Zugriff auf andere Ressourcen verwalten

Auf dieser Seite wird der allgemeine Prozess zum Gewähren, Ändern und Widerrufen des Zugriffs auf Ressourcen beschrieben, die IAM-Richtlinien (Identity and Access Management) akzeptieren.

In Identity and Access Management (IAM) wird der Zugriff über IAM-Richtlinien verwaltet. Eine IAM-Richtlinie ist mit einer Google Cloud-Ressource verknüpft. Jede Richtlinie enthält eine Sammlung von Rollenbindungen, die ein oder mehrere Hauptkonten, z. B. Nutzer oder Dienstkonten, mit einer IAM-Rolle verknüpfen. Diese Rollenbindungen gewähren den Hauptkonten die angegebenen Rollen sowohl für die Ressource, mit der die Richtlinie verbunden ist, als auch für alle Nachfolger der Ressource. Weitere Informationen zu IAM-Richtlinien finden Sie unter Informationen zu Richtlinien.

Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Ressourcen mit der Google Cloud Console, dem gcloud-Befehlszeilentool und der REST API verwalten. Sie können den Zugriff auch über die Google Cloud-Clientbibliotheken verwalten.

Hinweis

Siehe Liste der Ressourcentypen, die IAM-Richtlinien akzeptieren.

Erforderliche Berechtigungen

Um den Zugriff auf eine Ressource zu verwalten, benötigen Sie Berechtigungen, um die IAM-Richtlinie für die Ressource abzurufen und festzulegen. Diese Berechtigungen haben das folgende Format, wobei SERVICE der Name des Dienstes ist, zu dem die Ressource gehört, und RESOURCE_TYPE der Name des Ressourcentyps, für den Sie den Zugriff verwalten möchten:

  • SERVICE.RESOURCE_TYPE.get
  • SERVICE.RESOURCE_TYPE.list
  • SERVICE.RESOURCE_TYPE.getIamPolicy
  • SERVICE.RESOURCE_TYPE.setIamPolicy

Sie benötigen beispielsweise die folgenden Berechtigungen, um den Zugriff auf eine Compute Engine-Instanz zu verwalten:

  • compute.instances.get
  • compute.instances.list
  • compute.instances.getIamPolicy
  • compute.instances.setIamPolicy

Bitten Sie Ihren Administrator, Ihnen eine vordefinierte oder benutzerdefinierte Rolle zuzuweisen, die die Berechtigungen enthält. Beispielsweise kann Ihr Administrator Ihnen die Rolle "Sicherheitsadministrator" (roles/iam.securityAdmin) zuweisen, die Berechtigungen zum Verwalten des Zugriffs auf fast alle Google Cloud-Ressourcen enthält.

Aktuellen Zugriff ansehen

Im folgenden Abschnitt erfahren Sie, wie Sie mit der Cloud Console, dem gcloud-Tool und der REST API den Zugriff auf eine Ressource aufrufen. Sie können den Zugriff auch mithilfe der Google Cloud-Clientbibliotheken anzeigen, um die IAM-Richtlinie der Ressource abzurufen.

Console

  1. Rufen Sie in der Cloud Console die Seite auf, auf der die Ressource aufgeführt ist, für die Sie sich den Zugriff ansehen möchten.

    Wenn Sie beispielsweise den Zugriff auf eine Compute Engine-Instanz verwalten möchten, rufen Sie die Seite VM-Instanzen auf.

    Zu „VM-Instanzen“

  2. Klicken Sie auf das Kästchen neben der Ressource, für die Sie sich den Zugriff ansehen möchten.

  3. Das Infofeld muss sichtbar sein. Falls es nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Auf dem Tab Berechtigungen des Infofelds werden alle Hauptkonten aufgelistet, die Zugriff auf die Ressource haben.

    Wenn der Schieberegler Übernommene Berechtigungen anzeigen aktiviert ist, enthält die Liste Hauptkonten mit übernommenen Rollen. Das heißt, Hauptkonten, deren Zugriff von Rollen für übergeordnete Ressourcen und nicht von Rollen für die Ressource selbst stammt. Weitere Informationen zur Richtlinienübernahme finden Sie unter Richtlinienübernahme und die Ressourcenhierarchie.

gcloud

Wenn Sie sehen möchten, wer Zugriff auf Ihre Ressource hat, rufen Sie die IAM-Richtlinie für die Ressource ab. Informationen zum Interpretieren von IAM-Richtlinien finden Sie unter Richtlinien verstehen.

