Cloud Deployment Manager will reach end of support on March 31, 2026.
If you currently use Deployment Manager, please migrate to Infrastructure Manager or an alternative deployment technology by
March 31, 2026 to ensure your services continue without interruption.

For more information on the deprecation and shutdown, see Deployment Manager deprecation.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

הגדרת בקרת גישה בהגדרה

כדי לשלוט בגישה למשאבים ב- Google Cloud, משתמשים בניהול זהויות והרשאות גישה (IAM). באמצעות IAM אתם מגדירים הרשאות שמפרטות למי יש איזה סוג של גישה למשאבים בפרויקט. למבוא ל-IAM, ראו סקירה כללית על IAM.

כשפורסים משאבים, אפשר גם לקבוע למי יש גישה למשאבים האלה על ידי הגדרה מראש של מדיניות IAM בהגדרה. לדוגמה, אם אתם מתכננים ליצור נושאים ב-Pub/Sub שמשתמשים ספציפיים יכולים לנהל, אתם יכולים לציין מדיניות IAM בהגדרה שלכם כדי להעביר את המידע הזה ל-Deployment Manager. כשיוצרים או מעדכנים פריסה, Deployment Manager קורא ל-IAM API כדי להגדיר את ההרשאות המתאימות במשאב.

לפני שמתחילים

אם רוצים להשתמש בדוגמאות לשורת הפקודה במדריך הזה, צריך להתקין את כלי שורת הפקודה`gcloud`.
כדי להשתמש בדוגמאות ל-API במדריך הזה, צריך להגדיר גישה ל-API.

שימוש במדיניות IAM ב-Deployment Manager

מדיניות IAM היא אוסף של משתמשים והתפקידים שלהם. מגדירים מדיניות IAM ברמת הפרויקט באמצעות תפקידים בסיסיים או מוגדרים מראש. בחלק מהשירותים, כמו Cloud Pub/Sub, אפשר גם להגדיר מדיניות IAM ברמת המשאב.

אם שירות לא תומך בהגדרת מדיניות IAM ברמת המשאב, Deployment Manager מחזיר שגיאת NO_METHOD_TO_UPDATE_ACCESS_CONTROL.

רשימת התפקידים והמשאבים שאפשר להחיל אותם עליהם מופיעה במאמר הסבר על התפקידים.

הענקת הרשאה ל-Deployment Manager להגדיר מדיניות IAM

‫Deployment Manager משתמש בחשבון השירות ב-Google APIs כדי לקרוא לממשקי API אחרים של Google ולנהל משאבי Google Cloud בשמכם. אתם צריכים להקצות לחשבון השירות של Google APIs בפרויקט את התפקיד הבסיסי roles/owner כדי שהוא יוכל להחיל את מדיניות ה-IAM שאתם מגדירים בהגדרות.

עוברים לדף IAM במסוף Google Cloud של הפרויקט.
כניסה לדף IAM
אם מתבקשים, בוחרים את הפרויקט מהרשימה.
מחפשים את חשבון השירות של Google APIs, עם כתובת אימייל בפורמט הבא:
```
[PROJECT_NUMBER]@cloudservices.gserviceaccount.com
```
הערה: בכתובת האימייל הזו צריך לציין את מספר הפרויקט ולא את מזהה הפרויקט. איך מזהים פרויקטים
מקצים לחשבון השירות של ממשקי ה-API את התפקידים roles/owner:
המסוף
1. במסוף Google Cloud , מרחיבים את התפריט הנפתח תפקידים של חשבון השירות של Google APIs ובוחרים באפשרות פרויקט > בעלים.
2. לוחצים על Save כדי לשמור את השינויים.
gcloud
בעזרת Google Cloud CLI, מוסיפים קשר למדיניות IAM של הפרויקט:
gcloud projects add-iam-policy-binding [PROJECT_ID] \ --member serviceAccount:[SERVICE_ACCOUNT_EMAIL] --role roles/owner
where:
- ‫[PROJECT_ID] הוא מזהה הפרויקט.
- ‫[SERVICE_ACCOUNT_EMAIL] היא כתובת האימייל של חשבון השירות.
לדוגמה:
gcloud projects add-iam-policy-binding database-images \ --member serviceAccount:123456789012@cloudservices.gserviceaccount.com \ --role roles/owner
API
ב-API, שולחים בקשת POST לכתובת ה-URL הבאה, כאשר [PROJECT_ID] הוא מזהה הפרויקט:
POST https://cloudresourcemanager.googleapis.com/v1/projects/$[PROJECT_ID]:setIamPolicy
גוף הבקשה צריך להכיל את רשימת ההתאמות שרוצים להחיל על הפרויקט הזה. התפקיד roles/owner צריך להיות חלק מהקישור. לדוגמה:
{ "policy": { "version": "0", "bindings": [ { "role": "roles/owner", "members": [ "user:example@gmail.com", "serviceAccount:123456789012@cloudservices.gserviceaccount.com" ] } ] } }

הגדרת מדיניות IAM בהגדרות

בשלב הבא, בהגדרה או בתבנית, אפשר להגדיר מדיניות IAM לפי ההוראות הבאות:

מוסיפים את הקטע accessControl להגדרות ברמה העליונה של כל משאב שרוצים להחיל עליו מדיניות של בקרת גישה.
מציינים את gcpIamPolicy הרצוי למשאב. כל מדיניות IAM יכולה להכיל רשימה של קישורים. כל קישור מגדיר קשר בין רשימה של חברים לתפקיד.

הערה: אם משתמשים בקטע accessControl כדי להקצות תפקידים לחשבונות, כולל חשבונות שירות, מומלץ להשתמש ב-Deployment Manager כדי לנהל את התפקידים של החשבון הזה. אם משנים את התפקידים בחשבון מחוץ ל-Deployment Manager ואז מעדכנים את הפריסה המקורית, התפקידים מהגדרת הפריסה יחולו על החשבון.

אם אתם משתמשים ב-accessControl כדי לנהל חשבונות שירות, כאן אפשר לקרוא מידע נוסף על ניהול חשבונות שירות.

לדוגמה, בקטע accessControl הבא נוספים קישורים שמעניקים את התפקידים האלה למשתמשים:

משתמש	תפקיד
`alice@example.com`	`roles/pubsub.editor`
`my-other-app@appspot.gserviceaccount.com` `jane@example.com`	`roles/pubsub.publisher`

resources:
- name: a-new-pubsub-topic
  type: pubsub.v1.topic
  properties:
    ...

  accessControl:
    gcpIamPolicy:
      bindings:
      - role: roles/pubsub.editor
        members:
        - "user:alice@example.com"
      - role: roles/pubsub.publisher
        members:
        - "user:jane@example.com"
        - "serviceAccount:my-other-app@appspot.gserviceaccount.com"

למידע נוסף על מדיניות IAM, קראו את המסמכים בנושא IAM.