Benutzerdefinierte Rollen erstellen und verwalten

Auf dieser Seite wird das Erstellen und Verwalten von benutzerdefinierten Rollen beschrieben.

Hinweis

  • Lesen Sie den Abschnitt Informationen zu benutzerdefinierten IAM-Rollen. Hier finden Sie Best Practices und Informationen zu den Berechtigungen, die zum Erstellen von benutzerdefinierten Rollen erforderlich sind.
  • Wenn Sie das gcloud-Befehlszeilendienstprogramm verwenden, achten Sie darauf, dass es sich um Version 188.0.0 oder höher handelt. Führen Sie den folgenden Befehl aus, um gcloud auf Version 188.0.0 zu aktualisieren: gcloud components update --version 188.0.0.

Verfügbare Berechtigungen für eine Ressource abrufen

Bevor Sie eine benutzerdefinierte Rolle erstellen, möchten Sie möglicherweise wissen, welche Berechtigungen auf eine Ressource angewandt werden können. Mit dem gcloud-Befehlszeilentool, der Cloud Console bzw. der IAM API rufen Sie alle Berechtigungen ab, die auf eine Ressource und die in der Hierarchie darunterliegenden Ressourcen angewendet werden können. Sie haben beispielsweise die Möglichkeit, alle Berechtigungen abzurufen, die Sie auf eine Organisation und auf Projekte in dieser Organisation anwenden können.

gcloud


Verwenden Sie den Befehl gcloud iam list-testable-permissions, um eine Liste der Berechtigungen zu erhalten, die auf eine Zielressource angewendet werden können. Bei den zurückgegebenen Berechtigungen handelt es sich um jene, mit denen eine benutzerdefinierte Rolle für diese Ressource und alle in der Hierarchie darunterliegenden Ressourcen erstellt werden können.

Das folgende Beispiel zeigt, wie testbare Berechtigungen für eine Projektressource aufgelistet werden:

gcloud iam list-testable-permissions [PROJECT_ID]

[PROJECT_ID] ist die ID des Projekts in Form eines vollständigen Ressourcennamens: //cloudresourcemanager.googleapis.com/projects/PROJECT_ID, z. B. //cloudresourcemanager.googleapis.com/projects/my-project-id.

Durch den Befehl list-testable-permissions können Hunderte von Ergebnissen zurückgegeben werden. Sie können auch einen Filterausdruck angeben, um die Zahl der Ergebnisse zu begrenzen. Die Ergebnisse könnten z. B. so aussehen:

---
name: appengine.applications.create
stage: GA
---
customRolesSupportLevel: TESTING
name: appengine.applications.disable
stage: GA
---
name: appengine.applications.get
stage: GA
---
customRolesSupportLevel: NOT_SUPPORTED
name: appengine.applications.list
onlyInPredefinedRoles: true
stage: GA
---
name: appengine.applications.update
stage: GA
---
name: appengine.instances.delete
stage: GA
---
name: appengine.instances.get
stage: GA
---

Beachten Sie, dass für jede Berechtigung angegeben ist, ob sie in einer benutzerdefinierten Rolle unterstützt wird. Eine vollständige Liste unterstützter und nicht unterstützter Berechtigungen finden Sie unter Unterstützung für Berechtigungen benutzerdefinierter Rollen.

Console


  1. Gehen Sie zur Seite "Rollen" in der GCP Console.

    Seite "Rollen" öffnen

  2. Wählen Sie das Projekt oben auf der Seite aus der Drop-down-Liste aus.
  3. Aktivieren Sie das Kontrollkästchen für die Administratorrolle einer Ressource, um alle Berechtigungen aufzurufen, die Sie auf diese Ressource anwenden können. Wenn Sie beispielsweise die Rolle "Compute-Instanzadministrator" auswählen, werden im rechten Bereich alle Berechtigungen angezeigt, die auf eine Compute Engine-Instanz angewendet werden können.

API


QueryTestablePermissions gibt alle Berechtigungen zurück, die auf eine Ressource angewendet werden können. Bei den zurückgegebenen Berechtigungen handelt es sich um diejenigen, mit denen in dieser Ressource sowie in allen Ressourcen, die sich in der Hierarchie unter ihr befinden, eine benutzerdefinierte Rolle erstellt werden kann. Die einzige erforderliche Eingabe bei dieser Anfrage ist der vollständige Name der Ressource, zum Beispiel //cloudresourcemanager.googleapis.com/projects/my-project.

Der Aufrufer kann optional Support für die Paginierung bereitstellen, wenn die Ressource über eine lange Liste mit Berechtigungen verfügt.

Beispiel

full_resource_name: '//cloudresourcemanager.googleapis.com/projects/my-project'`

Fehlercodes

FehlercodeStatusmeldung
INVALID_ARGUMENTMuss zwischen 0 und 100 liegen
INVALID_ARGUMENTUngültige Codierung des Paginierungstokens
INVALID_ARGUMENTUngültiges Paginierungstoken
INVALID_ARGUMENTDas Paginierungstoken gilt nicht für den angegebenen Container.
INVALID_ARGUMENTUngültiger Ausgangspunkt im Paginierungstoken
INVALID_ARGUMENTUngültiger Paginierungstoken-Cookie
INVALID_ARGUMENTAbgelaufenes Paginierungstoken
INVALID_ARGUMENT{full_resource_name} muss angegeben werden
INVALID_ARGUMENT{full_resource_name}, stimmt nicht mit //[a-z0-9.-]/.a-z0-9.-]/ überein

Metadaten der Rollen abrufen

Bevor Sie eine benutzerdefinierte Rolle erstellen, können Sie die Metadaten für sowohl vordefinierte als auch benutzerdefinierte Rollen abrufen. Die Rollenmetadaten umfassen die Rollen-ID und die in der Rolle enthaltenen Berechtigungen. Sie können die Metadaten über die Google Cloud Platform Console oder die IAM API anzeigen.

Verwenden Sie eine der folgenden Methoden, um die Rollenmetadaten aufzurufen:

gcloud


Verwenden Sie den Befehl gcloud iam roles describe, um Metadaten für vordefinierte und benutzerdefinierte Rollen anzusehen.

Führen Sie den folgenden gcloud-Befehl aus, um die Metadaten für eine vordefinierte Rolle zu sehen:

gcloud iam roles describe [ROLE_NAME]

[ROLE_NAME] ist der Name der Rolle, z. B. roles/viewer.