Um die IAM-Richtlinie für die Ressource abzurufen, führen Sie den Befehl get-iam-policy für die Ressource aus.

Das Format dieses Befehls hängt vom Ressourcentyp ab, für den Sie den Zugriff verwalten. Sie finden das Format für Ihre Ressource in der Referenz zum Befehl get-iam-policy der Ressource in der Cloud SDK-Referenz. Diese Referenz ist nach Dienst und dann nach Ressource organisiert. Wenn Sie beispielsweise die IAM-Richtlinie einer Compute Engine abrufen möchten, folgen Sie dem in der Referenz zu gcloud compute instances get-iam-policy beschriebenen Format.

Fügen Sie dem Befehl optional die folgenden Argumente hinzu, um das Format anzugeben und die Ergebnisse zu exportieren:

--format=FORMAT > PATH

Geben Sie folgende Werte an:

  • FORMAT: Das gewünschte Format für die Richtlinie. Verwenden Sie json oder yaml.
  • PATH: Der Pfad zu einer neuen Ausgabedatei für die Richtlinie.

Wenn Sie den Befehl ausführen, wird die IAM-Richtlinie der Ressource entweder in der Konsole ausgegeben oder in die angegebene Datei exportiert.

REST

Damit Sie feststellen können, wer Zugriff auf Ihre Ressource hat, rufen Sie die IAM-Richtlinie der Ressource ab. Informationen zum Interpretieren von IAM-Richtlinien finden Sie unter Richtlinien verstehen.

Die IAM-Richtlinie der Ressource erhalten Sie mit der Methode getIamPolicy der Ressource.

Die HTTP-Methode, die URL und der Anfragetext hängen von der Ressource ab, für die Sie sich den Zugriff ansehen möchten. Diese Details finden Sie in der API-Referenz für den Dienst, dem die Ressource gehört, in der Referenz zur Methode getIamPolicy der Ressource. Beispielsweise werden die HTTP-Methode, die URL und der Anfragetext für eine Compute Engine-Instanz in der Referenz zur getIamPolicy-Instanz angegeben.

Die Antwort für die Methode getIamPolicy einer Ressource enthält die IAM-Richtlinie der Ressource.

Einzelne Rolle gewähren oder widerrufen

Sie können die Cloud Console und das gcloud-Tool verwenden, um für ein einzelnes Hauptkonto schnell eine einzelne Rolle zuzuweisen oder zu widerrufen, ohne die IAM-Richtlinie der Ressource direkt zu bearbeiten. Zu den gängigen Typen von Hauptkonten zählen Google-Konten, Dienstkonten, Google-Gruppen und Domains. Eine Liste der Typen von Hauptkonten in IAM finden Sie unter Konzepte in Verbindung mit Identität.

Einzelne Rolle gewähren

So weisen Sie einem Hauptkonto eine einzelne Rolle zu:

Console

  1. Rufen Sie in der Cloud Console die Seite auf, auf der die Ressource aufgeführt ist, für die Sie sich den Zugriff ansehen möchten.

    Wenn Sie beispielsweise den Zugriff auf eine Compute Engine-Instanz verwalten möchten, rufen Sie die Seite VM-Instanzen auf.

    Zu „VM-Instanzen“

  2. Klicken Sie das Kästchen neben der Ressource an, für die Sie den Zugriff verwalten möchten.

  3. Das Infofeld muss sichtbar sein. Falls es nicht sichtbar ist, klicken Sie auf Infofeld ansehen.

  4. Wählen Sie ein Hauptkonto aus, um in folgenden Fällen eine Rolle zuzuweisen:

    • Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, die bereits andere Rollen für die Ressource hat, suchen Sie eine Zeile mit der E-Mail-Adresse des Hauptkontos, klicken Sie in dieser Zeile auf Hauptkonto bearbeiten und klicken Sie dann auf Weitere Rolle hinzufügen.

    • Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, das noch keine anderen Rollen für die Ressource hat, klicken Sie auf Hauptkonto hinzufügen und geben Sie dann die E-Mail-Adresse des Hauptkontos ein.

