Diese Seite wurde von der Cloud Translation API übersetzt.

Benutzerdefinierte Rolle erstellen

Auf dieser Seite wird beschrieben, wie Sie benutzerdefinierte Rollen in Google Distributed Cloud (GDC) mit Air Gap erstellen und verwalten. Mit benutzerdefinierten Rollen können Sie den Zugriff über die in vordefinierten Rollen verfügbaren Standardberechtigungssätze hinaus verwalten und Berechtigungen entsprechend Ihren spezifischen Anforderungen konfigurieren.

Benutzerdefinierte Rollen folgen dem Prinzip der geringsten Berechtigung und sind nützlich, um den geringsten Zugriff zu gewähren, der für sensible Aufgaben erforderlich ist. So werden Sicherheitsrisiken minimiert und Interessenkonflikte vermieden.

Wenn Sie eine benutzerdefinierte Rolle erstellen, haben Sie folgende Möglichkeiten:

Zugriffsbereich definieren: Sie können Berechtigungen für Ihre gesamte Organisation, für alle Projekte oder nur für bestimmte Projekte anwenden.
Detaillierten Zugriff anpassen: Wählen Sie eine oder mehrere Berechtigungen aus, die bereits über vordefinierte Rollen verfügbar sind, um den Zugriff auf bestimmte Aufgaben oder Verantwortlichkeiten anzupassen.

Diese Seite richtet sich an Nutzer in der Gruppe der Plattformadministratoren, z. B. IT-Administratoren oder Sicherheitsexperten, die den Zugriff auf Organisationsressourcen sicher verwalten möchten. Weitere Informationen finden Sie unter Zielgruppen für die GDC-Dokumentation für Air-Gap-Umgebungen.

Weitere Informationen zu Rollen finden Sie unter Beschreibungen vordefinierter Rollen und Rollendefinitionen.

Hinweise

Der Zugriff auf benutzerdefinierte Rollen wird sowohl auf Organisations- als auch auf Projektebene verwaltet. Der Zugriff kann nur innerhalb derselben Organisation oder desselben Projekts gewährt werden, in dem die benutzerdefinierte Rolle erstellt wurde.

Bitten Sie Ihren Administrator, Ihnen eine der folgenden Rollen zuzuweisen, um die erforderlichen Berechtigungen zum Erstellen und Verwalten benutzerdefinierter Rollen zu erhalten:

Administrator für benutzerdefinierte Rollen: Erstellt und verwaltet benutzerdefinierte Rollen in einer Organisation oder einem Projekt. Diese Rolle umfasst die Möglichkeit, benutzerdefinierte Rollen zu aktualisieren, aufzulisten, aufzurufen, zu deaktivieren und zu löschen.

Nutzer mit der Rolle „IAM-Administrator der Organisation“ können diese Rolle zuweisen.
Benutzerdefinierte Rolle „Projektadministrator“: Erstellt und verwaltet benutzerdefinierte Rollen in einem Projekt. Diese Rolle umfasst die Möglichkeit, benutzerdefinierte Rollen zu aktualisieren, aufzulisten, aufzurufen, zu deaktivieren und zu löschen.

Nutzer mit der Rolle „Projekt-IAM-Administrator“ können diese Rolle zuweisen.

Weitere Informationen zum Zuweisen von Rollenberechtigungen für Organisationen und Projekte

Rollen und ihre Berechtigungen ansehen

Eine benutzerdefinierte Rolle besteht aus einer Gruppe von Berechtigungen, die Sie Nutzern zuweisen können. Wenn Sie eine benutzerdefinierte Rolle erstellen möchten, wählen Sie Berechtigungen aus vorhandenen vordefinierten Rollen aus und kombinieren Sie sie nach Bedarf. Welche Berechtigungen Sie in eine benutzerdefinierte Rolle aufnehmen können, hängt vom Bereich ab, in dem Sie die Rolle erstellen: Organisation oder Projekt.

