本文档介绍 Pub/Sub Lite 的访问权限控制选项。Pub/Sub Lite 使用 Identity and Access Management 进行访问权限控制。
要向用户或应用授予 Pub/Sub Lite 资源的访问权限,请向应用使用的用户或服务账号授予至少一个预定义或自定义角色。这些角色包括对 Pub/Sub Lite 资源执行特定操作的权限。
预定义角色
下表列出了可让您访问 Pub/Sub Lite 资源的预定义角色:
角色 | 名称 | 说明 | 权限 | |
---|---|---|---|---|
roles/ |
Pub/Sub Lite Admin | 拥有精简版主题和精简版订阅的完全访问权限。 |
pubsublite.*
|
|
roles/ |
Pub/Sub Lite Editor | 修改精简版主题和精简版订阅,向精简版主题发布消息,以及接收来自精简版订阅的消息。 |
pubsublite.*
|
|
roles/ |
Pub/Sub Lite Publisher | 向精简版主题发布消息。 |
pubsublite.topics.getPartitions pubsublite.topics.publish pubsublite.locations.openKafkaStream |
|
roles/ |
Pub/Sub Lite Subscriber | 从精简版订阅接收消息。 |
|
|
roles/ |
Pub/Sub Lite Viewer | 查看精简版主题和精简版订阅。 |
|
自定义角色
自定义角色可以包含您指定的任何权限。您可以创建包含执行特定管理操作权限的自定义角色,例如更新精简版主题或删除精简版订阅。为了创建自定义 请参阅创建和管理自定义角色 角色。
下表列出了自定义角色示例:
说明 | 权限 |
---|---|
创建和管理精简版预留。 |
|
创建和管理精简版主题。 |
|
创建和管理精简版订阅。 |
|
创建精简版主题和精简版订阅。 |
|
修改精简版主题和精简版订阅。 |
|
删除精简版主题和精简版订阅。 |
|
授予角色
您可以授予角色在项目级层访问 Pub/Sub Lite 资源的权限。例如,您可以授予服务账号查看任何精简版主题的权限 但不能向服务账号授予查看单个精简版主题的权限。
要针对某个项目授予角色,您可以使用 Google Cloud 控制台或 Google Cloud CLI
控制台
如需向用户、服务账号或其他成员授予角色,请按以下步骤操作:
- 在 Google Cloud 控制台中,前往 IAM 页面。
点击添加。
输入用户、服务账号或其他成员的电子邮件地址。
选择角色。
点击保存。
gcloud
如需向用户、服务账号或其他成员授予角色,请运行 gcloud projects
add-iam-policy-binding
命令:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=MEMBER \ --role=ROLE_ID
替换以下内容:
您还可以获取当前 IAM 政策的 JSON 或 YAML 文件,向该文件添加多个角色或成员,然后更新该政策。如需读取和管理政策,请使用 Google Cloud CLI、IAM API 或 IAM。有关详情,请参阅控制访问权限 以编程方式。
后续步骤
- 获取 IAM 概览。
- 参阅 Pub/Sub Lite 的身份验证方法 支持。
- 详细了解如何管理对 资源。