使用 IAM 控制访问权限
使用集合让一切井井有条
根据您的偏好保存内容并对其进行分类。
当您创建某一 Google Cloud 项目后,您便成为该项目的唯一用户。默认情况下,其他任何用户都无权访问您的项目或其资源。Identity and Access Management (IAM) 用于管理 Google Cloud 资源,例如集群。系统可为 IAM 主账号分配权限。
IAM 可让您为主账号授予角色。角色可提供一组权限,授予给主账号后,它可控制对一个或多个 Google Cloud 资源的访问权限。您可以使用以下类型的角色:
- 基本角色:提供仅针对 Owner、Editor 和 Viewer 的粗略权限。
- 预定义角色:提供比基本角色更细化的访问权限,适用于许多常见使用场景。
- 自定义角色:用于创建一组独有的权限。
主账号可以是以下任何一种:
- 用户账号
- 服务账号
- Google Workspace Google 群组
- Google Workspace 网域
- Cloud Identity 网域
IAM 政策类型
IAM 支持以下政策类型:
- 允许政策:向主账号授予角色。如需了解详情,请参阅允许政策。
- 拒绝政策:阻止主账号使用特定的 IAM 权限,无论这些主账号被授予了哪些角色。如需了解详情,请参阅拒绝政策。
使用拒绝政策可以限制特定主账号在您的项目、文件夹或组织中执行特定操作,即使 IAM 允许政策为这些主账号授予提供相关权限的角色也是如此。
预定义角色
IAM 提供预定义角色,可授予对特定 Google Cloud 资源的精细访问权限,并防止对其他资源进行不必要的访问。 Google Cloud 会创建和维护这些角色,并根据需要自动更新其权限,例如在 Google Cloud Observability 添加新功能时。
Google Cloud Observability 的预定义角色包含对跨多个产品领域的功能的权限。因此,您可能会看到某些权限(例如 observability.scopes.get)包含在这些产品领域的预定义角色中。例如,Logs Viewer 角色 (roles/logging.viewer) 除了许多日志记录专用权限之外,还包含 observability.scopes.get 权限。
下表列出了 Google Cloud Observability 的预定义角色。对于每个角色,该表都会显示角色名称、说明、包含的权限以及可授予这些角色的最低级层资源类型。您可以在 Google Cloud 项目级别授予预定义角色,在大多数情况下,也可以在资源层次结构中的更高级别授予预定义角色。
如需获取角色中包含的所有各个权限的列表,请参阅获取角色元数据。
| Role |
Permissions |
Observability Admin
Beta
(roles/observability.admin)
Full access to Observability resources.
|
observability.*
observability.analyticsViews.createobservability.analyticsViews.deleteobservability.analyticsViews.getobservability.analyticsViews.listobservability.analyticsViews.updateobservability.scopes.getobservability.scopes.update
|
Observability Analytics User
Beta
(roles/observability.analyticsUser)
Grants permissions to use Cloud Observability Analytics.
|
observability.analyticsViews.*
observability.analyticsViews.createobservability.analyticsViews.deleteobservability.analyticsViews.getobservability.analyticsViews.listobservability.analyticsViews.update
observability.scopes.get
|
Observability Editor
Beta
(roles/observability.editor)
Edit access to Observability resources.
|
observability.*
observability.analyticsViews.createobservability.analyticsViews.deleteobservability.analyticsViews.getobservability.analyticsViews.listobservability.analyticsViews.updateobservability.scopes.getobservability.scopes.update
|
Observability Viewer
Beta
(roles/observability.viewer)
Read only access to Observability resources.
|
observability.analyticsViews.get
observability.analyticsViews.list
observability.scopes.get
|
后续步骤
如未另行说明,那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可,并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情,请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。
最后更新时间 (UTC):2025-02-06。
[[["易于理解","easyToUnderstand","thumb-up"],["解决了我的问题","solvedMyProblem","thumb-up"],["其他","otherUp","thumb-up"]],[["很难理解","hardToUnderstand","thumb-down"],["信息或示例代码不正确","incorrectInformationOrSampleCode","thumb-down"],["没有我需要的信息/示例","missingTheInformationSamplesINeed","thumb-down"],["翻译问题","translationIssue","thumb-down"],["其他","otherDown","thumb-down"]],["最后更新时间 (UTC):2025-02-06。"],[],[]]
