Wenn Sie Cloud Load Balancing verwenden, führen Sie API-Anfragen aus. Für jede API-Anfrage muss das IAM-Hauptkonto (Identity and Access Management), das die Anfrage stellt, die entsprechende Berechtigung zum Erstellen, Ändern oder Löschen der zugehörigen Ressourcen haben.
In IAM wird dem Endnutzer die Berechtigung für den Zugriff auf eine Google Cloud-Ressource nicht direkt gewährt. Stattdessen werden Berechtigungen in Rollen gruppiert, die dann authentifizierten Hauptkonten zugewiesen werden. Folgende Arten von Hauptkonten sind zulässig: ein Nutzer, eine Gruppe, ein Dienstkonto oder eine Google-Domain. In einer IAM-Richtlinie wird festgelegt und erzwungen, welche Rollen welchen Hauptkonten gewährt werden. Diese Richtlinie ist mit einer Ressource verknüpft.
Diese Seite bietet eine Übersicht über relevante IAM-Rollen und -Berechtigungen für Cloud Load Balancing. Eine ausführliche Beschreibung von IAM finden Sie in der IAM-Dokumentation.
Rollen und Berechtigungen
Damit sie den Beispielen in den Anleitungen für das Load Balancing folgen können, müssen Hauptkonten Instanzen, Firewallregeln und VPC-Netzwerke erstellen. Sie können die erforderlichen Berechtigungen auf eine der folgenden Arten angeben:
Gewähren Sie die vordefinierten Rollen die mit dem Load-Balancing zusammenhängen. Informationen zu den Berechtigungen der vordefinierten Rollen finden Sie in den folgenden Abschnitten:
- Rolle "Administrator für Compute-Load-Balancer"
(
roles/compute.loadBalancerAdmin
) - Rolle "Compute-Netzwerkadministrator"
(
roles/compute.networkAdmin
) - Rolle "Compute-Sicherheitsadministrator"
(
roles/compute.securityAdmin
) - Rolle "Compute-Instanzadministrator"
(
roles/compute.instanceAdmin
)
- Rolle "Administrator für Compute-Load-Balancer"
(
Erstellen und gewähren Sie benutzerdefinierte Rollen, die mindestens die in den vordefinierten Rollen enthaltenen Berechtigungen gewähren.
Verwenden Sie einfache Rollen, damit die Hauptkonten Projektinhaber oder -bearbeiter werden. Vermeiden Sie nach Möglichkeit die Verwendung einfacher Rollen. Sie gewähren eine große Anzahl von Berechtigungen, was gegen das Prinzip der geringsten Berechtigung verstößt.
Latenz der Rollenänderung
Cloud Load Balancing speichert IAM-Berechtigungen fünf Minuten im Cache. Es dauert also bis zu fünf Minuten, bis eine Rollenänderung wirksam wird.
Zugriffssteuerung für Cloud Load Balancing mit IAM verwalten
Sie können IAM-Richtlinien mithilfe der Google Cloud Console, der IAM API oder der Google Cloud CLI abrufen und festlegen. Informationen finden Sie unter Zugriff gewähren, ändern und widerrufen.
Nächste Schritte
- Mehr über IAM erfahren
- IAM-Rollen zuweisen
- Informationen zu IAM-Bedingungen für Weiterleitungsregeln
- Informationen zu Einschränkungen für Organisationsrichtlinien für Cloud Load Balancing