ניהול הגישה למשאבים אחרים

בדף הזה מתואר באופן כללי התהליך של הקצאה, שינוי וביטול הרשאות גישה למשאבים שמקבלים כללי מדיניות של הרשאה.

בניהול הזהויות והרשאות הגישה (IAM) מקבלים גישה באמצעות מדיניות הרשאות (נקראת גם מדיניות IAM). מדיניות הרשאה מצורפת למשאבGoogle Cloud . כל מדיניות הרשאות כוללת אוסף של קישורים בין תפקידים שמשייכים תפקיד ב-IAM לחשבון ראשי אחד או יותר, כמו חשבון משתמש או חשבון שירות. הקישורים האלה נותנים לחשבונות הראשיים את התפקידים שצוינו גם במשאב שאליו מצורפת מדיניות ההרשאות וגם במשאבים שנמצאים מתחתיו בהיררכיית המשאבים. מידע נוסף על מדיניות ההרשאות

בדף הזה מוסבר איך לנהל את הגישה למשאבים באמצעותGoogle Cloud המסוף, Google Cloud CLI ו-API בארכיטקטורת REST. אפשר גם לנהל את הגישה באמצעות Google Cloud ספריות הלקוח.

לפני שמתחילים

התפקידים הנדרשים

כדי לנהל את הגישה למשאב צריכות להיות לכם הרשאות לקבלת המשאב וקבוצת כללי מדיניות ההרשאות של המשאב. ההרשאות האלה מופיעות בפורמט הבא, כאשר SERVICE הוא השם של השירות שהמשאב נמצא בבעלותו ו-RESOURCE_TYPE הוא השם של סוג המשאב שרוצים לנהל את הגישה אליו:

  • SERVICE.RESOURCE_TYPE.get
  • SERVICE.RESOURCE_TYPE.getIamPolicy
  • SERVICE.RESOURCE_TYPE.setIamPolicy

לדוגמה, כדי לנהל את הגישה למכונה של Compute Engine, נדרשות ההרשאות האלה:

  • compute.instances.get
  • compute.instances.getIamPolicy
  • compute.instances.setIamPolicy

כדי לקבל את ההרשאות הנדרשות, אתם צריכים לבקש מהאדמין להקצות לכם תפקיד מוגדר מראש או תפקיד מותאם אישית שכולל את ההרשאות. לדוגמה, האדמין יכול להקצות לכם את התפקיד 'אדמין לענייני אבטחה' (roles/iam.securityAdmin), שכולל הרשאות לניהול הגישה לרוב כמעט מוחלט של משאבי Google Cloud .

הצגת הגישה הנוכחית

בקטע הבא מוסבר איך משתמשים במסוף Google Cloud , ב-CLI של gcloud וב-API בארכיטקטורת REST כדי לבדוק למי יש גישה למשאב. אפשר גם לבדוק את הגישה על ידי הצגת מדיניות ההרשאות של המשאב באמצעות ספריות הלקוח של Google Cloud .

המסוף

  1. במסוף Google Cloud , נכנסים לדף שבו מוצג המשאב שרוצים לראות את הגישה אליו.

    לדוגמה, כדי לנהל את הגישה למכונה של Compute Engine, נכנסים לדף VM instances.

    לדף VM instances

  2. מסמנים את התיבה לצד המשאב שרוצים להציג את הרשאות הגישה אליו.

  3. מוודאים שחלונית המידע מוצגת. אם היא לא מוצגת, לוחצים על Show info panel. בכרטיסייה Permissions בחלונית המידע מפורטים כל חשבונות המשתמשים שיש להם הרשאת גישה למשאב.

    אם המתג Show inherited permissions מופעל, ברשימה כלולים חשבונות משתמשים שיש להם תפקידים שעברו בירושה, כלומר חשבונות משתמשים שהרשאת הגישה שלהם הועברה אליהם מתפקידים במשאבי הורה ולא מתפקידים במשאב עצמו. למידע נוסף על ירושה של מדיניות, ראו ירושה של מדיניות והיררכיית המשאבים.

gcloud

כדי לראות למי יש גישה למשאב, צריך לבדוק במדיניות ההרשאות של המשאב. במאמר הסבר על מדיניות ההרשאות מוסבר איך לקרוא את כללי המדיניות.

כדי לקבל את מדיניות ההרשאות של המשאב, מפעילים את הפקודה get-iam-policy לאותו משאב.

