rufen Sie in der Cloud Platform Console die Seite "Rollen" auf.

    Weiter zur Seite "Rollen"

  2. Wählen Sie die Organisation oder das Projekt oben auf der Seite im Drop-down-Menü aus.
  3. Aktivieren Sie das Kontrollkästchen für eine oder mehrere Rollen, um die Rollenberechtigungen aufzurufen. Im rechten Bereich werden die in den Rollen vorhandenen Berechtigungen aufgeführt, falls vorhanden.

Die Symbole neben der Rolle geben an, ob es sich um eine benutzerdefinierte Rolle (Werksymbol) oder eine vordefinierte Rolle (Hexagonsymbol) handelt.

Rollensymbole

Wenn Sie alle Rollen mit einer bestimmten Berechtigung auflisten möchten, geben Sie den Namen der Berechtigung in das Feld Filter oben in der Liste "Rollen" ein.

API


Wenn Sie den Namen der Rolle kennen, die Sie anzeigen möchten, verwenden Sie die Methode roles.get, um eine benutzerdefinierte Rolle zu erhalten. Wenn Sie den Namen der Rolle nicht kennen, verwenden Sie die Methode roles.list, um alle benutzerdefinierten Rollen in einer Organisation oder in einem Projekt aufzulisten.

Zum Aufrufen von GetRole(), legen Sie das folgende Feld in der GetRoleRequest fest:

  • Name der Rolle, wie z. B. roles/{ROLE_NAME} oder organizations/{ORGANIZATION_ID}/roles/{ROLE_NAME}.

Zum Aufrufen von ListRoles() legen Sie das folgende Feld in der ListRolesRequest fest:

  • Das übergeordnete Element, für das Sie alle benutzerdefinierten Rollen abrufen möchten, wie z. B. organizations/{ORGANIZATION_ID} oder projects/{PROJECT_ID}.

Fehlercodes

FehlercodeStatusmeldung
PERMISSION_DENIEDSie sind nicht berechtigt, die Rolle unter {path} abzurufen.
NOT_FOUNDDie Rolle mit dem Namen {role} wurde nicht gefunden.
INVALID_ARGUMENTDie Name der Rolle muss im Format roles/{role} oder organizations/{organization_id}/roles/{role} vorliegen.
PERMISSION_DENIEDSie sind nicht berechtigt, Rollen unter {path} aufzulisten.
INVALID_ARGUMENTDas übergeordnete Element {path} ist ungültig. Das übergeordnete Element muss im Format organizations/{organization_id} vorliegen oder leer sein.
INVALID_ARGUMENTDie Rollenansicht ist ungültig.

Benutzerdefinierte Rolle erstellen

Zum Erstellen einer benutzerdefinierten Rolle muss der Aufrufer die Berechtigung iam.roles.create besitzen. Der Inhaber eines Projekts oder einer Organisation verfügt standardmäßig über diese Berechtigung und kann benutzerdefinierte Rollen erstellen und verwalten.

Nutzern, die keine Inhaber sind, wie z. B. Organisationsadministratoren, muss entweder die Rolle "Administrator für Organisationsrollen" oder die Rolle "Administrator für IAM-Rollen" zugewiesen werden.

Konsole


So erstellen Sie eine neue benutzerdefinierte Rolle:

  1. Rufen Sie in der Cloud Platform Console die Seite "Rollen" auf.

    Weiter zur Seite "Rollen"

  2. Wählen Sie Ihre Organisation aus dem Drop-down-Menü Organisation aus.
  3. Klicken Sie auf Rolle erstellen.
  4. Geben Sie Name, Titel und Beschreibung für die Rolle ein.
  5. Klicken Sie auf Berechtigungen hinzufügen.
  6. Wählen Sie die Berechtigungen aus, die Sie der Rolle hinzufügen möchten, und klicken Sie auf Berechtigungen hinzufügen. Verwenden Sie die Drop-down-Menüs Alle Dienste und Alle Typen, um Berechtigungen nach Diensten und Typen zu filtern und auszuwählen.

