Zugriffssteuerung mit IAM

Mit der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) können Sie Zugriff auf bestimmte Ressourcen gewähren. Wenn Sie einem Nutzer Zugriff auf eine Ressource gewähren möchten, weisen Sie ihm eine bestimmte Rolle zu, die ihm bestimmte Berechtigungen verleiht.

Erforderliche Rollen

Für jede Workload Manager API-Methode sind die erforderlichen IAM-Berechtigungen erforderlich. Berechtigungen werden erteilt, wenn einem Nutzer, einer Gruppe oder einem Dienstkonto Rollen zugewiesen werden. Weitere Informationen zum Gewähren von Zugriff auf Ressourcen finden Sie unter Zugriff verwalten.

In der folgenden Tabelle sind die IAM-Rollen für Workload Manager und die mit diesen Rollen gewährten Berechtigungen aufgeführt.

Berechtigungen

(roles/workloadmanager.admin)

Voller Zugriff auf alle Arbeitslastmanager-Ressourcen.

compute.acceleratorTypes.list

compute.diskTypes.list

compute.machineTypes.list

compute.networks.list

compute.projects.get

compute.regions.list

compute.subnetworks.list

compute.zones.list

dns.managedZones.list

iam.serviceAccounts.list

monitoring.timeSeries.list

orgpolicy.policy.get

resourcemanager.projects.get

resourcemanager.projects.getIamPolicy

resourcemanager.projects.list

serviceusage.quotas.get

serviceusage.services.get

storage.buckets.list

storage.objects.list

workloadmanager.*

(roles/workloadmanager.deploymentAdmin)

Vollständiger Zugriff auf Bereitstellungsressourcen des Arbeitslastmanagers.

compute.acceleratorTypes.list

compute.diskTypes.list

compute.machineTypes.list

compute.networks.list

compute.projects.get

compute.regions.list

compute.subnetworks.list

compute.zones.list

dns.managedZones.list

iam.serviceAccounts.list

monitoring.timeSeries.list

resourcemanager.projects.get

resourcemanager.projects.getIamPolicy

resourcemanager.projects.list

serviceusage.quotas.get

serviceusage.services.get

storage.buckets.list

storage.objects.list

workloadmanager.actuations.*

workloadmanager.deployments.*

workloadmanager.locations.*

workloadmanager.operations.*

(roles/workloadmanager.deploymentViewer)

Lesezugriff auf Bereitstellungsressourcen des Arbeitslastmanagers.

resourcemanager.projects.get

resourcemanager.projects.list

workloadmanager.actuations.get

workloadmanager.actuations.list

workloadmanager.deployments.get

workloadmanager.deployments.list

(roles/workloadmanager.evaluationAdmin)

Vollständiger Zugriff auf Bewertungsressourcen des Arbeitslastmanagers.

orgpolicy.policy.get

resourcemanager.projects.get

resourcemanager.projects.list

workloadmanager.evaluations.*

workloadmanager.executions.*

workloadmanager.locations.*

workloadmanager.operations.*

workloadmanager.results.list

workloadmanager.rules.list

(roles/workloadmanager.evaluationViewer)

Lesezugriff auf alle Bewertungsressourcen des Arbeitslastmanagers.

orgpolicy.policy.get

resourcemanager.projects.get

resourcemanager.projects.list

workloadmanager.evaluations.get

workloadmanager.evaluations.list

workloadmanager.executions.get

workloadmanager.executions.list

workloadmanager.results.list

workloadmanager.rules.list

(roles/workloadmanager.insightWriter)

Rolle zum Schreiben von Daten in das WLM-Data-Warehouse.

workloadmanager.insights.write

(roles/workloadmanager.viewer)

Lesezugriff auf alle Arbeitslastmanager-Ressourcen.

orgpolicy.policy.get

resourcemanager.projects.get

resourcemanager.projects.list

workloadmanager.actuations.get

workloadmanager.actuations.list

workloadmanager.deployments.get

workloadmanager.deployments.list

workloadmanager.discoveredprofiles.*

workloadmanager.evaluations.get

workloadmanager.evaluations.list

workloadmanager.executions.get

workloadmanager.executions.list

workloadmanager.results.list

workloadmanager.rules.list

(roles/workloadmanager.worker)

Die Rolle, die von Ausführenden der Arbeitslastmanager-Anwendung zum Lesen und Aktualisieren von Arbeitslasten verwendet wird.

orgpolicy.policy.get

resourcemanager.projects.get

resourcemanager.projects.list

workloadmanager.actuations.*

workloadmanager.deployments.*

workloadmanager.discoveredprofiles.*

workloadmanager.evaluations.*

workloadmanager.executions.*

workloadmanager.insights.write

workloadmanager.results.list

workloadmanager.rules.list

(roles/workloadmanager.workloadViewer)

Rolle zum Ansehen der zur Arbeitslast gehörenden Daten.

resourcemanager.projects.get

resourcemanager.projects.list

workloadmanager.discoveredprofiles.*

(roles/workloadmanager.serviceAgent)

Gewährt dem Dienst-Agent des Arbeitslastmanagers Zugriff auf CAI-Exportfunktionen und Cloud Monitoring.

cloudasset.assets.exportAccessPolicy

cloudasset.assets.exportIamPolicy

cloudasset.assets.exportOSInventories

cloudasset.assets.exportOrgPolicy

cloudasset.assets.exportResource

cloudasset.assets.listAccessPolicy

cloudasset.assets.listIamPolicy

cloudasset.assets.listOSInventories

cloudasset.assets.listOrgPolicy

cloudasset.assets.listResource

cloudasset.assets.searchAllResources

config.deployments.create

config.deployments.delete

config.deployments.get

config.deployments.list

config.deployments.update

config.locations.*

  • config.locations.get
  • config.locations.list

config.operations.*

  • config.operations.cancel
  • config.operations.delete
  • config.operations.get
  • config.operations.list

config.resources.list

config.revisions.get

config.revisions.list

monitoring.metricDescriptors.get

monitoring.metricDescriptors.list

monitoring.monitoredResourceDescriptors.*

  • monitoring.monitoredResourceDescriptors.get
  • monitoring.monitoredResourceDescriptors.list

monitoring.timeSeries.list

serviceusage.services.use

workloadmanager.insights.export

workloadmanager.insights.listSapSystems

Weitere Informationen zur Workload Manager API finden Sie in der Workload Manager API-Referenz.

Nächste Schritte