Diese Seite wurde von der Cloud Translation API übersetzt.

Rollen und Berechtigungen

Auf dieser Seite werden IAM-Rollen (Identity and Access Management) beschrieben, die Sammlungen von IAM-Berechtigungen sind.

Eine Rolle enthält eine Reihe von Berechtigungen, mit denen Sie bestimmte Aktionen fürGoogle Cloud -Ressourcen ausführen können. Wenn Sie Hauptkonten Berechtigungen erteilen möchten, einschließlich Nutzern, Gruppen und Dienstkonten, weisen Sie den Hauptkonten Rollen zu.

Hinweis

Machen Sie sich mit den grundlegenden Konzepten von IAM vertraut.

Rollentypen

Es gibt drei Arten von Rollen in IAM:

Einfache Rollen, die umfassenden Zugriff auf Google Cloud Ressourcen bieten.
Vordefinierte Rollen, die detaillierten Zugriff auf einen bestimmten Dienst ermöglichen und von Google Cloudverwaltet werden.
Benutzerdefinierte Rollen, die detaillierten Zugriff gemäß einer vom Nutzer angegebenen Liste von Berechtigungen bieten.

Mit einer der folgenden Methoden können Sie ermitteln, ob eine Berechtigung in einer einfachen, vordefinierten oder benutzerdefinierten Rolle enthalten ist:

Sehen Sie sich die Rolle in der Google Cloud -Console an.

Zu Rollen
Führen Sie den Befehl gcloud iam roles describe aus.
Rufen Sie die Rolle mit der entsprechenden REST API-Methode ab:
- Für vordefinierte Rollen verwenden Sie roles.get().
- Für benutzerdefinierte Rollen auf Projektebene verwenden Sie projects.roles.get().
- Für benutzerdefinierte Rollen auf Organisationsebene verwenden Sie organizations.roles.get().
Nur für einfache und vordefinierte Rollen: Suchen Sie in der Berechtigungsreferenz, ob die Berechtigung von der Rolle gewährt wird.
Nur für vordefinierte Rollen: In den vordefinierten Rollenbeschreibungen können Sie sehen, welche Berechtigungen die Rolle enthält.

Eine Anleitung dazu, wann bestimmte Rollentypen verwendet werden sollten, finden Sie unter Rollentyp auswählen.

Rollenkomponenten

Jede Rolle besteht aus folgenden Komponenten:

Titel: Ein für Menschen lesbarer Name für die Rolle. Der Rollentitel wird verwendet, um die Rolle in der Google Cloud Console zu identifizieren.
Name: Eine Kennung für die Rolle in einem der folgenden Formate:
- Vordefinierte Rollen: roles/SERVICE.IDENTIFIER
- Benutzerdefinierte Rollen auf Projektebene: projects/PROJECT_ID/roles/IDENTIFIER
- Benutzerdefinierte Rollen auf Organisationsebene: organizations/ORG_ID/roles/IDENTIFIER
Der Rollenname wird verwendet, um die Rolle in Richtlinien zulassen zu identifizieren.
ID: Eine eindeutige Kennung für die Rolle. Bei einfachen und vordefinierten Rollen entspricht die ID dem Rollennamen. Bei benutzerdefinierten Rollen ist die ID alles, was hinter roles/ im Rollennamen steht.
Beschreibung: Eine für Menschen lesbare Beschreibung der Rolle.
Phase: Die Phase der Rolle im Startlebenszyklus, z. B. ALPHA, BETA oder GA. Weitere Informationen zu Startphasen finden Sie unter Testen und bereitstellen.
Berechtigungen: Die in der Rolle enthaltenen Berechtigungen. Mit Berechtigungen werden Hauptkonten autorisiert, bestimmte Aktionen auf Google Cloud -Ressourcen durchzuführen. Wenn Sie einem Hauptkonto eine Rolle zuweisen, erhält das Hauptkonto alle Berechtigungen in der Rolle.

Berechtigungen haben das folgende Format:
```
SERVICE.RESOURCE.VERB
```
Mit der Berechtigung compute.instances.list kann ein Nutzer zum Beispiel die Compute Engine-Instanzen auflisten, die ihm gehören. Mit compute.instances.stop können Nutzer eine VM beenden.

Berechtigungen stehen normalerweise, aber nicht immer, im Verhältnis 1:1 zu den REST-Methoden. Das bedeutet, dass jedem Google Cloud -Dienst eine Berechtigung für jede vorhandene REST-Methode zugewiesen ist. Der Aufrufer benötigt die zugehörige Berechtigung, um eine Methode aufzurufen. Wenn Sie beispielsweise die Methode projects.topics.publish der Pub/Sub API aufrufen möchten, benötigen Sie die Berechtigung pubsub.topics.publish.
ETag: Eine Kennung für die Version der Rolle, um zu verhindern, dass sich gleichzeitige Aktualisierungen gegenseitig überschreiben. Einfache und vordefinierte Rollen haben immer das ETag AA==. ETags von benutzerdefinierten Rollen ändern sich jedes Mal, wenn Sie die Rollen ändern.

