Einblicke in Identitäts- und Zugriffsverwaltung

Überblick

Auf dieser Seite werden die Informationen zur Identitäts- und Zugriffsverwaltung erläutert. IAM-Insights können eigenständig vorhanden oder mit IAM-Empfehlungen verknüpft sein.

Insight-Type-ID

Die IAM-Insight-Typ-ID lautet:

google.iam.policy.Insight

Sie verwenden diese ID, wenn Sie Insights mithilfe von gcloud-Befehlen oder der REST API und RPC API aufrufen und ändern.

Ort

Für Recommender-gcloud-Befehle und APIs müssen Sie einen Standort für Insight angeben, die Sie anzeigen oder ändern. Ein Standort ist eine Region, eine Zone oder ein multiregionales Gebiet. Für Informationen zur Identitäts- und Zugriffsverwaltung verwenden Sie global als Speicherort in gcloud- und API-Interaktionen.

Berechtigungen

Sie benötigen die erforderlichen Berechtigungen, um Identity and Access Management-Insights aufzurufen oder zu aktualisieren.

Erforderliche Berechtigungen

So rufen Sie Insights zur Identitäts- und Zugriffsverwaltung auf:

recommender.iamPolicyInsights.get
recommender.iamPolicyInsights.list

So ändern Sie Informationen zur Identitäts- und Zugriffsverwaltung:

recommender.iamPolicyInsights.update

Berechtigungen gewähren

Weisen Sie Rollen so zu, um die erforderlichen Berechtigungen zum Anzeigen oder Ändern von Insights zur Identitäts- und Zugriffsverwaltung zu erteilen:

Damit nur Insights und Empfehlungen angezeigt werden, müssen Sie eine der folgenden Rollen zuweisen:
- Rolle IAM Recommender-Betrachter (roles/recommender.iamViewer)
- Rolle IAM-Sicherheitsprüfer (roles/iam.securityReviewer)
Damit Sie Insights und Empfehlungen ansehen und ändern können, weisen Sie die Rolle IAM Recommender-Administrator (roles/recommender.iamAdmin) zu.

Alternativ können Sie auch die folgenden einfachen Rollen zuweisen:

Damit nur Insights angezeigt werden, müssen Sie die Rolle Betrachter (roles/viewer) zuweisen.
Damit Insights angezeigt und geändert werden können, weisen Sie die Rolle Inhaber (roles/owner) oder Bearbeiter (roles/editor) zu

Zum Ändern der IAM-Richtlinie eines Projekts ist die Berechtigung resourcemanager.projects.setIamPolicy erforderlich. Sie müssen eine Rolle mit dieser Berechtigung erteilen oder eine benutzerdefinierte Rolle erstellen, die diese Berechtigung enthält.

Insight-Untertypen

Dieser Insight-Typ unterstützt die folgenden Untertypen:

PERMISSIONS_USAGE: Enthält Informationen zur aktuellen Berechtigungsnutzung eines Nutzers.