使用 Cloud Load Balancing 时,您将发出 API 请求。每个 API 请求都要求发出该请求的 Identity and Access Management (IAM) 主账号拥有适当的权限,能够创建、修改或删除关联资源。
在 IAM 中,不会直接向最终用户授予 Google Cloud 资源访问权限,而是将权限分组为多个角色,然后将这些角色授予经过身份验证的主账号。主账号可以是以下类型:用户、群组、服务账号或 Google 网域。IAM 政策定义向哪些主账号授予何种角色并强制执行,然后将该政策附加到资源。
本页面简要介绍了 Cloud Load Balancing 的相关 IAM 角色和权限。如需详细了解 IAM,请参阅 IAM 文档。
角色与权限
如需遵循负载均衡方法指南中的示例,主账号需要创建实例、防火墙规则和 VPC 网络。您可以通过以下某种方式提供必要的权限:
授予与负载均衡相关的预定义角色。如需查看预定义角色中包含的具体权限,请参阅以下部分:
- Compute Load Balancer Admin 角色 (
roles/compute.loadBalancerAdmin) - Compute Network Admin 角色 (
roles/compute.networkAdmin) - Compute Security Admin 角色 (
roles/compute.securityAdmin) - Compute Instance Admin 角色 (
roles/compute.instanceAdmin)
- Compute Load Balancer Admin 角色 (
使用基本角色,将主账号设为项目所有者或编辑者。请尽可能地避免使用基本角色:它们会授予多项权限,导致违反最小权限原则。
角色更改延迟时间
Cloud Load Balancing 会将 IAM 权限缓存五分钟,因此角色更改最多需要五分钟才能生效。
使用 IAM 管理 Cloud Load Balancing 的访问权限控制设置
您可以使用 Google Cloud Console、IAM API 或 Google Cloud CLI 来获取和设置 IAM 政策。如需了解详情,请参阅授予、更改和撤消访问权限。
后续步骤
- 详细了解 IAM。
- 授予 IAM 角色。
- 了解适用于转发规则的 IAM Conditions。
- 了解 Cloud Load Balancing 的组织政策限制条件。