ניהול הגישה למשאבים אחרים

בדף הזה מתואר באופן כללי התהליך של הקצאה, שינוי וביטול הרשאות גישה למשאבים שמקבלים כללי מדיניות של הרשאה.

בניהול הזהויות והרשאות הגישה (IAM) מקבלים גישה באמצעות מדיניות הרשאות (נקראת גם מדיניות IAM). מדיניות הרשאות היא מדיניות שמצורפת למשאב ב-Google Cloud. כל מדיניות הרשאות מכילה אוסף של קישורי תפקידים שמשויך לחשבון משתמש אחד או יותר, כמו משתמשים או חשבונות שירות שיש להם תפקיד ב-IAM. קישורי התפקידים האלה מקצים לחשבונות המשתמשים את התפקידים שצוינו בחשבונות המשתמשים, גם במשאב שאליו מצורפת מדיניות ההרשאות וגם בצאצאים של אותו משאב. למידע נוסף על מדיניות הרשאות, ראו הסבר על מדיניות ההרשאות.

בדף הזה מוסבר איך לנהל את הגישה למשאבים באמצעות מסוף Google Cloud‏, Google Cloud CLI ו-API ל-REST. אפשר גם לנהל את הגישה באמצעות ספריות הלקוח ב-Google Cloud.

לפני שמתחילים

חשוב לבדוק את הרשימה של סוגי המשאבים שמקבלים מדיניות הרשאות.

ההרשאות הנדרשות

כדי לנהל את הגישה למשאב צריכות להיות לכם הרשאות לקבלת המשאב וקבוצת כללי מדיניות ההרשאות של המשאב. ההרשאות האלה מופיעות בפורמט הבא, כאשר SERVICE הוא השם של השירות שהמשאב נמצא בבעלותו ו-RESOURCE_TYPE הוא השם של סוג המשאב שרוצים לנהל את הגישה אליו:

  • SERVICE.RESOURCE_TYPE.get
  • SERVICE.RESOURCE_TYPE.getIamPolicy
  • SERVICE.RESOURCE_TYPE.setIamPolicy

לדוגמה, כדי לנהל את הגישה למכונה של Compute Engine, נדרשות ההרשאות האלה:

  • compute.instances.get
  • compute.instances.getIamPolicy
  • compute.instances.setIamPolicy

כדי לקבל את ההרשאות הנדרשות, צריך לבקש מהאדמין להקצות לכם תפקיד מוגדר מראש או תפקיד מותאם אישית שכולל את ההרשאות. לדוגמה, האדמין יכול להקצות לכם את התפקיד 'אדמין לענייני אבטחה' (roles/iam.securityAdmin), שכולל הרשאות לניהול הגישה לרוב כמעט מוחלט של המשאבים ב-Google Cloud.

.

הצגה של הרשאת הגישה הנוכחית

בקטע הבא מוסבר איך משתמשים במסוף Google Cloud, ב-CLI של gcloud וב-API ל-REST כדי לבדוק למי יש גישה למשאב. אפשר גם לבדוק את הגישה על ידי הצגת מדיניות ההרשאות של המשאב באמצעות ספריות הלקוח ב-Google Cloud.

מסוף

  1. במסוף Google Cloud, נכנסים לדף שבו מוצג המשאב שרוצים להציג את הגישה אליו.

    לדוגמה, כדי לנהל את הגישה למכונה של Compute Engine, נכנסים לדף VM instances.

    לדף VM instances

  2. מסמנים את התיבה לצד המשאב שרוצים להציג את הרשאות הגישה אליו.

  3. מוודאים שחלונית המידע מוצגת. אם היא לא מוצגת, לוחצים על Show info panel. בכרטיסייה Permissions בחלונית המידע מפורטים כל חשבונות המשתמשים שיש להם הרשאת גישה למשאב.

    אם המתג Show inherited permissions מופעל, ברשימה כלולים חשבונות משתמשים שיש להם תפקידים שעברו בירושה, כלומר חשבונות משתמשים שהרשאת הגישה שלהם הועברה אליהם מתפקידים במשאבי הורה ולא מתפקידים במשאב עצמו. למידע נוסף על ירושה של מדיניות, ראו ירושה של מדיניות והיררכיית המשאבים.

gcloud

כדי לראות למי יש גישה למשאב, צריך לבדוק במדיניות ההרשאות של המשאב. במאמר הסבר על מדיניות ההרשאות מוסבר איך לקרוא את כללי המדיניות.