הפורמט של הפקודה הזו משתנה בהתאם לסוג המשאב שאתם מנהלים את הגישה אליו. כדי למצוא את הפורמט שמתאים למשאב, מאתרים את ההפניה לפקודה get-iam-policy של המשאב במאמרי העזרה של Google Cloud CLI. ההפניות מסודרות לפי שירות ואז לפי משאב. לדוגמה, כדי לקבל את מדיניות ההרשאות של מכונה וירטואלית ב-Compute Engine, פועלים לפי הפורמט שמתואר בהפניה gcloud compute instances get-iam-policy.

כדי לציין את הפורמט ולייצא את התוצאות, מוסיפים לפקודה את הארגומנטים הבאים:

--format=FORMAT > PATH

מציינים את הערכים הבאים:

  • FORMAT: הפורמט הרצוי למדיניות. משתמשים ב-json או ב-yaml.
  • PATH: הנתיב לקובץ פלט חדש של המדיניות.

כשמריצים את הפקודה, מדיניות ההרשאות של המשאב מודפסת במסוף או מיוצאת לקובץ שצוין.

REST

כדי לראות למי יש גישה למשאב, צריך לבדוק במדיניות ההרשאות של המשאב. במאמר הסבר על מדיניות ההרשאות מוסבר איך לקרוא את כללי המדיניות.

כדי לקבל את מדיניות ההרשאות של המשאב, משתמשים ב-method ‏getIamPolicy של המשאב.

ה-method ‏HTTP, כתובת ה-URL וגוף הבקשה משתנים לפי המשאב שרוצים להציג את הגישה אליו. כדי למצוא את הפרטים האלה, מאתרים את הפניית ה-API של השירות שהוא הבעלים של המשאב ואז מחפשים את ההפניה ל-method ‏ getIamPolicy של המשאב. לדוגמה, ה-method ‏HTTP, כתובת ה-URL וגוף הבקשה במכונה של Compute Engine מצוינים בהפניה getIamPolicy של המכונות.

התשובה שחוזרת מכל method ‏getIamPolicy של המשאב מכילה את מדיניות ההרשאות של המשאב.

איך נותנים או מבטלים תפקידים בודדים ב-IAM

אתם יכולים להשתמש במסוף Google Cloud וב-CLI של gcloud כדי לתת או לבטל במהירות תפקיד אחד לישות מורשית אחת, בלי לערוך את מדיניות ההרשאה של המשאב באופן ישיר. דוגמאות לחשבונות משתמשים נפוצים: חשבונות Google, חשבונות שירות, קבוצות Google ודומיינים. רשימה של כל סוגי החשבונות הראשיים זמינה במאמר סוגי חשבונות ראשיים.

בדרך כלל, השינויים במדיניות מתעדכנים תוך 2 דקות. עם זאת, במקרים מסוימים יכולות לחלוף 7 דקות או יותר עד שהשינויים ייכנסו לתוקף בכל המערכת.

לא בטוחים איזה תפקיד מוגדר מראש הוא המתאים ביותר? תוכלו להיעזר במאמר בחירת תפקידים מוגדרים מראש.

איך נותנים תפקיד IAM בודד

כדי לתת תפקיד לחשבון ראשי, תוכלו לבצע את הפעולות הבאות:

המסוף

  1. במסוף Google Cloud , נכנסים לדף שבו מוצג המשאב שרוצים לראות את הגישה אליו.

    לדוגמה, כדי לנהל את הגישה למכונה של Compute Engine, נכנסים לדף VM instances.

    לדף VM instances

  2. מסמנים את התיבה לצד המשאב שרוצים להציג את הרשאות הגישה אליו.

  3. מוודאים שחלונית המידע מוצגת. אם היא לא מוצגת, לוחצים על Show info panel.

  4. בוחרים את חשבון המשתמש שהתפקיד יוקצה לו:

    • כדי להקצות תפקיד לחשבון משתמש שכבר יש לו תפקידים אחרים במשאב, לוחצים על Edit principal בשורה שבה מוצג המשאב ולאחר מכן לוחצים על Add another role.

    • כדי להקצות תפקיד לחשבון משתמש שעדיין אין לו תפקידים אחרים במשאב, לוחצים על Add principal ומזינים את המזהה של חשבון המשתמש, למשל my-user@example.com או //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.

  5. בוחרים את התפקיד שרוצים להקצות מהרשימה הנפתחת. בהתאם לנוהלי האבטחה המומלצים, כדאי לבחור תפקיד שמכיל רק את ההרשאות שהחשבון הראשי צריך.