Im folgenden Beispiel ist die Ausgabe des Befehls describe zu sehen, wenn er für die vordefinierte Rolle roles/iam.roleViewer ausgeführt wird:

gcloud iam roles describe roles/iam.roleViewer

description: Read access to all custom roles in the project.
etag: AA==
includedPermissions:
- iam.roles.get
- iam.roles.list
- resourcemanager.projects.get
- resourcemanager.projects.getIamPolicy
name: roles/iam.roleViewer
stage: GA
title: Role Viewer

Ermitteln Sie zuerst, ob die benutzerdefinierte Rolle auf Organisations- oder Projektebene erstellt wurde, um die Metadaten für eine benutzerdefinierte Rolle zu sehen. Wenn die benutzerdefinierte Rolle auf Organisationsebene erstellt wurde, führen Sie den folgenden gcloud-Befehl aus:

gcloud iam roles describe --organization [ORGANIZATION_ID] [ROLE_NAME]

[ORGANIZATION_ID] ist die ID der Organisation in der Form 1234567. [ROLE_NAME] ist der Name der benutzerdefinierten Rolle, z. B. myCustomRole.

Führen Sie den folgenden gcloud-Befehl aus, um die Metadaten für eine benutzerdefinierte Rolle auf Projektebene zu sehen:

gcloud iam roles describe --project [PROJECT_ID] [ROLE_NAME]

[PROJECT_ID] ist die ID des Projekts, z. B. my-project-id. [ROLE_NAME] ist der Name der benutzerdefinierten Rolle, z. B. myCustomRole.

Weitere Informationen finden Sie in der Referenzdokumentation zum Befehl gcloud iam roles describe.

Console


  1. Gehen Sie zur Seite "Rollen" in der GCP Console.

    Seite "Rollen" öffnen

  2. Wählen Sie die Organisation oder das Projekt oben auf der Seite im Drop-down-Menü aus.
  3. Aktivieren Sie das Kontrollkästchen für eine oder mehrere Rollen, um die Rollenberechtigungen aufzurufen. Im rechten Bereich werden die in den Rollen vorhandenen Berechtigungen aufgeführt, falls vorhanden.

Die Symbole neben der Rolle geben an, ob es sich um eine benutzerdefinierte Rolle (Werksymbol) oder eine vordefinierte Rolle (Hexagonsymbol) handelt.

Rollensymbole

Wenn Sie alle Rollen mit einer bestimmten Berechtigung auflisten möchten, geben Sie den Namen der Berechtigung in das Feld Filter oben in der Liste "Rollen" ein.

API


Wenn Sie den Namen der Rolle kennen, die Sie anzeigen möchten, verwenden Sie die Methode roles.get, um eine benutzerdefinierte Rolle zu erhalten. Wenn Sie den Namen der Rolle nicht kennen, verwenden Sie die Methode roles.list, um alle benutzerdefinierten Rollen in einer Organisation oder in einem Projekt aufzulisten.

Zum Aufrufen von GetRole(), legen Sie das folgende Feld in der GetRoleRequest fest:

  • Name der Rolle, wie z. B. roles/{ROLE_NAME} oder organizations/{ORGANIZATION_ID}/roles/{ROLE_NAME}.

Zum Aufrufen von ListRoles() legen Sie das folgende Feld in der ListRolesRequest fest:

  • Das übergeordnete Element, für das Sie alle benutzerdefinierten Rollen abrufen möchten, wie z. B. organizations/{ORGANIZATION_ID} oder projects/{PROJECT_ID}.

Fehlercodes

FehlercodeStatusmeldung
PERMISSION_DENIEDSie sind nicht berechtigt, die Rolle unter {path} abzurufen.
NOT_FOUNDDie Rolle mit dem Namen {role} wurde nicht gefunden.
INVALID_ARGUMENTDie Name der Rolle muss im Format roles/{role} oder organizations/{organization_id}/roles/{role} vorliegen.
PERMISSION_DENIEDSie sind nicht berechtigt, Rollen unter {path} aufzulisten.
INVALID_ARGUMENTDas übergeordnete Element {path} ist ungültig. Das übergeordnete Element muss im Format organizations/{organization_id} vorliegen oder leer sein.
INVALID_ARGUMENTDie Rollenansicht ist ungültig.

Benutzerdefinierte Rolle erstellen

Zum Erstellen einer benutzerdefinierten Rolle muss der Aufrufer die Berechtigung iam.roles.create besitzen. Der Inhaber eines Projekts oder einer Organisation verfügt standardmäßig über diese Berechtigung und kann benutzerdefinierte Rollen erstellen und verwalten.

Nutzern, die keine Inhaber sind, wie z. B. Organisationsadministratoren, muss entweder die Rolle "Administrator für Organisationsrollen" oder die Rolle "Administrator für IAM-Rollen" zugewiesen werden.

gcloud


Verwenden Sie den Befehl gcloud iam roles create, um neue benutzerdefinierte Rollen zu erstellen. Sie können diesen Befehl auf zwei Arten verwenden:

  • Durch Bereitstellen einer YAML-Datei mit der Rollendefinition
  • Durch Verwenden von Flags zum Angeben der Rollendefinition

Wenn Sie eine benutzerdefinierte Rolle erstellen, müssen Sie mithilfe des Flags --organization [ORGANIZATION_ID] oder --project [PROJECT_ID] angeben, ob sie für die Organisationsebene oder die Projektebene gilt. Durch jedes der unten stehenden Beispiele wird eine benutzerdefinierte Rolle auf Projektebene erstellt.

Eine benutzerdefinierte Rolle mithilfe einer YAML-Datei erstellen:

Erstellen Sie eine YAML-Datei, die die Definition für Ihre benutzerdefinierte Rolle enthält. Die Datei muss folgendermaßen strukturiert sein:

title: [ROLE_TITLE]
description: [ROLE_DESCRIPTION]
stage: [LAUNCH_STAGE]
includedPermissions:
- [PERMISSION_1]
- [PERMISSION_2]

Jeder der Platzhalterwerte wird im Folgenden beschrieben:

  • [ROLE_TITLE] ist ein passender Titel für die Rolle, z. B. "Role Viewer".
  • [ROLE_DESCRIPTION] ist eine kurze Beschreibung der Rolle, z. B. "My custom role description".
  • [LAUNCH_STAGE] gibt die Phase einer Rolle im Einführungszyklus an, z. B. ALPHA, BETA oder GA.
  • Unter includedPermissions ist angegeben, welche Berechtigungen in die benutzerdefinierte Rolle aufgenommen werden sollen, z. B. - iam.roles.get.