כדי לקבל את מדיניות ההרשאות של המשאב, מפעילים את הפקודה get-iam-policy לאותו משאב.

הפורמט של הפקודה הזו משתנה בהתאם לסוג המשאב שאתם מנהלים את הגישה אליו. כדי למצוא את הפורמט שמתאים למשאב, מאתרים את ההפניה לפקודה get-iam-policy של המשאב במאמרי העזרה של Google Cloud CLI. ההפניות מסודרות לפי שירות ואז לפי משאב. לדוגמה, כדי לקבל את מדיניות ההרשאות של מכונה וירטואלית ב-Compute Engine, פועלים לפי הפורמט שמתואר בהפניה gcloud compute instances get-iam-policy.

כדי לציין את הפורמט ולייצא את התוצאות, מוסיפים לפקודה את הארגומנטים הבאים:

--format=FORMAT > PATH

מציינים את הערכים הבאים:

  • FORMAT: הפורמט הרצוי למדיניות. משתמשים ב-json או ב-yaml.
  • PATH: הנתיב לקובץ פלט חדש של המדיניות.

כשמריצים את הפקודה, מדיניות ההרשאות של המשאב מודפסת במסוף או מיוצאת לקובץ שצוין.

REST

כדי לראות למי יש גישה למשאב, צריך לבדוק במדיניות ההרשאות של המשאב. במאמר הסבר על מדיניות ההרשאות מוסבר איך לקרוא את כללי המדיניות.

כדי לקבל את מדיניות ההרשאות של המשאב, משתמשים ב-method ‏getIamPolicy של המשאב.

ה-method ‏HTTP, כתובת ה-URL וגוף הבקשה משתנים לפי המשאב שרוצים להציג את הגישה אליו. כדי למצוא את הפרטים האלה, מאתרים את הפניית ה-API של השירות שהוא הבעלים של המשאב ואז מחפשים את ההפניה ל-method ‏ getIamPolicy של המשאב. לדוגמה, ה-method ‏HTTP, כתובת ה-URL וגוף הבקשה במכונה של Compute Engine מצוינים בהפניה getIamPolicy של המכונות.

התשובה שחוזרת מכל method ‏getIamPolicy של המשאב מכילה את מדיניות ההרשאות של המשאב.

הקצאה או ביטול של תפקיד יחיד

אפשר להשתמש במסוף Google Cloud וב-CLI של gcloud כדי להקצות או לבטל במהירות תפקיד אחד לחשבון משתמש אחד בלי לערוך ישירות את מדיניות ההרשאות של המשאב. דוגמאות לחשבונות משתמשים נפוצים: חשבונות Google, חשבונות שירות, קבוצות Google ודומיינים. רשימה של כל הסוגים העיקריים זמינה במאמר מושגים שקשורים לזהות.

תוכלו להיעזר במאמר בחירת תפקידים מוגדרים מראש כדי לזהות איזה תפקיד שהוגדר מראש הכי מתאים לכם.

הקצאת תפקיד אחד

כך מקצים תפקיד יחיד לחשבון משתמש:

מסוף

  1. במסוף Google Cloud, נכנסים לדף שבו מוצג המשאב שאתם רוצים להציג את הרשאות הגישה אליו.

    לדוגמה, כדי לנהל את הגישה למכונה של Compute Engine, נכנסים לדף VM instances.

    לדף VM instances

  2. מסמנים את התיבה לצד המשאב שרוצים להציג את הרשאות הגישה אליו.

  3. מוודאים שחלונית המידע מוצגת. אם היא לא מוצגת, לוחצים על Show info panel.

  4. בוחרים את חשבון המשתמש שהתפקיד יוקצה לו:

    • כדי להקצות תפקיד לחשבון משתמש שכבר יש לו תפקידים אחרים במשאב, לוחצים על Edit principal בשורה שבה מוצג המשאב ולאחר מכן לוחצים על Add another role.

    • כדי להקצות תפקיד לחשבון משתמש שעדיין אין לו תפקידים אחרים במשאב, לוחצים על Add principal ומזינים את כתובת האימייל או מזהה אחר של חשבון המשתמש.

  5. ברשימה הנפתחת בוחרים את התפקיד שרוצים להקצות. בהתאם לשיטות האבטחה המומלצות, בחרו תפקיד שכולל רק את ההרשאות שחשבון המשתמש צריך.

