Zugriffssteuerung mit IAM

reCAPTCHA bietet die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) mit Identity and Access Management (IAM) und Zugriffssteuerung für reCAPTCHA APIs mithilfe von VPC Service Controls.

Rollenbasierte Zugriffssteuerung mit IAM

Mit IAM gewähren Sie detaillierte Zugriffsberechtigungen auf bestimmte Ressourcen der Google Cloud und verhindern unerwünschten Zugriff auf andere Ressourcen, darunter Logs und Analysen.

In diesem Abschnitt werden die IAM-Rollen für reCAPTCHA beschrieben.

Informationen zum Zuweisen von IAM-Rollen zu einem Nutzer oder Dienstkonto finden Sie in der IAM-Dokumentation unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Rollen und Berechtigungen

In folgender Tabelle sind die erforderlichen IAM-Rollen und ihre Berechtigungen für reCAPTCHA aufgeführt:

Role Permissions

(roles/recaptchaenterprise.admin)

Access to view and modify reCAPTCHA Enterprise keys

monitoring.timeSeries.list

recaptchaenterprise.firewallpolicies.*

  • recaptchaenterprise.firewallpolicies.create
  • recaptchaenterprise.firewallpolicies.delete
  • recaptchaenterprise.firewallpolicies.get
  • recaptchaenterprise.firewallpolicies.list
  • recaptchaenterprise.firewallpolicies.update

recaptchaenterprise.keys.*

  • recaptchaenterprise.keys.create
  • recaptchaenterprise.keys.delete
  • recaptchaenterprise.keys.get
  • recaptchaenterprise.keys.list
  • recaptchaenterprise.keys.retrievelegacysecretkey
  • recaptchaenterprise.keys.update

recaptchaenterprise.metrics.get

recaptchaenterprise.projectmetadata.*

  • recaptchaenterprise.projectmetadata.get
  • recaptchaenterprise.projectmetadata.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/recaptchaenterprise.agent)

Access to create and annotate reCAPTCHA Enterprise assessments

recaptchaenterprise.assessments.*

  • recaptchaenterprise.assessments.annotate
  • recaptchaenterprise.assessments.create

recaptchaenterprise.firewallpolicies.list

recaptchaenterprise.relatedaccountgroupmemberships.list

recaptchaenterprise.relatedaccountgroups.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/recaptchaenterprise.viewer)

Access to view reCAPTCHA Enterprise keys and metrics

monitoring.timeSeries.list

recaptchaenterprise.firewallpolicies.get

recaptchaenterprise.firewallpolicies.list

recaptchaenterprise.keys.get

recaptchaenterprise.keys.list

recaptchaenterprise.metrics.get

recaptchaenterprise.projectmetadata.get

resourcemanager.projects.get

resourcemanager.projects.list

Benutzerdefinierte Rollen

Für Anwendungsfälle, darunter regulatorische Anforderungen, benötigen Sie möglicherweise benutzerdefinierte Rollen. Führen Sie die entsprechende Aktion aus, um eine benutzerdefinierte Rolle mit reCAPTCHA-Berechtigungen zu erstellen, wie in folgender Tabelle dargestellt:

Rollenbeschreibung Aktion
Rolle, die nur Berechtigungen für die reCAPTCHA Enterprise API gewährt Wählen Sie im Abschnitt API-Berechtigungen Berechtigungen aus.
Rolle, die Berechtigungen für die reCAPTCHA Enterprise API und -Konsole gewährt Wählen Sie im Abschnitt Rollen und Berechtigungen Berechtigungsgruppen aus.
Rolle, die die Erstellung und Anmerkung von Bewertungen ermöglicht Fügen Sie die Berechtigungen der Rolle roles/recaptchaenterprise.agent im Abschnitt Rollen und Berechtigungen hinzu.

Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

API-Berechtigungen

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Aufrufer zum Aufrufen der einzelnen Methoden in der reCAPTCHA Enterprise-API recaptchaenterprise.googleapis.com/v1 benötigt:

Methode (REST/RPC) Erforderliche Berechtigungen Für Ressourcentyp
[recaptchaenterprise.assessments.annotate] / [AnnotateAssessmentRequest] recaptchaenterprise.assessments.annotate Projekt
[recaptchaenterprise.assessments.create] / [CreateAssessmentRequest] recaptchaenterprise.assessments.create Projekt
[recaptchaenterprise.keys.create] / [CreateKeyRequest] recaptchaenterprise.keys.create Projekt
[recaptchaenterprise.keys.delete] / [DeleteKeyRequest] recaptchaenterprise.keys.delete Projekt
[recaptchaenterprise.keys.get] / [GetKeyRequest] recaptchaenterprise.keys.get Projekt
[recaptchaenterprise.keys.list] / [ListKeysRequest] recaptchaenterprise.keys.list Projekt
[recaptchaenterprise.keys.update] / [UpdateKeyRequest] recaptchaenterprise.keys.update Projekt

VPC Service Controls

VPC Service Controls unterstützen reCAPTCHA, um zusätzliche Zugriffssteuerung für reCAPTCHA APIs bereitzustellen. Weitere Informationen finden Sie unter Unterstützte Produkte und Einschränkungen > reCAPTCHA Enterprise.