Speichern Sie die YAML-Datei und führen Sie den folgenden gcloud-Befehl aus:

gcloud iam roles create [ROLE_ID] --project [PROJECT_ID] \
--file [YAML_FILE_PATH]

Jeder der Platzhalterwerte wird im Folgenden beschrieben:

  • [ROLE_ID] ist der Name der Rolle, z. B. viewer.
  • [PROJECT_ID] ist der Name des Projekts, z. B. my-project-id.
  • [YAML_FILE_PATH] ist der Pfad zum Speicherort der YAML-Datei, die die Definition der benutzerdefinierten Rolle enthält.

Im folgenden Beispiel einer YAML-Datei ist zu sehen, wie eine Rollendefinition erstellt wird:

title: "Role Viewer"
description: "My custom role description."
stage: "ALPHA"
includedPermissions:
- iam.roles.get
- iam.roles.list

Im folgenden Beispiel wird gezeigt, wie Sie mithilfe der YAML-Datei eine Rolle erstellen:

gcloud iam roles create viewer --project my-project-id \
--file my-role-definition.yaml

Nachdem die Rolle erstellt wurde, wird die folgende Antwort zurückgegeben:

Created role [viewer].
description: My custom role description.
etag: BwVkBX0sQD0=
includedPermissions:
- iam.roles.get
- iam.roles.list
name: projects/my-project-id/roles/viewer
stage: ALPHA
title: Role Viewer

Eine benutzerdefinierte Rolle mithilfe von Flags erstellen:

Führen Sie den folgenden gcloud-Befehl aus:

gcloud iam roles create [ROLE_ID] --project [PROJECT_ID] \
--title [ROLE_TITLE] --description [ROLE_DESCRIPTION] \
--permissions [PERMISSIONS_LIST] --stage [LAUNCH_STAGE]

Jeder der Platzhalterwerte wird im Folgenden beschrieben:

  • [ROLE_ID] ist der Name der Rolle, z. B. viewer.
  • [PROJECT_ID] ist der Name des Projekts, z. B. my-project-id.
  • [ROLE_TITLE] ist ein passender Titel für die Rolle, z. B. Role Viewer.
  • [ROLE_DESCRIPTION] ist eine kurze Beschreibung der Rolle, z. B. "My custom role description.".
  • [PERMISSIONS_LIST] enthält eine durch Kommas getrennte Liste von Berechtigungen, die Sie in die benutzerdefinierte Rolle aufnehmen möchten. Beispiel: iam.roles.get,iam.roles.list
  • [LAUNCH_STAGE] gibt die Phase einer Rolle im Einführungszyklus an, z. B. ALPHA, BETA oder GA.

Das folgende Beispiel zeigt, wie Sie mithilfe von Flags eine Rolle erstellen:

gcloud iam roles create viewer --project my-project-id \
--title "Role Viewer" --description "My custom role description." \
--permissions iam.roles.get,iam.roles.list --stage ALPHA

Nachdem die Rolle erstellt wurde, wird die folgende Antwort zurückgegeben:

Created role [viewer].
description: My custom role description.
etag: BwVkBX0sQD0=
includedPermissions:
- iam.roles.get
- iam.roles.list
name: projects/my-project-id/roles/viewer
stage: ALPHA
title: Role Viewer

Console


So erstellen Sie eine neue benutzerdefinierte Rolle:

  1. Gehen Sie zur Seite "Rollen" in der GCP Console.

    Seite "Rollen" öffnen

  2. Wählen Sie Ihre Organisation aus dem Drop-down-Menü Organisation aus.
  3. Klicken Sie auf Rolle erstellen.
  4. Geben Sie Name, Titel und Beschreibung für die Rolle ein.
  5. Klicken Sie auf Berechtigungen hinzufügen.
  6. Wählen Sie die Berechtigungen aus, die Sie der Rolle hinzufügen möchten, und klicken Sie auf Berechtigungen hinzufügen. Verwenden Sie die Drop-down-Menüs Alle Dienste und Alle Typen, um Berechtigungen nach Diensten und Typen zu filtern und auszuwählen.

So erstellen Sie eine benutzerdefinierte Rolle auf der Grundlage einer vorhandenen gepflegten Rolle:

  1. Gehen Sie zur Seite "Rollen" in der GCP Console.

    Seite "Rollen" öffnen

  2. Wählen Sie Ihre Organisation aus dem Drop-down-Menü Organisation aus.
  3. Wählen Sie die Rollen aus, auf denen die neue benutzerdefinierte Rolle basieren soll.
  4. Klicken Sie auf Rolle aus Auswahl erstellen.
  5. Geben Sie Name, Titel und Beschreibung für die Rolle ein.
  6. Entfernen Sie die Häkchen aus den Kästchen neben den Berechtigungen, die von der Rolle ausgeschlossen werden sollen.
  7. Klicken Sie auf Berechtigungen hinzufügen, um Berechtigungen hinzuzufügen.
  8. Klicken Sie auf Erstellen.

API


Verwenden Sie die Methode create, um eine neue benutzerdefinierte Rolle zu erstellen.

Legen Sie in der Anfrage die folgenden erforderlichen Parameter fest:

  • Die Rollen-ID, die Sie für die neue benutzerdefinierte Rolle verwenden möchten, zum Beispiel appengine.myCustomStorageAuditor.
  • Die Beschreibung der benutzerdefinierten Rolle, zum Beispiel "Diese Rolle berechtigt dazu, Speicherressourcen sowie ihre Kapazität und ihre Zugriffsrichtlinien aufzulisten".
  • Eine Liste der Berechtigungen, die mit dieser Rolle verknüpft werden sollen
  • Beachten Sie, dass beim Festlegen des Namensfeldes in der Rolle ein Fehler verursacht wird.

Wir empfehlen darüber hinaus, die folgenden optionalen Parameter festzulegen:

  • Den Titel für die benutzerdefinierte Rolle, zum Beispiel "Bearbeiter für benutzerdefinierte Rollen".
  • Legen Sie einen Wert für stage fest, zum Beispiel GA.

Für stage sind die folgenden Werte möglich: ALPHA, BETA, GA, DEPRECATED oder DISABLED.

Einige vordefinierte Rollen enthalten veraltete Berechtigungen, die in benutzerdefinierten Rollen nicht zulässig sind. Das Erstellen einer benutzerdefinierten Rolle auf der Grundlage einer vordefinierten Rolle, die veraltete oder beschränkte Berechtigungen enthält, wird fehlschlagen.