  6. אופציונלי: מוסיפים תנאי לתפקיד.

  7. לוחצים על Save. חשבון המשתמש מקבל את התפקיד במשאב.

gcloud

כדי להקצות תפקיד לחשבון משתמש במהירות, מריצים את הפקודה add-iam-policy-binding.

הפורמט של הפקודה הזו משתנה בהתאם לסוג המשאב שאתם מנהלים את הגישה אליו. כדי למצוא את הפורמט שמתאים למשאב, מאתרים את ההפניה לפקודה add-iam-policy-binding למשאב במאמרי העזרה של Google Cloud CLI. ההפניות מסודרות לפי שירות ואז לפי משאב. לדוגמה, כדי להקצות תפקיד לחשבון משתמש במכונה של Compute Engine, פועלים לפי הפורמט שמצוין בחומר העזר בנושא gcloud compute instances add-iam-policy- binding.

ביטול תפקיד יחיד

כדי לבטל תפקיד יחיד מחשבון משתמש:

מסוף

  1. נכנסים לדף שבו מוצג המשאב שממנו רוצים לבטל את הרשאות הגישה במסוף Google Cloud.

    לדוגמה, כדי לנהל את הגישה למכונה של Compute Engine, נכנסים לדף VM instances:

    לדף VM instances

  2. מסמנים את התיבה לצד המשאב שרוצים להציג את הרשאות הגישה אליו.

  3. מוודאים שחלונית המידע מוצגת. אם היא לא מוצגת, לוחצים על Show info panel.

  4. בשורה שמכילה את חשבון המשתמש לוחצים על Edit principal.

  5. לוחצים על Delete לתפקיד שרוצים לבטל ואז על Save.

gcloud

כדי לבטל במהירות תפקיד מחשבון משתמש, מריצים את הפקודה remove-iam-policy-binding.

הפורמט של הפקודה הזו משתנה בהתאם לסוג המשאב שאתם מנהלים את הגישה אליו. כדי למצוא את הפורמט שמתאים למשאב, מאתרים את ההפניה לפקודה remove-iam-policy-binding למשאב במאמרי העזרה של Google Cloud CLI. ההפניות מסודרות לפי שירות ואז לפי משאב. לדוגמה, כדי להקצות תפקיד לחשבון משתמש במכונה של Compute Engine, פועלים לפי הפורמט שמצוין בחומר העזר בנושא gcloud compute instances remove-iam-policy-binding.

הקצאה או ביטול של תפקידים מרובים באמצעות מסוף Google Cloud

אפשר להשתמש במסוף Google Cloud כדי להעניק ולבטל כמה תפקידים לחשבון משתמש אחד:

  1. במסוף Google Cloud, נכנסים לדף שבו מוצג המשאב שאתם רוצים להציג את הרשאות הגישה אליו.

    לדוגמה, כדי לנהל את הגישה למכונה של Compute Engine, נכנסים לדף VM instances.

    לדף VM instances

  2. מסמנים את התיבה לצד המשאב שרוצים להציג את הרשאות הגישה אליו.

  3. אם חלונית המידע לא מוצגת, לוחצים על Show info panel.

  4. בוחרים את חשבון המשתמש שאת התפקידים שלו רוצים לשנות:

    • כדי לשנות את התפקידים של חשבון משתמש שכבר יש לו תפקידים במשאב, לוחצים על Edit principal בשורה של המשאב ואחר כך על Add another role.

    • כדי להקצות תפקידים לחשבון משתמש שאין לו תפקידים קיימים במשאב, לוחצים על Add principal ומזינים את כתובת האימייל או את המזהה של חשבון המשתמש.

  5. משנים את התפקידים של חשבון המשתמש:

    • כדי להקצות תפקיד לחשבון משתמש שאין לו תפקידים קיימים במשאב, לוחצים על Select a role וברשימה הנפתחת בוחרים את התפקיד שרוצים להקצות.
    • כדי לתת תפקיד נוסף לחשבון המשתמש, לוחצים על Add another role וברשימה הנפתחת בוחרים את התפקיד שרוצים להקצות.
    • כדי להחליף אחד מהתפקידים של המשתמש בתפקיד אחר, לוחצים על התפקיד הקיים וברשימה הנפתחת בוחרים את התפקיד האחר שרוצים להקצות.
    • כדי לבטל אחד מהתפקידים של חשבון המשתמש, לוחצים על Delete בכל אחד מהתפקידים שרוצים לבטל.