  5. Wählen Sie eine Rolle aus der Drop-down-Liste aus. Wählen Sie als Best Practice für die Sicherheit eine Rolle aus, die nur die Berechtigungen enthält, die das Hauptkonto benötigt.

  6. Optional: Fügen Sie der Rolle eine Bedingung hinzu.

  7. Klicken Sie auf Speichern. Dem Hauptkonto wird die Rolle für die Ressource zugewiesen.

gcloud

Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, führen Sie den Befehl add-iam-policy-binding aus:

Das Format dieses Befehls hängt vom Ressourcentyp ab, für den Sie den Zugriff verwalten. Sie finden das Format für Ihre Ressource in der Referenz zum Befehl add-iam-policy-binding der Ressource in der Cloud SDK-Referenz. Diese Referenz ist nach Dienst und dann nach Ressource organisiert. Wenn Sie einem Hauptkonto beispielsweise eine Rolle auf einer Compute Engine-Instanz zuweisen möchten, verwenden Sie das in der Referenz zu gcloud compute instances add-iam-policy- binding beschriebene Format.

Einzelne Rolle widerrufen

So widerrufen Sie eine einzelne Rolle eines Hauptkontos:

Console

  1. Rufen Sie in der Cloud Console die Seite mit der Ressource auf, für die Sie den Zugriff widerrufen möchten.

    Wenn Sie beispielsweise den Zugriff auf eine Compute Engine-Instanz verwalten möchten, rufen Sie die Seite VM-Instanzen auf:

    Zu „VM-Instanzen“

  2. Klicken Sie das Kästchen neben der Ressource an, für die Sie den Zugriff verwalten möchten.

  3. Das Infofeld muss sichtbar sein. Falls es nicht sichtbar ist, klicken Sie auf Infofeld ansehen.

  4. Suchen Sie die Zeile mit der E-Mail-Adresse des Hauptkontos und klicken Sie in dieser Zeile auf Hauptkonto bearbeiten.

  5. Klicken Sie für alle Rollen, die entzogen werden sollen, auf Löschen  und dann auf Speichern.

gcloud

Wenn Sie einem Hauptkonto schnell eine Rolle entziehen möchten, führen Sie den Befehl remove-iam-policy-binding aus.

Das Format dieses Befehls hängt vom Ressourcentyp ab, für den Sie den Zugriff verwalten. Sie finden das Format für Ihre Ressource in der Referenz zum Befehl remove-iam-policy-binding der Ressource in der Cloud SDK-Referenz. Diese Referenz ist nach Dienst und dann nach Ressource organisiert. Wenn Sie einem Hauptkonto beispielsweise eine Rolle auf einer Compute Engine-Instanz zuweisen möchten, verwenden Sie das in der Referenz zu gcloud compute instances remove-iam-policy-binding beschriebene Format.

Mehrere Rollen gewähren oder widerrufen

Um umfangreiche Zugriffsänderungen vorzunehmen, bei denen mehrere Rollen gewährt und widerrufen werden, verwenden Sie das Muster read-modify-write, um die IAM-Richtlinie der Ressource zu aktualisieren:

  1. Aktuelle Richtlinie durch Aufrufen von getIamPolicy() lesen.
  2. Zurückgegebene Richtlinie entweder mithilfe eines Texteditors oder programmatisch bearbeiten, um Hauptkonten oder Rollenbindungen hinzuzufügen oder zu entfernen.
  3. Aktualisierte Richtlinie durch Aufrufen von setIamPolicy() schreiben.

In diesem Abschnitt wird gezeigt, wie Sie mit dem gcloud-Tool und der REST API die Richtlinie aktualisieren. Sie können die Richtlinie auch mithilfe der Google Cloud-Clientbibliotheken aktualisieren.

Aktuelle Richtlinie abrufen

gcloud

Um die IAM-Richtlinie für die Ressource abzurufen, führen Sie den Befehl get-iam-policy für die Ressource aus.

Das Format dieses Befehls hängt vom Ressourcentyp ab, für den Sie den Zugriff verwalten. Sie finden das Format für Ihre Ressource in der Referenz zum Befehl get-iam-policy der Ressource in der Cloud SDK-Referenz. Diese Referenz ist nach Dienst und dann nach Ressource organisiert. Wenn Sie beispielsweise die IAM-Richtlinie einer Compute Engine abrufen möchten, folgen Sie dem in der Referenz zu gcloud compute instances get-iam-policy beschriebenen Format.