Beispiel

parent: '[PARENT_NAME]'
role_id: '[ROLE_ID]'
role {
    name: ''
    title: '[ROLE_TITLE]'
    description: '[ROLE_DESCRIPTION]'
    included_permissions: '[PERMISSION]'
    included_permissions: '[PERMISSION]'
})",

Es gilt:

  • [PARENT_NAME] ist der Name der Organisation, in der Sie die benutzerdefinierte Rolle erstellen (z. B. organizations/0000000000000001), oder die Projekt-ID, in der Sie die benutzerdefinierte Rolle erstellen (z. B. projects/my-project).
  • [ROLE_ID] ist die ID der benutzerdefinierten Rolle. Beispiel: appengine.myCustomStorageAuditor.
  • [ROLE_TITLE] ist der Titel der Rolle. Beispiel: Storage Auditor.
  • [ROLE_DESCRIPTION] beschreibt die Aufgaben der Rolle.
  • [PERMISSION] ist die Berechtigung, die Sie der benutzerdefinierten Rolle hinzufügen möchten.

Fehlercodes

FehlercodeStatusmeldung
PERMISSION_DENIEDSie sind nicht berechtigt, eine Rolle in {parent} zu erstellen.
ALREADY_EXISTSEine Rolle mit dem Namen {role_id} ist in {parent} bereits vorhanden.
INVALID_ARGUMENTDas übergeordnete Element {parent} ist ungültig. Es muss im Format organizations/{organization_id} vorliegen.
INVALID_ARGUMENTDie role_id {role_id} ist ungültig. Sie stimmt nicht mit dem Muster {pattern} überein.
INVALID_ARGUMENTDie Anzahl der Berechtigungen in der Rolle überschreitet den Höchstwert {max}.
INVALID_ARGUMENTDie role.stage {stage} ist ungültig.

Vorhandene benutzerdefinierte Rolle bearbeiten

Read-Modify-Write (Lesen-Ändern-Schreiben)

Die Metadaten einer Ressource, beispielsweise einer Rolle, werden häufig nach dem folgenden Muster aktualisiert: Der aktuelle Status wird gelesen, die Daten werden lokal aktualisiert und die geänderten Daten werden anschließend zum Schreiben übermittelt. Dabei kann es jedoch zu Konflikten kommen, wenn zwei oder mehr voneinander unabhängige Prozesse gleichzeitig nach diesem Muster verfahren. Wenn beispielsweise zwei Inhaber eines Projekts gleichzeitig versuchen, gegensätzliche Änderungen an der Rolle vorzunehmen. Cloud IAM löst dieses Problem durch die Verwendung der Eigenschaft etag in benutzerdefinierten Rollen. Mit dieser Eigenschaft wird geprüft, ob die benutzerdefinierte Rolle seit der letzten Anfrage geändert wurde. Wenn Sie eine Anfrage mit einem etag-Wert an Cloud IAM senden, vergleicht Cloud IAM den etag-Wert in der Anfrage mit dem vorhandenen etag-Wert der benutzerdefinierten Rolle. Die Änderung wird nur geschrieben, wenn die etag-Werte übereinstimmen.

Wenn Sie eine Rolle aktualisieren möchten, rufen Sie diese zuerst mit roles.get() ab, aktualisieren Sie die Rolle und schreiben Sie dann die aktualisierte Rolle mit roles.patch(). Verwenden Sie den etag-Wert beim Festlegen der Rolle nur, wenn die entsprechende Rolle in roles.get() einen etag-Wert enthält.

gcloud


Verwenden Sie den Befehl gcloud iam roles update, um benutzerdefinierte Rollen zu aktualisieren. Sie können diesen Befehl auf zwei Arten verwenden:

  • Durch Bereitstellen einer YAML-Datei, die die Definition der aktualisierten Rolle enthält
  • Durch Verwenden von Flags zum Angeben der Definition der aktualisierten Rolle

Wenn Sie eine benutzerdefinierte Rolle aktualisieren, müssen Sie mithilfe des Flags --organization [ORGANIZATION_ID] oder --project [PROJECT_ID] angeben, ob sie für die Organisationsebene oder die Projektebene gilt. Durch jedes der unten stehenden Beispiele wird eine benutzerdefinierte Rolle auf Projektebene erstellt.

Eine benutzerdefinierte Rolle mithilfe einer YAML-Datei aktualisieren:

Rufen Sie die aktuelle Definition der Rolle ab, indem Sie den folgenden gcloud-Befehl ausführen:

gcloud iam roles describe [ROLE_ID] --project [PROJECT_ID]

Jeder der Platzhalterwerte wird im Folgenden beschrieben:

  • [ROLE_ID] ist der Name der zu aktualisierenden Rolle, z. B. viewer.
  • [PROJECT_ID] ist der Name des Projekts, z. B. my-project-id.

Durch den Befehl describe wird die Definition der Rolle zurückgegeben. Er enthält einen etag-Wert, der eindeutig die aktuelle Version der Rolle angibt. Der etag-Wert sollte in der Definition der aktualisierten Rolle angegeben werden, um sicherzustellen, dass gleichzeitige Rollenänderungen nicht überschrieben werden.

Der Befehl describe liefert die folgende Ausgabe:

description: [ROLE_DESCRIPTION]
etag: [ETAG_VALUE]
includedPermissions:
- [PERMISSION_1]
- [PERMISSION_2]
name: [ROLE_ID]
stage: [LAUNCH_STAGE]
title: [ROLE_TITLE]

Jeder der Platzhalterwerte wird im Folgenden beschrieben:

  • [ROLE_DESCRIPTION] ist eine kurze Beschreibung der Rolle, z. B. "My custom role description".
  • [ETAG_VALUE] ist die eindeutige Kennzeichnung für die aktuelle Version der Rolle, z. B. BwVkBkbfr70=.
  • Unter includedPermissions ist angegeben, welche Berechtigungen in die benutzerdefinierte Rolle aufgenommen werden sollen, z. B. - iam.roles.get.
  • [ROLE_ID] ist die hierarchische ID für die Rolle, abhängig davon, ob sie auf Projekt- oder Organisationsebene erstellt wurde. Beispiel: projects/my-project-id/roles/viewer.
  • [LAUNCH_STAGE] gibt die Phase einer Rolle im Einführungszyklus an, z. B. ALPHA, BETA oder GA.
  • [ROLE_TITLE] ist ein passender Titel für die Rolle, z. B. "Role Viewer".

Nehmen Sie entweder die ausgegebene Rollendefinition in eine YAML-Datei auf oder aktualisieren Sie die ursprüngliche YAML-Datei mit dem ausgegebenen etag-Wert, um die Rolle zu aktualisieren.