  6. אם רוצים, מוסיפים תנאי לתפקיד.

  7. לוחצים על Save. חשבון המשתמש מקבל את התפקיד במשאב.

gcloud

כדי להקצות תפקיד לחשבון משתמש במהירות, מריצים את הפקודה add-iam-policy-binding.

הפורמט של הפקודה הזו משתנה בהתאם לסוג המשאב שאתם מנהלים את הגישה אליו. כדי למצוא את הפורמט שמתאים למשאב, מאתרים את ההפניה לפקודה add-iam-policy-binding של המשאב במאמרי העזרה של Google Cloud CLI. ההפניות מסודרות לפי שירות ואז לפי משאב. לדוגמה, כדי להקצות תפקיד לחשבון משתמש במכונה של Compute Engine, פועלים לפי הפורמט שמצוין בחומר העזר בנושא gcloud compute instances add-iam-policy- binding.

איך מבטלים תפקידים בודדים ב-IAM

כדי לבטל תפקיד בודד שניתן לחשבון ראשי, תוכלו לבצע את הפעולות הבאות:

המסוף

  1. נכנסים לדף שבו מוצג המשאב שממנו רוצים לבטל את הרשאות הגישה במסוף Google Cloud .

    לדוגמה, כדי לנהל את הגישה למכונה של Compute Engine, נכנסים לדף VM instances:

    לדף VM instances

  2. מסמנים את התיבה לצד המשאב שרוצים להציג את הרשאות הגישה אליו.

  3. מוודאים שחלונית המידע מוצגת. אם היא לא מוצגת, לוחצים על Show info panel.

  4. מחפשים את השורה שמכילה את חשבון המשתמש שרוצים לבטל את הגישה שלו. בשורה הזו לוחצים על Edit principal.

  5. לוחצים על Delete לתפקיד שרוצים לבטל ואז על Save.

gcloud

כדי לבטל במהירות תפקיד מחשבון משתמש, מריצים את הפקודה remove-iam-policy-binding.

הפורמט של הפקודה הזו משתנה בהתאם לסוג המשאב שאתם מנהלים את הגישה אליו. כדי למצוא את הפורמט שמתאים למשאב, מאתרים את ההפניה לפקודה remove-iam-policy-binding של המשאב במאמרי העזרה של Google Cloud CLI. ההפניות מסודרות לפי שירות ואז לפי משאב. לדוגמה, כדי להקצות תפקיד לחשבון משתמש במכונה של Compute Engine, פועלים לפי הפורמט שמצוין בחומר העזר בנושא gcloud compute instances remove-iam-policy-binding.

איך נותנים או מבטלים מספר תפקידים ב-IAM באמצעות Google Cloud מסוף

אתם יכולים להשתמש במסוף Google Cloud כדי להעניק ולבטל כמה תפקידים לישות מורשית אחת:

  1. במסוף Google Cloud , נכנסים לדף שבו מוצג המשאב שרוצים לראות את הגישה אליו.

    לדוגמה, כדי לנהל את הגישה למכונה של Compute Engine, נכנסים לדף VM instances.

    לדף VM instances

  2. מסמנים את התיבה לצד המשאב שרוצים להציג את הרשאות הגישה אליו.

  3. אם חלונית המידע לא מוצגת, לוחצים על Show info panel.

  4. בוחרים את חשבון המשתמש שאת התפקידים שלו רוצים לשנות:

    • כדי לשנות את התפקידים של חשבון משתמש שכבר יש לו תפקידים במשאב, לוחצים על Edit principal בשורה של המשאב ואחר כך על Add another role.

    • כדי להקצות תפקידים לחשבון משתמש שאין לו תפקידים קיימים במשאב, לוחצים על Add principal ומזינים את המזהה של חשבון המשתמש, למשל my-user@example.com או //iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.

  5. עריכת התפקידים של חשבון משתמש:

    • כדי לתת תפקיד לחשבון ראשי שאין לו תפקידים קיימים במשאב, לוחצים על Select a role ובוחרים מהרשימה הנפתחת את התפקיד שרוצים לתת.
    • כדי לתת תפקיד נוסף לחשבון הראשי, לוחצים על Add another role ובוחרים מהרשימה הנפתחת את התפקיד שרוצים לתת.
    • כדי להחליף לחשבון הראשי תפקיד קיים בתפקיד אחר, לוחצים על התפקיד הקיים ובוחרים מהרשימה הנפתחת את התפקיד האחר שרוצים לתת.
    • כדי לבטל תפקידים של החשבון הראשי, לוחצים על Delete ליד כל אחד מהתפקידים שרוצים לבטל.