In diesem Abschnitt wird beschrieben, wie Sie verfügbare Rollen (sowohl vordefinierte als auch benutzerdefinierte) auflisten und die darin enthaltenen Berechtigungen ansehen. Sie können diese Informationen für Folgendes verwenden:

Berechtigungen für neue benutzerdefinierte Rollen ermitteln: Hier finden Sie die spezifischen Berechtigungsstrings, die für das Flag --permissions erforderlich sind, wenn Sie die gcloud CLI zum Erstellen einer benutzerdefinierten Rolle verwenden.
Vorhandene Rollen prüfen: Untersuchen Sie die Berechtigungen, die mit einer vordefinierten oder benutzerdefinierten Rolle im ausgewählten Bereich (Organisation oder Projekt) verknüpft sind.

Rollen auflisten und ihre Berechtigungen mit der GDC-Konsole oder der gdcloud CLI prüfen:

Console

Melden Sie sich in der GDC-Konsole an.
Wählen Sie in der Projektauswahl die Organisation oder das Projekt aus, in dem Sie Rollen aufrufen möchten.
Klicken Sie im Navigationsmenü auf Identität & Zugriff > Rollen.

Eine Liste der verfügbaren vordefinierten und benutzerdefinierten Rollen wird angezeigt.
Klicken Sie auf einen Rollennamen, um die zugehörigen Details aufzurufen, einschließlich der zugewiesenen Berechtigungen.

Die für vordefinierte Rollen im aktuellen Bereich (Organisation oder Projekt) aufgeführten Berechtigungen können in eine neue benutzerdefinierte Rolle aufgenommen werden.

gdcloud

Prüfen Sie, ob die gcloud CLI installiert ist. Weitere Informationen finden Sie auf der Seite Übersicht über die gdcloud CLI.
Verfügbare Rollen auflisten:
```
gdcloud iam roles list ROLE_TYPE \
  --project=PROJECT
```
Ersetzen Sie Folgendes:
- ROLE_TYPE: Der Typ der aufzulistenden Rollen. Gültige Werte sind predefined, custom oder all.
- PROJECT: Der Projekt-Namespace, in dem Sie Rollen aufrufen möchten. Lassen Sie das Flag --project für Rollen mit Organisationsbereich weg.
So rufen Sie die Berechtigungen einer Rolle auf:
```
gdcloud iam roles describe ROLE_NAME \
  --project=PROJECT
```
Ersetzen Sie Folgendes:
- ROLE_NAME: Der Kubernetes-Ressourcenname der Rolle.
- PROJECT: Der Projekt-Namespace, in dem Sie Rollenberechtigungen ansehen möchten. Lassen Sie das Flag --project für Rollen mit Organisationsbereich weg.

Weitere Befehlsdetails und Anwendungsbeispiele finden Sie unter gdcloud iam roles list und gdcloud iam roles describe.

Benutzerdefinierte Rolle erstellen

Erstellen Sie eine neue benutzerdefinierte Rolle, indem Sie Berechtigungen aus vordefinierten Rollen gruppieren. Benutzerdefinierte Rollen übernehmen die IAM-Multizonenfunktionen der vordefinierten Rollen, auf denen sie basieren. Nachdem Sie eine benutzerdefinierte Rolle erstellt haben, können Sie Nutzern Zugriff gewähren.

Erstellen Sie eine benutzerdefinierte Rolle mit der GDC-Konsole, der gdcloud CLI oder der API:

Console

Melden Sie sich in der GDC-Konsole an.
Wählen Sie in der Projektauswahl die Organisation oder das Projekt aus, in dem Sie eine benutzerdefinierte Rolle erstellen möchten.
Klicken Sie im Navigationsmenü auf Identität & Zugriff > Rollen.
Klicken Sie auf Benutzerdefinierte Rolle erstellen.
Geben Sie im Feld Titel den Titel Ihrer benutzerdefinierten Rolle ein.
Geben Sie im Feld Beschreibung eine Beschreibung des Zwecks der benutzerdefinierten Rolle ein.
Geben Sie im Feld ID die eindeutige Kennung für Ihre benutzerdefinierte Rolle ein.

Benutzerdefinierte Rollen-IDs können bis zu 10 alphanumerische Kleinbuchstaben enthalten und nach dem Erstellen der Rolle nicht mehr geändert werden.
Wählen Sie eine Startphase aus.
Wählen Sie den Umfang Ihrer benutzerdefinierten Rolle aus.