Fügen Sie dem Befehl optional die folgenden Argumente hinzu, um das Format anzugeben und die Ergebnisse zu exportieren:

--format=FORMAT > PATH

Geben Sie folgende Werte an:

  • FORMAT: Das gewünschte Format für die Richtlinie. Verwenden Sie json oder yaml.
  • PATH: Pfad zu einer neuen Ausgabedatei für die Richtlinie.

Wenn Sie den Befehl ausführen, wird die IAM-Richtlinie der Ressource entweder in der Konsole ausgegeben oder in die angegebene Datei exportiert.

REST

Die IAM-Richtlinie der Ressource erhalten Sie mit der Methode getIamPolicy der Ressource.

Die HTTP-Methode, die URL und der Anfragetext hängen von der Ressource ab, für die Sie sich den Zugriff ansehen möchten. Diese Details finden Sie in der API-Referenz für den Dienst, dem die Ressource gehört, in der Referenz zur Methode getIamPolicy der Ressource. Beispielsweise werden die HTTP-Methode, die URL und der Anfragetext für eine Compute Engine-Instanz in der Referenz zur getIamPolicy-Instanz angegeben.

Die Antwort für die Methode getIamPolicy einer Ressource enthält die IAM-Richtlinie der Ressource. Speichern Sie die Antwort in einer Datei des entsprechenden Typs (json oder yaml).

Richtlinie ändern

Passen Sie die lokale Kopie der Richtlinie Ihrer Ressource programmatisch mithilfe eines Texteditors so an, dass sie die Rollen widerspiegelt, die Sie bestimmten Nutzern gewähren oder entziehen möchten.

Bearbeiten Sie das Feld etag der Richtlinie nicht und entfernen Sie es nicht, um sicherzustellen, dass Sie keine anderen Richtlinienänderungen überschreiben. Das Feld etag gibt den aktuellen Richtlinienstatus an. Wenn Sie die aktualisierte Richtlinie festlegen, vergleicht IAM den etag-Wert in der Anfrage mit dem vorhandenen etag und schreibt die Richtlinie nur, wenn die Werte übereinstimmen.

Rolle zuweisen

Ändern Sie die Rollenbindungen in der Richtlinie, um Ihren Hauptkonten Rollen zuzuweisen. Informationen zu den Rollen, die Sie zuweisen können, finden Sie unter Informationen zu Rollen oder Zuweisbare Rollen für die Ressource aufrufen.

Um eine Rolle zuzuweisen, die bereits in der Richtlinie enthalten ist, fügen Sie das Hauptkonto einer vorhandenen Rollenbindung hinzu:

gcloud

Bearbeiten Sie die zurückgegebene Richtlinie, indem Sie das Hauptkonto einer vorhandenen Rollenbindung hinzufügen. Beachten Sie, dass diese Richtlinienänderung erst wirksam wird, wenn Sie die aktualisierte Richtlinie festgelegt haben.

Angenommen, die zurückgegebene Richtlinie enthält die folgende Rollenbindung, die kai@example.com die Rolle "Compute-Instanzadministrator" (roles/compute.instanceAdmin) zuweist:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com"
  ]
}

Fügen Sie raha@example.com zur vorhandenen Rollenbindung hinzu, um raha@example.com dieselbe Rolle zuzuweisen:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

REST

Bearbeiten Sie die zurückgegebene Richtlinie, indem Sie das Hauptkonto einer vorhandenen Rollenbindung hinzufügen. Beachten Sie, dass diese Richtlinienänderung erst wirksam wird, wenn Sie die aktualisierte Richtlinie festgelegt haben.

Angenommen, die zurückgegebene Richtlinie enthält die folgende Rollenbindung, die kai@example.com die Rolle "Compute-Instanzadministrator" (roles/compute.instanceAdmin) zuweist:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com"
  ]
}

Fügen Sie raha@example.com zur vorhandenen Rollenbindung hinzu, um raha@example.com dieselbe Rolle zuzuweisen:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

Fügen Sie eine neue Rollenbindung hinzu, um eine Rolle zuzuweisen, die in der Richtlinie noch nicht enthalten ist.

gcloud

Bearbeiten Sie die zurückgegebene Richtlinie, indem Sie eine neue Rollenbindung hinzufügen, die dem Hauptkonto die Rolle zuweist. Die Richtlinienänderung tritt erst in Kraft, wenn Sie die aktualisierte Richtlinie festgelegt haben.

