Auf dieser Seite werden die Optionen für die Zugriffssteuerung beschrieben, die Ihnen in Eventarc zur Verfügung stehen.
Übersicht
Eventarc verwendet für die Zugriffssteuerung Identity and Access Management (IAM).
Eine Einführung in IAM und die zugehörigen Features finden Sie in der IAM-Übersicht.
Informationen zum Zuweisen und Widerrufen des Zugriffs mit Zulassungsrichtlinien finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
- Informationen zum Steuern des Veröffentlichungszugriffs in Eventarc Advanced mithilfe von Zugriffsrichtlinien finden Sie unter Veröffentlichungszugriff steuern.
In den folgenden Abschnitten finden Sie eine Liste der Berechtigungen und Rollen, die von Eventarc unterstützt werden.
Eventarc-Dienst-Agent
Einige Google Cloud -Dienste haben Dienst-Agents, mit denen der Dienst auf Ihre Ressourcen zugreifen kann, wenn die entsprechenden Berechtigungen erteilt wurden. Wenn eine API einen Dienst-Agent erfordert, erstellt Google Cloud den Dienst-Agent irgendwann, nachdem Sie die API aktiviert und verwendet haben.
Eventarc verwendet ein Bereitstellungsmodell, bei dem der Dienst-Agent erst erstellt wird, wenn er zum ersten Mal benötigt wird, z. B. wenn Sie zum ersten Mal eine Eventarc-Ressource erstellen, und nicht, wenn die API zum ersten Mal aktiviert wird. Die Bereitstellung des Dienst-Agents und die Übertragung der Änderungen im System können einige Minuten dauern. Weitere Informationen zu dieser Verzögerung finden Sie unter Berechtigung verweigert bei Verwendung des Eventarc-Dienst-Agents.
Eventarc APIs aktivieren
Zum Anzeigen und Zuweisen von IAM-Rollen für Eventarc müssen Sie für Ihr Projekt die Eventarc APIs aktivieren. Sie können die Eventarc-Rollen in der Google Cloud Console erst sehen, wenn Sie die APIs aktiviert haben.
Console
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Eventarc and Eventarc Publishing APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles. -
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Eventarc and Eventarc Publishing APIs.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.
gcloud
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
Create or select a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_IDwith a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_IDwith your Google Cloud project name.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Eventarc and Eventarc Publishing APIs:
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.gcloud services enable eventarc.googleapis.com
eventarcpublishing.googleapis.com -
Install the Google Cloud CLI.
-
If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.
-
To initialize the gcloud CLI, run the following command:
gcloud init -
Create or select a Google Cloud project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Create a Google Cloud project:
gcloud projects create PROJECT_ID
Replace
PROJECT_IDwith a name for the Google Cloud project you are creating. -
Select the Google Cloud project that you created:
gcloud config set project PROJECT_ID
Replace
PROJECT_IDwith your Google Cloud project name.
-
Verify that billing is enabled for your Google Cloud project.
-
Enable the Eventarc and Eventarc Publishing APIs:
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.gcloud services enable eventarc.googleapis.com
eventarcpublishing.googleapis.com
Vordefinierte Rollen
In der folgenden Tabelle sind die vordefinierten IAM-Rollen für Eventarc und die jeweiligen Berechtigungen aufgeführt, die eine Rolle umfasst.
Diese vorkonfigurierten Rollen berücksichtigen die meisten typischen Anwendungsfälle. Wenn Ihr Anwendungsfall nicht durch die vordefinierten Rollen abgedeckt ist, können Sie eine benutzerdefinierte IAM-Rolle erstellen.
Eventarc-Rollen
| Role | Permissions |
|---|---|
Eventarc Admin( Full control over all Eventarc resources. Lowest-level resources where you can grant this role:
|
|
Eventarc Connection Publisher Beta( Can publish events to Eventarc channel connections. Lowest-level resources where you can grant this role:
|
|
Eventarc Developer( Access to read and write Eventarc resources. Lowest-level resources where you can grant this role:
|
|
Eventarc Event Receiver( Can receive events from all event providers. Lowest-level resources where you can grant this role:
|
|
Eventarc Message Bus Admin( Full control over Message Buses resources. |
|
Eventarc Message Bus User( Access to publish to or bind to a Message Bus. |
|
Eventarc Event Collector Beta( Can collect events from multiple projects in an org for a source resource. |
|
Eventarc Publisher Beta( Can publish events to Eventarc channels. Lowest-level resources where you can grant this role:
|
|
Eventarc Service Agent( Gives Eventarc service account access to managed resources. |
|
Eventarc Viewer( Can view the state of all Eventarc resources, including IAM policies. Lowest-level resources where you can grant this role:
|
|
IAM-Verwaltung auf Projektebene
Auf Projektebene können Sie IAM-Rollen mithilfe der Google Cloud -Console, der IAM API oder der Google Cloud CLI zuweisen, ändern und widerrufen. Eine Anleitung finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.