Die folgende YAML-Beispieldatei enthält die Ausgabe des Befehls describe und fügt zwei Cloud Storage-Berechtigungen hinzu:

description: My custom role description.
etag: BwVkBkbfr70=
includedPermissions:
- iam.roles.get
- iam.roles.list
- storage.buckets.get
- storage.buckets.list
name: projects/my-project-id/roles/viewer
stage: ALPHA
title: Role Viewer

Speichern Sie die YAML-Datei und führen Sie den folgenden gcloud-Befehl aus:

gcloud iam roles update [ROLE_ID] --project [PROJECT_ID] \
--file [YAML_FILE_PATH]

Jeder der Platzhalterwerte wird im Folgenden beschrieben:

  • [ROLE_ID] ist der Name der zu aktualisierenden Rolle, z. B. viewer.
  • [PROJECT_ID] ist der Name des Projekts, z. B. my-project-id.
  • [YAML_FILE_PATH] ist der Pfad zum Speicherort der YAML-Datei, die die Definition der aktualisierten benutzerdefinierten Rolle enthält.

Im folgenden Beispiel wird gezeigt, wie Sie mithilfe der YAML-Datei eine Rolle aktualisieren:

gcloud iam roles update viewer --project my-project-id \
--file my-role-definition.yaml

Nachdem die Rolle aktualisiert wurde, wird die folgende Antwort zurückgegeben:

description: My custom role description.
etag: BwVkBwDN0lg=
includedPermissions:
- iam.roles.get
- iam.roles.list
- storage.buckets.get
- storage.buckets.list
name: projects/my-project-id/roles/viewer
stage: ALPHA
title: Role Viewer

Eine benutzerdefinierte Rolle mithilfe von Flags aktualisieren:

Jeder Teil einer Rollendefinition kann mithilfe eines entsprechenden Flags aktualisiert werden. Unter dem Thema zum Befehl gcloud iam roles update finden Sie eine Liste aller möglichen Flags.

Sie können die folgenden Flags verwenden, um Berechtigungen hinzuzufügen oder zu entfernen:

  • --add-permissions [PERMISSIONS]: fügt der Rolle durch Kommas getrennte Berechtigungen hinzu
  • --remove-permissions [PERMISSIONS]: entfernt durch Kommas getrennte Berechtigungen aus der Rolle

Alternativ können Sie die neuen Berechtigungen einfach mit dem Flag --permissions [PERMISSIONS] angeben und eine durch Kommas getrennte Liste von Berechtigungen bereitstellen, um die vorhandene Berechtigungsliste zu ersetzen.

Führen Sie den folgenden gcloud-Befehl aus, um andere Aspekte der Rollendefinition zu aktualisieren:

gcloud iam roles update [ROLE_ID] --project [PROJECT_ID] \
--title [ROLE_TITLE] --description [ROLE_DESCRIPTION] \
--stage [LAUNCH_STAGE]

Jeder der Platzhalterwerte wird im Folgenden beschrieben:

  • [ROLE_ID] ist der Name der Rolle, z. B. viewer.
  • [PROJECT_ID] ist der Name des Projekts, z. B. my-project-id.
  • [ROLE_TITLE] ist ein passender Titel für die Rolle, z. B. Role Viewer.
  • [ROLE_DESCRIPTION] ist eine kurze Beschreibung der Rolle, z. B. "My custom role description.".
  • [LAUNCH_STAGE] gibt die Phase einer Rolle im Einführungszyklus an, z. B. ALPHA, BETA oder GA.

Das folgende Beispiel zeigt, wie Sie einer Rolle mithilfe von Flags Berechtigungen hinzufügen:

gcloud iam roles update viewer --project my-project-id \
--add-permissions storage.buckets.get,storage.buckets.list

Nachdem die Rolle aktualisiert wurde, wird die folgende Antwort zurückgegeben:

description: My custom role description.
etag: BwVkBwDN0lg=
includedPermissions:
- iam.roles.get
- iam.roles.list
- storage.buckets.get
- storage.buckets.list
name: projects/my-project-id/roles/viewer
stage: ALPHA
title: Role Viewer

Console


  1. Gehen Sie zur Seite "Rollen" in der GCP Console.

    Seite "Rollen" öffnen

  2. Wählen Sie Ihre Organisation aus dem Drop-down-Menü Organisation aus.
  3. Klicken Sie auf eine benutzerdefinierte Rolle.
  4. Klicken Sie auf Rolle bearbeiten.
  5. Klicken Sie auf Berechtigungen hinzufügen, um der Rolle neue Berechtigungen hinzuzufügen.
  6. Entfernen Sie die Häkchen aus den Kästchen neben den Berechtigungen, die von der Rolle ausgeschlossen werden sollen.
  7. Klicken Sie auf Aktualisieren, um die bearbeitete Rolle zu speichern.

API


Verwenden Sie die Methode Role UpdateRole(UpdateRoleRequest), um eine benutzerdefinierte Rolle zu bearbeiten.

Wenn Sie die Rollen-ID der benutzerdefinierten Rolle kennen, die Sie bearbeiten möchten, verwenden Sie die Methode roles.get(), um die Rolle aufzurufen. Anschließend können Sie die Rolle mit roles.patch() aktualisieren.

Wenn Sie die Rollen-ID der benutzerdefinierten Rolle nicht kennen, listen Sie mit ListRoles() alle Rollen auf, um die Rolle zu bestimmen. roles.list() gibt eine Liste aller Rollen zurück und verweist dabei auf die Ressource. Aktualisieren Sie dann die Rolle mit roles.patch().

Legen Sie den folgenden erforderlichen Parameter in roles.patch() fest:

  • Den Namen der Rolle, zum Beispiel organizations/{ORGANIZATION_ID}/roles/{ROLE_ID}

Legen Sie optional den Parameter update_mask fest, um die Felder anzugeben, die zukünftig aktualisiert werden können.

Beispiel

name: '[ROLE_NAME]'
role {
  name: '[ROLE_NAME]'
  title: '[ROLE_TITLE]'`
  description: '[ROLE_DESCRIPTION]'
  included_permissions: '[PERMISSION]'
  included_permissions: '[PERMISSION]'
})"

Es gilt:

  • [ROLE_NAME] ist der Name der Rolle. Zum Beispiel organizations/123456/roles/appengine.customRoleEditor. Kann das Format roles/{ROLE_NAME}, organizations/{ORGANIZATION_ID}/roles/{ROLE_NAME} oder projects/{PROJECT_ID}/roles/{ROLE_NAME} haben

Hinweis: Es wird empfohlen, den [ROLE_NAME] innerhalb der Rolle leer zu lassen. Die Methode gibt einen Fehler zurück, wenn die beiden Namen nicht identisch sind und der Name innerhalb der Rolle nicht leer ist.

