Identity and access management (IAM)

本页介绍如何使用 Identity and Access Management (IAM) 控制 CTS 访问和权限。

概览

Google Cloud Platform 提供了 Identity and Access Management (IAM),该服务可让您为特定 Google Cloud Platform 资源指定更细化的访问权限,同时阻止对其他资源的不必要访问。本页面介绍了 Cloud Talent Solution IAM 角色和权限。如需详细了解 Google Cloud Platform IAM,请参阅 IAM 文档

CTS 提供了一组预定义角色,旨在帮助您轻松控制对 CTS 资源的访问权限。 如果预定义角色未提供您所需的权限,您还可以创建自己的自定义角色。此外,传统原初角色(Editor、Viewer 和 Owner)仍然可供您使用,但这些角色提供的控制不如 CTS 角色那样精细。具体而言,原初角色提供的是对整个 Google Cloud Platform 资源的访问权限,而不仅仅是对 CTS 的访问权限。如需了解详情,请参阅原初角色文档。

下表列出了可用于职位搜索的预定义角色。

角色 说明
Admin 仅允许用户访问 Google Cloud Platform 管理工具。
jobsEditor 允许职位搜索用户创建、修改或删除职位或公司内容。
jobsViewer 允许对职位搜索中的职位或公司内容进行只读访问。

预定义角色

CTS 提供了一组预定义角色,您可以使用这些角色为项目成员提供更精细的权限。 您授予某项目成员的角色决定了该成员可以执行的操作。 项目成员可以是个人、群组或服务帐号。

如果您拥有相关权限,可向同一项目成员授予多个角色,还可随时更改授予某项目成员的角色。

权限范围较广的角色拥有权限范围较窄的角色的所有权限。例如,jobsEditor 角色拥有 jobsViewer 角色的所有权限,还拥有 jobsEditor 角色的特有权限。

原初角色(Owner、Editor、Viewer)提供对整个 Google Cloud Platform 的权限。CTS 专有角色仅提供 CTS 权限,但以下 GCP 权限除外,因为这些是 GCP 常规使用所需的权限:

  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.services.list
  • serviceusage.services.get

下表列出了适用于 CTS 的预定义角色及其拥有的权限:

管理 CTS IAM

您可以使用 Google Cloud Platform Console、IAM API 方法或 Cloud Talent Solution API 来获取和设置 IAM 政策和角色。如需了解详情,请参阅授予、更改和撤消项目成员的访问权限

后续步骤

角色 名称 CTS 权限 说明
roles/owner Owner cloudjobdiscovery. 拥有对所有 Google Cloud Platform 资源的完整访问权限和控制权;可以管理用户访问权限并为项目设置结算信息。
roles/editor 编辑器 除以下各项外的所有 cloudjobdiscovery 权限:
cloudjobdiscovery.tools.
iam.serviceAccounts.list
拥有对所有 GCP 和 CTS 资源的读写权限,但不能修改权限和结算信息。
roles/viewer Viewer cloudjobdiscovery..get
cloudjobdiscovery.
.list
cloudjobdiscovery..search
resourcemanager.projects.get
resourcemanager.projects.list
拥有对所有 GCP 资源(包括 Cloud Talent Solution 资源)的只读权限。
roles/cloudjobdiscovery.admin Cloud Talent Solution Admin cloudjobdiscovery.tools.
iam.serviceAccounts.list
resourcemanager.projects.get
resourcemanager.projects.list
拥有 Cloud Talent Solution 自助式工具的访问权限。
roles/cloudjobdiscovery.jobsEditor Job search Editor cloudjobdiscovery.companies.
cloudjobdiscovery.events.

cloudjobdiscovery.jobs.*
resourcemanager.projects.list
resourcemanager.projects.get
拥有对所有职位搜索数据的写入权限。
roles/cloudjobdiscovery.jobsViewer Job search Viewer cloudjobdiscovery.companies.get
cloudjobdiscovery.companies.list
cloudjobdiscovery.jobs.get
cloudjobdiscovery.jobs.search
resourcemanager.projects.get
resourcemanager.projects.list
拥有对所有职位搜索资源的只读权限。