IAM-Rollen und -Berechtigungen für VMware Engine

Google Cloud VMware Engine nutzt einen speziellen Satz von IAM-Rollen (Identity and Access Management). Jede vordefinierte Rolle enthält eine Reihe von Berechtigungen.

Wenn Sie ein neues Mitglied in Ihr Projekt aufnehmen, können Sie diesem Mitglied mithilfe einer IAM-Richtlinie eine oder mehrere IAM-Rollen zuweisen. Jede IAM-Rolle enthält Berechtigungen, die dem Mitglied Zugriff auf VMware Engine-Ressourcen gewähren.

Zugriff auf VMware Engine verwalten

In dieser Anleitung wird beschrieben, wie Sie mit dem Prinzip der geringsten Berechtigung auf VMware Engine zugreifen und Zugriff auf bestimmte übergeordnete Ressourcen gewähren, z. B. auf ein Google Cloud-Projekt oder eine Organisation. Sie gewähren einem Projekt Zugriff, indem Sie eine IAM-Richtlinie für die Ressource festlegen. Die Richtlinie bindet ein oder mehrere Mitglieder, z. B. einen Nutzer oder ein Dienstkonto, an eine oder mehrere Rollen. Jede Rolle enthält eine Reihe von Berechtigungen, mit denen das Mitglied mit der Ressource interagieren kann.

Es gibt drei Arten von Rollen in IAM:

  • Einfache Rollen, zu denen die Rollen "Inhaber", "Bearbeiter" und "Betrachter" gehören und die es schon vor der Einführung von IAM gab.

  • Vordefinierte Rollen, die einen genau definierten Zugriff auf einen bestimmten Dienst ermöglichen und von Google Cloud verwaltet werden. Vordefinierte Rollen sollen allgemeine Anwendungsfälle und Zugriffskontrollmuster unterstützen.

  • Benutzerdefinierte Rollen, die einen genau definierten Zugriff gemäß einer vom Nutzer angegebenen Liste von Berechtigungen ermöglichen.

VMware Engine-Berechtigungen

Permission Beschreibung
vmwareengine.googleapis.com/services.view Lesezugriff auf das Portal und die Ressourcen von VMware Engine.
vmwareengine.googleapis.com/services.use Administratorzugriff auf das Portal und die Ressourcen von VMware Engine

Rollen von VMware Engine

Role Beschreibung
VMware Engine Service Viewer Lesezugriff auf das Portal und die Ressourcen von VMware Engine.
VMware Engine Service Admin Administratorzugriff auf das Portal und die Ressourcen von VMware Engine

Einfache Rollen für Projekte

Standardmäßig gewährt die Vergabe von Zugriff auf ein Cloudprojekt auch Zugriff auf private VMware Engine-Clouds. Jeder Nutzer mit der Rolle "Projektinhaber" kann jede andere Projektrolle widerrufen oder ändern.

Einfache Rolle Rechte
Viewer Kann die VMware Engine-Konsole, private Clouds und alle Ressourcen anzeigen.
Owner Wie bei Viewer, plus:
  • Kann alle Ressourcen erstellen, aktualisieren und löschen, einschließlich aller Netzwerkressourcen und externen IP-Adressen. Die Rolle Owner kann auch eine private Cloud erstellen und hinzufügen sowie Knoten hinzufügen oder aus einer privaten Cloud entfernen.
Editor Gleich wie bei Owner.

Gewähren oder Aufheben des Zugriffs auf die VMware Engine

Der Zugriff auf das VMware Engine-Portal erfolgt nach Rolle, die auf Projektebene angewendet wird. Eine Rolle kann nicht auf eine einzelne private Cloud angewendet werden, wenn ein Projekt mehrere private Clouds enthält.

Zugriff gewähren

So fügen Sie einem Projekt ein Teammitglied hinzu und weisen ihm eine VMware Engine-Rolle zu:

  1. Rufen Sie in den Google Cloud Console-Gruppen die Seite IAM auf.

    Zur IAM-Seite

  2. Klicken Sie auf Projekt auswählen, wählen Sie ein Projekt aus und klicken Sie auf Öffnen.

  3. Klicken Sie auf Hinzufügen.

  4. Geben Sie eine E-Mail-Adresse ein. Sie können Einzelpersonen, Dienstkonten oder Groups als Mitglieder hinzufügen.

  5. Wählen Sie basierend auf der Art des Zugriffs, den der Nutzer oder die Gruppe benötigt, die Rolle VMware Engine-Dienstbetrachter oder VMware-Engine-Dienstadministrator aus. Über die Rolle erhalten Mitglieder die geeignete Berechtigungsebene. Für eine optimale Sicherheit empfehlen wir dringend, jedem Nutzer oder jeder Gruppe die geringstmögliche Anzahl an Berechtigungen zu gewähren. Mitglieder mit Berechtigungen auf Inhaberebene können alle Aspekte der VMware Engine-Ressourcen verwalten.

  6. Klicken Sie auf Speichern.

Zugriff widerrufen

So entziehen Sie einem Nutzer oder einer Gruppe den Zugriff auf VMware Engine:

  1. Öffnen Sie in der Google Cloud Console die IAM-Seite.

    Zur IAM-Seite

  2. Klicken Sie auf Projekt auswählen, wählen Sie ein Projekt aus und klicken Sie auf Öffnen.

  3. Suchen Sie den Nutzer oder die Gruppe, der Sie den Zugriff entziehen möchten, und klicken Sie auf Bearbeiten.

  4. Klicken Sie für jede Rolle, die Sie aufheben möchten, auf Löschen und dann auf Speichern.

Nächste Schritte