IAM-Rolle mithilfe der Google Cloud Console gewähren

Erfahren Sie, wie Sie mithilfe der Google Cloud Console Hauptkonten auf Projektebene IAM-Rollen zuweisen.

Im folgenden Video finden Sie eine kurze Anleitung:

Klicken Sie auf Anleitung, um eine detaillierte Anleitung für diese Aufgabe direkt in der Google Cloud Console aufzurufen.

Anleitung

Hinweis

Google Cloud-Projekt erstellen

Für diese Kurzanleitung benötigen Sie ein neues Google Cloud-Projekt.

Rufen Sie in der Google Cloud Console die Seite für die Projektauswahl auf.

Zur Projektauswahl
Klicken Sie auf Projekt erstellen, um mit der Erstellung eines Google Cloud-Projekts zu starten.
Benennen Sie Ihr Projekt. Notieren Sie sich die erstellte Projekt-ID.
Bearbeiten Sie die anderen Felder nach Bedarf.
Klicken Sie auf Erstellen, um das Projekt zu erstellen.

Prüfen, ob Sie die erforderlichen Rollen haben

Prüfen Sie, ob Sie die folgenden Rollen für das Projekt haben: Project IAM Admin

Auf Rollen prüfen

Öffnen Sie in der Google Cloud Console die Seite IAM.
IAM aufrufen
Wählen Sie das Projekt aus.
Suchen Sie in der Spalte Hauptkonto die Zeile mit Ihrer E-Mail-Adresse.

Ist Ihre E-Mail-Adresse nicht in dieser Spalte enthalten, haben Sie keine Rollen.
Prüfen Sie in der Spalte Rolle der Zeile mit Ihrer E-Mail-Adresse, ob die Liste der Rollen die erforderlichen Rollen enthält.

Rollen zuweisen

Öffnen Sie in der Google Cloud Console die Seite IAM.
IAM aufrufen
Wählen Sie das Projekt aus.
Klicken Sie auf Zugriff erlauben.
Geben Sie in das Feld Neue Hauptkonten Ihre E-Mail-Adresse ein.
Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
Wenn Sie weitere Rollen hinzufügen möchten, klicken Sie auf Weitere Rolle hinzufügen und fügen Sie weitere Rollen hinzu.
Klicken Sie auf Speichern.

APIs aktivieren

IAM and Resource Manager APIs aktivieren.

Aktivieren Sie die APIs

IAM-Rolle erteilen

Weisen Sie einem Hauptkonto die Rolle „Loganzeige“ für das Projekt zu.

Öffnen Sie in der Google Cloud Console die Seite IAM.

Seite „IAM“
Wählen Sie Ihr neues Projekt aus.
Klicken Sie auf Zugriff erlauben.
Geben Sie eine Kennung für das Hauptkonto ein. Beispiel: my-user@example.com
Suchen Sie im Drop-down-Menü Rolle auswählen nach Loganzeige und klicken Sie dann auf Loganzeige.
Klicken Sie auf Speichern.
Prüfen Sie, ob das Hauptkonto und die entsprechende Rolle auf der IAM-Seite aufgeführt sind.

Sie haben einem Hauptkonto erfolgreich eine IAM-Rolle zugewiesen.

Auswirkungen von IAM-Rollen beobachten

Prüfen Sie mit den folgenden Schritten, ob das Hauptkonto, dem Sie eine Rolle zugewiesen haben, auf die erwarteten Seiten in der Google Cloud Console zugreifen kann:

Senden Sie die folgende URL an das Hauptkonto, dem Sie die Rolle im vorherigen Schritt zugewiesen haben:
```
https://console.cloud.google.com/logs?project=PROJECT_ID
```
Diese URL leitet das Hauptkonto zur Seite Log-Explorer für Ihr Projekt weiter.
Prüfen Sie, ob das Hauptkonto die URL öffnen und ansehen kann.

Wenn das Hauptkonto versucht, eine andere Seite in der Google Cloud Console zu öffnen, auf die es keinen Zugriff hat, wird eine Fehlermeldung angezeigt.

Hauptkonto zusätzliche Rollen zuweisen

Weisen Sie dem Hauptkonto zusätzlich zur Rolle des Logbetrachters die Rolle „App Engine-Betrachter“ zu.

Öffnen Sie in der Google Cloud Console die Seite IAM.

Seite „IAM“
Suchen Sie die Zeile mit dem Hauptkonto, dem Sie eine weitere Rolle zuweisen möchten, und klicken Sie in dieser Zeile auf Hauptkonto bearbeiten .
Klicken Sie im Bereich Berechtigungen bearbeiten auf Weitere Rolle hinzufügen.
Suchen Sie im Drop-down-Menü Rolle auswählen nach App Engine-Betrachter und klicken Sie dann auf App Engine-Betrachter. Klicken Sie auf Speichern.
Klicken Sie auf Speichern.

Das Hauptkonto hat jetzt eine zweite IAM-Rolle.

IAM-Rollen entziehen

Mit den folgenden Schritten können Sie die Rollen, die Sie dem Hauptkonto in den vorherigen Schritten zugewiesen haben, widerrufen:

Suchen Sie die Zeile mit dem Hauptkonto, dem Sie Rollen zugewiesen haben, und klicken Sie in dieser Zeile auf Hauptkonto bearbeiten .
Klicken Sie im Bereich Berechtigungen bearbeiten auf das Löschen-Symbol neben den Rollen „Logbetrachter“ und „App Engine-Betrachter“.
Klicken Sie auf Speichern.

Sie haben beide Rollen für das Hauptkonto entfernt. Wenn der Nutzer versucht, die Seite Log-Explorer aufzurufen, wird die folgende Fehlermeldung angezeigt:

You don't have permissions to view logs.

Bereinigen

Mit den folgenden Schritten vermeiden Sie, dass Ihrem Google Cloud-Konto die in dieser Anleitung verwendeten Ressourcen in Rechnung gestellt werden:

Führen Sie eine Bereinigung durch, indem Sie das Projekt löschen, das Sie für diese Kurzanleitung erstellt haben.

Achtung: Das Löschen von Projekten hat folgende Auswirkungen:

Alle Inhalte des Projekts werden gelöscht. Wenn Sie für die Aufgaben in diesem Dokument ein bereits bestehendes Projekt verwendet haben und dieses löschen, werden auch alle anderen im Rahmen des Projekts erstellten Daten gelöscht.
Benutzerdefinierte Projekt-IDs gehen verloren. Beim Erstellen dieses Projekts haben Sie möglicherweise eine benutzerdefinierte Projekt-ID erstellt, die Sie weiterhin verwenden möchten. Damit die URLs, die die Projekt-ID nutzen, z. B. eine appspot.com-URL, erhalten bleiben, sollten Sie ausgewählte Ressourcen innerhalb des Projekts löschen, statt das gesamte Projekt.

Wenn Sie mehrere Architekturen, Anleitungen und Kurzanleitungen durcharbeiten möchten, können Sie die Überschreitung von Projektkontingenten verhindern, indem Sie Projekte wiederverwenden.

Wechseln Sie in der Google Cloud Console zur Seite Ressourcen verwalten.
Zur Seite „Ressourcen verwalten“
Wählen Sie in der Projektliste das Projekt aus, das Sie löschen möchten, und klicken Sie dann auf Löschen.
Geben Sie im Dialogfeld die Projekt-ID ein und klicken Sie auf Shut down (Beenden), um das Projekt zu löschen.