建議的使用者群組和 Identity and Access Management 角色

下表列出建議的 Identity and Access Management (IAM) 角色,可做為在Google Cloud上執行工作負載的起點。請設定 IAM 角色,在環境中實作權責劃分,並配合風險承受度和組織架構。

為貴機構中的使用者群組指派這些角色時,請思考應在何處套用更精細的角色,以因應特定的用途和資料存取權需求。如要在環境中使用高度機密資料 (例如使用機密資料訓練模型),請參閱「將資料匯入安全的 BigQuery 資料倉儲」一文,進一步瞭解可用來授予儲存資料存取權的角色。

下表提供角色建議。視情況套用基礎建議和特定用途的建議。

服務 群組 說明 IAM 角色

基礎

grp-gcp-org-admin

這個群組可以管理組織擁有的資源。 請謹慎指派這個角色。組織管理員有權存取所有 Google Cloud 資源。此外,由於這項功能具有高度權限,因此建議您使用個人帳戶,而非建立群組。
  • 組織管理員 (roles/resourcemanager.organizationAdmin)
  • 資料夾管理員 (roles/resourcemanager.folderAdmin)
  • 專案建立者 (roles/resourcemanager.projectCreator)
  • 帳單帳戶使用者 (roles/billing.user)
  • 組織角色管理員 (roles/iam.organizationRoleAdmin)
  • 組織政策管理員 (roles/orgpolicy.policyAdmin)
  • 安全中心管理員 (roles/securitycenter.admin)
  • 支援帳戶管理員 (roles/cloudsupport.admin)

基礎

grp-gcp-network-admins

這個群組可以建立網路、子網路、防火牆規則和網路裝置,例如 Cloud Router、Cloud VPN 和雲端負載平衡器。
  • Compute 網路管理員 (roles/compute.networkAdmin)
  • Compute Shared VPC 管理員 (roles/compute.xpnAdmin)
  • Compute 安全管理員 (roles/compute.securityAdmin)
  • 資料夾檢視者 (roles/resourcemanager.folderViewer)

基礎

grp-gcp-billing-admin

這個群組可以設定帳單帳戶,以及監控這類帳戶的使用情形。
  • 帳單帳戶管理員 (roles/billing.admin)
  • 帳單帳戶建立者 (roles/billing.creator)
  • 組織檢視者 (roles/resourcemanager.organizationViewer)

基礎

grp-gcp-security-admins

這個群組可以為整個組織建立及管理安全性政策,包括存取權管理和組織限制政策。如要規劃 Google Cloud 安全基礎架構,請參閱「企業基礎藍圖」一文。
  • BigQuery 資料檢視者 (roles/bigquery.dataViewer)
  • Compute 檢視者 (roles/compute.viewer)
  • 資料夾 IAM 管理員 (roles/resourcemanager.folderIamAdmin)
  • Kubernetes Engine 檢視者 (roles/container.viewer)
  • 記錄檔設定寫入者 (roles/logging.configWriter)
  • 組織角色檢視者 (roles/iam.organizationRoleViewer)
  • 組織政策管理員 (roles/orgpolicy.policyAdmin)
  • 組織政策檢視者 (roles/orgpolicy.policyViewer)
  • 私人記錄檔檢視者 (roles/logging.privateLogViewer)
  • 安全中心管理員 (roles/securitycenter.admin)
  • 安全性審查者 (roles/iam.securityReviewer)

基礎

grp-gcp-billing-viewer

這個群組可以監控專案支出。群組成員通常是財務團隊的成員。
  • 帳單帳戶檢視者 (roles/billing.viewer)

基礎

grp-gcp-platform-viewer

這個群組可以審查整個 Google Cloud組織的資源資訊。
  • 檢視者 (roles/viewer)

基礎

grp-gcp-security-reviewer

這個群組可以審查雲端安全性。
  • 安全性審查者 (roles/iam.securityReviewer)

基礎

grp-gcp-network-viewer

這個群組可以檢查網路設定。
  • Compute 網路檢視者 (roles/compute.networkViewer)

基礎

grp-gcp-audit-viewer

這個群組可以查看稽核記錄。
  • 私人記錄檔檢視者 (roles/logging.privateLogViewer)
  • 檢視者 (roles/viewer)

基礎

grp-gcp-scc-admin

這個群組可以管理 Security Command Center。
  • 安全中心管理員 (roles/securitycenter.admin)

基礎

grp-gcp-secrets-admin

這個群組可以管理 Secret Manager 中的 Secret。
  • Secret Manager 管理員 (roles/secretmanager.admin)

Agent Platform 管理員

grp-gcp-vertex-ai-admin

這個群組具備 Agent Platform 中所有資源的完整存取權。
  • Vertex AI 管理員 (roles/aiplatform.admin)

Agent Platform 檢視者

grp-gcp-vertex-ai-viewer

這個群組可以查看 Agent Platform 中的所有資源。
  • Vertex AI 檢視者 (roles/aiplatform.viewer)

Agent Platform 使用者

grp-gcp-vertex-ai-user

這個群組可以使用 Agent Platform 中的所有資源。
  • Vertex AI 使用者 (roles/aiplatform.user)

Agent Platform Workbench 管理員

grp-gcp-vertex-ai-notebook-admin

這個群組具備 Agent Platform Workbench 中所有執行階段範本和執行階段的完整存取權。
  • 筆記本執行階段管理員 (roles/aiplatform.notebookRuntimeAdmin)

Agent Platform Workbench 使用者

grp-gcp-vertex-ai-notebook-user

這個群組可以使用執行階段範本建立執行階段資源,以及管理自己建立的執行階段資源。
  • 筆記本執行階段使用者 (roles/aiplatform.notebookRuntimeUser)

後續步驟