Zugriffskontrolle für Ordner mit IAM

Die Google Cloud Platform bietet eine Identitäts- und Zugriffsverwaltung (Identity and Access Management – IAM), mit der Sie den Zugriff auf bestimmte Google Cloud Platform-Ressourcen noch genauer steuern können. Außerdem wird der unerwünschte Zugriff auf andere Ressourcen verhindert. Durch IAM haben Sie die Möglichkeit, das Principle of Least Privilege (Prinzip der geringsten Berechtigung) anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.

Mit IAM können Sie kontrollieren, wer (Nutzer) welchen Zugriff (Rollen) auf welche Ressourcen hat, indem Sie IAM-Richtlinien festlegen. Durch sie werden einem Nutzer bestimmte Rollen zugewiesen, mit denen wiederum gewisse Berechtigungen verknüpft sind.

Auf dieser Seite werden die auf Ordnerebene verfügbaren Rollen von Identity and Access Management (IAM) erläutert. Außerdem erfahren Sie, wie Sie IAM-Richtlinien für Ordner mit der Resource Manager API erstellen und verwalten. Eine detaillierte Beschreibung von Cloud IAM finden Sie in der IAM-Dokumentation. Lesen Sie insbesondere das Kapitel Zugriff für Projektmitglieder gewähren, ändern und aufheben.

Übersicht über die IAM-Rollen für Ordner

Um Ihnen das Konfigurieren Ihrer IAM-Rollen zu erleichtern, finden Sie in der Tabelle unten Folgendes:

  • Die aktivierbaren Aktionstypen
  • Die für diese Aktionen erforderlichen Rollen
  • Die Ressourcenebene, auf der die Rollen angewendet werden sollen
Aktionstypen Erforderliche Rollen Ressourcenebene
Ordner innerhalb der Organisation verwalten Ordneradministrator Organisation
Einen Ordner und alle darin enthaltenen Projekte und Ordner verwalten Ordneradministrator Spezieller Ordner
IAM-Richtlinien eines Ordners aufrufen und verwalten Ordner-IAM-Administrator Spezieller Ordner
Neue Ordner erstellen Ordnerersteller Übergeordnete Ressource für den Speicherort der neuen Ordner
Ordner und Projekte verschieben Ordnerverschieber Übergeordnete Ressource für den Speicherort des ursprünglichen und neuen Ordners
Projekt in einen neuen Ordner verschieben Projektbearbeiter oder Projektinhaber Übergeordnete Ressource für den Speicherort des ursprünglichen und neuen Projekts
Ordner löschen Ordnerbearbeiter oder Ordneradministrator Spezieller Ordner

Best Practices für die Verwendung von IAM-Rollen und Berechtigungen mit Ordnern

Beachten Sie beim Zuweisen von IAM-Rollen und Berechtigungen für Ordner Folgendes:

  • Verwenden Sie wenn möglich Gruppen, um Mitglieder zu verwalten.
  • Verwenden Sie möglichst wenig einfache Rollen wie Inhaber, Bearbeiter und Betrachter. Verwenden Sie stattdessen gemäß dem Prinzip der geringsten Berechtigung vordefinierte Rollen.
  • Weisen Sie für die Verwaltung des gesamten Ordners Berechtigungen auf Ordnerebene zu, die von den Projekten automatisch übernommen werden. Gewähren Sie beispielsweise der Abteilungsadministratorgruppe die Rolle Ordneradministrator für den Ordner. Sie können den Netzwerkadministratoren, die abteilungsübergreifende Berechtigungen benötigen, die Rolle Netzwerkadministrator zuweisen.
  • Erwägen Sie vor dem Verschieben einer Ressource aus einem Ordner sorgfältig, welche Berechtigungen sich ändern könnten. Andernfalls werden möglicherweise Anwendungen oder Workflows unterbrochen, die diese Berechtigungen für die jeweilige Ressource benötigen.
  • Planen und testen Sie die Ressourcenhierarchie eingehend, bevor Sie Produktionsprojekte in Ordner verschieben. Sie haben beispielsweise die Möglichkeit, vorab einen Testordner unter Ihrer Organisationsressource anzulegen und einen Prototyp der geplanten Hierarchie zu erstellen.

Grundlegendes zu Ordnerrollen und -berechtigungen

Standardrollen

Wenn Sie einen Ordner erstellen, erhalten Sie automatisch die Rollen Ordner-Admin und Ordner-Editor, damit Sie als Ersteller volle Kontrolle haben. Im Folgenden finden Sie die Berechtigungen, die diese Rollen bieten. Diese Standardrollen können wie gewohnt in einer Cloud IAM-Richtlinie geändert werden.

Rolle "Ordneradministrator"

Die Rolle Ordneradministrator besitzt alle verfügbaren Ordnerberechtigungen.