So erstellen Sie eine benutzerdefinierte Rolle auf der Grundlage einer vorhandenen gepflegten Rolle:

  1. Rufen Sie in der Cloud Platform Console die Seite "Rollen" auf.

    Weiter zur Seite "Rollen"

  2. Wählen Sie Ihre Organisation aus dem Drop-down-Menü Organisation aus.
  3. Wählen Sie die Rollen aus, auf deren Grundlage Sie die neue benutzerdefinierte Rolle erstellen möchten.
  4. Klicken Sie auf Rolle aus Auswahl erstellen.
  5. Geben Sie Name, Titel und Beschreibung für die Rolle ein.
  6. Entfernen Sie die Häkchen aus den Kästchen neben den Berechtigungen, die von der Rolle ausgeschlossen werden sollen.
  7. Klicken Sie auf Berechtigungen hinzufügen, um Berechtigungen hinzuzufügen.
  8. Klicken Sie auf Erstellen.

API


Verwenden Sie die Methode create, um eine neue benutzerdefinierte Rolle zu erstellen.

Legen Sie in der Anfrage die folgenden erforderlichen Parameter fest:

  • Die Rollen-ID, die Sie für die neue benutzerdefinierte Rolle verwenden möchten, zum Beispiel appengine.myCustomStorageAuditor.
  • Die Beschreibung der benutzerdefinierten Rolle, zum Beispiel "Diese Rolle berechtigt dazu, Speicherressourcen sowie ihre Kapazität und ihre Zugriffsrichtlinien aufzulisten".
  • Eine Liste der Berechtigungen, die mit dieser Rolle verknüpft werden sollen
  • Beachten Sie, dass beim Festlegen des Namensfeldes in der Rolle ein Fehler verursacht wird.

Wir empfehlen darüber hinaus, die folgenden optionalen Parameter festzulegen:

  • Den Titel für die benutzerdefinierte Rolle, zum Beispiel "Bearbeiter für benutzerdefinierte Rollen".
  • Legen Sie einen Wert für stage fest, zum Beispiel GA.

Für stage sind die folgenden Werte möglich: ALPHA, BETA, GA, DEPRECATED oder DISABLED.

Einige vordefinierte Rollen enthalten veraltete Berechtigungen, die in benutzerdefinierten Rollen nicht zulässig sind. Das Erstellen einer benutzerdefinierten Rolle auf der Grundlage einer vordefinierten Rolle, die veraltete oder beschränkte Berechtigungen enthält, wird fehlschlagen.

Beispiel

parent: '[PARENT_NAME]'
role_id: '[ROLE_ID]'
role {
    name: ''
    title: '[ROLE_TITLE]'
    description: '[ROLE_DESCRIPTION]'
    included_permissions: '[PERMISSION]'
    included_permissions: '[PERMISSION]'
})",

Es gilt:

  • [PARENT_NAME] ist der Name der Organisation, in der Sie die benutzerdefinierte Rolle erstellen (z. B. organizations/0000000000000001), oder die Projekt-ID, in der Sie die benutzerdefinierte Rolle erstellen (z. B. projects/my-project).
  • [ROLE_ID] ist die ID der benutzerdefinierten Rolle. Beispiel: appengine.myCustomStorageAuditor.
  • [ROLE_TITLE] ist der Titel der Rolle. Beispiel: Storage Auditor.
  • [ROLE_DESCRIPTION] beschreibt die Aufgaben der Rolle.
  • [PERMISSION] ist die Berechtigung, die Sie der benutzerdefinierten Rolle hinzufügen möchten.

Fehlercodes

FehlercodeStatusmeldung
PERMISSION_DENIEDSie sind nicht berechtigt, eine Rolle in {parent} zu erstellen.
ALREADY_EXISTSEine Rolle mit dem Namen {role_id} ist in {parent} bereits vorhanden.
INVALID_ARGUMENTDas übergeordnete Element {parent} ist ungültig. Es muss im Format organizations/{organization_id} vorliegen.
INVALID_ARGUMENTDie role_id {role_id} ist ungültig. Sie stimmt nicht mit dem Muster {pattern} überein.
INVALID_ARGUMENTDie Anzahl der Berechtigungen in der Rolle überschreitet den Höchstwert {max}.
INVALID_ARGUMENTDie role.stage {stage} ist ungültig.