Einfache Rollen

Einfache Rollen sind sehr permissive Rollen, die umfassenden Zugriff aufGoogle Cloud -Ressourcen gewähren.

Die einfachen Rollen in IAM sind „Administrator“ (roles/admin), „Autor“ (roles/writer) und „Leser“ (roles/reader). IAM hat auch drei einfache Legacy-Rollen, die es vor der Einführung von IAM gab: „Inhaber“ (roles/owner), „Bearbeiter“ (roles/editor) und „Betrachter“ (roles/viewer). Weitere Informationen zu diesen Rollen finden Sie auf dieser Seite unter Einfache Legacy-Rollen.

In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die die Rollen „Administrator“, „Autor“ und „Leser“ für Principals in allen Google Cloud -Diensten gewähren:

Einfache Rolle Berechtigungen

Einfache Rolle	Berechtigungen
Leser (`roles/reader`)	Berechtigungen für schreibgeschützte Aktionen, die sich nicht auf den Status auswirken, z. B. das Anzeigen (aber nicht das Ändern) vorhandener Ressourcen oder Daten. Eine Liste der Berechtigungen in der Rolle „Leser“ finden Sie in den Rollendetails in der Google Cloud Console: Zur Rolle „Leser“
Autor (`roles/writer`)	Alle Berechtigungen der Rolle „Leser“ sowie Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. das Ändern vorhandener Ressourcen Mit den Berechtigungen in der Rolle „Autor“ können Sie Ressourcen für die meisten Google Cloud Dienste erstellen und löschen. Die Rolle „Autor“ enthält jedoch keine Berechtigungen zum Ausführen aller Aktionen für alle Dienste. Weitere Informationen dazu, wie Sie prüfen können, ob eine Rolle die erforderlichen Berechtigungen hat, finden Sie auf dieser Seite unter Rollentypen. Eine Liste der Berechtigungen in der Rolle „Autor“ finden Sie in den Rollendetails in der Google Cloud Console: Zur Rolle „Autor“
Administrator (`roles/admin`)	Alle Berechtigungen der Rolle „Autor“ sowie Berechtigungen für Aktionen wie die folgenden: Sensible Aufgaben wie das Verwalten von Tag-Bindungen für Compute Engine-Ressourcen ausführen Verwaltung von Rollen und Berechtigungen für ein Projekt und aller Ressourcen innerhalb des Projekts Abrechnung für ein Projekt einrichten Die Rolle „Administrator“ enthält nicht alle Berechtigungen für alle Google Cloud -Ressourcen. Sie enthält beispielsweise keine Berechtigungen zum Ändern Ihrer Cloud Billing-Zahlungsinformationen oder zum Erstellen von IAM-Ablehnungsrichtlinien. Eine Liste der Berechtigungen in der Rolle „Administrator“ finden Sie in den Rollendetails in der Google Cloud Console: Zur Rolle „Administrator“

Leser (roles/reader)

Berechtigungen für schreibgeschützte Aktionen, die sich nicht auf den Status auswirken, z. B. das Anzeigen (aber nicht das Ändern) vorhandener Ressourcen oder Daten.

Eine Liste der Berechtigungen in der Rolle „Leser“ finden Sie in den Rollendetails in der Google Cloud Console:

Zur Rolle „Leser“

Autor (roles/writer)

Alle Berechtigungen der Rolle „Leser“ sowie Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. das Ändern vorhandener Ressourcen

Mit den Berechtigungen in der Rolle „Autor“ können Sie Ressourcen für die meisten Google Cloud Dienste erstellen und löschen. Die Rolle „Autor“ enthält jedoch keine Berechtigungen zum Ausführen aller Aktionen für alle Dienste. Weitere Informationen dazu, wie Sie prüfen können, ob eine Rolle die erforderlichen Berechtigungen hat, finden Sie auf dieser Seite unter Rollentypen.

Eine Liste der Berechtigungen in der Rolle „Autor“ finden Sie in den Rollendetails in der Google Cloud Console:

Zur Rolle „Autor“

Administrator (roles/admin)

Alle Berechtigungen der Rolle „Autor“ sowie Berechtigungen für Aktionen wie die folgenden:

Sensible Aufgaben wie das Verwalten von Tag-Bindungen für Compute Engine-Ressourcen ausführen
Verwaltung von Rollen und Berechtigungen für ein Projekt und aller Ressourcen innerhalb des Projekts
Abrechnung für ein Projekt einrichten

Die Rolle „Administrator“ enthält nicht alle Berechtigungen für alle Google Cloud -Ressourcen. Sie enthält beispielsweise keine Berechtigungen zum Ändern Ihrer Cloud Billing-Zahlungsinformationen oder zum Erstellen von IAM-Ablehnungsrichtlinien.

