Zugriffssteuerung mit IAM

reCAPTCHA Enterprise bietet die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) mit Identity and Access Management (IAM) und Zugriffssteuerung für reCAPTCHA Enterprise APIs mithilfe von VPC Service Controls.

Rollenbasierte Zugriffssteuerung mit IAM

Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) mit IAM ist ein Unterscheidungsmerkmal zwischen reCAPTCHA Enterprise und allen älteren Versionen von reCAPTCHA. Mit IAM gewähren Sie detaillierte Zugriffsberechtigungen auf bestimmte Ressourcen der Google Cloud und verhindern unerwünschten Zugriff auf andere Ressourcen, darunter Logs und Analysen.

Auf dieser Seite werden die IAM-Rollen für reCAPTCHA Enterprise beschrieben.

Informationen zum Zuweisen von IAM-Rollen zu einem Nutzer oder Dienstkonto finden Sie in der IAM-Dokumentation unter Zugriff auf Ressourcen erteilen, ändern und entziehen.

Rollen und Berechtigungen

In der folgenden Tabelle sind die erforderlichen IAM-Rollen und ihre Berechtigungen für reCAPTCHA Enterprise aufgeführt:

Rollenname Rollenbeschreibung Rollenobjekt Rollenberechtigungen

reCAPTCHA Enterprise-Agent

Rollenname	Rollenbeschreibung	Rollenobjekt	Rollenberechtigungen
reCAPTCHA Enterprise-Agent	Zugriff zum Erstellen und Annotieren von reCAPTCHA Enterprise-Bewertungen Verwenden Sie diese Rolle für Dienstkonten.	`roles/recaptchaenterprise.agent`	`recaptchaenterprise.assessments.create` `recaptchaenterprise.assessments.annotate`
reCAPTCHA Enterprise-Administrator	Zugriff zum Erstellen, Ändern und Löschen von reCAPTCHA Enterprise-Schlüsseln.	`roles/recaptchaenterprise.admin`	`recaptchaenterprise.viewer` `recaptchaenterprise.keys.create` `recaptchaenterprise.keys.delete` `recaptchaenterprise.keys.update` `recaptchaenterprise.keys.retrievelegacysecretkey`
reCAPTCHA Enterprise-Betrachter	Berechtigung zum Ansehen von reCAPTCHA Enterprise-Schlüsseln	`roles/recaptchaenterprise.viewer`	`monitoring.timeSeries.list` `recaptchaenterprise.keys.get` `recaptchaenterprise.keys.list` `recaptchaenterprise.metrics.get` `recaptchaenterprise.projectmetadata.get` `resourcemanager.projects.get` `resourcemanager.projects.list`

Zugriff zum Erstellen und Annotieren von reCAPTCHA Enterprise-Bewertungen

Verwenden Sie diese Rolle für Dienstkonten.

roles/recaptchaenterprise.agent

recaptchaenterprise.assessments.create recaptchaenterprise.assessments.annotate

reCAPTCHA Enterprise-Administrator Zugriff zum Erstellen, Ändern und Löschen von reCAPTCHA Enterprise-Schlüsseln. roles/recaptchaenterprise.admin recaptchaenterprise.viewer recaptchaenterprise.keys.create recaptchaenterprise.keys.delete recaptchaenterprise.keys.update recaptchaenterprise.keys.retrievelegacysecretkey

reCAPTCHA Enterprise-Betrachter Berechtigung zum Ansehen von reCAPTCHA Enterprise-Schlüsseln roles/recaptchaenterprise.viewer monitoring.timeSeries.list recaptchaenterprise.keys.get recaptchaenterprise.keys.list recaptchaenterprise.metrics.get recaptchaenterprise.projectmetadata.get resourcemanager.projects.get resourcemanager.projects.list

Benutzerdefinierte Rollen

Für Anwendungsfälle, darunter regulatorische Anforderungen, benötigen Sie möglicherweise benutzerdefinierte Rollen. Führen Sie die entsprechende Aktion aus, um eine benutzerdefinierte Rolle mit reCAPTCHA Enterprise-Berechtigungen zu erstellen, wie in folgender Tabelle dargestellt:

Rollenbeschreibung	Aktion
Rolle, die nur Berechtigungen für die reCAPTCHA Enterprise API gewährt	Wählen Sie im Abschnitt API-Berechtigungen Berechtigungen aus.
Rolle, die Berechtigungen für die reCAPTCHA Enterprise API und die reCAPTCHA Enterprise-Konsole gewährt	Wählen Sie im Abschnitt Rollen und Berechtigungen Berechtigungsgruppen aus.
Rolle, die das Erstellen und Annotieren von Bewertungen ermöglicht	Fügen Sie die Berechtigungen der Rolle `roles/recaptchaenterprise.agent` im Abschnitt Rollen und Berechtigungen hinzu.

Weitere Informationen zu benutzerdefinierten Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

API-Berechtigungen

In der folgenden Tabelle sind die Berechtigungen aufgeführt, die der Aufrufer zum Aufrufen der einzelnen Methoden in der reCAPTCHA Enterprise-API recaptchaenterprise.googleapis.com/v1 benötigt:

Methode (REST/RPC)	Erforderliche Berechtigungen	Für Ressourcentyp
`recaptchaenterprise.assessments.annotate / AnnotateAssessmentRequest`	`recaptchaenterprise.assessments.annotate`	Projekt
`recaptchaenterprise.assessments.create / CreateAssessmentRequest`	`recaptchaenterprise.assessments.create`	Projekt
`recaptchaenterprise.keys.create / CreateKeyRequest`	`recaptchaenterprise.keys.create`	Projekt
`recaptchaenterprise.keys.delete / DeleteKeyRequest`	`recaptchaenterprise.keys.delete`	Projekt
`recaptchaenterprise.keys.get / GetKeyRequest`	`recaptchaenterprise.keys.get`	Projekt
`recaptchaenterprise.keys.list / ListKeysRequest`	`recaptchaenterprise.keys.list`	Projekt
`recaptchaenterprise.keys.update / UpdateKeyRequest`	`recaptchaenterprise.keys.update`	Projekt

VPC Service Controls

VPC Service Controls unterstützt reCAPTCHA Enterprise und bietet so eine zusätzliche Zugriffssteuerung für reCAPTCHA Enterprise APIs. Weitere Informationen finden Sie unter Unterstützte Produkte und Einschränkungen > reCAPTCHA Enterprise.