Vorhandene benutzerdefinierte Rolle bearbeiten

Read-Modify-Write (Lesen-Ändern-Schreiben)

Die Metadaten einer Ressource, beispielsweise einer Rolle, werden häufig nach dem folgenden Muster aktualisiert: Der aktuelle Status wird gelesen, die Daten werden lokal aktualisiert und die geänderten Daten werden anschließend zum Schreiben übermittelt. Dabei kann es jedoch zu Konflikten kommen, wenn zwei oder mehr voneinander unabhängige Prozesse gleichzeitig nach diesem Muster verfahren. Wenn beispielsweise zwei Inhaber eines Projekts gleichzeitig versuchen, gegensätzliche Änderungen an der Rolle vorzunehmen. Cloud IAM löst dieses Problem durch die Verwendung der Eigenschaft etag in benutzerdefinierten Rollen. Mit dieser Eigenschaft wird geprüft, ob die benutzerdefinierte Rolle seit der letzten Anfrage geändert wurde. Wenn Sie eine Anfrage mit einem etag-Wert an Cloud IAM senden, vergleicht Cloud IAM den etag-Wert in der Anfrage mit dem vorhandenen etag-Wert der benutzerdefinierten Rolle. Die Änderung wird nur geschrieben, wenn die etag-Werte übereinstimmen.

Wenn Sie eine Rolle aktualisieren möchten, rufen Sie diese zuerst mit roles.get() ab, aktualisieren Sie die Rolle und schreiben Sie dann die aktualisierte Rolle mit roles.patch(). Verwenden Sie den etag-Wert beim Festlegen der Rolle nur, wenn die entsprechende Rolle in roles.get() einen etag-Wert enthält.

Konsole


  1. Rufen Sie in der Cloud Platform Console die Seite "Rollen" auf.

    Weiter zur Seite "Rollen"

  2. Wählen Sie Ihre Organisation aus dem Drop-down-Menü Organisation aus.
  3. Klicken Sie auf eine benutzerdefinierte Rolle.
  4. Klicken Sie auf Rolle bearbeiten.
  5. Klicken Sie auf Berechtigungen hinzufügen, um der Rolle neue Berechtigungen hinzuzufügen.
  6. Entfernen Sie die Häkchen aus den Kästchen neben den Berechtigungen, die von der Rolle ausgeschlossen werden sollen.
  7. Klicken Sie auf Aktualisieren, um die bearbeitete Rolle zu speichern.

API


Verwenden Sie die Methode Role UpdateRole(UpdateRoleRequest), um eine benutzerdefinierte Rolle zu bearbeiten.

Wenn Sie die Rollen-ID der benutzerdefinierten Rolle kennen, die Sie bearbeiten möchten, verwenden Sie die Methode roles.get(), um die Rolle aufzurufen. Anschließend können Sie die Rolle mit roles.patch() aktualisieren.

Wenn Sie die Rollen-ID der benutzerdefinierten Rolle nicht kennen, listen Sie mit ListRoles() alle Rollen auf, um die Rolle zu bestimmen. roles.list() gibt eine Liste aller Rollen zurück und verweist dabei auf die Ressource. Aktualisieren Sie dann die Rolle mit roles.patch().

Legen Sie den folgenden erforderlichen Parameter in roles.patch() fest:

  • Den Namen der Rolle, zum Beispiel organizations/{ORGANIZATION_ID}/roles/{ROLE_ID}

Legen Sie optional den Parameter update_mask fest, um die Felder anzugeben, die zukünftig aktualisiert werden können.

Beispiel

name: '[ROLE_NAME]'
role {
  name: '[ROLE_NAME]'
  title: '[ROLE_TITLE]'`
  description: '[ROLE_DESCRIPTION]'
  included_permissions: '[PERMISSION]'
  included_permissions: '[PERMISSION]'
})"

Es gilt:

  • [ROLE_NAME] ist der Name der Rolle. Zum Beispiel organizations/123456/roles/appengine.customRoleEditor. Kann das Format roles/{ROLE_NAME}, organizations/{ORGANIZATION_ID}/roles/{ROLE_NAME} oder projects/{PROJECT_ID}/roles/{ROLE_NAME} haben

Hinweis: Es wird empfohlen, den [ROLE_NAME] innerhalb der Rolle leer zu lassen. Die Methode gibt einen Fehler zurück, wenn die beiden Namen nicht identisch sind und der Name innerhalb der Rolle nicht leer ist.

