IAM-Rollen und -Berechtigungen für VMware Engine

Google Cloud VMware Engine nutzt einen speziellen Satz von IAM-Rollen (Identity and Access Management). Jede Rolle enthält eine Reihe von Berechtigungen.

Wenn Sie ein neues Mitglied in Ihr Projekt aufnehmen, können Sie diesem Mitglied mithilfe einer IAM-Richtlinie eine oder mehrere IAM-Rollen zuweisen. Jede IAM-Rolle enthält Berechtigungen, die dem Mitglied Zugriff auf VMware Engine-Ressourcen gewähren.

Zugriff auf VMware Engine verwalten

In diesem Leitfaden wird beschrieben, wie Sie den Zugriff auf VMware Engine mithilfe des Prinzips der geringsten Berechtigung verwalten, indem Sie Zugriff auf bestimmte übergeordnete Ressourcen wie ein Google Cloud-Projekt oder eine Organisation gewähren. Sie gewähren einem Projekt Zugriff, indem Sie eine IAM-Richtlinie für die Ressource festlegen. Die Richtlinie bindet ein oder mehrere Mitglieder, z. B. einen Nutzer oder ein Dienstkonto, an eine oder mehrere Rollen. Jede Rolle enthält eine Reihe von Berechtigungen, mit denen das Mitglied mit der Ressource interagieren kann.

Es gibt drei Arten von Rollen in IAM:

  • Einfache Rollen, zu denen die Rollen "Inhaber", "Bearbeiter" und "Betrachter" gehören und die es schon vor der Einführung von IAM gab.
  • Vordefinierte Rollen, die einen genau definierten Zugriff auf einen bestimmten Dienst ermöglichen und von Google Cloud verwaltet werden. Vordefinierte Rollen sollen allgemeine Anwendungsfälle und Zugriffskontrollmuster unterstützen.
  • Benutzerdefinierte Rollen, die einen genau definierten Zugriff gemäß einer vom Nutzer angegebenen Liste von Berechtigungen ermöglichen.

VMware Engine-Berechtigungen

Permission Beschreibung
vmwareengine.googleapis.com/services.view Lesezugriff auf das Portal und die Ressourcen von VMware Engine.
vmwareengine.googleapis.com/services.use Administratorzugriff auf das Portal und die Ressourcen von VMware Engine

Rollen von VMware Engine

Rolle Beschreibung
VMware Engine Service Viewer Lesezugriff auf das Portal und die Ressourcen von VMware Engine.
VMware Engine Service Admin Administratorzugriff auf das Portal und die Ressourcen von VMware Engine

Einfache Rollen für Projekte

Standardmäßig gewährt die Vergabe von Zugriff auf ein Cloudprojekt auch Zugriff auf private VMware Engine-Clouds. Jeder Nutzer mit der Rolle Owner auf Projektebene hat die Möglichkeit, jede andere Projektrolle zu gewähren, zu entziehen oder zu ändern.

Einfache Rolle Rechte
Viewer Kann die VMware Engine-Konsole, private Clouds und alle Ressourcen anzeigen. Diese Rolle enthält die Rolle VMware Engine Service Viewer
Editor

Wie bei Viewer, plus:

  • Kann alle Ressourcen erstellen, aktualisieren und löschen, einschließlich aller Netzwerkressourcen und externen IP-Adressen. Die Rolle Editor kann auch eine private Cloud erstellen und hinzufügen sowie Knoten hinzufügen oder aus einer privaten Cloud entfernen. Diese Rolle enthält die Rolle VMware Engine Service Admin.
Owner Gleich wie bei Editor

Zugriff auf VMware Engine gewähren oder widerrufen

Sie gewähren den Zugriff auf das VMware Engine-Portal mithilfe von Rollen und Rollen werden auf VMware Engine-Ressourcen auf Projektebene angewendet. Eine Rolle kann nicht auf eine einzelne private Cloud angewendet werden, wenn ein Projekt mehrere private Clouds enthält.

Zugriff gewähren

So fügen Sie ein Teammitglied in Ihr Projekt ein und weisen ihm eine VMware Engine-Rolle zu:

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    Zur IAM-Seite

  2. Klicken Sie auf Projekt auswählen, wählen Sie ein Projekt aus und klicken Sie auf Öffnen.

  3. Klicken Sie auf Hinzufügen.

  4. Geben Sie eine E-Mail-Adresse ein. Sie können Einzelpersonen, Dienstkonten oder Groups als Mitglieder hinzufügen.

  5. Wählen Sie die Rolle VMware Engine Service Viewer oder VMware Engine Service Admin für den Zugriffstyp aus, den der Nutzer oder die Gruppe benötigt. Rollen gewähren Mitgliedern bestimmte Zugriffsrechte.

    Für eine optimale Sicherheit empfehlen wir dringend, jedem Nutzer oder jeder Gruppe die geringstmögliche Anzahl an Berechtigungen zu gewähren. Mitglieder mit der Rolle Owner können alle Aspekte der VMware Engine-Ressourcen verwalten.

  6. Klicken Sie auf Speichern.

Zugriff widerrufen

So widerrufen Sie den VMware Engine-Zugriff von einem Nutzer oder einer Gruppe:

  1. Öffnen Sie in der Google Cloud Console die Seite IAM.

    Zur IAM-Seite

  2. Klicken Sie auf Projekt auswählen, wählen Sie ein Projekt aus und klicken Sie auf Öffnen.

  3. Suchen Sie den Nutzer oder die Gruppe, der Sie den Zugriff entziehen möchten, und klicken Sie auf Bearbeiten.

  4. Klicken Sie für jede Rolle, die Sie aufheben möchten, auf Löschen und dann auf Speichern.