本頁面提供相關指引,說明應使用哪種角色 (預先定義、自訂或基本角色) 來控管 Google Cloud 資源的存取權。
以下是選擇要使用的角色類型時,我們的建議摘要:
- 建議您優先使用預先定義角色,因為這類角色由 Google 管理,兼顧安全性和便利性。
- 如果您需要嚴格遵循最低權限原則的角色,但找不到符合安全需求的預先定義角色,請使用自訂角色。
- 除非沒有其他替代方案,或是在測試環境中使用,否則請勿使用基本角色。
使用預先定義角色的時機
一般來說,我們建議您使用預先定義的角色,而非基本或自訂角色。預先定義的角色可精細控管特定Google Cloud 資源的存取權,且由 Google 維護,當Google Cloud新增權限、功能或服務時,系統會自動更新。
建議您優先使用預先定義的角色,因為這些角色包含使用者在特定用途中可能需要的所有權限。大多數服務都提供廣泛的管理員、編輯者和檢視者角色,可滿足這項需求。舉例來說,Bigtable 管理員角色提供管理權限,可建立新執行個體及存取專案中的所有資料表資料,而 Bigtable 檢視者角色則提供 Bigtable 的僅供檢視存取權,可在 Google Cloud 控制台中使用。
不過,在某些情況下,您可能需要使用自訂或基本角色。以下各節將說明這些情況。
使用自訂角色的時機
與預先定義角色不同,自訂角色並非由 Google 維護。這表示當 Google Cloud 新增權限、功能或服務時,自訂角色不會自動更新。因此,我們建議授予最受限制的預先定義角色,以滿足您的需求。
不過,在下列情況下,您可能適合建立及授予自訂角色:
使用自訂角色時,請注意下列限制:
- 自訂角色最多可包含 3,000 項權限。
- 自訂角色的名稱、說明和權限名稱總大小上限為 64 KB。
可建立的自訂角色數量有限:
- 您最多可在機構中建立 300 個機構層級的自訂角色。
- 您可以在機構的每個專案中,建立最多 300 個專案層級的自訂角色。
使用基本角色的時機
基本角色包含所有 Google Cloud 服務的數千項權限。在正式環境中,除非沒有其他替代方案,否則請勿授予基本角色,而是根據需求,授予權限最小的預先定義角色或自訂角色。
如要取代基本角色,可以使用角色建議,判斷要改授哪些角色。您也可以使用 Policy Simulator,確保變更角色不會影響主體的存取權。
如要為專案授予更廣泛的權限,或許可以授予基本角色。在開發或測試環境中授予權限時,常會發生這種情況。
後續步驟
- 瞭解如何找到合適的預先定義角色。
- 瞭解如何建立自訂角色。
- 進一步瞭解基本角色。