Rolle auswählen

Auf dieser Seite finden Sie Informationen dazu, welche Art von Rolle (vordefiniert, benutzerdefiniert oder einfach) Sie verwenden sollten, um den Zugriff auf Google Cloud -Ressourcen zu steuern.

Im Folgenden finden Sie eine Zusammenfassung unserer Empfehlungen zur Auswahl des Rollentyps:

  • Wir empfehlen, vordefinierte Rollen zu verwenden, da sie von Google verwaltet werden und ein ausgewogenes Verhältnis zwischen Sicherheit und Komfort bieten.
  • Wenn Sie eine Rolle benötigen, die dem Prinzip der geringsten Berechtigung entspricht, und Sie keine vordefinierte Rolle finden, die Ihren Sicherheitsanforderungen entspricht, verwenden Sie benutzerdefinierte Rollen.
  • Verwenden Sie einfache Rollen nur, wenn es keine Alternative gibt oder wenn Sie sie in einer Testumgebung verwenden.

Wann sollten vordefinierte Rollen verwendet werden?

Im Allgemeinen empfehlen wir, vordefinierte Rollen anstelle von einfachen oder benutzerdefinierten Rollen zu verwenden. Vordefinierte Rollen ermöglichen einen genau definierten Zugriff auf bestimmteGoogle Cloud -Ressourcen, werden von Google verwaltet und automatisch aktualisiert, wennGoogle Cloudneue Berechtigungen, Funktionen oder Dienste hinzugefügt werden.

Es gibt jedoch einige Fälle, in denen Sie benutzerdefinierte oder einfache Rollen verwenden sollten. In den folgenden Abschnitten werden diese Fälle beschrieben.

Wann sollten benutzerdefinierte Rollen verwendet werden?

Im Gegensatz zu vordefinierten Rollen werden benutzerdefinierte Rollen nicht von Google verwaltet. Wenn Google Cloud neue Berechtigungen, Funktionen oder Dienste hinzufügt, werden Ihre benutzerdefinierten Rollen nicht automatisch aktualisiert. Daher empfehlen wir, die am stärksten beschränkten vordefinierten Rollen zuzuweisen, die noch Ihre Anforderungen erfüllen.

In den folgenden Fällen kann es jedoch sinnvoll sein, benutzerdefinierte Rollen zu erstellen und zuzuweisen:

  • Ein Hauptkonto benötigt eine Berechtigung, aber jede vordefinierte Rolle mit dieser Berechtigung enthält auch Berechtigungen, die das Hauptkonto nicht benötigt und nicht haben sollte.
  • Mit Rollenempfehlungen können Sie zu weit gefasste Rollenzuweisungen durch geeignete Rollenzuweisungen ersetzen. In einigen Fällen erhalten Sie möglicherweise eine Empfehlung zum Erstellen einer benutzerdefinierten Rolle.

Beachten Sie bei der Verwendung benutzerdefinierter Rollen die folgenden Einschränkungen:

  • Benutzerdefinierte Rollen können bis zu 3.000 Berechtigungen enthalten.
  • Die maximale Gesamtgröße von Titel, Beschreibung und Berechtigungsnamen für eine benutzerdefinierte Rolle beträgt 64 KB.

  • Die Anzahl der benutzerdefinierten Rollen, die Sie erstellen können, ist begrenzt:

    • Sie können bis zu 300 benutzerdefinierte Rollen auf Organisationsebene in Ihrer Organisation erstellen.
    • Sie können in jedem Projekt in Ihrer Organisation bis zu 300 benutzerdefinierte Rollen auf Projektebene erstellen.

Wann sollten einfache Rollen verwendet werden?

Einfache Rollen umfassen Tausende von Berechtigungen für alle Google Cloud -Dienste. In Produktionsumgebungen sollten Sie einfache Rollen nur zuweisen, wenn es keine andere Möglichkeit gibt. Gewähren Sie stattdessen vordefinierte Rollen mit den größten Einschränkungen oder benutzerdefinierte Rollen, die Ihren Anforderungen entsprechen.

Wenn Sie eine einfache Rolle ersetzen müssen, können Sie Rollenempfehlungen verwenden, um zu bestimmen, welche Rollen stattdessen zugewiesen werden sollen. Sie können auch den Richtliniensimulator verwenden, um sicherzustellen, dass sich eine Änderung der Rolle nicht auf den Zugriff des Hauptkontos auswirkt.

Es kann sinnvoll sein, einfache Rollen zuzuweisen, wenn Sie umfassendere Berechtigungen für ein Projekt gewähren möchten. Dies ist oft der Fall, wenn Sie Berechtigungen in Entwicklungs- oder Testumgebungen gewähren.

Nächste Schritte