    אפשר גם להוסיף תנאי לתפקיד, לשנות את התנאי או להסיר את התנאי.

  6. לוחצים על Save.

הענקת או ביטול מספר תפקידי IAM באופן פרוגרמטי

כדי לבצע שינויים נרחבים בגישה, כולל הקצאה וביטול של תפקידים מרובים למספר חשבונות משתמשים, השתמשו בתבנית read-modify-write לעדכון מדיניות ההרשאות של המשאב:

  1. קוראים את מדיניות ההרשאה הנוכחית על ידי שליחת קריאה ל-getIamPolicy().
  2. כדי להוסיף או להסיר חשבונות ראשיים או קישורי תפקידים, עורכים את מדיניות ההרשאות באמצעות כלי לעריכת טקסט או באופן פרוגרמטי.
  3. כותבים את מדיניות ההרשאות המעודכנת באמצעות setIamPolicy().

בקטע הזה נסביר איך משתמשים ב-CLI של gcloud וב-API בארכיטקטורת REST כדי לעדכן את מדיניות ההרשאות. אפשר לעדכן את מדיניות ההרשאות גם באמצעותGoogle Cloud ספריות הלקוח.

בדרך כלל, השינויים במדיניות מתעדכנים תוך 2 דקות. עם זאת, במקרים מסוימים יכולות לחלוף 7 דקות או יותר עד שהשינויים ייכנסו לתוקף בכל המערכת.

קבלת מדיניות ההרשאות הנוכחית

gcloud

כדי לקבל את מדיניות ההרשאות של המשאב, מפעילים את הפקודה get-iam-policy לאותו משאב.

הפורמט של הפקודה הזו משתנה בהתאם לסוג המשאב שאתם מנהלים את הגישה אליו. כדי למצוא את הפורמט שמתאים למשאב, מאתרים את ההפניה לפקודה get-iam-policy של המשאב במאמרי העזרה של Google Cloud CLI. ההפניות מסודרות לפי שירות ואז לפי משאב. לדוגמה, כדי לקבל את מדיניות ההרשאות של מכונה וירטואלית ב-Compute Engine, פועלים לפי הפורמט שמתואר בהפניה gcloud compute instances get-iam-policy.

כדי לציין את הפורמט ולייצא את התוצאות, מוסיפים לפקודה את הארגומנטים הבאים:

--format=FORMAT > PATH

מציינים את הערכים הבאים:

  • FORMAT: הפורמט הרצוי למדיניות ההרשאות. אפשר להשתמש ב-json או ב-yaml.
  • PATH: הנתיב לקובץ הפלט החדש של מדיניות ההרשאות.

כשמריצים את הפקודה, מדיניות ההרשאות של המשאב מודפסת במסוף או מיוצאת לקובץ שצוין.

REST

כדי לקבל את מדיניות ההרשאות של המשאב, משתמשים ב-method ‏getIamPolicy של המשאב.

ה-method ‏HTTP, כתובת ה-URL וגוף הבקשה משתנים לפי המשאב שרוצים להציג את הגישה אליו. כדי למצוא את הפרטים האלה, מאתרים את הפניית ה-API של השירות שהוא הבעלים של המשאב ואז מחפשים את ההפניה ל-method ‏ getIamPolicy של המשאב. לדוגמה, ה-method ‏HTTP, כתובת ה-URL וגוף הבקשה במכונה הוירטואלית של Compute Engine מצוינים בהפניה getIamPolicy של המכונות.

התשובה שחוזרת מכל method ‏getIamPolicy של המשאב מכילה את מדיניות ההרשאות של המשאב. שומרים את התגובה בקובץ מהסוג המתאים (json או yaml).

שינוי מדיניות ההרשאות

כדי להקצות או לבטל תפקידים, עורכים את העותק המקומי של מדיניות ההרשאות של המשאב באמצעות עורך טקסט או באופן פרוגרמטי.

חשוב לא לערוך או להסיר את השדה etag במדיניות ההרשאות כדי לוודא שאתם לא מבטלים שינויים אחרים שנעשו. השדה etag משמש לזיהוי המצב הנוכחי של מדיניות ההרשאות. כשמגדירים את מדיניות ההרשאות המעודכנת, מערכת IAM משווה את הערך etag שבבקשה עם הערך etag הקיים, וכתיבת מדיניות ההרשאות מתבצעת רק אם הערכים תואמים.

