Zugriff mithilfe von IAM verwalten

Standardmäßig können Dienste nur von Projektinhabern und -bearbeitern erstellt, aktualisiert, gelöscht oder aufgerufen werden. Außerdem sind nur Projektinhaber und Cloud Run-Administratoren zum Ändern von IAM-Richtlinien (Identity and Access Management) berechtigt, um beispielsweise einen Dienst öffentlich zu machen. Weitere Informationen erhalten Sie unter IAM-Rollen für Cloud Run.

Mit IAM können Sie anderen Mitgliedern – Nutzern oder Gruppen – Rollen zuweisen, die Berechtigungen zur Ausführung dieser Aktionen enthalten.

Zugriff auf einen einzelnen Dienst steuern

Wenn Sie den Zugriff individuell für Dienste steuern möchten, können Sie IAM pro Dienst verwenden.

Dienst öffentlich machen

Console-UI

  1. Öffnen Sie die Google Cloud Console:

    Zur Google Cloud Console

  2. Wählen Sie den zu veröffentlichenden Dienst aus.

  3. Klicken Sie oben rechts auf Infofeld ansehen, um den Tab Berechtigungen aufzurufen.

  4. Geben Sie im Feld Mitglieder hinzufügen allUsers ein.

  5. Wählen Sie im Drop-down-Menü Rolle auswählen die Rolle Cloud Run Invoker aus.

  6. Klicken Sie auf Hinzufügen.

gcloud

Sie können einen Dienst öffentlich zugänglich machen, indem Sie einem Dienst den speziellen Mitgliedertyp allUsers hinzufügen und ihm die Rolle roles/run.invoker zuweisen:

  gcloud run services add-iam-policy-binding [SERVICE_NAME] \
    --member="allUsers" \
    --role="roles/run.invoker"

Wenn Sie den Dienst mit dem Befehl gcloud run deploy bereitstellen, können Sie außerdem angeben, ob der Dienst öffentlich zugänglich sein soll:

gcloud run deploy [SERVICE_NAME] ... --allow-unauthenticated

Beim Erstellen eines neuen Dienstes werden Sie gefragt, ob Sie "nicht authentifizierten Zugriff zulassen" möchten. Wenn Sie mit "Ja" antworten, werden die oben genannten Schritte ausgeführt, um den Dienst öffentlich verfügbar zu machen. Wenn Sie dies ablehnen, bleibt der Dienst privat.

Domaineingeschränkte Freigabe

Wenn das Projekt einer Organisationsrichtlinie für die domaineingeschränkte Freigabe unterliegt, können Sie keine öffentlichen Dienste erstellen. Es wird empfohlen, alle Projekte in einem Ordner zu erstellen, der dieser Einschränkung nicht unterliegt, und die Beschränkung in vorhandenen Projekten zu entfernen.

Nutzer hinzufügen

Console-UI

  1. Öffnen Sie die Google Cloud Console:

    Zur Google Cloud Console

  2. Wählen Sie den Dienst aus, dem Sie Nutzer hinzufügen möchten.

  3. Klicken Sie oben rechts auf Infofeld ansehen, um den Tab Berechtigungen aufzurufen.

  4. Geben Sie im Feld Mitglieder hinzufügen eine oder mehrere Identitäten ein, die Zugriff auf den Dienst benötigen.

  5. Wählen Sie aus dem Drop-down-Menü Rolle auswählen eine oder mehrere Rollen aus. Die ausgewählten Rollen werden in der Ansicht mit einer kurzen Beschreibung ihrer jeweiligen Berechtigungen angezeigt.

  6. Klicken Sie auf Hinzufügen.

gcloud

Führen Sie den Befehl gcloud run services add-iam-policy-binding aus:

gcloud run services add-iam-policy-binding SERVICE_NAME \
  --member=MEMBER_TYPE \
  --role=ROLE

Dabei ist SERVICE_NAME der Dienstname, MEMBER_TYPE der Mitgliedstyp (z. B. user:email@domain.com) und ROLE die Rolle.

Eine Liste der zulässigen Werte für MEMBER_TYPE finden Sie auf der Seite für IAM-Konzepte. Eine Liste der zulässigen Werte für ROLE finden Sie unter IAM-Rollen für Cloud Run.

