使用 IAM 控管存取權

本頁說明如何使用 Identity and Access Management (IAM) 授予及管理 Service Catalog 的存取權。

事前準備

什麼是身分與存取權管理 (IAM)?

Google Cloud 提供「身分與存取權管理」(IAM) 功能,可讓您以更精細的方式授予使用者特定 Google Cloud 資源的存取權,避免其他資源遭到未經授權者擅自存取。IAM 能讓您採用最低權限安全性原則,僅授予必要的資源存取權限給使用者。

設定身分與存取權管理政策後,即可控管「誰」(身分)具備「何種」權限,可以存取「哪些」資源。身分與存取權管理政策可將特定角色授予主體,讓對方擁有特定權限。

舉例來說,您可以將某個特定資源 (例如專案) 的 roles/compute.networkAdmin 角色指派給一個 Google 帳戶,該帳戶即可控管專案中的網路相關資源,但無法管理執行個體和磁碟這類其他的資源。

Service Catalog IAM 角色

透過身分與存取權管理功能,Service Catalog API 和 Service Catalog Producer API 中的每個 API 方法都要求提出 API 要求的身分具備使用該資源的適當權限。只要設定政策將角色授予使用者、群組或服務帳戶等實體,即可授予權限。除了基本角色「擁有者」、「編輯者」和「檢視者」外,您還可以將本頁所述的服務目錄和服務目錄製作者角色指派給主體。

下表列出 Service Catalog 使用者可用的 IAM 角色。資料表會分成不同角色。

目錄機構管理員

角色名稱 說明 具備的權限
roles/cloudprivatecatalogproducer.orgAdmin

管理 Google Cloud機構層級的服務目錄設定。建立及管理 Service Catalog 資源,例如解決方案和目錄。
  • cloudprivatecatalogproducer.settings.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

目錄管理員

角色名稱 說明 具備的權限
roles/cloudprivatecatalogproducer.admin

建立及管理 Service Catalog 資源,例如解決方案和目錄。
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

目錄管理員

角色名稱 說明 具備的權限
roles/cloudprivatecatalogproducer.manager

查看解決方案和目錄,並與 Service Catalog 使用者分享目錄。
  • cloudprivatecatalog.targets.get
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.catalogAssociations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

目錄消費者

角色名稱 說明 具備的權限
roles/cloudprivatecatalog.consumer 瀏覽目錄。觀看次數和啟動解決方案。在目標 Google Cloud 資源 (例如組織、專案或資料夾) 下運作。
  • cloudprivatecatalog.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

將使用者新增至 Service Catalog IAM 角色

使用者、Google 網路論壇或網域必須具備機構的 resourcemanager.organizations.setIamPolicy 權限,才能將使用者新增至 Service Catalog IAM 角色。您可以授予使用者或群組「機構管理員」角色 (roles/resourcemanager.organizationAdmin),將該權限授予使用者或群組。

舉例來說,如果貴機構希望已獲授 Catalog 管理員角色的使用者能從其他 Service Catalog IAM 角色新增及移除使用者和群組,機構管理員可以執行下列操作:

  • 為使用者建立 Google 網路論壇群組 (MyCompanyCatalogAdmins)。
  • 指派 Google 群組 (MyCompanyCatalogAdmins) 為「機構管理員」角色。
  • 指派 Google 群組 (MyCompanyCatalogAdmins) 為目錄管理員角色。

在這個範例中,Google 群組 (MyCompanyCatalogAdmins) 的成員可以將使用者和群組指派給機構中的 IAM 角色,因為群組在獲得機構管理員角色時已獲得 setIamPolicy 權限。當新的目錄管理員加入機構時,請將他們加入 Google 群組 (MyCompanyCatalogAdmins),授予所需角色。

如要將使用者、群組或網域新增至 Service Catalog IAM 角色,請按照下列步驟操作。

  1. 以機構組織管理員身分登入 Google Cloud 控制台的「IAM & Admin」(IAM 與管理) 頁面
    前往控制台的「IAM 與管理」頁面 Google Cloud
  2. 從側邊選單中選取「Cloud Private Catalog」
  3. 選取要指派的角色:
    • 目錄管理員
    • 目錄管理工具
    • 目錄消費者
  4. 指定要新增的使用者、群組或網域。

後續步驟