Zugriffssteuerung mit IAM

Service Usage verwendet das Identity and Access Management (IAM), um den Zugriff auf Dienste zu steuern. Auf dieser Seite werden die IAM-Rollen und -Berechtigungen für Service Usage sowie deren Verwendung zur Zugriffssteuerung erläutert.

Ressourcenmodell

Für die Dienstauslastung sind drei Ressourcen relevant:

  1. Der Dienst, den Sie verwenden.

  2. Das Projekt, von dem aus Sie den Dienst verwenden.

  3. Der Vorgang bzw. lang laufende Vorgang, der von bestimmten Methoden zurückgegeben wird.

Jede Dienstauslastungsmethode erfordert eine Berechtigung für eine oder mehrere dieser Ressourcen.

IAM-Berechtigungen

In der folgenden Tabelle werden die erforderlichen Berechtigungen für jede API-Methode der Dienstauslastung angegeben. Sie finden diese Informationen auch in der API-Referenz.

Methode Erforderliche Berechtigungen
services.batchEnable Für das Projekt: serviceusage.services.enable
Für die Dienste: servicemanagement.services.bind
services.enable Für das Projekt: serviceusage.services.enable
Für den Dienst: servicemanagement.services.bind
services.disable Für das Projekt: serviceusage.services.disable
services.get Für das Projekt: serviceusage.services.get
services.list Für das Projekt: serviceusage.services.list
services.consumerQuotaMetrics.list
services.consumerQuotaMetrics.get
services.consumerQuotaMetrics.limits.get
services.consumerQuotaMetrics.limits.consumerOverrides.list
services.consumerQuotaMetrics.limits.adminOverrides.list
services.consumerQuotaMetrics.limits.producerOverrides.list
Für das Projekt: serviceusage.quota.get
Für den Dienst: servicemanagement.services.bind
services.consumerQuotaMetrics.consumerOverrides.create
services.consumerQuotaMetrics.consumerOverrides.patch
services.consumerQuotaMetrics.consumerOverrides.delete
services.adminQuotaMetrics.adminOverrides.create
services.adminQuotaMetrics.adminOverrides.patch
services.adminQuotaMetrics.adminOverrides.delete
Für das Projekt: serviceusage.quota.update
Für den Dienst: servicemanagement.services.bind
Ein Projekt für Kontingent- und Abrechnungszwecke verwenden. Weitere Informationen finden Sie unter Systemparameter. Für das Projekt: serviceusage.services.use

IAM-Rollen

Über IAM gewähren Sie Nutzern Berechtigungen und weisen ihnen Rollen zu. In folgenden Tabellen sind die einfachen und vordefinierten IAM-Rollen sowie die Berechtigungen für Service Usage aufgeführt, die diese Rollen enthalten.

Weitere Informationen zu Rollen finden Sie hier.

Einfache Rollen

Name Titel Berechtigungen
roles/viewer Betrachter serviceusage.services.get
serviceusage.services.list
serviceusage.quotas.get

roles/editor

roles/owner

Editor

Inhaber

serviceusage.services.get
serviceusage.services.list
serviceusage.services.disable
serviceusage.services.enable
serviceusage.services.use
serviceusage.quotas.get
serviceusage.quotas.update

Vordefinierte Rollen

Role Permissions

(roles/serviceusage.apiKeysAdmin)

Ability to create, delete, update, get and list API keys for a project.

apikeys.*

  • apikeys.keys.create
  • apikeys.keys.delete
  • apikeys.keys.get
  • apikeys.keys.getKeyString
  • apikeys.keys.list
  • apikeys.keys.lookup
  • apikeys.keys.undelete
  • apikeys.keys.update

orgpolicy.policy.get

serviceusage.apiKeys.*

  • serviceusage.apiKeys.regenerate
  • serviceusage.apiKeys.revert

(roles/serviceusage.apiKeysViewer)

Ability to get and list API keys for a project.

apikeys.keys.get

apikeys.keys.getKeyString

apikeys.keys.list

apikeys.keys.lookup

(roles/serviceusage.serviceUsageAdmin)

Ability to enable, disable, and inspect service states, inspect operations, and consume quota and billing for a consumer project.

monitoring.timeSeries.list

serviceusage.quotas.*

  • serviceusage.quotas.get
  • serviceusage.quotas.update

serviceusage.services.*

  • serviceusage.services.disable
  • serviceusage.services.enable
  • serviceusage.services.get
  • serviceusage.services.list
  • serviceusage.services.use

(roles/serviceusage.serviceUsageConsumer)

Ability to inspect service states and operations, and consume quota and billing for a consumer project.

monitoring.timeSeries.list

serviceusage.quotas.get

serviceusage.services.get

serviceusage.services.list

serviceusage.services.use

(roles/serviceusage.serviceUsageViewer)

Ability to inspect service states and operations for a consumer project.

monitoring.timeSeries.list

serviceusage.quotas.get

serviceusage.services.get

serviceusage.services.list