  • [ROLE_TITLE] ist der Titel der Rolle. Beispiel: New custom editor.
  • [ROLE_DESCRIPTION] ist die Beschreibung der Rolle. Beispiel: "Meine neue lange Beschreibung des Bearbeiters".
  • [PERMISSION] ist die Berechtigung, die Sie dieser Rolle hinzufügen möchten. Beispiel: storage.objects.update

Fehlercodes

FehlercodeStatusmeldung
PERMISSION_DENIEDSie sind nicht berechtigt, die Rolle zu aktualisieren.
INVALID_ARGUMENTVordefinierte Rollen können nicht aktualisiert werden.
INVALID_ARGUMENTDer Name in der Anfrage ([ROLE_NAME]) muss mit dem Namen in der Rolle ([ROLE_NAME]) übereinstimmen.
INVALID_ARGUMENTDie Berechtigung [PERMISSION] ist ungültig.
ABORTEDEs wurden gleichzeitige Richtlinienänderungen vorgenommen, da der etag-Wert nicht übereinstimmte. Wiederholen Sie den gesamten Read-Modify-Write-Zyklus mit exponentiellem Backoff.

Einige vordefinierte Rollen enthalten veraltete Berechtigungen, die in benutzerdefinierten Rollen nicht zulässig sind. Das Erstellen einer benutzerdefinierten Rolle auf der Grundlage einer vordefinierten Rolle, die veraltete oder beschränkte Berechtigungen enthält, wird fehlschlagen.

Benutzerdefinierte Rolle deaktivieren

Sie haben die Möglichkeit, benutzerdefinierte Rollen zu deaktivieren. Beim Deaktivieren einer Rolle werden alle Richtlinienbindungen deaktiviert, die mit der Rolle in Zusammenhang stehen. Dies bedeutet, dass die Berechtigungen in der Rolle selbst dann nicht gewährt werden, wenn Sie die Rolle einem Nutzer zuweisen.

gcloud


Verwenden Sie den Befehl gcloud iam roles update, um eine benutzerdefinierte Rolle zu deaktivieren, indem Sie für die Startphase DISABLED angeben. Wie auf dem Tab gcloud des Abschnitts Vorhandene benutzerdefinierte Rolle bearbeiten beschrieben, können Sie eine vorhandene benutzerdefinierte Rolle auf die folgenden zwei Arten aktualisieren:

  • Durch Bereitstellen einer YAML-Datei, die die Definition der aktualisierten Rolle enthält
  • Durch Verwenden von Flags zum Angeben der Definition der aktualisierten Rolle

Die einfachste Möglichkeit, eine vorhandene benutzerdefinierte Rolle zu deaktivieren, besteht darin, das Flag --stage zu verwenden und auf DISABLED zu setzen. Führen Sie den folgenden gcloud-Befehl aus:

gcloud iam roles update [ROLE_ID] --project [PROJECT_ID] \
--stage DISABLED

Jeder der Platzhalterwerte wird im Folgenden beschrieben:

  • [ROLE_ID] ist der Name der Rolle, z. B. viewer.
  • [PROJECT_ID] ist der Name des Projekts, z. B. my-project-id. Sie können auch das Flag --organization [ORGANIZATION_ID] verwenden, wenn die Rolle auf Organisationsebene erstellt wurde, z. B. 1234567.

Das folgende Beispiel zeigt, wie eine Rolle deaktiviert wird:

gcloud iam roles update viewer --project my-project-id \
--stage DISABLED

Nachdem die Rolle aktualisiert wurde, wird die folgende Antwort zurückgegeben:

description: My custom role description.
etag: BwVkB5NLIQw=
includedPermissions:
- iam.roles.get
- iam.roles.list
name: projects/my-project-id/roles/viewer
stage: DISABLED
title: Role Viewer

Console


  1. Gehen Sie zur Seite "Rollen" in der GCP Console.

    Seite "Rollen" öffnen

  2. Klicken Sie am Anfang der Seite auf die Drop-down-Liste "Projekt auswählen".
  3. Wählen Sie Ihre Organisation oder das Projekt aus.
  4. Wählen Sie eine benutzerdefinierte Rolle aus und klicken Sie auf Deaktivieren.

API


Verwenden Sie die Methode roles.patch(), um eine benutzerdefinierte Rolle zu deaktivieren.

Wenn Sie die Rollen-ID der benutzerdefinierten Rolle kennen, die Sie deaktivieren möchten, verwenden Sie die Methode roles.get(), um die Rolle abzurufen. Ändern Sie die Eigenschaft stage zu DISABLED und rufen Sie anschließend die Methode roles.patch() auf, um die Rolle zu aktualisieren.

Wenn Sie die Rollen-ID der benutzerdefinierten Rolle, die Sie deaktivieren möchten, nicht kennen, listen Sie mit roles.list() alle Rollen auf, um die Rolle zu bestimmen. roles.list() gibt eine Liste aller Rollen unter Angabe der Ressource zurück. Bestimmen Sie die Rolle, die Sie deaktivieren möchten, ändern Sie die Property rolelaunchstage in DISABLED, und rufen Sie die Methode roles.patch() auf, um die Rolle zu aktualisieren.

Legen Sie die folgenden Parameter fest, um eine Rolle zu deaktivieren:

  • Geben Sie den vollständigen Namen der Rolle an, zum Beispiel organizations/{organization-id}/roles/{role}..
  • Stellen Sie in der Role, die stage auf DISABLED..
  • Stellen Sie die update_mask auf paths: stage ein.

Um die Rolle noch einmal zu aktivieren, befolgen Sie das oben genannte Verfahren zum Deaktivieren der Rolle, setzten Sie jedoch die Eigenschaft stage der Rolle auf ALPHA, BETA oder GA.

Beispiel

name: 'organizations/123456/roles/appengine.customRoleEditor'
role {
   name: 'organizations/123456/roles/appengine.customRoleEditor'`
   stage: 'DISABLED'
}
update_mask {
 paths:  stage
}

Fehlercodes

FehlercodeStatusmeldung
PERMISSION_DENIEDSie sind nicht berechtigt, die Rolle zu aktualisieren.
INVALID_ARGUMENTGepflegte Rollen können nicht aktualisiert werden.
INVALID_ARGUMENTDer Name in der Anfrage ([ROLE_NAME]) muss mit dem Namen in der Rolle ([ROLE_NAME]) übereinstimmen.
INVALID_ARGUMENTDie Berechtigung [PERMISSION] ist ungültig.
ABORTEDEs wurden gleichzeitige Richtlinienänderungen vorgenommen. Wiederholen Sie den gesamten Read-Modify-Write-Zyklus mit exponentiellem Backoff.