כדי לערוך את התפקידים שהמדיניות מאפשרת, צריך לערוך את קישור התפקידים במדיניות ההרשאה. קישורי התפקידים מופיעים בפורמט הבא:

{
  "role": "ROLE_NAME",
  "members": [
    "PRINCIPAL_1",
    "PRINCIPAL_2",
    ...
    "PRINCIPAL_N"
  ],
  "conditions:" {
    CONDITIONS
  }
}

מחליפים את ה-placeholders בערכים הבאים:

  • ROLE_NAME: שם התפקיד שרוצים לתת. תוכלו להשתמש באחד מהפורמטים הבאים:

    • תפקידים מוגדרים מראש: roles/SERVICE.IDENTIFIER
    • תפקידים בהתאמה אישית ברמת הפרויקט: projects/PROJECT_ID/roles/IDENTIFIER
    • תפקידים בהתאמה אישית ברמת הארגון: organizations/ORG_ID/roles/IDENTIFIER

    רשימת התפקידים המוגדרים מראש מופיעה במאמר הסבר על התפקידים.

  • PRINCIPAL_1, ‏PRINCIPAL_2 ו-...PRINCIPAL_N: מזהי החשבונות הראשיים שאתם רוצים לתת להם את התפקיד.

    בדרך כלל, מזהי החשבונות הראשיים מופיעים בפורמט הבא: PRINCIPAL-TYPE:ID. לדוגמה, user:my-user@example.com או principalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com. רשימה מלאה של הערכים שיכולים להיות ל-PRINCIPAL מופיעה במאמר מזהים של חשבונות משתמשים.

    בסוג חשבון המשתמש user, שם הדומיין במזהה צריך להיות של Google Workspace או של Cloud Identity. בסקירה הכללית על Cloud Identity תוכלו לקרוא איך מגדירים דומיין ב-Cloud Identity.

  • CONDITIONS: אופציונלי. כל התנאים שמציינים מתי תוענק גישה.

מתן תפקידים

כדי להקצות תפקידים לחשבונות המשתמשים, משנים את קישורי התפקידים במדיניות ההרשאה. מידע על התפקידים שאפשר להקצות מופיע במאמר הסבר על תפקידים או הצגת התפקידים שאפשר להקצות למשאב. אם אתם צריכים עזרה בזיהוי התפקידים המוגדרים מראש המתאימים ביותר, אפשר לעיין במאמר בחירת תפקידים מוגדרים מראש.

לחלופין אפשר להשתמש בתנאים כדי להקצות תפקידים רק אם עומדים בדרישות מסוימות.

כדי לתת תפקיד שכבר כלול במדיניות ההרשאות, מוסיפים את החשבון הראשי לקישור קיים בין תפקידים:

gcloud

כדי לערוך את מדיניות ההרשאות, מוסיפים את החשבון הראשי לקישור קיים בין תפקידים. שימו לב שהשינוי הזה יתעדכן רק אחרי שתגדירו את מדיניות ההרשאות המעודכנת.

לדוגמה, נניח שמדיניות ההרשאות כוללת את קישור התפקידים הבא, שמקצה את התפקיד 'אדמין מכונות של Compute' (roles/compute.instanceAdmin) ל-Kai:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com"
  ]
}

כדי להעניק את אותו התפקיד ל-Raha, צריך להוסיף את מזהה הישות המורשית של Raha לקישור הקיים בין התפקידים:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

REST

כדי לערוך את מדיניות ההרשאות, מוסיפים את החשבון הראשי לקישור קיים בין תפקידים. שימו לב שהשינוי הזה יתעדכן רק אחרי שתגדירו את מדיניות ההרשאות המעודכנת.

לדוגמה, נניח שמדיניות ההרשאות כוללת את קישור התפקידים הבא, שמקצה את התפקיד 'אדמין מכונות של Compute' (roles/compute.instanceAdmin) ל-Kai:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com"
  ]
}

כדי להעניק את אותו התפקיד ל-Raha, צריך להוסיף את מזהה הישות המורשית של Raha לקישור הקיים בין התפקידים:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

כדי להעניק תפקיד שלא כלול עדיין במדיניות ההרשאה, צריך להוסיף תפקיד חדש:

gcloud

כדי לערוך את מדיניות ההרשאות, מוסיפים קישור חדש בין תפקידים שנותן את התפקיד לחשבון הראשי. השינוי הזה לא ייכנס לתוקף עד הגדרת מדיניות ההרשאה המעודכנת.

