Zugriffsteuerung

Mit Identitäts- und Zugriffsverwaltungsrollen (Identity and Access Management, IAM) wird Ihnen vorab mitgeteilt, wie Sie die Secret Manager API verwenden können. Die folgende Liste enthält alle IAM-Rollen, die für Secret Manager verfügbar sind, sowie die Funktionen, die dieser Rolle zugewiesen sind.

Rolle Titel Beschreibung Berechtigungen Niedrigste Ressource
roles/secretmanager.admin Secret Manager-Administrator Vollständiger Zugriff auf die Verwaltung von Secret Manager-Ressourcen.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.*
Secret
roles/secretmanager.secretAccessor Zugriffsperson für Secret Manager-Secret Ermöglicht den Zugriff auf die Nutzlast von Secrets.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.versions.access
Secret
roles/secretmanager.secretVersionAdder Ergänzer von Secret Manager-Secret-Versionen Kann Versionen zu bestehenden Secrets hinzufügen.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.versions.add
Secret
roles/secretmanager.secretVersionManager Verwalter von Secret Manager-Secret-Versionen Kann Versionen bestehender Secrets erstellen und verwalten.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.versions.add
  • secretmanager.versions.destroy
  • secretmanager.versions.disable
  • secretmanager.versions.enable
  • secretmanager.versions.get
  • secretmanager.versions.list
Secret
roles/secretmanager.viewer Secret Manager-Betrachter Ermöglicht die Anzeige von Metadaten aller Secret Manager-Ressourcen.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.locations.*
  • secretmanager.secrets.get
  • secretmanager.secrets.getIamPolicy
  • secretmanager.secrets.list
  • secretmanager.versions.get
  • secretmanager.versions.list
Secret

Prinzip der geringsten Berechtigung

Wenn Sie das Prinzip der geringsten Berechtigung befolgen, gewähren Sie den minimalen Zugriff auf Ressourcen, die zum Ausführen einer bestimmten Aufgabe erforderlich sind. Wenn ein Mitglied beispielsweise Zugriff auf ein einzelnes Secret benötigt, gewähren Sie diesem Mitglied keinen Zugriff auf andere Secrets oder alle Secrets im Projekt oder in der Organisation. Wenn ein Mitglied nur ein Secret lesen muss, sollten Sie ihm nicht die Möglichkeit geben, das Secret zu ändern.

Mit IAM können Sie IAM-Rollen und -Berechtigungen auf der Ebene von Google Cloud-Secret, -Projekt, -Ordner oder -Organisation zuweisen. Berechtigungen immer auf der untersten Ebene der Ressourcenhierarchie anwenden.

Die folgende Tabelle zeigt die effektiven Funktionen eines Dienstkontos auf der Ebene der Ressourcenhierarchie, in der die Secret Manager-Rolle "Access Accessor" (roles/secretmanager.secretAccessor) gewährt wird.

Ressourcenhierarchie Voraussetzung
Secret Nur auf dieses Secret zugreifen
Projekt Auf alle Secrets im Projekt zugreifen
Ordner Auf alle Secrets in allen Projekten im Ordner zugreifen
Organisation Auf alle Secrets in allen Projekten der Organisation zugreifen

Wenn ein Mitglied nur auf den Wert eines einzelnen Secrets zugreifen muss, gewähren Sie diesem Mitglied nicht die Berechtigung, auf alle Secrets zuzugreifen. Beispielsweise können Sie einem Dienstkonto für ein einzelnes Secret die Rolle "Secret Manager Secret Accessor" (roles/secretmanager.secretAccessor) zuweisen.

Wenn ein Mitglied nur ein einziges Secret verwalten muss, erhält dieses Mitglied nicht die Möglichkeit, alle Secrets zu verwalten. Beispielsweise können Sie einem Dienstkonto für ein einzelnes Secret die Rolle "Secret Admin" (roles/secretmanager.admin) zuweisen.

IAM-Bedingungen

Mit IAM Conditions können Sie für einige Google Cloud-Ressourcen die bedingte, attributbasierte Zugriffssteuerung festlegen, einschließlich Secret Manager-Ressourcen.

In Secret Manager können Sie den bedingten Zugriff anhand der folgenden Attribute erzwingen:

  • Attribut "Datum/Uhrzeit": Verwenden Sie diese Option, um den Zugriff auf Secret Manager-Ressourcen mit Ablaufdatum, geplant oder zeitlicher Dauer festzulegen. Beispielsweise können Sie einem Nutzer bis zu einem bestimmten Datum Zugriff auf ein Secret gewähren.
  • Ressourcenattribute: Verwenden Sie diese Option, um den bedingten Zugriff basierend auf einem Ressourcennamen, einem Ressourcentyp oder Ressourcendienstattributen zu konfigurieren. Im Secret Manager können Sie den bedingten Zugriff mithilfe von Attributen für Secrets und Secret-Versionen konfigurieren. Sie können beispielsweise einem Nutzer die Verwaltung von Secret-Versionen auf Secrets erlauben, die mit einem bestimmten Präfix beginnen, oder einem Nutzer nur Zugriff auf eine bestimmte Secret-Version gewähren.

Weitere Informationen zu IAM Conditions finden Sie in der Übersicht der Bedingungen.

Nächste Schritte