Zugriff mit IAM steuern

Cloud Tasks nutzt Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) für die Zugriffssteuerung.

Die Zugriffskontrolle kann auf Projekt- und auf Warteschlangenebene konfiguriert werden. Sie können beispielsweise Zugriff mit eingeschränkten Funktionen gewähren, z. B. Aufgaben erstellen und zu einer Warteschlange hinzufügen, die Warteschlange jedoch nicht löschen. Oder Sie können einer Gruppe von Entwicklern Zugriff auf alle Cloud Task-Ressourcen in einem Projekt gewähren.

Eine ausführliche Beschreibung von IAM und den entsprechenden Funktionen finden Sie in der IAM-Dokumentation. Lesen Sie dazu insbesondere den Abschnitt Zugriff auf Projekte, Ordner und Organisationen verwalten.

Jede Cloud Task-Methode fordert vom Aufrufer bestimmte Berechtigungen. Unten finden Sie eine Liste der unterstützten Berechtigungen und Rollen. Die IAM-Berechtigungen für Cloud Tasks werden auch geprüft, wenn queue.yaml/xml aktualisiert oder die Google Cloud -Konsole verwendet wird.

Rollen

In der folgenden Tabelle sind die Cloud Tasks-IAM-Rollen und die jeweiligen Berechtigungen der Rollen aufgeführt. Beachten Sie, dass jede Berechtigung für einen bestimmten Ressourcentyp gilt.

Cloud Tasks-Rollen
Rolle Berechtigungen

(roles/cloudtasks.admin)

Vollzugriff auf Warteschlangen und Aufgaben.

cloudtasks.*

  • cloudtasks.cmekConfig.get
  • cloudtasks.cmekConfig.update
  • cloudtasks.locations.get
  • cloudtasks.locations.list
  • cloudtasks.queues.create
  • cloudtasks.queues.delete
  • cloudtasks.queues.get
  • cloudtasks.queues.getIamPolicy
  • cloudtasks.queues.list
  • cloudtasks.queues.pause
  • cloudtasks.queues.purge
  • cloudtasks.queues.resume
  • cloudtasks.queues.setIamPolicy
  • cloudtasks.queues.update
  • cloudtasks.tasks.create
  • cloudtasks.tasks.delete
  • cloudtasks.tasks.fullView
  • cloudtasks.tasks.get
  • cloudtasks.tasks.list
  • cloudtasks.tasks.run

monitoring.timeSeries.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.enqueuer)

Kann Aufgaben erstellen.

cloudtasks.tasks.create

cloudtasks.tasks.fullView

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.queueAdmin)

Administratorzugriff auf Warteschlangen.

cloudtasks.locations.*

  • cloudtasks.locations.get
  • cloudtasks.locations.list

cloudtasks.queues.*

  • cloudtasks.queues.create
  • cloudtasks.queues.delete
  • cloudtasks.queues.get
  • cloudtasks.queues.getIamPolicy
  • cloudtasks.queues.list
  • cloudtasks.queues.pause
  • cloudtasks.queues.purge
  • cloudtasks.queues.resume
  • cloudtasks.queues.setIamPolicy
  • cloudtasks.queues.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.serviceAgent)

Gewährt dem Cloud Tasks-Dienstkonto Zugriff zum Verwalten von Ressourcen.

iam.serviceAccounts.getAccessToken

iam.serviceAccounts.getOpenIdToken

logging.logEntries.create

(roles/cloudtasks.taskDeleter)

Kann Aufgaben löschen.

cloudtasks.tasks.delete

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.taskRunner)

Ermöglicht das Ausführen von Aufgaben.

cloudtasks.tasks.fullView

cloudtasks.tasks.run

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.viewer)

Kann Aufgaben, Warteschlangen und Standorte abrufen und auflisten.

cloudtasks.cmekConfig.get

cloudtasks.locations.*

  • cloudtasks.locations.get
  • cloudtasks.locations.list

cloudtasks.queues.get

cloudtasks.queues.list

cloudtasks.tasks.fullView

cloudtasks.tasks.get

cloudtasks.tasks.list

monitoring.timeSeries.list

resourcemanager.projects.get

resourcemanager.projects.list