לדוגמה, כדי להקצות את התפקיד 'אדמין של מאזן עומסים של Compute' (roles/compute.loadBalancerAdmin) ל-Raha, צריך להוסיף את קישור התפקיד הבא למערך bindings של מדיניות ההרשאות:

{
  "role": "roles/compute.loadBalancerAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

REST

כדי לערוך את מדיניות ההרשאה צריך להוסיף קישור חדש לתפקיד שמקצה את התפקיד לחשבון המשתמש. השינוי הזה לא ייכנס לתוקף עד הגדרת מדיניות ההרשאה המעודכנת.

לדוגמה, כדי להקצות את התפקיד 'אדמין של מאזן עומסים של Compute' (roles/compute.loadBalancerAdmin) ל-Raha, צריך להוסיף את קישור התפקיד הבא למערך bindings של מדיניות ההרשאות:

{
  "role": "roles/compute.loadBalancerAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

ביטול תפקיד

כדי לבטל תפקיד, מסירים את חשבון המשתמש מקישור התפקיד. אם אין חשבונות משתמשים אחרים בקישור התפקיד, מסירים את קישור התפקיד כולו.

gcloud

כדי לבטל תפקיד, עורכים את מדיניות ההרשאה מסוג JSON או YAML שהוחזרה באמצעות הפקודה get-iam-policy. השינוי הזה לא ייכנס לתוקף עד הגדרת מדיניות ההרשאה המעודכנת.

כדי לבטל תפקיד מחשבון משתמש, מוחקים את חשבונות המשתמשים או המקשרים הרצויים ממערך ה-bindings של מדיניות ההרשאה.

REST

כדי לבטל תפקיד, עורכים את מדיניות ההרשאה מסוג JSON או YAML שהוחזרה באמצעות הפקודה get-iam-policy. השינוי הזה לא ייכנס לתוקף עד הגדרת מדיניות ההרשאה המעודכנת.

כדי לבטל תפקיד של חשבון משתמש, מוחקים את חשבונות המשתמשים או את הקישורים הרלוונטים ממערך ה-bindings של מדיניות ההרשאות.

הגדרת מדיניות ההרשאות

אחרי שמשנים את מדיניות ההרשאה כדי להקצות ולבטל את התפקידים הרצויים, צריך לבצע קריאה ל-setIamPolicy() כדי לבצע את העדכונים.

gcloud

כדי להגדיר את מדיניות ההרשאות של המשאב, מפעילים את הפקודה set-iam-policy עבור המשאב.

הפורמט של הפקודה הזו משתנה בהתאם לסוג המשאב שאתם מנהלים את הגישה אליו. כדי למצוא את הפורמט שמתאים למשאב, מאתרים את ההפניה לפקודה set-iam-policy של המשאב במאמרי העזרה של Google Cloud CLI. ההפניות מסודרות לפי שירות ואז לפי משאב. לדוגמה, כדי לקבל את מדיניות ההרשאות של מכונה וירטואלית ב-Compute Engine, פועלים לפי הפורמט שמתואר בהפניה gcloud compute instances set-iam-policy.

התשובה שחוזרת מכל פקודת set-iam-policy של המשאב מכילה את מדיניות ההרשאות המעודכנת של המשאב.

REST

כדי להגדיר את מדיניות ההרשאות של המשאב, משתמשים ב-method ‏setIamPolicy של המשאב.

ה-method ‏HTTP, כתובת ה-URL וגוף הבקשה משתנים לפי המשאב שרוצים להציג את הגישה אליו. כדי למצוא את הפרטים האלה, מאתרים את הפניית ה-API של השירות שהוא הבעלים של המשאב ואז מחפשים את ההפניה ל-method ‏ setIamPolicy של המשאב. לדוגמה, ה-method ‏HTTP, כתובת ה-URL וגוף הבקשה במכונה הוירטואלית של Compute Engine מצוינים בהפניה setIamPolicy של המכונות.

התשובה שחוזרת מכל method ‏setIamPolicy של המשאב מכילה את מדיניות ההרשאות המעודכנת של המשאב.

המאמרים הבאים

נסו בעצמכם

אתם משתמשים חדשים ב- Google Cloud? אנחנו ממליצים לכם ליצור חשבון, להתנסות בעצמכם במוצרים שלנו ולבחון אותם באמצעות תרחישים ממשיים. לקוחות חדשים מקבלים בחינם גם קרדיט בשווי 300$ להרצה, לבדיקה ולפריסה של עומסי העבודה.

מתחילים לעבוד בלי לשלם