The names for some Assured Workloads control packages have changed. For information about the name change, see Control package renaming notice.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

תפקידי IAM

בדף הזה מוסבר על התפקידים בניהול הזהויות והרשאות הגישה (IAM) שבהם אפשר להשתמש כדי להגדיר Assured Workloads. תפקידים מגבילים את היכולת של חשבון משתמש לגשת למשאבים. צריך להעניק לחשבון משתמש רק את ההרשאות שהוא צריך כדי ליצור אינטראקציה עם ממשקי API, תכונות או משאבים רלוונטיים של Google Cloud .

כדי ליצור תיקיית Assured Workloads, צריך להקצות לכם אחד מהתפקידים שמפורטים בהמשך עם היכולת הזו, וגם תפקיד בקרת גישה בחשבון לחיוב ב-Cloud. בנוסף, צריך להיות לכם חשבון לחיוב פעיל ותקין. למידע נוסף, ראו סקירה כללית על בקרת הגישה לחיוב ב-Cloud.

התפקידים הנדרשים

אלה התפקידים המינימליים שנדרשים ב-Assured Workloads. במאמר הענקה, שינוי וביטול גישה למשאבים מוסבר איך נותנים לחשבונות משתמשים תפקידים, משנים אותם או מבטלים את הגישה אליהם.

מנהל מערכת של Assured Workloads‏ (roles/assuredworkloads.admin): לצורך יצירה ומחיקה של תיקיות Assured Workloads.
צפייה בארגון ב-מנהל המשאבים‏ (roles/resourcemanager.organizationViewer): גישה לצפייה בכל המשאבים ששייכים לארגון.

תפקידים ב-Assured Workloads

בהמשך מפורטים תפקידי ה-IAM שמשויכים ל-Assured Workloads, ומוסבר איך להקצות את התפקידים האלה באמצעות Google Cloud CLI. במאמר הענקה, שינוי וביטול גישה למשאבים בחומרי העזר של IAM מוסבר איך נותנים את התפקידים האלה במסוףGoogle Cloud או באופן פרוגרמטי.

מחליפים את ה-placeholder‏ ORGANIZATION_ID במזהה הארגון האמיתי ואת example@customer.org בכתובת האימייל של המשתמש. כדי לאחזר את מספר הארגון, אפשר לעיין במאמר בנושא אחזור מספר הארגון.

`roles/assuredworkloads.admin`

לצורך יצירה ומחיקה של תיקיות Assured Workloads. מאפשרת גישת קריאה וכתיבה.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

מאפשר גישת קריאה וכתיבה.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

לקבלת רשימה של תיקיות Assured Workloads. מאפשר גישת קריאה בלבד.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

תפקידים בהתאמה אישית

אם אתם רוצים להגדיר תפקידים משלכם שכוללים חבילות של הרשאות שאתם בוחרים, אתם יכולים להשתמש בתפקידים בהתאמה אישית.

שיטות מומלצות לשימוש ב-IAM ב-Assured Workloads

אחת Google Cloud השיטות המומלצות לאבטחה היא להקפיד על הרשאות מינימליות כשמקצים תפקידי IAM. העיקרון הזה מבוסס על הכלל שלפיו למשתמשים צריכה להיות גישה רק למוצרים, לשירותים ולאפליקציות שנדרשים לתפקיד שלהם. בשלב הזה, משתמשים לא מוגבלים משימוש בשירותים שלא נכללים בהיקף של פרויקטים של Assured Workloads, כשפורסים מוצרים ושירותים מחוץ לתיקייה של Assured Workloads.

הרשימה של מוצרים בהיקף לפי חבילת בקרה עוזרת לאדמינים של אבטחה ליצור תפקידים בהתאמה אישית שמגבילים את הגישה של המשתמשים רק למוצרים בהיקף בתיקייה 'Assured Workloads'. תפקידים בהתאמה אישית יכולים לעזור לכם לקבל ולשמור על תאימות בתיקייה של Assured Workloads.