Zugriffssteuerung mit IAM

Auf dieser Seite wird erläutert, wie Sie mit Identity and Access Management (IAM) den Zugriff auf Service Catalog gewähren und verwalten.

Hinweis

Was ist Identity and Access Management (IAM)?

Google Cloud bietet mit Identity and Access Management (IAM) die Möglichkeit, bestimmten Google Cloud-Ressourcen detaillierte Zugriffsrechte zuzuweisen und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Mit IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.

Durch das Festlegen von IAM-Richtlinien können Sie steuern, wer (Identität) welche (Rollen) Berechtigungen für welche Ressourcen hat. IAM-Richtlinien gewähren einem Hauptkonto bestimmte Rollen und der Identität bestimmte Berechtigungen.

Für eine bestimmte Ressource, z. B. ein Projekt, können Sie einem Google-Konto die Rolle roles/compute.networkAdmin zuweisen. Dieses Konto kann netzwerkbezogene Ressourcen im Projekt steuern, aber keine anderen Ressourcen wie Instanzen und Laufwerke verwalten.

IAM-Rollen für Service Catalog

In IAM erfordert jede API-Methode in der Service Catalog API und der Service Catalog Producer API, dass die Identität, die die API-Anfrage stellt, über die entsprechenden Berechtigungen zur Verwendung der Ressource verfügt. Berechtigungen werden durch die Festlegung von Richtlinien gewährt, die wiederum einem Hauptkonto, z. B. einem Nutzer, einer Gruppe oder einem Dienstkonto, Rollen zuweisen. Neben den einfachen Rollen Inhaber, Bearbeiter und Betrachter können Sie Hauptkonten die Rollen für Service Catalog und Service Catalog Producer zuweisen.

In den folgenden Tabellen sind die IAM-Rollen aufgeführt, die für Service Catalog-Nutzer verfügbar sind. Die Tabellen sind in verschiedene Rollen aufgeteilt.

Administrator der Katalogorganisation

Rollenname Beschreibung Berechtigungen
roles/cloudprivatecatalogproducer.orgAdmin

Verwaltet die Service Catalog-Einstellungen auf Google Cloud-Organisationsebene. Erstellt und verwaltet Service Catalog-Ressourcen wie Lösungen und Kataloge.
  • cloudprivatecatalogproducer.settings.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Katalogadministrator

Rollenname Beschreibung Berechtigungen
roles/cloudprivatecatalogproducer.admin

Erstellt und verwaltet Service Catalog-Ressourcen wie Lösungen und Kataloge.
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Katalogverwaltung

Rollenname Beschreibung Berechtigungen
roles/cloudprivatecatalogproducer.manager

Ruft Lösungen und Kataloge auf und gibt Kataloge für Service Catalog-Nutzer frei.
  • cloudprivatecatalog.targets.get
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.catalogAssociations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Katalognutzer

Rollenname Beschreibung Berechtigungen
roles/cloudprivatecatalog.consumer Sucht in Katalogen. Ruft Lösungen auf und starten diese. Wird unter einer Google Cloud-Zielressource ausgeführt, z. B. einer Organisation, einem Projekt oder einem Ordner.
  • cloudprivatecatalog.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Nutzer zu IAM-Rollen für Service Catalog hinzufügen

Nutzer, Google-Gruppen oder Domains müssen die Berechtigung resourcemanager.organizations.setIamPolicy für die Organisation haben, um Nutzer den IAM-Rollen in Service Catalog hinzufügen zu können. Sie können einem Nutzer oder einer Gruppe diese Berechtigung erteilen. Dazu weisen Sie ihm die Rolle "Organisationsadministrator" zu (roles/resourcemanager.organizationAdmin).

Wenn Ihre Organisation beispielsweise Nutzern die Rolle des Katalogadministrators gewähren soll, damit sie auch Nutzer und Gruppen aus den anderen IAM-Rollen in Service Catalog hinzufügen und entfernen können, kann ein Organisationsadministrator Folgendes tun:

  • Eine Google-Gruppe für die Nutzer (MyCompanyCatalogAdmins) erstellen
  • Der Google-Gruppe (MyCompanyCatalogAdmins) die Rolle „Organisationsadministrator“ zuweisen
  • Der Google-Gruppe (MyCompanyCatalogAdmins) wird die Rolle Katalogadministrator zugewiesen.

Im Beispiel können Mitglieder der Google-Gruppe (MyCompanyCatalogAdmins) Nutzern und Gruppen IAM-Rollen in der Organisation zuweisen, da der Gruppe beim Erteilen der Rolle Organisationsadministrator die Berechtigung setIamPolicy gewährt wurde. Wenn neue Katalogadministratoren der Organisation beitreten, fügen Sie sie der Google-Gruppe (MyCompanyCatalogAdmins) hinzu, um ihnen die gewünschten Rollen zu gewähren.

So fügen Sie einen Nutzer, eine Gruppe oder eine Domain zu einer IAM-Rolle in Service Catalog hinzu:

  1. Melden Sie sich in der Google Cloud Console auf der IAM-Seite „Admin“ als Organisationsadministrator an.
    Zur Seite „Admin“ der Cloud Console &Admin
  2. Wählen Sie im seitlichen Menü die Option Cloud Private Catalog aus.
  3. Wählen Sie die Rolle aus, die Sie zuweisen möchten:
    • Katalogadministrator
    • Katalogverwaltung
    • Katalognutzer
  4. Geben Sie die Nutzer, Gruppen oder Domains an, die Sie hinzufügen möchten.

Weitere Informationen