Gewährte Berechtigungen:

orgpolicy.policy.get Berechtigung, Organisationsrichtlinien für eine Ressource abzurufen
resourcemanager.folders.get Berechtigung, einen Ordner oder untergeordnete Ordner abzurufen
resourcemanager.folders.create Berechtigung, einen Ordner zu erstellen
resourcemanager.folders.list Berechtigung, Ordner unter einer Ressource aufzulisten
resourcemanager.folders.move Berechtigung, Ordner aus einer Ressource zu entfernen oder in eine Ressource zu verschieben
resourcemanager.folders.update Berechtigung, den Namen eines Ordners zu aktualisieren
resourcemanager.folders.delete Berechtigung, einen Ordner zu löschen
resourcemanager.folders.undelete Berechtigung, einen Ordner wiederherzustellen
resourcemanager.folders.getIamPolicy Berechtigung, die IAM-Richtlinie eines Ordners abzurufen
resourcemanager.folders.setIamPolicy Berechtigung, die IAM-Richtlinie eines Ordners festzulegen
resourcemanager.projects.get Berechtigung, ein Projekt abzurufen
resourcemanager.projects.list Berechtigung, Projekte unter einer Ressource aufzulisten
resourcemanager.projects.move Berechtigung, Projekte aus einer Ressource zu entfernen oder in eine Ressource zu verschieben
resourcemanager.projects.getIamPolicy Berechtigung, die IAM-Richtlinie eines Projekts abzurufen
resourcemanager.projects.setIamPolicy Berechtigung, die IAM-Richtlinie eines Projekts festzulegen

IAM-Rolle "Ordneradministrator"

Mit der IAM-Rolle Ordneradministrator können Nutzer IAM-Richtlinien für Ordner verwalten.

Gewährte Berechtigungen:

resourcemanager.folders.get Berechtigung, einen Ordner oder untergeordnete Ordner abzurufen
resourcemanager.folders.getIamPolicy Berechtigung, die IAM-Richtlinie eines Ordners abzurufen
resourcemanager.folders.setIamPolicy Berechtigung, die IAM-Richtlinie eines Ordners festzulegen

Rolle "Ordnerersteller"

Die Rolle Ordnerersteller gewährt Berechtigungen zum Durchsuchen der Hierarchie und zum Erstellen von Ordnern.

Gewährte Berechtigungen:

orgpolicy.policy.get Berechtigung, Organisationsrichtlinien für eine Ressource abzurufen
resourcemanager.folders.get Berechtigung, einen Ordner abzurufen
resourcemanager.folders.list Berechtigung, Ordner unter einer Ressource aufzulisten
resourcemanager.folders.create Berechtigung, einen Ordner zu erstellen
resourcemanager.projects.get Berechtigung, ein Projekt abzurufen
resourcemanager.projects.list Berechtigung, Projekte unter einer Ressource aufzulisten

Rolle "Ordnerbearbeiter"

Die Rolle Ordnerbearbeiter gewährt die Berechtigung, Ordner zu ändern und die IAM-Richtlinie eines Ordners anzuzeigen.

Gewährte Berechtigungen:

orgpolicy.policy.get Berechtigung, Organisationsrichtlinien für eine Ressource abzurufen
resourcemanager.folders.get Berechtigung, einen Ordner abzurufen
resourcemanager.folders.list Berechtigung, Ordner unter einer Ressource aufzulisten
resourcemanager.folders.update Berechtigung, den Namen eines Ordners zu aktualisieren
resourcemanager.folders.delete Berechtigung, einen Ordner zu löschen
resourcemanager.folders.undelete Berechtigung, einen Ordner wiederherzustellen
resourcemanager.folders.getIamPolicy Berechtigung, die für einen Ordner festgelegte IAM-Richtlinie abzurufen
resourcemanager.projects.get Berechtigung, ein Projekt abzurufen
resourcemanager.projects.list Berechtigung, Projekte unter einer Ressource aufzulisten

Rolle "Ordnerverschieber"

Die Rolle Ordnerverschieber gewährt die Berechtigung, Ordner in eine übergeordnete Organisation oder einen übergeordneten Ordner zu verschieben bzw. daraus zu verlegen.

Gewährte Berechtigungen:

resourcemanager.folders.move Berechtigung, Ordner aus einer Ressource zu entfernen oder in eine Ressource zu verschieben
resourcemanager.projects.move Berechtigung, Projekte aus einer Ressource zu entfernen oder in eine Ressource zu verschieben

Rolle "Ordnerbetrachter"

Die Rolle Ordnerbetrachter gewährt die Berechtigung, einen Ordner abzurufen und die Ordner und Projekte unter einer Ressource aufzulisten.

