Zugriff mit IAM steuern

Cloud Tasks nutzt Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) für die Zugriffssteuerung.

Die Zugriffskontrolle kann auf Projekt- und auf Warteschlangenebene konfiguriert werden. Sie können beispielsweise Zugriff mit eingeschränkten Funktionen gewähren, z. B. Aufgaben erstellen und zu einer Warteschlange hinzufügen, die Warteschlange jedoch nicht löschen. Oder Sie können einer Gruppe von Entwicklern Zugriff auf alle Cloud Task-Ressourcen in einem Projekt gewähren.

Eine ausführliche Beschreibung von IAM und den entsprechenden Funktionen finden Sie in der IAM-Dokumentation. Interessant ist insbesondere der Abschnitt Zugriff auf Projekte, Ordner und Organisationen verwalten.

Jede Cloud Task-Methode fordert vom Aufrufer bestimmte Berechtigungen. Unten finden Sie eine Liste der unterstützten Berechtigungen und Rollen. Die IAM-Berechtigungen für Cloud Tasks werden auch geprüft, wenn queue.yaml/xml aktualisiert wird oder die Google Cloud Console verwendet wird.

Rollen

In der folgenden Tabelle sind die Cloud Tasks-IAM-Rollen und die jeweiligen Berechtigungen der Rollen aufgeführt. Beachten Sie, dass jede Berechtigung für einen bestimmten Ressourcentyp gilt.

Cloud Tasks-Rollen
Rolle Berechtigungen

(roles/cloudtasks.admin)

Vollzugriff auf Warteschlangen und Aufgaben.

cloudtasks.*

  • cloudtasks.cmekConfig.get
  • cloudtasks.cmekConfig.update
  • cloudtasks.locations.get
  • cloudtasks.locations.list
  • cloudtasks.queues.create
  • cloudtasks.queues.delete
  • cloudtasks.queues.get
  • cloudtasks.queues.getIamPolicy
  • cloudtasks.queues.list
  • cloudtasks.queues.pause
  • cloudtasks.queues.purge
  • cloudtasks.queues.resume
  • cloudtasks.queues.setIamPolicy
  • cloudtasks.queues.update
  • cloudtasks.tasks.create
  • cloudtasks.tasks.delete
  • cloudtasks.tasks.fullView
  • cloudtasks.tasks.get
  • cloudtasks.tasks.list
  • cloudtasks.tasks.run

monitoring.timeSeries.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.enqueuer)

Kann Aufgaben erstellen.

cloudtasks.tasks.create

cloudtasks.tasks.fullView

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.queueAdmin)

Administratorzugriff auf Warteschlangen.

cloudtasks.locations.*

  • cloudtasks.locations.get
  • cloudtasks.locations.list

cloudtasks.queues.*

  • cloudtasks.queues.create
  • cloudtasks.queues.delete
  • cloudtasks.queues.get
  • cloudtasks.queues.getIamPolicy
  • cloudtasks.queues.list
  • cloudtasks.queues.pause
  • cloudtasks.queues.purge
  • cloudtasks.queues.resume
  • cloudtasks.queues.setIamPolicy
  • cloudtasks.queues.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.taskDeleter)

Kann Aufgaben löschen.

cloudtasks.tasks.delete

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.taskRunner)

Kann Aufgaben ausführen.

cloudtasks.tasks.fullView

cloudtasks.tasks.run

resourcemanager.projects.get

resourcemanager.projects.list

(roles/cloudtasks.viewer)

Kann Aufgaben, Warteschlangen und Standorte abrufen und auflisten.

cloudtasks.cmekConfig.get

cloudtasks.locations.*

  • cloudtasks.locations.get
  • cloudtasks.locations.list

cloudtasks.queues.get

cloudtasks.queues.list

cloudtasks.tasks.fullView

cloudtasks.tasks.get

cloudtasks.tasks.list

monitoring.timeSeries.list

resourcemanager.projects.get

resourcemanager.projects.list