    אפשר גם להוסיף תנאי לתפקיד, לשנות את התנאי של תפקיד או להסיר את התנאי של התפקיד.

  6. לוחצים על Save.

איך להעניק או לבטל מספר תפקידים באופן פרוגרמטי

כדי לבצע בקנה מידה נרחב שינויים שכרוכים בהענקה וביטול של תפקידים מרובים בחשבונות משתמשים מרובים, משתמשים בתבנית קריאה-שינוי-כתיבה לעדכון מדיניות ההרשאות של המשאב:

  1. קוראים את מדיניות ההרשאות הנוכחית באמצעות getIamPolicy().
  2. כדי להוסיף או להסיר חשבונות משתמשים או קישורי תפקידים, עורכים את מדיניות ההרשאות באמצעות עורך טקסט או באופן פרוגרמטי.
  3. כותבים את מדיניות ההרשאות המעודכנת על ידי קריאה לפונקציה setIamPolicy().

בקטע הזה נסביר איך להשתמש ב-CLI של gcloud וב-API ל-REST כדי לעדכן את מדיניות ההרשאות. אפשר לעדכן את מדיניות ההרשאות גם באמצעות ספריות הלקוח של Google Cloud.

קבלת מדיניות ההרשאות הנוכחית

gcloud

כדי לקבל את מדיניות ההרשאות של המשאב, מפעילים את הפקודה get-iam-policy לאותו משאב.

הפורמט של הפקודה הזו משתנה בהתאם לסוג המשאב שאתם מנהלים את הגישה אליו. כדי למצוא את הפורמט שמתאים למשאב, מאתרים את ההפניה לפקודה get-iam-policy של המשאב במאמרי העזרה של Google Cloud CLI. ההפניות מסודרות לפי שירות ואז לפי משאב. לדוגמה, כדי לקבל את מדיניות ההרשאות של מכונה וירטואלית ב-Compute Engine, פועלים לפי הפורמט שמתואר בהפניה gcloud compute instances get-iam-policy.

כדי לציין את הפורמט ולייצא את התוצאות, מוסיפים לפקודה את הארגומנטים הבאים:

--format=FORMAT > PATH

מציינים את הערכים הבאים:

  • FORMAT: הפורמט הרצוי למדיניות ההרשאות. כדאי להשתמש בפורמט json או yaml.
  • PATH: הנתיב לקובץ הפלט החדש של מדיניות ההרשאות.

כשמריצים את הפקודה, מדיניות ההרשאות של המשאב מודפסת במסוף או מיוצאת לקובץ שצוין.

REST

כדי לקבל את מדיניות ההרשאות של המשאב, משתמשים ב-method ‏getIamPolicy של המשאב.

ה-method ‏HTTP, כתובת ה-URL וגוף הבקשה משתנים לפי המשאב שרוצים להציג את הגישה אליו. כדי למצוא את הפרטים האלה, מאתרים את הפניית ה-API של השירות שהוא הבעלים של המשאב ואז מחפשים את ההפניה ל-method ‏ getIamPolicy של המשאב. לדוגמה, ה-method ‏HTTP, כתובת ה-URL וגוף הבקשה במכונה הוירטואלית של Compute Engine מצוינים בהפניה getIamPolicy של המכונות.

התשובה שחוזרת מכל method ‏getIamPolicy של המשאב מכילה את מדיניות ההרשאות של המשאב. שומרים את התגובה בקובץ מהסוג המתאים (json או yaml).

שינוי מדיניות ההרשאות

כדי להקצות או לבטל תפקידים, עורכים את העותק המקומי של מדיניות ההרשאות של המשאב באמצעות עורך טקסט או באופן פרוגרמטי.

חשוב לא לערוך או להסיר את השדה etag במדיניות ההרשאות כדי לוודא שאתם לא מבטלים שינויים אחרים שנעשו. השדה etag מזהה את המצב הנוכחי של מדיניות ההרשאות. כשאתם מגדירים את מדיניות ההרשאות המעודכנת, מערכת IAM משווה את הערך שמופיע בבקשה בשדה etag לערך בשדה ה-etag הקיים, וכותבת את מדיניות ההרשאות רק אם הערכים תואמים.