Gewährte Berechtigungen:

orgpolicy.policy.get Berechtigung, Organisationsrichtlinien für eine Ressource abzurufen
resourcemanager.folders.get Berechtigung, einen Ordner oder untergeordnete Ordner abzurufen
resourcemanager.folders.list Berechtigung, Ordner unter einer Ressource aufzulisten
resourcemanager.projects.get Berechtigung, ein Projekt abzurufen
resourcemanager.projects.list Berechtigung, Projekte unter einer Ressource aufzulisten

Benutzerdefinierte Rollen erstellen

Abgesehen von den vordefinierten Rollen, die in diesem Thema beschrieben werden, können Sie auch benutzerdefinierte Rollen erstellen. Dabei handelt es sich um Sammlungen von Berechtigungen, die Sie an Ihre Bedürfnisse anpassen. Beachten Sie die folgenden Punkte, wenn Sie eine benutzerdefinierte Rolle für die Verwendung mit Resource Manager erstellen:
  • List- und Get-Berechtigungen wie resourcemanager.projects.get/list sollten immer gemeinsam erteilt werden.
  • Wenn die benutzerdefinierte Rolle die Berechtigungen folders.list und folders.get enthält, sollte sie auch projects.list und projects.get enthalten.
  • Beachten Sie, dass einem Nutzer mit der Berechtigung setIamPolicy für Organisationen, Ordner und Projekte auch alle anderen Berechtigungen erteilt werden. Überlegen Sie sorgfältig, ob dies nötig ist.

Rollen zum Durchsuchen von Ordnern gewähren

Listenberechtigungen ermöglichen das Durchsuchen von Ordnern. In der Regel müssen zwei Arten von Listenberechtigungen gewährt werden: resourcemanager.folders.list gestattet es Nutzern, die Ordner unter einer Ressource aufzulisten, während resourcemanager.projects.list Nutzern erlaubt, die Projekte unter einer Organisation oder einem Ordner zu durchsuchen. Der Organisationsadministrator verfügt über beide Berechtigungen. Für Nutzer, denen die Rolle Administrator der Organisation nicht gewährt wurde, gilt Folgendes:

  • resourcemanager.folders.list kann über die Rollen Ordnerbetrachter und Ordnerbearbeiter gewährt werden.
  • resourcemanager.projects.list kann über die Rollen Betrachter und Durchsucher gewährt werden.

Damit Organisationsmitglieder die gesamte Organisationshierarchie durchsuchen können, sollten die Listenberechtigungen auf Organisationsebene gewährt werden.

Rollen zum Erstellen von Ordnern gewähren

Nutzern, die Ordner erstellen sollen, muss die Rolle Ordnerersteller für eine Ressource in der Hierarchie oberhalb der Ebene gewährt werden, auf der der Ordner erstellt werden soll. Es ist hilfreich, zusätzlich zur Berechtigung, Ordner zu erstellen, auch die zum Durchsuchen zu gewähren, damit die Nutzer zu der Stelle in der Hierarchie navigieren können, an der der Ordner angelegt wird. Weitere Informationen zu Berechtigungen zum Durchsuchen finden Sie im vorherigen Abschnitt.

Die Rolle Ordnerersteller gewährt einem Nutzer keine Berechtigung zum Löschen eines Ordners. Wenn ein Nutzer einen Ordner erstellt, wird ihm jedoch automatisch die Rolle Ordnerbearbeiter zugewiesen. Mit der Rolle Ordnerbearbeiter können Ordner gelöscht werden.

Rollen für Ordnerverschiebungen zuweisen

Damit Nutzer einen Ordner von einer übergeordneten Ressource in eine andere verschieben können, benötigen sie für die alte und neue übergeordnete Ressource oder einen gemeinsamen Ancestor die Rolle Ordnerverschieber.

Rollen für Projektverschiebungen zuweisen

Um ein Projekt in einen Ordner zu verschieben, benötigen Nutzer für das Projekt die Rolle Projektbearbeiter oder Projektinhaber und für die übergeordnete Quell- und Zielressource die Rolle Projektverschieber.

Dies unterscheidet sich geringfügig von den Anforderungen, die für das Verschieben eines externen Projekts in die Organisation gelten. In diesem Fall benötigen Nutzer für das Projekt die Rolle Projektbearbeiter oder Projektersteller und für die Organisation die Rolle Projektersteller.

Ordnerspezifische Rollen zum Erstellen von Projekten gewähren

Um Projekte erstellen zu können, müssen Nutzer über die Rolle Projektersteller verfügen. Es kann hilfreich sein, Nutzern nur das Anzeigen und Erstellen von Projekten in einem Ordner zu ermöglichen und ihnen nicht die Berechtigung zur Erstellung von Projekten in der gesamten Organisation zu gewähren.

So gewähren Sie ordnerspezifische Berechtigungen:

  1. Gewähren Sie dem Nutzer die Rolle Organisationsbetrachter auf Organisationsknotenebene (z. B. "domain.com").
  2. Erstellen Sie einen neuen Ordner.
  3. Fügen Sie den Nutzer auf Ordnerebene zur IAM hinzu und gewähren Sie ihm die Rollen Ordnerbetrachter und Projektersteller.

Auf diese Weise kann der Nutzer Projekte in seinem Ordner erstellen, ohne dass alle Projekte in der Organisation für ihn sichtbar sind.

Hat Ihnen diese Seite weitergeholfen? Teilen Sie uns Ihr Feedback mit:

Feedback geben zu...

Dokumentation zu Resource Manager