VMware Engine 的 IAM 角色和权限

Google Cloud VMware Engine 拥有一组特定的 Identity and Access Management (IAM) 角色。每个预定义角色都包含一组权限。

当您在项目中添加新成员时,可以使用 IAM 政策为该成员授予一个或多个 IAM 角色。每个 IAM 角色都包含一些权限,这些权限可授予成员对 VMware Engine 资源的访问权限。

管理对 VMware Engine 的访问权限

本指南介绍了如何使用最小权限原则访问 VMware Engine,授予对特定父级资源(例如 Google Cloud 项目或组织)的访问权限。您可以通过在资源上设置 IAM 政策来授予对项目的访问权限。该政策会将一个或多个成员(例如一个用户或一个服务帐号)绑定到一个或多个角色。每个角色都包含一系列使成员可以与资源互动的权限。

IAM 中有三种角色:

  • 原初角色 包括在引入 IAM 之前存在的 Owner,Editor 和 Viewer 角色。

  • 预定义角色:针对特定服务提供精细访问权限,并由 Google Cloud 管理。预定义角色旨在为常见使用场景和访问权限控制模式提供支持。

  • 自定义角色:根据用户指定的权限列表提供精细访问权限。

VMware Engine 权限

权限 说明
vmwareengine.googleapis.com/services.view 对 VMware Engine 门户和资源的读取权限。
vmwareengine.googleapis.com/services.use 管理员对 VMware Engine 门户和资源的访问权限

VMware Engine 角色

角色 说明
VMware Engine Service Viewer 对 VMware Engine 门户和资源的读取权限。
VMware Engine Service Admin 管理员对 VMware Engine 门户和资源的访问权限

项目的原初角色

默认情况下,授予对云项目的访问权限也会授予对 VMware Engine 私有云的访问权限。具有项目 Owner 角色的所有用户都可以撤消或更改任何项目角色。

原初角色 技能
Viewer 可以查看 VMware Engine 控制台,私有云和所有资源。
Owner 拥有 Viewer 角色的权限以及下述权限:
  • 可以创建,更新和删除所有资源,包括所有网络资源和外部 IP 地址。Owner 角色还可以创建和添加私有云,以及从私有云添加或移除节点。
Editor Owner 相同。

授予或撤消对 VMware Engine 的访问权限

对该 VMware Engine 门户的访问权限按角色分配,该角色在项目级层应用。如果项目包含多个私有云,则无法将角色应用于单个私有云。

授予访问权限

要向项目添加团队成员并向其授予 VMware Engine 的角色,请执行以下操作:

  1. 在 Google Cloud Console Groups 中,转到 IAM 页面。

    转到 IAM 页面

  2. 点击选择项目,然后选择一个项目并点击打开

  3. 点击添加

  4. 输入电子邮件地址。您可以将个人、服务帐号或群组网添加为成员。

  5. 根据用户或群组需要的访问权限类型,选择 VMware Engine Service ViewerVMware Engine Service Admin 角色。角色可赋予成员相应级别的权限。为获得最佳安全性,我们强烈建议您为每个用户或群组授予所需的最小权限。拥有“所有者”级别权限的成员可以管理 VMware Engine 资源的所有方面。

  6. 点击保存

撤消访问权限

如需从用户或群组撤销对 VMware Engine 的访问权限,请执行以下操作:

  1. 在 Google Cloud Console 中,转到 页面。

    转到 IAM 页面

  2. 点击选择项目,然后选择一个项目并点击打开

  3. 找到要撤消其访问权限的用户或群组,然后点击修改

  4. 针对要撤消的每个角色,点击 删除,然后点击 保存

后续步骤