כדי לערוך את התפקידים שמדיניות ההרשאות מקצה, צריך לערוך את קישורי התפקידים במדיניות ההרשאות. קישורי התפקידים מופיעים בפורמט הבא:

{
  "role": "ROLE_NAME",
  "members": [
    "PRINCIPAL_1",
    "PRINCIPAL_2",
    ...
    "PRINCIPAL_N"
  ],
  "conditions:" {
    CONDITIONS
  }
}

אלה הערכים שמופיעים במקום ה-placeholders:

  • ROLE_NAME: שם התפקיד שרוצים להעניק. משתמשים באחד מהפורמטים הבאים:

    • תפקידים מוגדרים מראש: roles/SERVICE.IDENTIFIER
    • תפקידים מותאמים אישית ברמת הפרויקט: projects/PROJECT_ID/roles/IDENTIFIER
    • תפקידים מותאמים אישית ברמת הארגון: organizations/ORG_ID/roles/IDENTIFIER

    במאמר הסבר על תפקידים תוכלו למצוא רשימה של התפקידים המוגדרים מראש.

  • PRINCIPAL_1, PRINCIPAL_2, ...PRINCIPAL_N: מזהים של חשבונות המשתמשים שאתם רוצים להקצות להם את התפקיד.

    בדרך כלל, מזהים של חשבונות משתמשים מופיעים בפורמט הבא: PRINCIPAL-TYPE:ID. למשל, user:my-user@example.com. רשימה מלאה של הערכים שאפשר לכלול ב-PRINCIPAL זמינה בחומר העזר בנושא קישור של מדיניות.

    בחשבון משתמש מסוג user, שם הדומיין במזהה צריך להיות דומיין של Google Workspace או דומיין של Cloud Identity. במאמר בנושא סקירה כללית על Cloud Identity מוסבר איך מגדירים דומיין של Cloud Identity.

  • CONDITIONS: אופציונלי. כל התנאים שמציינים מתי תינתן גישה.

הקצאת תפקיד

כדי להקצות תפקידים לחשבונות המשתמשים, צריך לשנות את קישורי התפקידים במדיניות ההרשאות. למידע לגבי התפקידים שאפשר להקצות תוכלו לקרוא את המאמרים הסבר על תפקידים והצגת תפקידים שאפשר להקצות. תוכלו להיעזר במאמר בחירת תפקידים מוגדרים מראש כדי לזהות אילו תפקידים שהוגדרו מראש הכי מתאימים לכם.

אפשר גם להשתמש בתנאים כדי להעניק תפקידים אם עומדים בדרישות מסוימות.

כדי להקצות תפקיד שכבר כלול במדיניות ההרשאות, מוסיפים את חשבון המשתמש לקישור תפקידים קיים:

gcloud

כדי לערוך את מדיניות ההרשאות, מוסיפים את חשבון המשתמש לקישור תפקידים קיים. שימו לב שהשינוי הזה ייכנס לתוקף רק אחרי שתגדירו את מדיניות ההרשאות המעודכנת.

לדוגמה, נניח שמדיניות ההרשאות כוללת את קישור התפקידים הבא, שמקצה את התפקיד 'אדמין מכונות של Compute' (roles/compute.instanceAdmin) ל-kai@example.com:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com"
  ]
}

כדי לתת את אותו התפקיד ל-raha@example.com, צריך להוסיף את raha@example.com לקישור התפקידים הקיים:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

REST

כדי לערוך את מדיניות ההרשאות, מוסיפים את חשבון המשתמש לקישור תפקידים קיים. שימו לב שהשינוי הזה ייכנס לתוקף רק אחרי שתגדירו את מדיניות ההרשאות המעודכנת.

לדוגמה, נניח שמדיניות ההרשאות כוללת את קישור התפקידים הבא, שמקצה את התפקיד 'אדמין מכונות של Compute' (roles/compute.instanceAdmin) ל-kai@example.com:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com"
  ]
}

כדי לתת את אותו התפקיד ל-raha@example.com, צריך להוסיף את raha@example.com לקישור התפקידים הקיים:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

כדי להקצות תפקיד שלא כלול עדיין במדיניות ההרשאות, צריך להוסיף קישור תפקיד חדש:

gcloud

כדי לערוך את מדיניות ההרשאות מוסיפים קישור תפקיד חדש, שמקצה את התפקיד לחשבון המשתמש. השינוי הזה ייכנס לתוקף רק אחרי שתגדירו את מדיניות ההרשאות המעודכנת.