Wenn Sie Organisation auswählen, gilt die benutzerdefinierte Rolle für alle Ressourcen in der Organisation. Wenn Sie Projekte auswählen, gilt die benutzerdefinierte Rolle für alle aktuellen und zukünftigen Projekte in der Organisation. Sie können Auf ausgewählte Projekte beschränken auswählen, um festzulegen, welche Projekte auf die benutzerdefinierte Rolle zugreifen können.
Klicken Sie auf Berechtigungen hinzufügen.
Klicken Sie das Kästchen neben einer oder mehreren der unterstützten Berechtigungen an, die Sie Ihrer benutzerdefinierten Rolle zuweisen möchten.

Die verfügbaren Berechtigungen sind auf den ausgewählten Bereich beschränkt. Wenn Sie den Bereich ändern, nachdem Sie Berechtigungen hinzugefügt haben, müssen Sie bestätigen, dass alle zuvor zugewiesenen Berechtigungen zurückgesetzt werden.
Klicken Sie auf Speichern.
Klicken Sie auf Erstellen.

Die neue benutzerdefinierte Rolle wird auf der Seite Rollen angezeigt.

gdcloud

Prüfen Sie, ob die gcloud CLI installiert ist. Weitere Informationen finden Sie auf der Seite Übersicht über die gdcloud CLI.
So erstellen Sie eine benutzerdefinierte Rolle:
```
gdcloud iam roles create ROLE_ID \
  --title=TITLE \
  --description=DESCRIPTION \
  --permissions=PERMISSIONS
  --stage=LAUNCH_STAGE
```
Ersetzen Sie Folgendes:
- ROLE_ID: Die eindeutige Kennung für Ihre benutzerdefinierte Rolle. Benutzerdefinierte Rollen-IDs können bis zu 10 alphanumerische Zeichen in Kleinschreibung lang sein und Bindestriche enthalten. Benutzerdefinierte Rollen-IDs können nach dem Erstellen der Rolle nicht mehr geändert werden.
- TITLE: Ein nutzerfreundlicher Titel für die benutzerdefinierte Rolle.
- DESCRIPTION: Eine Beschreibung des Zwecks der benutzerdefinierten Rolle.
- PERMISSIONS: Eine durch Kommas getrennte Liste von Berechtigungen, die Sie für die benutzerdefinierte Rolle gewähren möchten.
  
  Weitere Informationen zum Ermitteln der richtigen Berechtigungsstrings finden Sie unter Rollen und ihre Berechtigungen ansehen. Jeder Berechtigungsstring muss gemäß der Anleitung in gdcloud iam roles create formatiert werden. Dabei ist iamRoleName der Kubernetes-Ressourcenname der vordefinierten Rolle, die die Berechtigung enthält. Den Kubernetes-Ressourcennamen einer Rolle finden Sie auf der Seite Rollendefinitionen oder mit dem Befehl gcloud iam roles list.
- LAUNCH_STAGE: Optional. Die Releasestufe der benutzerdefinierten Rolle. Gültige Werte sind ALPHA, BETA, GA oder DISABLED. Der Standardwert ist ALPHA, wenn dieses Flag weggelassen wird.
Eine vollständige Liste der erforderlichen und optionalen Flags sowie Beispiele für die Verwendung finden Sie unter gdcloud iam roles create.

Alternativ können Sie die benutzerdefinierte Rolle in einer YAML-Datei definieren und das Flag --file verwenden:
```
gdcloud iam roles create ROLE_ID --file=YAML_FILE_PATH
```
Ersetzen Sie YAML_FILE_PATH durch den Pfad zur YAML-Datei mit den erforderlichen und optionalen Flags. Wenn Sie das Flag --file verwenden, werden alle anderen Flags wie --title, --description und --permissions ignoriert.

