Diese Seite wurde von der Cloud Translation API übersetzt.

Autorisierung und Zugriffssteuerung

Identity and Access Management (IAM) ist ein Tool, mit dem Sie steuern können, wer was in Ihrer Google Cloud Umgebung tun darf.

Der Zugriff wird über IAM-Berechtigungen gesteuert, die für die Arbeit mit Ressourcen in einer Google Cloud -Umgebung erforderlich sind. Wenn Sie die Berechtigungen für die Arbeit mit einer Ressource erhalten, sind Sie autorisiert, auf diese Ressource zuzugreifen. Ohne die entsprechende Autorisierung können Sie nicht auf Google Cloud-Ressourcen zugreifen.

Berechtigungen und Rollen

Wenn Sie mit einer Ressource arbeiten möchten, muss Ihr Nutzerkonto die entsprechenden Berechtigungen für den Zugriff auf diese Ressource haben.

Normalerweise ist Ihr IAM-Administrator für die Steuerung des Zugriffs auf Ressourcen verantwortlich. Ihr Administrator kann Ihnen Berechtigungen für den Zugriff auf eine einzelne Ressource oder alle Ressourcen in einem Projekt, Ordner oder einer Organisation erteilen. Administratoren gewähren Ihrem Nutzerkonto die entsprechenden Berechtigungen in Form von Rollen. Solange Ihrem Nutzerkonto eine Rolle mit den entsprechenden Berechtigungen zugewiesen ist, können Sie mit dieser Rolle auf Google Cloud -Ressourcen zugreifen.

Im Allgemeinen sieht der Workflow zum Ausführen einer Aktion für eine beliebige Ressource in IhrerGoogle Cloud -Umgebung so aus:

Sie möchten eine Aktion für eine Ressource ausführen, z. B. ein Objekt in einen Cloud Storage-Bucket hochladen, haben aber nicht die entsprechenden Berechtigungen. Ohne die Berechtigungen können Sie die Aktion nicht ausführen.
Sie können die erforderlichen Berechtigungen über Ihr bevorzugtes Anfragesystem oder direkt über die Berechtigungsfehlermeldung in der Google Cloud Console bei Ihrem IAM-Administrator anfordern.
Ihr IAM-Administrator weist Ihrem Nutzerkonto eine Rolle mit den entsprechenden Berechtigungen zu. Sie können die Aktion jetzt ausführen.

IAM als Administrator verwenden

Administratoren sind in der Regel dafür verantwortlich, Nutzern Rollen zuzuweisen, damit sie auf Google Cloud -Ressourcen zugreifen können. Nutzer werden durch authentifizierte Identitäten dargestellt, die als Principals bezeichnet werden.

Wenn Sie einem Hauptkonto Rollen für eine Ressource zuweisen, müssen Sie die Zulassungsrichtlinie bearbeiten, die an die Ressource angehängt ist. In Zulassungsrichtlinien wird aufgeführt, welche Hauptkonten Zugriff auf die Ressource haben und welche Aktionen sie für die Ressource ausführen können. IAM verwendet Zulassungsrichtlinien, um zu ermitteln, ob ein Hauptkonto die erforderlichen Berechtigungen für den Zugriff auf die Ressource hat. Wenn Sie einem Hauptkonto Zugriff auf eine bestimmte Ressource gewähren möchten, müssen Sie daher die Zulassungsrichtlinie für die Ressource mit dem Hauptkonto und den Rollen aktualisieren, die Sie gewähren möchten.

Administratoren können Hauptkonten Rollen für die folgenden Ressourcentypen zuweisen:

Projekte, Ordner und Organisationen: Diese Ressourcen sind die Containerressourcen, die zum Strukturieren Ihrer Ressourcenhierarchie verwendet werden. Rollen, die Sie für diese Containerressourcen zuweisen, gelten für alle dienstspezifischen Ressourcen, die sie enthalten.
Dienstspezifische Ressourcen: Diese Ressourcen sind die Funktionen oder Komponenten, die von einem Dienst angeboten werden. Compute Engine hat beispielsweise Ressourcen wie Instanzen, Laufwerke und Subnetzwerke. Wenn Sie Rollen für eine dienstspezifische Ressource zuweisen, haben Sie eine detailliertere Zugriffssteuerung als beim Zuweisen von Rollen für eine Containerressource, da der Zugriff eines Nutzers auf diese Ressource beschränkt wird.

Erweiterte Zugriffssteuerung mit IAM

Zulassungsrichtlinien sind die gängigste Methode, um den Zugriff auf eineGoogle Cloud -Umgebung mit IAM zu steuern. IAM bietet aber auch andere, erweiterte Optionen für die Zugriffssteuerung, darunter:

Zusätzliche Richtlinientypen wie Ablehnungs- und Principal Access Boundary-Richtlinien
Bedingte attributbasierte Zugriffssteuerung
Temporäre Zugriffssteuerungen wie Privileged Access Manager (PAM)

Andere Formen der Zugriffssteuerung

IAM ist zwar die primäre Methode zur Zugriffssteuerung fürGoogle Cloud, es gibt aber auch andere Google Cloud -Dienste, die den Zugriff eines Nutzers auf Ressourcen beeinflussen können.

Hier sind einige Beispiele für andere Dienste, die den Zugriff eines Nutzers beeinträchtigen können:

Access Context Manager: Mit Access Context Manager können Sie eine differenzierte, attributbasierte Zugriffssteuerung für Projekte und Ressourcen in Google Clouddefinieren.
Identity-Aware Proxy (IAP): IAP verwendet ein Zugriffssteuerungsmodell auf Anwendungsebene, bei dem Sie eine zentrale Autorisierungsebene für Anwendungen einrichten, auf die über HTTPS zugegriffen wird.
Organisationsrichtliniendienst: Mit Organisationsrichtlinien können Sie Einschränkungen für Ihre Ressourcenhierarchie konfigurieren, um die Cloudressourcen Ihrer Organisation zentral und programmatisch zu steuern.
VPC Service Controls: Mit VPC Service Controls können Sie Perimeter definieren, die die Google Cloud Ressourcen und Daten Google Cloud der von Ihnen explizit angegebenen Dienste schützen.

Nächste Schritte

Eine ausführlichere Beschreibung des IAM-Systems und seiner Funktionsweise finden Sie in der IAM-Dokumentation auf der IAM-Übersichtsseite.
Informationen zu IAM-Fehlermeldungen finden Sie in der IAM-Dokumentation unter Fehlermeldungen zu Berechtigungen beheben.

Autorisierung und Zugriffssteuerung Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.