Empfohlene Nutzergruppen und Identity and Access Management-Rollen

In der folgenden Tabelle werden die IAM-Rollen (Identity and Access Management) beschrieben, die wir als Ausgangspunkt für die Ausführung von Arbeitslasten in Google Cloudempfehlen. Konfigurieren Sie Ihre IAM-Rollen so, dass die Aufgabentrennung in Ihrer Umgebung implementiert wird und sie mit Ihrer Risikobereitschaft und Organisationsstruktur übereinstimmen.

Wenn Sie diese Rollen den Nutzergruppen in Ihrer Organisation zuweisen, sollten Sie überlegen, wo Sie detailliertere Rollen anwenden müssen, um bestimmte Anwendungsfälle und Anforderungen an den Datenzugriff zu erfüllen. Für Umgebungen, in denen hochsensible Daten verwendet werden (z. B. wenn Sie sensible Daten zum Trainieren von Modellen verwenden), finden Sie unter Daten in ein sicheres BigQuery-Data Warehouse importieren weitere Informationen zu den Rollen, mit denen Sie den Zugriff auf gespeicherte Daten zulassen können.

In der folgenden Tabelle werden die Rollenempfehlungen beschrieben. Wenden Sie grundlegende und anwendungsfallspezifische Empfehlungen nach Bedarf an.

Dienst Gruppe Beschreibung IAM-Rollen

Grundlegend

grp-gcp-org-admin

Diese Gruppe verwaltet die Ressourcen, die zur Organisation gehören. Weisen Sie diese Rolle nur sparsam zu. Organisationsadministratoren haben Zugriff auf alle Ihre Ressourcen. Google Cloud Da diese Funktion stark privilegiert ist, können Sie auch einzelne Konten verwenden, anstatt eine Gruppe zu erstellen.
  • Organisationsadministrator (roles/resourcemanager.organizationAdmin)
  • Ordneradministrator (roles/resourcemanager.folderAdmin)
  • Projektersteller (roles/resourcemanager.projectCreator)
  • Rechnungskontonutzer (roles/billing.user)
  • Administrator für Organisationsrollen (roles/iam.organizationRoleAdmin)
  • Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin)
  • Sicherheitscenter-Administrator (roles/securitycenter.admin)
  • Supportkontoadministrator (roles/cloudsupport.admin)

Grundlegend

grp-gcp-network-admins

Diese Gruppe kann Netzwerke, Subnetze, Firewallregeln und Netzwerk Geräte wie Cloud Router, Cloud VPN und Cloud-Load-Balancer erstellen.
  • Compute-Netzwerkadministrator (roles/compute.networkAdmin)
  • Administrator für gemeinsam genutzte Compute-VPC (roles/compute.xpnAdmin)
  • Compute-Sicherheitsadministrator (roles/compute.securityAdmin)
  • Ordnerbetrachter (roles/resourcemanager.folderViewer)

Grundlegend

grp-gcp-billing-admin

Diese Gruppe richtet Rechnungskonten ein und überwacht deren Nutzung.
  • Rechnungskontoadministrator (roles/billing.admin)
  • Ersteller von Rechnungskonten (roles/billing.creator)
  • Organisationsbetrachter (roles/resourcemanager.organizationViewer)

Grundlegend

grp-gcp-security-admins

Diese Gruppe legt Sicherheitsrichtlinien für die gesamte Organisation fest und verwaltet sie, einschließlich Zugriffsverwaltung und Einschränkungsrichtlinien. Informationen zur Planung Ihrer Google Cloud Sicherheitsinfrastruktur finden Sie im Blueprint zu Unternehmensgrundlagen.
  • BigQuery-Datenbetrachter (roles/bigquery.dataViewer)
  • Compute-Betrachter (roles/compute.viewer)
  • Ordner-IAM-Administrator (roles/resourcemanager.folderIamAdmin)
  • Kubernetes Engine-Betrachter (roles/container.viewer)
  • Autor von Log-Konfigurationen (roles/logging.configWriter)
  • Betrachter von Organisationsrollen (roles/iam.organizationRoleViewer)
  • Administrator für Unternehmensrichtlinien (roles/orgpolicy.policyAdmin)
  • Betrachter von Unternehmensrichtlinien (roles/orgpolicy.policyViewer)
  • Betrachter privater Logs (roles/logging.privateLogViewer)
  • Sicherheitscenter-Administrator (roles/securitycenter.admin)
  • Sicherheitsprüfer (roles/iam.securityReviewer)

Grundlegend

grp-gcp-billing-viewer

Diese Gruppe überwacht die Ausgaben für Projekte. In der Regel sind Gruppenmitglieder Teil der Finanzabteilung.
  • Betrachter von Rechnungskonten (roles/billing.viewer)

Grundlegend

grp-gcp-platform-viewer

Diese Gruppe prüft Ressourceninformationen in der gesamten Google Cloud Organisation.
  • Betrachter (roles/viewer)

Grundlegend

grp-gcp-security-reviewer

Diese Gruppe prüft die Cloud-Sicherheit.
  • Sicherheitsprüfer (roles/iam.securityReviewer)

Grundlegend

grp-gcp-network-viewer

Diese Gruppe prüft Netzwerkkonfigurationen.
  • Compute-Netzwerkbetrachter (roles/compute.networkViewer)

Grundlegend

grp-gcp-audit-viewer

Diese Gruppe sieht sich Audit-Logs an.
  • Betrachter privater Logs (roles/logging.privateLogViewer)
  • Betrachter (roles/viewer)

Grundlegend

grp-gcp-scc-admin

Diese Gruppe verwaltet Security Command Center.
  • Sicherheitscenter-Administrator (roles/securitycenter.admin)

Grundlegend

grp-gcp-secrets-admin

Diese Gruppe verwaltet Secrets in Secret Manager.
  • Secret Manager-Administrator (roles/secretmanager.admin)

Agent Platform-Administratoren

grp-gcp-vertex-ai-admin

Diese Gruppe hat vollständigen Zugriff auf alle Ressourcen in Agent Platform.
  • Vertex AI-Administrator (roles/aiplatform.admin)

Agent Platform-Betrachter

grp-gcp-vertex-ai-viewer

Diese Gruppe sieht sich alle Ressourcen in Agent Platform an.
  • Vertex AI-Betrachter (roles/aiplatform.viewer)

Agent Platform-Nutzer

grp-gcp-vertex-ai-user

Diese Gruppe verwendet alle Ressourcen in Agent Platform.
  • Vertex AI-Nutzer (roles/aiplatform.user)

Agent Platform Workbench-Administratoren

grp-gcp-vertex-ai-notebook-admin

Diese Gruppe hat vollständigen Zugriff auf alle Laufzeitvorlagen und Laufzeiten in Agent Platform Workbench.
  • Administrator für Notebook-Laufzeiten (roles/aiplatform.notebookRuntimeAdmin)

Agent Platform Workbench-Nutzer

grp-gcp-vertex-ai-notebook-user

Diese Gruppe erstellt Laufzeitressourcen mithilfe einer Laufzeitvorlage und verwaltet die erstellten Laufzeitressourcen.
  • Nutzer von Notebook-Laufzeiten (roles/aiplatform.notebookRuntimeUser)

Nächste Schritte