  • [ROLE_TITLE] ist der Titel der Rolle. Beispiel: New custom editor.
  • [ROLE_DESCRIPTION] ist die Beschreibung der Rolle. Beispiel: "Meine neue lange Beschreibung des Bearbeiters".
  • [PERMISSION] ist die Berechtigung, die Sie dieser Rolle hinzufügen möchten. Beispiel: storage.objects.update

Fehlercodes

FehlercodeStatusmeldung
PERMISSION_DENIEDSie sind nicht berechtigt, die Rolle zu aktualisieren.
INVALID_ARGUMENTVordefinierte Rollen können nicht aktualisiert werden.
INVALID_ARGUMENTDer Name in der Anfrage ([ROLE_NAME]) muss mit dem Namen in der Rolle ([ROLE_NAME]) übereinstimmen.
INVALID_ARGUMENTDie Berechtigung [PERMISSION] ist ungültig.
ABORTEDEs wurden gleichzeitige Richtlinienänderungen vorgenommen, da der etag-Wert nicht übereinstimmte. Wiederholen Sie den gesamten Read-Modify-Write-Zyklus mit exponentiellem Backoff.

Einige vordefinierte Rollen enthalten veraltete Berechtigungen, die andernfalls nicht in benutzerdefinierten Rollen berechtigt sind. Das Erstellen einer benutzerdefinierten Rolle auf der Grundlage einer vordefinierten Rolle, die veraltete oder beschränkte Berechtigungen enthält, wird fehlschlagen.

Benutzerdefinierte Rolle deaktivieren

Sie haben die Möglichkeit, benutzerdefinierte Rollen zu deaktivieren. Beim Deaktivieren einer Rolle werden alle Richtlinienbindungen, die mit der Rolle in Zusammenhang stehen, deaktiviert. Dies bedeutet, dass die Berechtigungen in der Rolle selbst dann nicht gewährt werden, wenn Sie die Rolle einem Benutzer zuweisen.

Konsole


  1. Rufen Sie in der Cloud Platform Console die Seite "Rollen" auf.

    Weiter zur Seite "Rollen"

  2. Klicken Sie am Anfang der Seite auf die Drop-down-Liste "Projekt auswählen".
  3. Wählen Sie Ihre Organisation oder das Projekt aus.
  4. Wählen Sie eine benutzerdefinierte Rolle aus und klicken Sie auf Deaktivieren.

API


Verwenden Sie die Methode roles.patch(), um eine benutzerdefinierte Rolle zu deaktivieren.

Wenn Sie die Rollen-ID der benutzerdefinierten Rolle kennen, die Sie deaktivieren möchten, verwenden Sie die Methode roles.get(), um die Rolle abzurufen. Ändern Sie die Eigenschaft stage zu DISABLED und rufen Sie anschließend die Methode roles.patch() auf, um die Rolle zu aktualisieren.

Wenn Sie die Rollen-ID der benutzerdefinierten Rolle, die Sie deaktivieren möchten, nicht kennen, listen Sie mit roles.list() alle Rollen auf, um die Rolle zu bestimmen. roles.list() gibt eine Liste aller Rollen zurück und verweist dabei auf die Ressource. Bestimmen Sie die Rolle, die Sie deaktivieren möchten, ändern Sie die Eigenschaft rolelaunchstage auf DISABLED, und rufen Sie dann die Methode roles.patch() auf, um die Rolle zu aktualisieren.

Legen Sie die folgenden Parameter fest, um eine Rolle zu deaktivieren:

  • Geben Sie den vollständigen Namen der Rolle an, zum Beispiel organizations/{organization-id}/roles/{role}..
  • Stellen Sie in der Role, die stage auf DISABLED..
  • Stellen Sie die update_mask auf paths: stage ein.

