访问权限控制机制

本页面介绍如何控制对工作流资源的访问权限。

概览

工作流使用 Identity and Access Management (IAM) 进行访问权限控制。

如需详细了解 IAM 及其功能,请参阅 IAM 概览页面。如需详细了解如何使用 IAM 进行访问权限控制,请参阅授予、更改和撤消对资源的访问权限

每种工作流方法都要求调用者拥有必要的权限。如需查看工作流支持的权限和角色列表,请参阅角色部分。

工作流权限

此表介绍了工作流中可用的权限。

权限 定义
workflows.workflows.create 创建和部署新工作流。
workflows.workflows.delete 删除现有工作流。
workflows.workflows.list 列出项目中的工作流。
workflows.workflows.get 获取工作流的设置,包括源代码、标签和说明。
workflows.workflows.update 更新工作流的设置,包括其源代码、标签和说明。
workflows.workflows.getIamPolicy 获取工作流的 IAM 政策。
workflows.workflows.setIamPolicy 设置工作流的 IAM 政策。
workflows.locations.list 列出提供该服务的位置。
workflows.locations.get 获取工作流的位置。
workflows.executions.get 获取工作流执行操作的最新状态。
workflows.executions.create 触发工作流执行。
workflows.executions.list 列出工作流的执行操作。
workflows.executions.cancel 取消工作流执行操作,但不删除跟踪记录。
workflows.operations.list 获取长时间运行的操作的列表。
workflows.operations.get 获取长时间运行的操作的详细信息。

角色

下表列出了工作流预定义的 IAM 角色以及每个角色包含的所有权限的列表。

可用角色可满足大多数典型的使用场景。如果可用角色无法满足您的使用场景,您可以创建 IAM 自定义角色

角色 权限 说明
roles/workflows.viewer workflows.workflows.list
workflows.workflows.get
workflows.locations.list
workflows.locations.get
workflows.operations.get
workflows.operations.list
workflows.executions.get
workflows.executions.list
workflows.workflows.getIamPolicy		 查看工作流(包括源代码)而无需任何写入权限。
roles/workflows.editor workflows.workflows.create
workflows.workflows.delete
workflows.workflows.list
workflows.workflows.get
workflows.workflows.update
workflows.locations.list
workflows.locations.get
workflows.executions.create
workflows.executions.get
workflows.executions.list
workflows.executions.cancel
workflows.executions.delete
workflows.operations.get
workflows.operations.list
workflows.operations.cancel
workflows.workflows.getIamPolicy		 创建和更新工作流定义,包括更改源代码。
roles/workflows.invoker workflows.executions.create
workflows.executions.cancel
workflows.executions.get
workflows.executions.list
workflows.operations.get
workflows.operations.list
workflows.operations.cancel		 触发工作流执行并在日志中查看结果。
roles/workflows.admin workflows.* 管理项目中的所有工作流。可以创建新工作流并设置 IAM 政策。适用于项目管理员。

后续步骤