推荐的用户群组和 Identity and Access Management 角色

下表介绍了我们建议您在 上运行工作负载时作为起点的 Identity and Access Management (IAM) 角色。 Google Cloud配置 IAM 角色,以在您的环境中实现职责分离,并与您的风险偏好和组织结构保持一致。

在为组织中的用户组分配这些角色时,请考虑在哪些情况下需要应用更精细的角色,以满足特定的使用情形和数据访问权限要求。对于使用高度敏感的数据的环境(例如,您使用敏感数据训练模型),请参阅将数据导入安全的 BigQuery 数据 仓库,详细了解可用于授予对存储数据的访问权限的角色。

下表介绍了角色建议。请根据需要应用基础级建议和针对特定用例的建议。

服务 群组 说明 IAM 角色

基础级

grp-gcp-org-admin

此群组可管理属于组织的资源。请谨慎分配此角色。组织管理员有权访问您的所有 Google Cloud 资源。或者,由于此函数具有较高的特权,因此请考虑使用个人账号而不是创建群组。
  • Organization Administrator (roles/resourcemanager.organizationAdmin)
  • Folder Admin (roles/resourcemanager.folderAdmin)
  • Project Creator (roles/resourcemanager.projectCreator)
  • Billing Account User (roles/billing.user)
  • Organization Role Administrator (roles/iam.organizationRoleAdmin)
  • Organization Policy Administrator (roles/orgpolicy.policyAdmin)
  • Security Center Admin (roles/securitycenter.admin)
  • Support Account Administrator (roles/cloudsupport.admin)

基础级

grp-gcp-network-admins

此群组可以创建网络、子网、防火墙规则和网络设备,例如 Cloud Router、Cloud VPN 和云端负载均衡器。
  • Compute Network Admin (roles/compute.networkAdmin)
  • Compute Shared VPC Admin (roles/compute.xpnAdmin)
  • Compute Security Admin (roles/compute.securityAdmin)
  • Folder Viewer (roles/resourcemanager.folderViewer)

基础级

grp-gcp-billing-admin

此群组负责设置结算账号并监控其使用情况。
  • Billing Account Administrator (roles/billing.admin)
  • Billing Account Creator (roles/billing.creator)
  • Organization Viewer (roles/resourcemanager.organizationViewer)

基础级

grp-gcp-security-admins

此群组负责制定和管理整个组织的安全政策,包括访问权限管理和组织限制政策。如需规划 Google Cloud 安全基础设施,请参阅企业基础蓝图
  • BigQuery Data Viewer (roles/bigquery.dataViewer)
  • Compute Viewer (roles/compute.viewer)
  • Folder IAM Admin (roles/resourcemanager.folderIamAdmin)
  • Kubernetes Engine Viewer (roles/container.viewer)
  • Logs Configuration Writer (roles/logging.configWriter)
  • Organization Role Viewer (roles/iam.organizationRoleViewer)
  • Organization Policy Administrator (roles/orgpolicy.policyAdmin)
  • Organization Policy Viewer (roles/orgpolicy.policyViewer)
  • Private Logs Viewer (roles/logging.privateLogViewer)
  • Security Center Admin (roles/securitycenter.admin)
  • Security Reviewer (roles/iam.securityReviewer)

基础级

grp-gcp-billing-viewer

此群组可监控项目的支出。通常,群组成员是财务团队的成员。
  • Billing Account Viewer (roles/billing.viewer)

基础级

grp-gcp-platform-viewer

此群组可查看整个 Google Cloud组织中的资源信息。
  • Viewer (roles/viewer)

基础级

grp-gcp-security-reviewer

此群组负责审核云安全。
  • Security Reviewer (roles/iam.securityReviewer)

基础级

grp-gcp-network-viewer

此群组负责审核网络配置。
  • Compute Network Viewer (roles/compute.networkViewer)

基础级

grp-gcp-audit-viewer

此群组可查看审核日志。
  • Private Logs Viewer (roles/logging.privateLogViewer)
  • Viewer (roles/viewer)

基础级

grp-gcp-scc-admin

此群组用于管理 Security Command Center。
  • Security Center Admin (roles/securitycenter.admin)

基础级

grp-gcp-secrets-admin

此群组管理 Secret Manager 中的 Secret。
  • Secret Manager Admin (roles/secretmanager.admin)

Agent Platform 管理员

grp-gcp-vertex-ai-admin

此群组拥有对 Agent Platform 中所有资源的完整访问权限。
  • Vertex AI Administrator (roles/aiplatform.admin)

Agent Platform 查看者

grp-gcp-vertex-ai-viewer

此群组可查看 Agent Platform 中的所有资源。
  • Vertex AI Viewer (roles/aiplatform.viewer)

Agent Platform 用户

grp-gcp-vertex-ai-user

此群组使用 Agent Platform 中的所有资源。
  • Vertex AI User (roles/aiplatform.user)

Agent Platform Workbench 管理员

grp-gcp-vertex-ai-notebook-admin

此群组对 Agent Platform Workbench 中的所有运行时模板和运行时拥有完整访问权限。
  • Notebook Runtime Admin (roles/aiplatform.notebookRuntimeAdmin)

Agent Platform Workbench 用户

grp-gcp-vertex-ai-notebook-user

此群组使用运行时模板创建运行时资源,并管理 他们创建的运行时资源。
  • Notebook Runtime User (roles/aiplatform.notebookRuntimeUser)

后续步骤