Um die Rolle noch einmal zu aktivieren, befolgen Sie das oben genannte Verfahren zum Deaktivieren der Rolle, setzten Sie jedoch die Eigenschaft stage der Rolle auf ALPHA, BETA oder GA.

Beispiel

name: 'organizations/123456/roles/appengine.customRoleEditor'
role {
   name: 'organizations/123456/roles/appengine.customRoleEditor'`
   stage: 'DISABLED'
}
update_mask {
 paths:  stage
}

Fehlercodes

FehlercodeStatusmeldung
PERMISSION_DENIEDSie sind nicht berechtigt, die Rolle zu aktualisieren.
INVALID_ARGUMENTGepflegte Rollen können nicht aktualisiert werden.
INVALID_ARGUMENTDer Name in der Anfrage ([ROLE_NAME]) muss mit dem Namen in der Rolle ([ROLE_NAME]) übereinstimmen.
INVALID_ARGUMENTDie Berechtigung [PERMISSION] ist ungültig.
ABORTEDEs wurden gleichzeitige Richtlinienänderungen vorgenommen. Wiederholen Sie den gesamten Read-Modify-Write-Zyklus mit exponentiellem Backoff.

Rollen auflisten

Konsole


  1. Rufen Sie in der Cloud Platform Console die Seite "Rollen" auf.

    Weiter zur Seite "Rollen"


    Alle benutzerdefinierten Rollen für das Projekt werden auf dieser Seite aufgelistet.

API


Mit der Methode roles.list() können alle in einer Organisation oder einem Projekt definierten benutzerdefinierten Rollen aufgelistet werden. Es besteht außerdem die Möglichkeit, die vordefinierten Rollen aufzulisten, indem das übergeordnete Feld in der Anfrage auf "" eingestellt wird.

Um roles.list() aufzurufen, legen Sie in der Anfrage das folgende Feld fest:

  • Das übergeordnete Element, das Sie verwenden möchten, um alle benutzerdefinierten Rollen abzurufen, zum Beispiel:
    • projects/{PROJECT_ID}
    • organizations/{ORGANIZATION_ID}

Wenn Sie möchten, dass das Ergebnis die Berechtigungen jeder einzelnen Rolle enthält, legen Sie das Feld view auf RoleView::FULL fest.

Wenn Sie möchten, dass das Ergebnis Rollen enthält, die vor Kurzem gelöscht wurden, legen Sie das Feld show_deleted als "true" fest.

Wenn Sie alle gepflegten Rollen auflisten möchten, legen Sie das übergeordnete Element als '' (leerer String) fest.

Fehlercodes

FehlercodeStatusmeldung
PERMISSION_DENIEDSie sind nicht berechtigt, Rollen unter {path} aufzulisten.
INVALID_ARGUMENTDas übergeordnete Element {path} ist ungültig. Es muss im Format organizations/{organization_id} oder projects/{project_id} vorliegen oder leer sein.
INVALID_ARGUMENTDie Rollenansicht ist ungültig.

Zuweisbare Rollen für Ressourcen aufrufen

Konsole


  1. Rufen Sie in der Google Cloud Console die [IAM-Seite][] auf.
  2. Klicken Sie am Anfang der Seite auf die Drop-down-Liste "Projekt auswählen".
  3. Wählen Sie das Projekt oder die Organisation aus, für die Sie die Rollen anzeigen möchten.
  4. Klicken Sie auf Hinzufügen.
  5. Geben Sie in Mitglieder die E-Mail-Adresse des Mitglieds an.

Die Drop-down-Liste Rollen enthält alle Rollen (einschließlich benutzerdefinierte Rollen), die einem Mitglied zugewiesen werden können.

API


QueryGrantableRoles gibt eine Liste aller Rollen zurück, auf die eine Ressource verweisen kann. Rollen ohne Berechtigungen sind nicht enthalten. Der einzige erforderliche Parameter in der Anfrage ist der vollständige Name der Ressource, zum Beispiel //cloudresourcemanager.googleapis.com/projects/my-project. Der Aufrufer kann optional eine RoleView bereitstellen. So wird festgestellt, ob die Antworten von Role alle Berechtigungen umfassen, die die Rolle enthält.

