Zugriff mit IAM steuern

Wenn Sie ein Google Cloud -Projekt erstellen, sind Sie der einzige Nutzer des Projekts. Andere Nutzer können standardmäßig weder auf Ihr Projekt noch auf dessen Ressourcen zugreifen. Die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) verwaltet Google Cloud Ressourcen wie Cluster. Berechtigungen werden den IAM-Hauptkonten zugewiesen.

Mit IAM können Sie Hauptkonten Rollen zuweisen. Eine Rolle ist eine Sammlung von Berechtigungen. Sie steuert den Zugriff des jeweiligen Hauptkontos auf eine oder mehrere Google Cloud Ressourcen. Sie können die folgenden Arten von Rollen verwenden:

  • Einfache Rollen bieten grobe Berechtigungen für den Inhaber, Mitbearbeiter und Betrachter.
  • Vordefinierte Rollen gewähren detailliertere Zugriffsrechte als einfache Rollen und werden für viele gängige Anwendungsfälle genutzt.
  • Benutzerdefinierte Rollen dienen zum Erstellen individueller Kombinationen von Berechtigungen.

Ein Hauptkonto kann Folgendes sein:

  • Nutzerkonto
  • Dienstkonto
  • Google Workspace-Google-Gruppe
  • Google Workspace-Domain
  • Cloud Identity-Domain

IAM-Richtlinientypen

IAM unterstützt die folgenden Richtlinientypen:

  • Richtlinien zulassen: Weisen Sie Hauptkonten Rollen zu. Weitere Informationen finden Sie unter Zulassungsrichtlinie.
  • Ablehnungsrichtlinien: Verhindern, dass Hauptkonten bestimmte IAM-Berechtigungen verwenden, unabhängig von den Rollen, die diesen Hauptkonten gewährt wurden. Weitere Informationen finden Sie unter Ablehnungsrichtlinien.

Verwenden Sie Ablehnungsrichtlinien, um bestimmte Hauptkonten daran zu hindern, bestimmte Aktionen in Ihrem Projekt, Ordner oder Ihrer Organisation auszuführen, auch wenn eine IAM-Zulassungsrichtlinie diesen Hauptkonten eine Rolle mit den entsprechenden Berechtigungen zuweist.

Vordefinierte Rollen

IAM bietet vordefinierte Rollen, um detaillierten Zugriff auf bestimmte Google Cloud -Ressourcen zu gewähren und unerwünschten Zugriff auf andere Ressourcen zu verhindern. Google Cloud erstellt und verwaltet diese Rollen und aktualisiert ihre Berechtigungen bei Bedarf automatisch, z. B. wenn Google Cloud Observability neue Funktionen hinzufügt.

Vordefinierte Rollen für Google Cloud Observability enthalten Berechtigungen für Funktionen, die mehrere Produktbereiche umfassen. Aus diesem Grund sind einige Berechtigungen wie observability.scopes.get möglicherweise in vordefinierten Rollen für diese Produktbereiche enthalten. Die Rolle „Logbetrachter“ (roles/logging.viewer) enthält beispielsweise neben vielen protokollspezifischen Berechtigungen auch die Berechtigung observability.scopes.get.

In der folgenden Tabelle sind die vordefinierten Rollen für die Google Cloud-Observability aufgeführt. Für jede Rolle werden in der Tabelle der Rollentitel, die Beschreibung, die enthaltenen Berechtigungen und der Ressourcentyp der untersten Ebene angezeigt, für den die Rollen gewährt werden können. Sie können die vordefinierten Rollen auf Google Cloud-Projektebene oder in den meisten Fällen einem übergeordneten Typ in der Ressourcenhierarchie zuweisen.

Eine Liste aller einzelnen Berechtigungen, die in einer Rolle enthalten sind, finden Sie unter Rollenmetadaten abrufen.

Role Permissions

(roles/observability.admin)

Full access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.scopes.get
  • observability.scopes.update

(roles/observability.analyticsUser)

Grants permissions to use Cloud Observability Analytics.

observability.analyticsViews.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update

observability.scopes.get

(roles/observability.editor)

Edit access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.scopes.get
  • observability.scopes.update

(roles/observability.viewer)

Read only access to Observability resources.

observability.analyticsViews.get

observability.analyticsViews.list

observability.scopes.get

Nächste Schritte