Zugriffssteuerung mit IAM

In diesem Dokument werden die Zugriffssteuerungsoptionen für Pub/Sub Lite beschrieben. Pub/Sub Lite verwendet Identity and Access Management für die Zugriffssteuerung.

Wenn Sie einem Nutzer oder einer Anwendung Zugriff auf Pub/Sub Lite-Ressourcen gewähren möchten, weisen Sie dem Nutzer oder dem von der Anwendung verwendeten Dienstkonto mindestens eine vordefinierte oder benutzerdefinierte Rolle zu. Die Rollen enthalten Berechtigungen zum Ausführen bestimmter Aktionen für Pub/Sub Lite-Ressourcen.

Vordefinierte Rollen

In der folgenden Tabelle sind die vordefinierten Rollen aufgeführt, die den Zugriff auf Pub/Sub Lite-Ressourcen ermöglichen:

Rolle Titel Beschreibung Berechtigungen
roles/pubsublite.admin Pub/Sub Lite-Administrator Vollständiger Zugriff auf Lite-Themen und Lite-Abos. pubsublite.*
roles/pubsublite.editor Pub/Sub Lite-Bearbeiter Lite-Themen und Lite-Abos bearbeiten, Nachrichten in Lite-Themen veröffentlichen und Nachrichten von Lite-Abos empfangen pubsublite.*
roles/pubsublite.publisher Pub/Sub Lite-Publisher Nachrichten zu Lite-Themen veröffentlichen.
  • pubsublite.topics.getPartitions
  • pubsublite.topics.publish
  • pubsublite.locations.openKafkaStream
    		•
    roles/pubsublite.subscriber Pub/Sub Lite-Abonnent Nachrichten von Lite-Abos erhalten.
    • pubsublite.operations.get
    • pubsublite.subscriptions.getCursor
    • pubsublite.subscriptions.seek
    • pubsublite.subscriptions.setCursor
    • pubsublite.subscriptions.subscribe
    • pubsublite.topics.computeHeadCursor
    • pubsublite.topics.computeMessageStats
    • pubsublite.topics.computeTimeCursor
    • pubsublite.topics.getPartitions
    • pubsublite.topics.subscribe
    • pubsublite.locations.openKafkaStream
    roles/pubsublite.viewer Pub/Sub Lite-Betrachter Lite-Themen und Lite-Abos ansehen.
    • pubsublite.operations.get
    • pubsublite.operations.list
    • pubsublite.subscriptions.get
    • pubsublite.subscriptions.getCursor
    • pubsublite.subscriptions.list
    • pubsublite.topics.get
    • pubsublite.topics.getPartitions
    • pubsublite.topics.list
    • pubsublite.topics.listSubscriptions

    Benutzerdefinierte Rollen

    Benutzerdefinierte Rollen können alle von Ihnen angegebenen Berechtigungen enthalten. Sie können benutzerdefinierte Rollen erstellen, die Berechtigungen zum Ausführen bestimmter Verwaltungsvorgänge enthalten, z. B. zum Aktualisieren von Lite-Themen oder zum Löschen von Lite-Abos. Informationen zum Erstellen benutzerdefinierter Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

    In der folgenden Tabelle sind Beispiele für benutzerdefinierte Rollen aufgeführt:

    Beschreibung Berechtigungen
    Lite-Reservierungen erstellen und verwalten
    • pubsublite.reservations.create
    • pubsublite.reservations.update
    • pubsublite.reservations.get
    • pubsublite.reservations.list
    • pubsublite.reservations.delete
    Lite-Themen erstellen und verwalten
    • pubsublite.topics.create
    • pubsublite.topics.update
    • pubsublite.topics.get
    • pubsublite.topics.getPartitions
    • pubsublite.topics.list
    • pubsublite.topics.listSubscriptions
    • pubsublite.topics.delete
    Lite-Abos erstellen und verwalten
    • pubsublite.subscriptions.create
    • pubsublite.topics.subscribe
    • pubsublite.subscriptions.update
    • pubsublite.subscriptions.get
    • pubsublite.subscriptions.list
    • pubsublite.subscriptions.delete
    Lite-Themen und Lite-Abos erstellen
    • pubsublite.topics.create
    • pubsublite.subscriptions.create
    • pubsublite.topics.subscribe
    Lite-Themen und Lite-Abos ändern
    • pubsublite.topics.update
    • pubsublite.subscriptions.update
    Lite-Themen und Lite-Abos löschen
    • pubsublite.topics.delete
    • pubsublite.subscriptions.delete

    Rollen zuweisen

    Sie können Rollen für den Zugriff auf Pub/Sub Lite-Ressourcen auf Projektebene zuweisen. Sie können beispielsweise einem Dienstkonto Zugriff zum Ansehen eines beliebigen Lite-Themas in einem Projekt gewähren, aber Sie können einem Dienstkonto keinen Zugriff auf ein einzelnes Lite-Thema gewähren.

    Zum Zuweisen einer Rolle für ein Projekt können Sie die Google Cloud Console oder die Google Cloud CLI verwenden.

    Console

    So weisen Sie einem Nutzer, einem Dienstkonto oder einem anderen Mitglied eine Rolle zu:

    1. Öffnen Sie in der Google Cloud Console die Seite "IAM".

    IAM aufrufen

    1. Klicken Sie auf Hinzufügen.

    2. Geben Sie die E-Mail-Adresse eines Nutzers, eines Dienstkontos oder eines anderen Mitglieds ein.

    3. Wählen Sie eine Rolle aus.

    4. Klicken Sie auf Speichern.

    gcloud

    Wenn Sie einem Nutzer, Dienstkonto oder einem anderen Mitglied eine Rolle zuweisen möchten, führen Sie den Befehl gcloud projects add-iam-policy-binding aus:

    gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=ROLE_ID

    Ersetzen Sie Folgendes:

    Sie können auch eine JSON- oder YAML-Datei mit der aktuellen IAM-Richtlinie abrufen, der Datei mehrere Rollen oder Mitglieder hinzufügen und dann die Richtlinie aktualisieren. Verwenden Sie zum Lesen und Verwalten der Richtlinie die Google Cloud CLI, die IAM API oder IAM. Weitere Informationen finden Sie unter Zugriff programmatisch steuern.

    Nächste Schritte