Beispiel

full_resource_name: '//automatedtests.googleapis.com/projects/my-project/buckets/bucket1'`

Fehlercodes

FehlercodeStatusmeldung
INVALID_ARGUMENT{full_resource_name} muss angegeben werden
INVALID_ARGUMENT{full_resource_name}, stimmt nicht mit //[a-z0-9.-]/ überein

Benutzerdefinierte Rolle löschen

Konsole


  1. Rufen Sie in der Cloud Platform Console die Seite "Rollen" auf.

    Weiter zur Seite "Rollen"

  2. Wählen Sie die Rolle aus, die Sie löschen möchten, und klicken Sie oben auf den Papierkorb.

Diese Rolle ist gesperrt und kann nicht verwendet werden, um neue IAM-Richtlinienbindungen zu erstellen. Vorhandene Bindungen bleiben bestehen, sind aber inaktiv. Die Rolle kann innerhalb von 7 Tagen wiederhergestellt werden. Danach wird die Rolle endgültig gelöscht und alle mit der Rolle verknüpften Bindungen werden entfernt.

API


roles.delete löscht eine Rolle. Diese Rolle ist gesperrt und kann nicht verwendet werden, um neue IAM-Richtlinienbindungen zu erstellen.

Der name kann in den folgenden Formaten angegeben werden:

  • organizations/{ORGANIZATION_ID}/roles/{ROLE_NAME}
  • projects/{PROJECT_ID}/roles/{ROLE_NAME}

Die Rolle ist nicht in list enthalten, es sei denn, der Parameter show_deleted wurde in der Anfrage angegeben. Die Rolle enthält den booleschen Parameter deleted und wird auf "true" eingestellt, wenn sich die Rolle in diesem Status befindet.

Vorhandene Bindungen bleiben bestehen, sind aber inaktiv. Die Rolle kann innerhalb von 7 Tagen wiederhergestellt werden. Danach wird die Rolle endgültig gelöscht und alle mit der Rolle verknüpften Bindungen werden entfernt.

Fehlercodes

FehlercodeStatusmeldung
PERMISSION_DENIEDSie sind nicht berechtigt, die Rolle unter {path} zu löschen.
FAILED_PRECONDITIONSie können die Rolle {ROLE_NAME} nicht löschen, da sie bereits gelöscht wurde.
FAILED_PRECONDITIONRollen {ROLE_NAME}, die reserviert sind, können nicht gelöscht werden.
INVALID_ARGUMENTGepflegte Rollen können sich nicht in einem gelöschten Status befinden.

Benutzerdefinierte Rolle wiederherstellen

Konsole


  1. Rufen Sie in der Cloud Platform Console die Seite "Rollen" auf.

    Weiter zur Seite "Rollen"

  2. Suchen Sie nach der Rolle, die Sie wiederherstellen möchten. Klicken Sie zuerst auf das Symbol "Mehr" am Ende der Zeile und anschließend auf Wiederherstellen.

Die Rolle kann nur innerhalb von 7 Tagen wiederhergestellt werden. Danach wird die Rolle endgültig gelöscht und alle mit der Rolle verknüpften Bindungen werden entfernt.

API


roles.undelete stellt den vorherigen Status einer Rolle wieder her.

Der name kann in den folgenden Formaten angegeben werden:

  • organizations/{ORGANIZATION_ID}/roles/{ROLE_NAME}
  • projects/{PROJECT_ID}/roles/{ROLE_NAME}

Die Rolle kann nur innerhalb von 7 Tagen wiederhergestellt werden. Danach wird die Rolle endgültig gelöscht und alle mit der Rolle verknüpften Bindungen werden entfernt.

Fehlercodes

FehlercodeStatusmeldung
PERMISSION_DENIEDSie sind nicht berechtigt, die Rolle unter {path} wiederherzustellen.
FAILED_PRECONDITIONEine Rolle, die nicht gelöscht wurde, kann nicht wiederhergestellt werden.
FAILED_PRECONDITIONEine Rolle {ROLE_NAME}, die reserviert ist, kann nicht wiederhergestellt werden.
INVALID_ARGUMENTVordefinierte Rollen können nicht wiederhergestellt werden.

Feedback geben zu...

Dokumentation zu Cloud Identity and Access Management