角色与权限

使用 Cloud Load Balancing 时，您将发出 API 请求。每个 API 请求都要求发出该请求的 Identity and Access Management (IAM) 主账号拥有适当的权限，能够创建、修改或删除关联资源。

在 IAM 中，不会直接向最终用户授予 Google Cloud 资源访问权限，而是将权限分组为多个角色，然后将这些角色授予经过身份验证的主账号。主账号可以是以下类型：用户、群组、服务账号或 Google 网域。IAM 政策定义向哪些主账号授予何种角色并强制执行，然后将该政策附加到资源。

本页面简要介绍了 Cloud Load Balancing 的相关 IAM 角色和权限。如需详细了解 IAM，请参阅 IAM 文档。

角色与权限

如需遵循负载均衡方法指南中的示例，主账号需要创建实例、防火墙规则和 VPC 网络。您可以通过以下某种方式提供必要的权限：

• 授予与负载均衡相关的预定义角色。如需查看预定义角色中包含的具体权限，请参阅以下部分：

  • Compute Load Balancer Admin 角色 (roles/compute.loadBalancerAdmin)
  • Compute Network Admin 角色 (roles/compute.networkAdmin)
  • Compute Security Admin 角色 (roles/compute.securityAdmin)
  • Compute Instance Admin 角色 (roles/compute.instanceAdmin)

• 创建并授予至少具有预定义角色中包含的权限的自定义角色。

• 使用基本角色，将主账号设为项目所有者或编辑者。请尽可能地避免使用基本角色：它们会授予多项权限，导致违反最小权限原则。

角色更改延迟时间

Cloud Load Balancing 会将 IAM 权限缓存五分钟，因此角色更改最多需要五分钟才能生效。

使用 IAM 管理 Cloud Load Balancing 的访问权限控制设置

您可以使用 Google Cloud 控制台、IAM API 或 Google Cloud CLI 来获取和设置 IAM 政策。如需了解详情，请参阅授予、更改和撤消访问权限。

后续步骤

• 详细了解 IAM。
• 授予 IAM 角色。
• 了解适用于转发规则的 IAM Conditions。
• 了解 Cloud Load Balancing 的组织政策限制条件。