Nutzer entfernen

Console-UI

  1. Öffnen Sie die Google Cloud Console:

    Zur Google Cloud Console

  2. Wählen Sie den Dienst aus, aus dem Sie Nutzer entfernen möchten.

  3. Klicken Sie oben rechts auf Infofeld ansehen, um den Tab Berechtigungen aufzurufen.

  4. Suchen Sie nach dem zu entfernenden Nutzer oder erweitern Sie eine seiner Rollen.

  5. Klicken Sie auf den Papierkorb neben dem Mitgliedstyp in der Rolle, um die Rolle für das Mitglied zu löschen.

gcloud

Führen Sie den Befehl gcloud run services remove-iam-policy-binding aus:

  gcloud run services remove-iam-policy-binding SERVICE_NAME \
    --member=MEMBER_TYPE \
    --role=ROLE

Dabei ist SERVICE_NAME der Dienstname, MEMBER_TYPE der Mitgliedstyp (z. B. user:email@domain.com) und ROLE die Rolle.

Eine Liste der zulässigen Werte für MEMBER_TYPE finden Sie auf der Seite für IAM-Konzepte. Eine Liste der zulässigen Werte für ROLE finden Sie unter IAM-Rollen für Cloud Run.

Mehrere Nutzer auf einmal hinzufügen oder entfernen

Console-UI

  1. Öffnen Sie die Google Cloud Console:

    Zur Google Cloud Console

  2. Wählen Sie den Dienst aus, dem Sie Nutzer hinzufügen oder aus dem Sie Nutzer entfernen möchten.

  3. Klicken Sie oben rechts auf Infofeld ansehen, um den Tab Berechtigungen aufzurufen.

Wenn Sie Nutzer hinzufügen möchten:

  1. Geben Sie im Feld Mitglieder hinzufügen die Identitäten ein, die Zugriff auf den Dienst benötigen.

  2. Wählen Sie aus dem Drop-down-Menü Rolle auswählen eine oder mehrere Rollen aus. Die ausgewählten Rollen werden in der Ansicht mit einer kurzen Beschreibung ihrer jeweiligen Berechtigungen angezeigt.

  3. Klicken Sie auf Hinzufügen.

Wenn Sie Nutzer entfernen möchten:

  1. Suchen Sie nach dem zu entfernenden Nutzer oder erweitern Sie eine seiner Rollen.

  2. Klicken Sie auf den Papierkorb neben dem Mitgliedstyp in der Rolle, um die Rolle für das Mitglied zu löschen.

gcloud

Erstellen Sie eine IAM-Richtlinie:

cat <<EOF > policy.json
{
  "bindings": [
    {
      "role": ROLE,
      "members": [
        MEMBER_TYPE
      ]
    }
  ]
}
EOF

Führen Sie den Befehl gcloud run services set-iam-policy aus:

gcloud run services set-iam-policy SERVICE_NAME policy.json

Eine Liste der zulässigen Werte für MEMBER_TYPE finden Sie auf der Seite für IAM-Konzepte. Eine Liste der zulässigen Werte für ROLE finden Sie unter IAM-Rollen für Cloud Run.

Nutzer anzeigen

Console-UI

  1. Öffnen Sie die Google Cloud Console:

    Zur Google Cloud Console

  2. Wählen Sie den Dienst aus, dessen Nutzer und Rollen Sie ansehen möchten.

  3. Klicken Sie oben rechts auf Infofeld ansehen, um den Tab Berechtigungen aufzurufen.

  4. Alle Nutzer werden sortiert nach zugeteilten Rollen angezeigt.

gcloud

Führen Sie den Befehl gcloud run services get-iam-policy aus:

gcloud run services get-iam-policy SERVICE_NAME

Zugriff auf alle Dienste in einem Projekt steuern

Wenn Sie Mitgliedern in allen Diensten eines Projekts Rollen zuweisen möchten, können Sie IAM auf Projektebene verwenden.

Console-UI

  1. Öffnen Sie die Google Cloud Console:

    Zur Google Cloud Console

  2. Suchen Sie den Nutzer, dem Sie eine projektweite Rolle zuweisen möchten.

  3. Klicken Sie rechts neben dem Nutzer auf das Bleistiftsymbol.

  4. Klicken Sie auf Weitere Rolle hinzufügen und wählen Sie die gewünschte Rolle aus.

  5. Klicken Sie auf "Speichern".

gcloud

Führen Sie den Befehl gcloud projects add-iam-policy-binding aus:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER_TYPE \
  --role=ROLE

Dabei ist MEMBER_TYPE der Mitgliedstyp (z. B. user:email@domain.com) und ROLE die Rolle (z. B. roles/run.admin).

Tipp

Erfahren Sie, wie Sie Entwickler, Dienste und Nutzer für die soeben gespeicherten Dienste sicher authentifizieren.