通过向主账号(例如用户、群组或服务账号)分配 Identity and Access Management (IAM) 角色,配置哪些人可以访问您的 App Hub 应用。应用包含在应用管理边界(即项目或项目文件夹)内,并由管理项目进行管理。
您可以通过以下两种方式向管理项目中的主账号授予这些权限:
如需了解建议的角色,请参阅向用户授予以应用为中心的角色。
授予对所有应用的访问权限
如需向应用管理边界内的所有应用授予访问权限,请在管理项目中向主账号分配 IAM 角色:
控制台
在 Google Cloud 控制台中,使用项目选择器选择您的管理项目。
前往 IAM 页面。
点击 授予访问权限。
输入将有权访问边界内所有应用的主账号的标识符。例如
user@example.com。在选择角色下拉菜单中,搜索要分配的角色,然后点击该角色。
点击保存。
验证主账号及对应的角色在 IAM 页面中列出。
gcloud
添加政策绑定:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=USER_EMAIL \ --role=ROLE替换以下内容:
PROJECT_ID:管理项目的 ID。USER_EMAIL:将有权访问边界内所有应用的用户所用的电子邮件地址,例如user@example.com。ROLE:您要向用户提供的角色,例如roles/apphub.editor。
授予对个别应用的访问权限
如需向应用管理边界内的各个应用授予访问权限,请向应用中的主账号分配 IAM 角色:
设置 IAM 政策:
gcloud apphub applications set-iam-policy APPLICATION_NAME \ --project=PROJECT_ID \ --location=LOCATION \ POLICY_FILE替换以下内容:
APPLICATION_NAME:应用的名称。 名称只能包含不含空格的小写字母数字字符,例如my-application。PROJECT_ID:管理项目的 ID。LOCATION:应用的位置。POLICY_FILE:向用户授予相应角色的政策文件的名称,例如my-policy.yaml。
以下政策文件示例向用户 user@example.com 授予 roles/apphub.editor 角色:
# policyfile.yaml
bindings:
- role: roles/apphub.editor
members:
- user:user@example.com