Um beispielsweise raha@example.com die Rolle "Administrator für Compute-Load-Balancer" (roles/compute.loadBalancerAdmin) zuzuweisen, fügen Sie dem Array bindings für die Richtlinie die folgende Rollenbindung hinzu:

{
  "role": "roles/compute.loadBalancerAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

REST

Bearbeiten Sie die zurückgegebene Richtlinie, indem Sie eine neue Rollenbindung hinzufügen, die dem Hauptkonto die Rolle zuweist. Die Richtlinienänderung tritt erst in Kraft, wenn Sie die aktualisierte Richtlinie festgelegt haben.

Um beispielsweise raha@example.com die Rolle "Administrator für Compute-Load-Balancer" (roles/compute.loadBalancerAdmin) zuzuweisen, fügen Sie dem Array bindings für die Richtlinie die folgende Rollenbindung hinzu:

{
  "role": "roles/compute.loadBalancerAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

Rolle entziehen

Um eine Rolle zu entziehen, entfernen Sie das Hauptkonto aus der Rollenbindung. Wenn die Rollenbindung keine anderen Hauptkonten enthält, entfernen Sie die gesamte Rollenbindung.

gcloud

Zum Widerrufen einer Rolle bearbeiten Sie die vom Befehl get-iam-policy zurückgegebene JSON- oder YAML-Richtlinie entsprechend. Die Richtlinienänderung tritt erst in Kraft, wenn Sie die aktualisierte Richtlinie festgelegt haben.

Um eine Rolle von einem Hauptkonto zu widerrufen, löschen Sie die gewünschten Hauptkonten oder Bindungen aus dem bindings-Array für die Richtlinie.

REST

Zum Widerrufen einer Rolle bearbeiten Sie die vom Befehl get-iam-policy zurückgegebene JSON- oder YAML-Richtlinie entsprechend. Die Richtlinienänderung tritt erst in Kraft, wenn Sie die aktualisierte Richtlinie festgelegt haben.

Um eine Rolle von einem Hauptkonto zu widerrufen, löschen Sie die gewünschten Hauptkonten oder Bindungen aus dem bindings-Array für die Richtlinie.

Richtlinie festlegen

Nachdem Sie die Richtlinie geändert haben, um die gewünschten Rollen zuzuweisen und zu widerrufen, rufen Sie setIamPolicy() auf, um Aktualisierungen vorzunehmen.

gcloud

Führen Sie den Befehl set-iam-policy für die Ressource aus, um die IAM-Richtlinie für die Ressource festzulegen.

Das Format dieses Befehls hängt vom Ressourcentyp ab, für den Sie den Zugriff verwalten. Sie finden das Format für Ihre Ressource in der Referenz zum Befehl set-iam-policy der Ressource in der Cloud SDK-Referenz. Diese Referenz ist nach Dienst und dann nach Ressource organisiert. Wenn Sie beispielsweise die IAM-Richtlinie einer Compute Engine abrufen möchten, folgen Sie dem in der Referenz zu gcloud compute instances set-iam-policy beschriebenen Format.

Die Antwort für den Befehl set-iam-policy einer Ressource enthält die aktualisierte IAM-Richtlinie der Ressource.

REST

Legen Sie die IAM-Richtlinie der Ressource mit der Methode setIamPolicy der Ressource fest.

Die HTTP-Methode, die URL und der Anfragetext hängen von der Ressource ab, für die Sie sich den Zugriff ansehen möchten. Diese Details finden Sie in der API-Referenz für den Dienst, dem die Ressource gehört, in der Referenz zur Methode setIamPolicy der Ressource. Beispielsweise werden die HTTP-Methode, die URL und der Anfragetext für eine Compute Engine-Instanz in der Referenz zur setIamPolicy-Instanz angegeben.

Die Antwort für die Methode setIamPolicy einer Ressource enthält die aktualisierte IAM-Richtlinie der Ressource.

Nächste Schritte

Jetzt testen

Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

Jetzt kostenlos starten