Rollen auflisten

gcloud


Verwenden Sie den Befehl gcloud iam roles list, um benutzerdefinierte und vordefinierte Rollen für ein Projekt oder eine Organisation aufzulisten.

Führen Sie den folgenden gcloud-Befehl aus, um benutzerdefinierte Rollen aufzulisten, wobei entweder benutzerdefinierte Rollen auf Projekt- oder auf Organisationsebene angegeben werden:

gcloud iam roles list --project [PROJECT_ID]

[PROJECT_ID] ist der Name des Projekts, z. B. my-project-id. Sie können auch das Flag --organization [ORGANIZATION_ID] verwenden, wenn die Rolle auf Organisationsebene erstellt wurde, z. B. 1234567.

Sie können auch das Flag --show-deleted angeben, um gelöschte Rollen aufzulisten.

Führen Sie den folgenden gcloud-Befehl aus, um vordefinierte Rollen aufzulisten:

gcloud iam roles list

Console


  1. Gehen Sie zur Seite "Rollen" in der GCP Console.

    Seite "Rollen" öffnen


    Alle benutzerdefinierten Rollen für das Projekt werden auf dieser Seite aufgelistet.

API


Mit der Methode roles.list() können alle in einer Organisation oder einem Projekt definierten benutzerdefinierten Rollen aufgelistet werden. Es besteht außerdem die Möglichkeit, die vordefinierten Rollen aufzulisten, indem für das übergeordnete Feld in der Anfrage "" festgelegt wird.

Um roles.list() aufzurufen, legen Sie in der Anfrage das folgende Feld fest:

  • Das übergeordnete Element, das Sie verwenden möchten, um alle benutzerdefinierten Rollen abzurufen, zum Beispiel:
    • projects/{PROJECT_ID}
    • organizations/{ORGANIZATION_ID}

Wenn Sie möchten, dass das Ergebnis die Berechtigungen jeder einzelnen Rolle enthält, setzen Sie das Feld view auf RoleView::FULL.

Wenn Sie möchten, dass das Ergebnis Rollen enthält, die vor Kurzem gelöscht wurden, legen Sie das Feld show_deleted als "true" fest.

Wenn Sie alle gepflegten Rollen auflisten möchten, legen Sie das übergeordnete Element als '' (leerer String) fest.

Fehlercodes

FehlercodeStatusmeldung
PERMISSION_DENIEDSie sind nicht berechtigt, Rollen unter {path} aufzulisten.
INVALID_ARGUMENTDas übergeordnete Element {path} ist ungültig. Es muss im Format organizations/{organization_id} oder projects/{project_id} vorliegen oder leer sein.
INVALID_ARGUMENTDie Rollenansicht ist ungültig.

Zuweisbare Rollen für Ressourcen aufrufen

gcloud


Verwenden Sie den Befehl gcloud iam list-grantable-roles, um eine Liste aller Rollen zurückzugeben, die auf eine bestimmte Ressource angewendet werden können.

Führen Sie den folgenden gcloud-Befehl aus, um zuweisbare Rollen aufzulisten:

gcloud iam list-grantable-roles [RESOURCE]

[RESOURCE] ist der vollständige Ressourcenname für die gewünschte Ressource, z. B. //cloudresourcemanager.googleapis.com/projects/my-project.

Abhängig von der gewünschten Ressource können sehr viele Rollen zurückgegeben werden. Sie können auch einen Filterausdruck angeben, um die Zahl der Ergebnisse zu begrenzen.

Console


  1. Öffnen Sie die IAM-Seite in der GCP Console.

    Weiter zur Seite "IAM"

  2. Klicken Sie am Anfang der Seite auf die Drop-down-Liste "Projekt auswählen".
  3. Wählen Sie das Projekt oder die Organisation aus, für die Sie die Rollen anzeigen möchten.
  4. Klicken Sie auf Hinzufügen.
  5. Geben Sie in Mitglieder die E-Mail-Adresse des Mitglieds an.

Die Drop-down-Liste Rollen enthält alle Rollen (einschließlich benutzerdefinierte Rollen), die einem Mitglied zugewiesen werden können.

API


QueryGrantableRoles gibt eine Liste aller Rollen zurück, auf die eine Ressource verweisen kann. Rollen ohne Berechtigungen sind nicht enthalten. Der einzige erforderliche Parameter in der Anfrage ist der vollständige Name der Ressource, z. B. //cloudresourcemanager.googleapis.com/projects/my-project. Der Aufrufer kann auch RoleView angeben. So wird festgelegt, dass die Antwort auch alle Berechtigungen beinhaltet, die in der Rolle Role enthalten sind.

Beispiel

full_resource_name: '//automatedtests.googleapis.com/projects/my-project/buckets/bucket1'`

Fehlercodes

FehlercodeStatusmeldung
INVALID_ARGUMENT{full_resource_name} muss angegeben werden
INVALID_ARGUMENT{full_resource_name}, stimmt nicht mit //[a-z0-9.-]/ überein

Benutzerdefinierte Rolle löschen

gcloud


Verwenden Sie den Befehl gcloud iam roles delete, um eine benutzerdefinierte Rolle zu löschen. Diese Rolle wird gesperrt und kann nicht verwendet werden, um neue IAM-Richtlinienbindungen zu erstellen.

Führen Sie den folgenden gcloud-Befehl aus, um eine benutzerdefinierte Rolle zu löschen:

gcloud iam roles delete [ROLE_ID] --project [PROJECT_ID]

Jeder der Platzhalterwerte wird im Folgenden beschrieben:

  • [ROLE_ID] ist der Name der Rolle, z. B. viewer.
  • [PROJECT_ID] ist der Name des Projekts, z. B. my-project-id. Sie können auch das Flag --organization [ORGANIZATION_ID] verwenden, wenn die Rolle auf Organisationsebene erstellt wurde, z. B. 1234567.

Die Rolle wird nur dann in gcloud iam roles list aufgenommen, wenn das Flag --show_deleted angegeben wird. Gelöschte Rollen werden durch den Block deleted: true in einer list-Antwort gekennzeichnet. Beispiel:

---
deleted: true
description: My custom role description.
etag: BwVkB5NLIQw=
name: projects/my-project-id/roles/viewer
title: Role Viewer
---

Nachdem die Rolle gelöscht wurde, bleiben vorhandene Bindungen erhalten, sind aber inaktiv. Die Rolle kann innerhalb von sieben Tagen wiederhergestellt werden. Nach sieben Tagen beginnt das endgültige Löschen der Rolle, das 30 Tage dauert.