API

Erstellen und wenden Sie die benutzerdefinierte Ressource CustomRole mit kubectl an:

kubectl apply -f - <<EOF
apiVersion: iam.global.gdc.goog/v1
kind: CustomRole
metadata:
  name: ROLE_NAME
  namespace: NAMESPACE
spec:
  metadata:
    description: DESCRIPTION
    id: ROLE_ID
    scope: SCOPE
    stage: LAUNCH_STAGE
    title: TITLE
  RULES_TYPE:
  - RULES_LIST
EOF

Ersetzen Sie Folgendes:

ROLE_NAME: Der Kubernetes-Ressourcenname der Rolle.
NAMESPACE: Der Namespace für die benutzerdefinierte Rolle. Verwenden Sie platform für Rollen mit Organisationsbereich und für mehrere Projekte. Verwenden Sie den Projekt-Namespace (z. B. my-project) für Rollen mit Projektbereich und einzelne Projekte.
DESCRIPTION: Eine Beschreibung des Zwecks der benutzerdefinierten Rolle.
ROLE_ID: Die eindeutige Kennung für Ihre benutzerdefinierte Rolle. Benutzerdefinierte Rollen-IDs können bis zu 10 alphanumerische Zeichen in Kleinschreibung lang sein und Bindestriche enthalten. Benutzerdefinierte Rollen-IDs können nach dem Erstellen der Rolle nicht mehr geändert werden.
SCOPE: Verwenden Sie organization für Rollen, die im Namespace platform erstellt wurden. Verwenden Sie project für Rollen, die in einem Projekt-Namespace erstellt wurden.
LAUNCH_STAGE: Optional. Die Releasestufe der benutzerdefinierten Rolle. Gültige Werte sind ALPHA, BETA, GA oder DISABLED. Der Standardwert ist ALPHA, wenn dieses Feld weggelassen wird.
TITLE: Ein nutzerfreundlicher Titel für die benutzerdefinierte Rolle.
RULES_TYPE: In diesem Feld wird der Geltungsbereich der Regeln definiert. Ersetzen Sie globalRules durch globalRules (für Berechtigungen in der globalen API) oder zonalRules (für Berechtigungen in der zonalen API). Sie können nicht beide in derselben CustomRole-Ressource verwenden.
RULES_LIST: Eine eingerückte Liste von Standard-Kubernetes-RBAC-Regelobjekten. Jedes Objekt in der Liste gewährt Berechtigungen. Sie können die richtigen apiGroups, resources und verbs ermitteln, indem Sie die Berechtigungen in vordefinierten Rollen mit gdcloud iam roles describe untersuchen, wie unter Rollen und ihre Berechtigungen ansehen beschrieben.

Das folgende Beispiel zeigt die Struktur eines einzelnen Elements in einem globalRules-Objekt:
```
globalRules:
- apiGroups: ["storage.global.gdc.goog"]
  resources: ["buckettypes"]
  verbs: ["get", "list", "watch"]
```
Sie können mehrere Elemente in die Liste aufnehmen, die jeweils einen anderen Satz von Berechtigungen definieren.

Benutzerdefinierte Rolle verwalten

Sie sind für die Verwaltung des Lebenszyklus Ihrer benutzerdefinierten Rollen verantwortlich. Wenn Distributed Cloud neue Berechtigungen, Funktionen oder Dienste hinzufügt, werden vordefinierte Rollen aktualisiert. Durch Aktualisierungen wie das Löschen einer vordefinierten Rolle oder das Entfernen von Berechtigungen aus einer vordefinierten Rolle können benutzerdefinierte Rollen, die auf diesen Berechtigungen basieren, funktionsunfähig werden. Sie müssen diese Updates im Blick behalten und betroffene benutzerdefinierte Rollen manuell anpassen, damit sie weiterhin wie erwartet funktionieren.

Sie können eine benutzerdefinierte Rolle bearbeiten, deaktivieren oder löschen. Vordefinierte Rollen lassen sich jedoch nicht bearbeiten, deaktivieren oder löschen. Eine Liste aller Rollen und ihrer spezifischen Berechtigungen finden Sie unter Rollen und ihre Berechtigungen ansehen.

Benutzerdefinierte Rolle bearbeiten

So bearbeiten Sie eine benutzerdefinierte Rolle über die GDC-Konsole, die gdcloud CLI oder die API:

Console

Melden Sie sich in der GDC-Konsole an.
Wählen Sie in der Projektauswahl die Organisation oder das Projekt aus, in dem Sie eine benutzerdefinierte Rolle bearbeiten möchten.
Klicken Sie im Navigationsmenü auf Identität & Zugriff > Rollen.
Wählen Sie in der Liste der Rollen die benutzerdefinierte Rolle aus, die Sie bearbeiten möchten.
Klicken Sie auf der Seite mit den Details zur benutzerdefinierten Rolle auf Bearbeiten.
Bearbeiten Sie die Details Ihrer benutzerdefinierten Rolle, z. B. Titel, Beschreibung, ID oder Einführungsphase.
Optional: Zugewiesene Berechtigungen hinzufügen oder entfernen.
1. Klicken Sie auf Berechtigungen hinzufügen, um eine Berechtigung aus der Liste der verfügbaren Berechtigungen auszuwählen.
2. Wenn Sie eine zugewiesene Berechtigung entfernen möchten, klicken Sie auf das Kästchen neben der Berechtigung, die Sie entfernen möchten, und dann auf Entfernen.
Klicken Sie auf Speichern.

Es erscheint eine Meldung, die bestätigt, dass Ihre Änderungen gespeichert wurden.

gdcloud

Prüfen Sie, ob die gcloud CLI installiert ist. Weitere Informationen finden Sie auf der Seite Übersicht über die gdcloud CLI.
Benutzerdefinierte Rolle bearbeiten:
```
gdcloud iam roles update ROLE_ID \
  --title=TITLE \
  --description=DESCRIPTION \
  --permissions=PERMISSIONS
  --stage=LAUNCH_STAGE
```
Ersetzen Sie Folgendes:
- ROLE_ID: Die eindeutige Kennung für Ihre benutzerdefinierte Rolle.
- TITLE: Ein nutzerfreundlicher Titel für die benutzerdefinierte Rolle.
- DESCRIPTION: Eine Beschreibung des Zwecks der benutzerdefinierten Rolle.
- PERMISSIONS: Eine durch Kommas getrennte Liste von Berechtigungen, die Sie für die benutzerdefinierte Rolle gewähren möchten.
  
  Weitere Informationen zum Ermitteln der richtigen Berechtigungsstrings finden Sie unter Rollen und ihre Berechtigungen ansehen. Jeder Berechtigungsstring muss gemäß der Anleitung in gdcloud iam roles create formatiert werden. Dabei ist iamRoleName der Kubernetes-Ressourcenname der vordefinierten Rolle, die die Berechtigung enthält. Den Kubernetes-Ressourcennamen einer Rolle finden Sie auf der Seite Rollendefinitionen oder mit dem Befehl gcloud iam roles list.
- LAUNCH_STAGE: Optional. Die Releasestufe der benutzerdefinierten Rolle. Gültige Werte sind ALPHA, BETA, GA oder DISABLED. Der Standardwert ist ALPHA, wenn dieses Flag weggelassen wird.
Eine vollständige Liste der erforderlichen und optionalen Flags sowie Beispiele für die Verwendung finden Sie unter gcloud iam roles update.

Alternativ können Sie die benutzerdefinierte Rolle in der zugehörigen YAML-Datei aktualisieren und das Flag --file verwenden:
```
gdcloud iam roles update ROLE_ID --file=YAML_FILE_PATH
```
Ersetzen Sie YAML_FILE_PATH durch den Pfad zur YAML-Datei mit den aktualisierten erforderlichen und optionalen Flags. Wenn Sie das Flag --file verwenden, werden alle anderen Flags wie --title, --description und --permissions ignoriert.

API

Benutzerdefinierte CustomRole-Ressource mit kubectl bearbeiten:

kubectl apply -f - <<EOF
apiVersion: iam.global.gdc.goog/v1
kind: CustomRole
metadata:
  name: ROLE_NAME
  namespace: NAMESPACE
spec:
  metadata:
    description: DESCRIPTION
    id: ROLE_ID
    scope: SCOPE
    stage: LAUNCH_STAGE
    title: TITLE
  RULES_TYPE:
  - RULES_LIST
EOF

Ersetzen Sie Folgendes:

ROLE_NAME: Der Kubernetes-Ressourcenname der Rolle.
NAMESPACE: Der Namespace für die benutzerdefinierte Rolle. Verwenden Sie platform für Rollen mit Organisationsbereich und für mehrere Projekte. Verwenden Sie den Projekt-Namespace (z. B. my-project) für Rollen mit Projektbereich und einzelne Projekte.
DESCRIPTION: Eine Beschreibung des Zwecks der benutzerdefinierten Rolle.
ROLE_ID: Die eindeutige Kennung für Ihre benutzerdefinierte Rolle. Benutzerdefinierte Rollen-IDs können bis zu 10 alphanumerische Zeichen in Kleinschreibung lang sein und Bindestriche enthalten. Benutzerdefinierte Rollen-IDs können nach dem Erstellen der Rolle nicht mehr geändert werden.
SCOPE: Verwenden Sie organization für Rollen, die im Namespace platform erstellt wurden. Verwenden Sie project für Rollen, die in einem Projekt-Namespace erstellt wurden.
LAUNCH_STAGE: Optional. Die Releasestufe der benutzerdefinierten Rolle. Gültige Werte sind ALPHA, BETA, GA oder DISABLED. Der Standardwert ist ALPHA, wenn dieses Feld weggelassen wird.
TITLE: Ein nutzerfreundlicher Titel für die benutzerdefinierte Rolle.
RULES_TYPE: In diesem Feld wird der Geltungsbereich der Regeln definiert. Ersetzen Sie globalRules durch globalRules (für Berechtigungen in der globalen API) oder zonalRules (für Berechtigungen in der zonalen API). Sie können nicht beide in derselben CustomRole-Ressource verwenden.
RULES_LIST: Eine eingerückte Liste von Standard-Kubernetes-RBAC-Regelobjekten. Jedes Objekt in der Liste gewährt Berechtigungen. Sie können die richtigen apiGroups, resources und verbs ermitteln, indem Sie die Berechtigungen in vordefinierten Rollen mit gdcloud iam roles describe untersuchen, wie unter Rollen und ihre Berechtigungen ansehen beschrieben.

Das folgende Beispiel zeigt die Struktur eines einzelnen Elements in einem globalRules-Objekt:
```
globalRules:
- apiGroups: ["storage.global.gdc.goog"]
  resources: ["buckettypes"]
  verbs: ["get", "list", "watch"]
```
Sie können mehrere Elemente in die Liste aufnehmen, die jeweils einen anderen Satz von Berechtigungen definieren.

Benutzerdefinierte Rolle deaktivieren

Deaktivierte benutzerdefinierte Rollen bleiben in Ihrer Liste der Rollen und können weiterhin Nutzern zugewiesen werden. Die Rolle hat jedoch keine Auswirkungen. Sie können die benutzerdefinierte Rolle jederzeit wieder aktivieren.

So deaktivieren Sie eine benutzerdefinierte Rolle über die GDC Console, die gdcloud CLI oder die API:

Console

Melden Sie sich in der GDC-Konsole an.
Wählen Sie in der Projektauswahl die Organisation oder das Projekt aus, in dem Sie eine benutzerdefinierte Rolle deaktivieren möchten.
Klicken Sie im Navigationsmenü auf Identität & Zugriff > Rollen.
Wählen Sie in der Liste der Rollen die benutzerdefinierte Rolle aus, die Sie deaktivieren möchten.
Klicken Sie auf der Seite mit den Details zur benutzerdefinierten Rolle auf Deaktivieren.

gdcloud

Prüfen Sie, ob die gcloud CLI installiert ist. Weitere Informationen finden Sie auf der Seite Übersicht über die gdcloud CLI.
So deaktivieren Sie eine benutzerdefinierte Rolle:
```
gdcloud iam roles update ROLE_ID --stage=DISABLED
```
Ersetzen Sie Folgendes:
- ROLE_ID: Die eindeutige Kennung für Ihre benutzerdefinierte Rolle.
Weitere Informationen finden Sie unter gdcloud iam roles update.

API

Sie können eine benutzerdefinierte CustomRole-Ressource deaktivieren, indem Sie das Feld stage in DISABLED ändern. Achten Sie darauf, dass alle anderen Felder mit den aktuellen Werten für die benutzerdefinierte Rolle übereinstimmen, die Sie deaktivieren möchten.

kubectl apply -f - <<EOF
apiVersion: iam.global.gdc.goog/v1
kind: CustomRole
metadata:
  name: ROLE_NAME
  namespace: NAMESPACE
spec:
  metadata:
    description: DESCRIPTION
    id: ROLE_ID
    scope: SCOPE
    stage: DISABLED
    title: TITLE
  RULES_TYPE:
  - RULES_LIST
EOF

Ersetzen Sie Folgendes:

ROLE_NAME: Der Kubernetes-Ressourcenname der Rolle.
NAMESPACE: Der Namespace für die benutzerdefinierte Rolle. Verwenden Sie platform für Rollen mit Organisationsbereich und für mehrere Projekte. Verwenden Sie den Projekt-Namespace (z. B. my-project) für Rollen mit Projektbereich und einzelne Projekte.
DESCRIPTION: Eine Beschreibung des Zwecks der benutzerdefinierten Rolle.
ROLE_ID: Die eindeutige Kennung für Ihre benutzerdefinierte Rolle. Benutzerdefinierte Rollen-IDs können bis zu 10 alphanumerische Zeichen in Kleinschreibung lang sein und Bindestriche enthalten. Benutzerdefinierte Rollen-IDs können nach dem Erstellen der Rolle nicht mehr geändert werden.
SCOPE: Verwenden Sie organization für Rollen, die im Namespace platform erstellt wurden. Verwenden Sie project für Rollen, die in einem Projekt-Namespace erstellt wurden.
TITLE: Ein nutzerfreundlicher Titel für die benutzerdefinierte Rolle.
RULES_TYPE: In diesem Feld wird der Geltungsbereich der Regeln definiert. Ersetzen Sie globalRules durch globalRules (für Berechtigungen in der globalen API) oder zonalRules (für Berechtigungen in der zonalen API). Sie können nicht beide in derselben CustomRole-Ressource verwenden.
RULES_LIST: Eine eingerückte Liste von Standard-Kubernetes-RBAC-Regelobjekten. Jedes Objekt in der Liste gewährt Berechtigungen. Sie können die richtigen apiGroups, resources und verbs ermitteln, indem Sie die Berechtigungen in vordefinierten Rollen mit gdcloud iam roles describe untersuchen, wie unter Rollen und ihre Berechtigungen ansehen beschrieben.

Das folgende Beispiel zeigt die Struktur eines einzelnen Elements in einem globalRules-Objekt:
```
globalRules:
- apiGroups: ["storage.global.gdc.goog"]
  resources: ["buckettypes"]
  verbs: ["get", "list", "watch"]
```
Sie können mehrere Elemente in die Liste aufnehmen, die jeweils einen anderen Satz von Berechtigungen definieren.

Benutzerdefinierte Rollen löschen

Gelöschte Rollen werden dauerhaft aus dem System entfernt. Sie können jedoch eine neue Rolle mit demselben Namen erstellen.

So löschen Sie eine benutzerdefinierte Rolle mit der gcloud CLI oder der API:

gdcloud

Prüfen Sie, ob die gcloud CLI installiert ist. Weitere Informationen finden Sie auf der Seite Übersicht über die gdcloud CLI.
So löschen Sie eine benutzerdefinierte Rolle:
```
gdcloud iam roles delete ROLE_ID --project=PROJECT
```
Ersetzen Sie Folgendes:
- ROLE_ID: Die eindeutige Kennung für Ihre benutzerdefinierte Rolle.
- PROJECT: Der Projekt-Namespace, in dem Sie die benutzerdefinierte Rolle löschen möchten. Wenn das Flag --project nicht angegeben ist, wird die organisationsbezogene Rolle gelöscht.
Weitere Informationen und Beispiele für die Verwendung finden Sie unter gcloud iam roles delete.

API

So löschen Sie eine benutzerdefinierte CustomRole-Ressource mit kubectl:

kubectl delete -f CUSTOM_ROLE

Ersetzen Sie CUSTOM_ROLE durch den Pfad zu Ihrer CustomRole-YAML-Datei. Dies ist dieselbe Datei, die Sie zum Erstellen oder Aktualisieren der Rolle verwendet haben.

Benutzerdefinierte Rolle erstellen Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Hinweise

Rollen und ihre Berechtigungen ansehen

Console

gdcloud

Benutzerdefinierte Rolle erstellen

Console

gdcloud

API

Benutzerdefinierte Rolle verwalten

Benutzerdefinierte Rolle bearbeiten

Console

gdcloud

API

Benutzerdefinierte Rolle deaktivieren

Console

gdcloud

API

Benutzerdefinierte Rollen löschen

gdcloud

API

Benutzerdefinierte Rolle erstellen