身份和访问权限管理 (IAM)

本页介绍如何使用 Identity and Access Management (IAM) 控制 CTS 访问和权限。

概览

Google Cloud Platform 提供了 Identity and Access Management (IAM)，借助此服务，您可以授予对特定 Google Cloud Platform 资源的更精细的访问权限，并防止对其他资源进行不必要的访问。本页面介绍了 Cloud Talent Solution IAM 角色和权限。如需详细了解 Google Cloud Platform IAM，请参阅 IAM 文档。

CTS 提供了一组预定义角色，旨在帮助您轻松控制对 CTS 资源的访问权限。如果预定义角色未提供您所需的权限，您还可以创建自己的自定义角色。此外，基本角色（Editor、Viewer 和 Owner）仍可供您使用，但这些角色提供的控制不如 CTS 角色那样精细。具体而言，基本角色提供的是对整个 Google Cloud Platform 资源的访问权限，而不仅仅是对 CTS 的访问权限。如需了解详情，请参阅基本角色文档。

下表列出了可用于职位搜索的预定义角色。

角色	说明
Admin	仅允许用户访问 Google Cloud Platform 管理工具。
jobsEditor	允许职位搜索用户创建、修改或删除职位或公司内容。
jobsViewer	允许对职位搜索中的职位或公司内容进行只读访问。

预定义角色

CTS 提供了预定义角色，可供您用来为主账号授予更精细的权限。您授予主账号的角色决定了该主账号可以执行的操作。主账号可以是个人、群组或服务账号。

如果您拥有相关权限，可向同一主账号授予多个角色，还可随时更改授予某主账号的角色。

权限范围较广的角色拥有权限范围较窄的角色的所有权限。例如，jobsEditor 角色拥有 jobsViewer 角色的所有权限，还拥有 jobsEditor 角色的特有权限。

基本角色（Owner、Editor、Viewer）提供对整个 Google Cloud Platform 的权限。CTS 专有角色仅提供 CTS 权限，但以下 GCP 权限除外，因为这些是 GCP 常规使用所需的权限：

resourcemanager.projects.get
resourcemanager.projects.list
serviceusage.services.list
serviceusage.services.get

下表列出了适用于 CTS 的预定义角色及其拥有的权限：

角色	名称	CTS 权限	说明
`roles/owner`	Owner	`cloudjobdiscovery.*`	拥有对所有 Google Cloud Platform 资源的完整访问权限和控制权；可以管理用户访问权限并为项目设置结算信息。
`roles/editor`	Editor	除以下各项外的所有 `cloudjobdiscovery` 权限： `cloudjobdiscovery.tools.*` `iam.serviceAccounts.list`	拥有对所有 GCP 和 CTS 资源的读写权限，但不能修改权限和结算信息。
`roles/viewer`	Viewer	`cloudjobdiscovery..get` `cloudjobdiscovery..list` `cloudjobdiscovery.*.search` `resourcemanager.projects.get` `resourcemanager.projects.list`	拥有对所有 GCP 资源（包括 Cloud Talent Solution 资源）的只读权限。
`roles/cloudjobdiscovery.admin`	Cloud Talent Solution Admin	`cloudjobdiscovery.tools.*` `iam.serviceAccounts.list` `resourcemanager.projects.get` `resourcemanager.projects.list`	拥有 Cloud Talent Solution 自助式工具的访问权限。
`roles/cloudjobdiscovery.jobsEditor`	Job search Editor	`cloudjobdiscovery.companies.` `cloudjobdiscovery.events.` `cloudjobdiscovery.jobs.*` `resourcemanager.projects.list` `resourcemanager.projects.get`	拥有对所有职位搜索数据的写入权限。
`roles/cloudjobdiscovery.jobsViewer`	Job search Viewer	`cloudjobdiscovery.companies.get` `cloudjobdiscovery.companies.list` `cloudjobdiscovery.jobs.get` `cloudjobdiscovery.jobs.search` `resourcemanager.projects.get` `resourcemanager.projects.list`	拥有对所有职位搜索资源的只读权限。

管理 CTS IAM

您可以使用 Google Cloud Platform Console、IAM API 方法或 Cloud Talent Solution API 来获取和设置 IAM 政策和角色。如需了解详情，请参阅授予、更改和撤消访问权限。

后续步骤

了解如何授予和撤消访问权限。
详细了解 IAM。
详细了解基本角色。
详细了解自定义角色。