IAM-Rollen und -Berechtigungen für VMware Engine

Google Cloud VMware Engine nutzt einen speziellen Satz von IAM-Rollen (Identity and Access Management). Jede Rolle enthält eine Reihe von Berechtigungen.

Wenn Sie ein neues Mitglied in Ihr Projekt aufnehmen, können Sie diesem Mitglied mithilfe einer IAM-Richtlinie eine oder mehrere IAM-Rollen zuweisen. Jede IAM-Rolle enthält Berechtigungen, die dem Mitglied Zugriff auf VMware Engine-Ressourcen gewähren.

Zugriff auf VMware Engine verwalten

In diesem Leitfaden wird beschrieben, wie Sie den Zugriff auf VMware Engine mithilfe des Prinzips der geringsten Berechtigung verwalten, indem Sie Zugriff auf bestimmte übergeordnete Ressourcen wie ein Google Cloud-Projekt oder eine Organisation gewähren. Sie gewähren einem Projekt Zugriff, indem Sie eine IAM-Richtlinie für die Ressource festlegen. Die Richtlinie bindet ein oder mehrere Mitglieder, z. B. einen Nutzer oder ein Dienstkonto, an eine oder mehrere Rollen. Jede Rolle enthält eine Reihe von Berechtigungen, mit denen das Mitglied mit der Ressource interagieren kann.

Es gibt drei Arten von Rollen in IAM:

  • Einfache Rollen, zu denen die Rollen "Inhaber", "Bearbeiter" und "Betrachter" gehören und die es schon vor der Einführung von IAM gab.
  • Vordefinierte Rollen, die einen genau definierten Zugriff auf einen bestimmten Dienst ermöglichen und von Google Cloud verwaltet werden. Vordefinierte Rollen sollen allgemeine Anwendungsfälle und Zugriffskontrollmuster unterstützen.
  • Benutzerdefinierte Rollen, die einen genau definierten Zugriff gemäß einer vom Nutzer angegebenen Liste von Berechtigungen ermöglichen.

VMware Engine-Berechtigungen

In der folgenden Tabelle sind die VMware Engine-Berechtigungen und -Beschreibungen aufgeführt:

Berechtigung Beschreibung
vmwareengine.googleapis.com/services.view Lesezugriff auf VMware Engine-Portal und -Ressourcen.*
vmwareengine.googleapis.com/services.use Administratorzugriff auf das Portal und die Ressourcen von VMware Engine

*Eine Rolle mit dieser Berechtigung kann auch die Anmeldedaten für vCenter und NSX-T ansehen.

Rollen von VMware Engine

In der folgenden Tabelle sind die VMware Engine-Rollen und ‐Beschreibungen aufgeführt:

Rolle Beschreibung
VMware Engine Service Viewer Lesezugriff auf VMware Engine-Portal und -Ressourcen.*
VMware Engine Service Admin Administratorzugriff auf das Portal und die Ressourcen von VMware Engine

*Eine Rolle mit dieser Berechtigung kann auch die Anmeldedaten für vCenter und NSX-T ansehen.

Einfache Rollen für Projekte

Wenn Sie Zugriff auf ein Google Cloud-Projekt gewähren, gewähren Sie standardmäßig auch Zugriff auf private VMware Engine-Clouds. Jeder Nutzer mit der Rolle Owner auf Projektebene hat die Möglichkeit, jede andere Projektrolle zu gewähren, zu entziehen oder zu ändern.

Einfache Rolle Rechte
Viewer Kann die VMware Engine-Konsole, private Clouds und alle Ressourcen anzeigen. Diese Rolle enthält die Rolle VMware Engine Service Viewer
Editor Wie bei Viewer, plus:
  • Kann alle Ressourcen erstellen, aktualisieren und löschen, einschließlich aller Netzwerkressourcen und externen IP-Adressen. Die Rolle Editor kann auch eine private Cloud erstellen und hinzufügen sowie Knoten hinzufügen oder aus einer privaten Cloud entfernen. Diese Rolle enthält die Rolle VMware Engine Service Admin.
Owner Gleich wie bei Editor

Zugriff auf VMware Engine gewähren oder widerrufen

Sie gewähren den Zugriff auf das VMware Engine-Portal mithilfe von Rollen und Rollen werden auf VMware Engine-Ressourcen auf Projektebene angewendet. Eine Rolle kann nicht auf eine einzelne private Cloud angewendet werden, wenn ein Projekt mehrere private Clouds enthält.

Zugriff gewähren

So fügen Sie einem Projekt ein Teammitglied hinzu und weisen ihm eine VMware Engine-Rolle zu:

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    Zur Seite „IAM“

  2. Klicken Sie auf Projekt auswählen, wählen Sie ein Projekt aus und klicken Sie auf Öffnen.

  3. Klicken Sie auf Hinzufügen.

  4. Geben Sie eine E-Mail-Adresse ein. Sie können Einzelpersonen, Dienstkonten oder Google Groups als Mitglieder hinzufügen.

  5. Wählen Sie je nach Art des Zugriffs, den der Nutzer oder die Gruppe benötigt, eine VMware Engine Service Viewer- oder VMware Engine Service Admin-Rolle aus. Über die Rolle erhalten Mitglieder eine bestimmte Berechtigungsebene.

    Für eine optimale Sicherheit empfehlen wir dringend, jedem Nutzer oder jeder Gruppe die geringstmögliche Anzahl an Berechtigungen zu gewähren. Mitglieder mit der Rolle Owner können alle Aspekte der VMware Engine-Ressourcen verwalten.

  6. Klicken Sie auf Speichern.

Zugriff widerrufen

So entziehen Sie einem Nutzer oder einer Gruppe den Zugriff auf VMware Engine:

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    Zur Seite „IAM“

  2. Klicken Sie auf Projekt auswählen, wählen Sie ein Projekt aus und klicken Sie auf Öffnen.

  3. Suchen Sie den Nutzer oder die Gruppe, der Sie den Zugriff entziehen möchten, und klicken Sie auf Bearbeiten.

  4. Klicken Sie für jede Rolle, die Sie aufheben möchten, auf Löschen und dann auf Speichern.