לדוגמה, כדי להקצות את התפקיד 'אדמין של מאזן עומסים של Compute' (roles/compute.loadBalancerAdmin) ל-raha@example.com, צריך להוסיף את קישור התפקיד הבא למערך bindings של מדיניות ההרשאות הזו:

{
  "role": "roles/compute.loadBalancerAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

REST

כדי לערוך את מדיניות ההרשאות מוסיפים קישור תפקיד חדש, שמקצה את התפקיד לחשבון המשתמש. השינוי הזה ייכנס לתוקף רק אחרי שתגדירו את מדיניות ההרשאות המעודכנת.

לדוגמה, כדי להקצות את התפקיד 'אדמין של מאזן עומסים של Compute' (roles/compute.loadBalancerAdmin) ל-raha@example.com, צריך להוסיף את קישור התפקיד הבא למערך bindings של מדיניות ההרשאות הזו:

{
  "role": "roles/compute.loadBalancerAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

ביטול תפקיד

כדי לבטל תפקיד, מסירים את חשבון המשתמש מקישור התפקיד. אם אין חשבונות משתמשים אחרים בקישור התפקיד, מסירים את קישור התפקיד כולו.

gcloud

כדי לבטל תפקיד, עורכים את מדיניות ההרשאות בפורמט JSON או YAML שמוחזרת מהפקודה get-iam-policy. השינוי הזה ייכנס לתוקף רק אחרי שתגדירו את מדיניות ההרשאות המעודכנת.

כדי לבטל תפקיד של חשבון משתמש, מוחקים את חשבונות המשתמשים או את הקישורים הרלוונטים ממערך ה-bindings של מדיניות ההרשאות.

REST

כדי לבטל תפקיד, עורכים את מדיניות ההרשאות בפורמט JSON או YAML שמוחזרת מהפקודה get-iam-policy. השינוי הזה ייכנס לתוקף רק אחרי שתגדירו את מדיניות ההרשאות המעודכנת.

כדי לבטל תפקיד של חשבון משתמש, מוחקים את חשבונות המשתמשים או את הקישורים הרלוונטים ממערך ה-bindings של מדיניות ההרשאות.

הגדרת מדיניות ההרשאות

אחרי שמשנים את מדיניות ההרשאות ומעניקים או מבטלים את התפקידים הרצויים, קוראים לפונקציה setIamPolicy() כדי לבצע את העדכונים.

gcloud

כדי להגדיר את מדיניות ההרשאות של המשאב, מפעילים את הפקודה set-iam-policy עבור המשאב.

הפורמט של הפקודה הזו משתנה בהתאם לסוג המשאב שאתם מנהלים את הגישה אליו. כדי למצוא את הפורמט שמתאים למשאב, מאתרים את ההפניה לפקודה set-iam-policy של המשאב במאמרי העזרה של Google Cloud CLI. ההפניות מסודרות לפי שירות ואז לפי משאב. לדוגמה, כדי לקבל את מדיניות ההרשאות של מכונה וירטואלית ב-Compute Engine, פועלים לפי הפורמט שמתואר בהפניה gcloud compute instances set-iam-policy.

התשובה שחוזרת מכל פקודת set-iam-policy של המשאב מכילה את מדיניות ההרשאות המעודכנת של המשאב.

REST

כדי להגדיר את מדיניות ההרשאות של המשאב, משתמשים ב-method ‏setIamPolicy של המשאב.

ה-method ‏HTTP, כתובת ה-URL וגוף הבקשה משתנים לפי המשאב שרוצים להציג את הגישה אליו. כדי למצוא את הפרטים האלה, מאתרים את הפניית ה-API של השירות שהוא הבעלים של המשאב ואז מחפשים את ההפניה ל-method ‏ setIamPolicy של המשאב. לדוגמה, ה-method ‏HTTP, כתובת ה-URL וגוף הבקשה במכונה הוירטואלית של Compute Engine מצוינים בהפניה setIamPolicy של המכונות.

התשובה שחוזרת מכל method ‏setIamPolicy של המשאב מכילה את מדיניות ההרשאות המעודכנת של המשאב.

המאמרים הבאים

נסו בעצמכם

אנחנו ממליצים למשתמשים חדשים ב-Google Cloud ליצור חשבון כדי שיוכלו להעריך את הביצועים של המוצרים שלנו בתרחישים מהעולם האמיתי. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

מתחילים לעבוד בלי לשלם