Während dieses Prozesses werden die Rolle und alle mit der Rolle verknüpften Bindungen endgültig entfernt und Sie können keine neue Rolle mit derselben Rollen-ID erstellen. Nachdem die Rolle endgültig gelöscht wurde, 37 Tage nach dem anfänglichen Löschbefehl, kann eine neue Rolle unter Verwendung der ID der gelöschten Rolle erstellt werden.

Console


  1. Gehen Sie zur Seite "Rollen" in der GCP Console.

    Seite "Rollen" öffnen

  2. Wählen Sie die Rolle aus, die Sie löschen möchten, und klicken Sie oben auf den Papierkorb.

Diese Rolle ist gesperrt und kann nicht verwendet werden, um neue IAM-Richtlinienbindungen zu erstellen. Vorhandene Bindungen bleiben bestehen, sind aber inaktiv. Die Rolle kann innerhalb von sieben Tagen wiederhergestellt werden. Nach sieben Tagen beginnt das endgültige Löschen der Rolle, das 30 Tage dauert.

Während dieses Prozesses werden die Rolle und alle mit der Rolle verknüpften Bindungen endgültig entfernt und Sie können keine neue Rolle mit derselben Rollen-ID erstellen. Nachdem die Rolle endgültig gelöscht wurde, 37 Tage nach dem anfänglichen Löschbefehl, kann eine neue Rolle unter Verwendung der ID der gelöschten Rolle erstellt werden.

API


Mit roles.delete wird eine Rolle gelöscht. Diese Rolle ist gesperrt und kann nicht verwendet werden, um neue IAM-Richtlinienbindungen zu erstellen.

Der name kann in den folgenden Formaten angegeben werden:

  • organizations/{ORGANIZATION_ID}/roles/{ROLE_NAME}
  • projects/{PROJECT_ID}/roles/{ROLE_NAME}

Die Rolle ist nicht in list enthalten, es sei denn, der Parameter show_deleted wurde in der Anfrage angegeben. Die Rolle enthält den booleschen Parameter deleted und wird auf "true" eingestellt, wenn sich die Rolle in diesem Status befindet.

Vorhandene Bindungen bleiben bestehen, sind aber inaktiv. Die Rolle kann innerhalb von sieben Tagen wiederhergestellt werden. Nach sieben Tagen beginnt das endgültige Löschen der Rolle, das 30 Tage dauert.

Während dieses Prozesses werden die Rolle und alle mit der Rolle verknüpften Bindungen endgültig entfernt und Sie können keine neue Rolle mit derselben Rollen-ID erstellen. Nachdem die Rolle endgültig gelöscht wurde, 37 Tage nach dem anfänglichen Löschbefehl, kann eine neue Rolle unter Verwendung der ID der gelöschten Rolle erstellt werden.

Fehlercodes

FehlercodeStatusmeldung
PERMISSION_DENIEDSie sind nicht berechtigt, die Rolle unter {path} zu löschen.
FAILED_PRECONDITIONSie können die Rolle {ROLE_NAME} nicht löschen, da sie bereits gelöscht wurde.
FAILED_PRECONDITIONRollen {ROLE_NAME}, die reserviert sind, können nicht gelöscht werden.
INVALID_ARGUMENTGepflegte Rollen können sich nicht in einem gelöschten Status befinden.

Benutzerdefinierte Rolle wiederherstellen

gcloud


Verwenden Sie den Befehl gcloud iam roles undelete, um eine gelöschte benutzerdefinierte Rolle wiederherzustellen. Wenn Sie eine gelöschte Rolle wiederherstellen, erhält sie wieder ihren vorherigen Status.

Die Rolle kann nur innerhalb von sieben Tagen wiederhergestellt werden. Danach wird die Rolle endgültig gelöscht und alle mit der Rolle verknüpften Bindungen werden entfernt.

Führen Sie den folgenden gcloud-Befehl aus, um eine gelöschte benutzerdefinierte Rolle wiederherzustellen:

gcloud iam undelete [ROLE_ID] --project [PROJECT_ID]

Jeder der Platzhalterwerte wird im Folgenden beschrieben:

  • [ROLE_ID] ist der Name der Rolle, z. B. viewer.
  • [PROJECT_ID] ist der Name des Projekts, z. B. my-project-id. Sie können auch das Flag --organization [ORGANIZATION_ID] verwenden, wenn die Rolle auf Organisationsebene erstellt wurde, z. B. 1234567.

Das folgende Beispiel zeigt, wie eine gelöschte benutzerdefinierte Rolle wiederhergestellt wird:

gcloud iam roles undelete viewer --project my-project-id

Nachdem die Rolle wiederhergestellt wurde, wird die folgende Antwort zurückgegeben:

description: My custom role description.
etag: BwVkCAx9W6w=
includedPermissions:
- iam.roles.get
- iam.roles.list
name: projects/my-project-id/roles/viewer
stage: ALPHA
title: Role Viewer

Console


  1. Gehen Sie zur Seite "Rollen" in der GCP Console.

    Seite "Rollen" öffnen

  2. Suchen Sie nach der Rolle, die Sie wiederherstellen möchten. Klicken Sie zuerst auf das Symbol "Mehr" am Ende der Zeile und anschließend auf Wiederherstellen.

Die Rolle kann nur innerhalb von sieben Tagen wiederhergestellt werden. Danach wird die Rolle endgültig gelöscht und alle mit der Rolle verknüpften Bindungen werden entfernt.

API


Mit roles.undelete wird der vorherige Status einer Rolle wiederhergestellt.

Der name kann in den folgenden Formaten angegeben werden:

  • organizations/{ORGANIZATION_ID}/roles/{ROLE_NAME}
  • projects/{PROJECT_ID}/roles/{ROLE_NAME}

Die Rolle kann nur innerhalb von sieben Tagen wiederhergestellt werden. Danach wird die Rolle endgültig gelöscht und alle mit der Rolle verknüpften Bindungen werden entfernt.

Fehlercodes

FehlercodeStatusmeldung
PERMISSION_DENIEDSie sind nicht berechtigt, die Rolle unter {path} wiederherzustellen.
FAILED_PRECONDITIONEine Rolle, die nicht gelöscht wurde, kann nicht wiederhergestellt werden.
FAILED_PRECONDITIONEine Rolle {ROLE_NAME}, die reserviert ist, kann nicht wiederhergestellt werden.
INVALID_ARGUMENTVordefinierte Rollen können nicht wiederhergestellt werden.
Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zu Cloud Identity and Access Management