Eine Liste der Berechtigungen in der Rolle „Administrator“ finden Sie in den Rollendetails in der Google Cloud Console:

Zur Rolle „Administrator“

Sie können die Rollen „Leser“, „Autor“ oder „Administrator“ nicht über die Google Cloud Console zuweisen. Verwenden Sie stattdessen die API oder die gcloud CLI. Sie können auch Berechtigungen für diese Rollen mit Privileged Access Manager erstellen.

Eine Anleitung finden Sie unter Zugriff gewähren, ändern und entziehen.

Alte einfache Rollen

Die alten einfachen Rollen gab es vor der Einführung von IAM. Sie wurden ursprünglich als einfache Rollen bezeichnet. Im Gegensatz zu anderen einfachen Rollen können Sie Rollenbindungen für einfache Legacy-Rollen keine Bedingungen hinzufügen.

Die alten einfachen Rollen sind „Inhaber“ (roles/owner), „Bearbeiter“ (roles/editor) und „Betrachter“ (roles/viewer).

Wenn Sie einem Hauptkonto eine einfache Legacy-Rolle zuweisen, erhält das Hauptkonto alle Berechtigungen in der Rolle. Das Hauptkonto erhält auch alle Berechtigungen, die Dienste für Hauptkonten mit einfachen Rollen bereitstellen, z. B. Berechtigungen, die durch Konvergenzwerte von Cloud Storage und Spezielle Gruppenmitgliedschaft in BigQuery gewonnen werden.

In der folgenden Tabelle sind die Berechtigungen zusammengefasst, die die einfachen Legacy-Rollen Prinzipalen in allen Google Cloud -Diensten gewähren:

Einfache Legacy-Rolle Berechtigungen

Einfache Legacy-Rolle	Berechtigungen
Betrachter (`roles/viewer`)	Berechtigungen für schreibgeschützte Aktionen, die sich nicht auf den Status auswirken, z. B. das Anzeigen (aber nicht das Ändern) vorhandener Ressourcen oder Daten. Eine Liste der Berechtigungen in der Rolle „Betrachter“ finden Sie in den Rollendetails in der Google Cloud Console: Zur Rolle „Betrachter“
Bearbeiter (`roles/editor`)	Alle Berechtigungen des Betrachters sowie Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. Ressourcen ändern Mit den Berechtigungen in der Rolle „Bearbeiter“ können Sie Ressourcen für die meisten Google Cloud Dienste erstellen und löschen. Die Rolle „Bearbeiter“ enthält jedoch keine Berechtigungen zum Ausführen aller Aktionen für alle Dienste. Weitere Informationen dazu, wie Sie prüfen können, ob eine Rolle die erforderlichen Berechtigungen hat, finden Sie auf dieser Seite unter Rollentypen. Eine Liste der Berechtigungen in der Rolle „Bearbeiter“ finden Sie in den Rollendetails in der Google Cloud Console: Zur Rolle „Bearbeiter“
Inhaber (`roles/owner`)	Alle Editor-Berechtigungen plus Berechtigungen für Aktionen wie die folgenden: Sensible Aufgaben wie das Verwalten von Tag-Bindungen für Compute Engine-Ressourcen ausführen Verwaltung von Rollen und Berechtigungen für ein Projekt und aller Ressourcen innerhalb des Projekts Abrechnung für ein Projekt einrichten Die Rolle „Inhaber“ enthält nicht alle Berechtigungen für alle Google Cloud -Ressourcen. Sie enthält beispielsweise keine Berechtigungen zum Ändern Ihrer Cloud Billing-Zahlungsinformationen oder zum Erstellen von IAM-Ablehnungsrichtlinien. Eine Liste der Berechtigungen in der Rolle „Inhaber“ finden Sie in den Rollendetails der Google Cloud Console: Zur Rolle „Inhaber“

Betrachter (roles/viewer)

Berechtigungen für schreibgeschützte Aktionen, die sich nicht auf den Status auswirken, z. B. das Anzeigen (aber nicht das Ändern) vorhandener Ressourcen oder Daten.

Eine Liste der Berechtigungen in der Rolle „Betrachter“ finden Sie in den Rollendetails in der Google Cloud Console:

Zur Rolle „Betrachter“

Bearbeiter (roles/editor)

Alle Berechtigungen des Betrachters sowie Berechtigungen für Aktionen, durch die der Status geändert wird, z. B. Ressourcen ändern

Mit den Berechtigungen in der Rolle „Bearbeiter“ können Sie Ressourcen für die meisten Google Cloud Dienste erstellen und löschen. Die Rolle „Bearbeiter“ enthält jedoch keine Berechtigungen zum Ausführen aller Aktionen für alle Dienste. Weitere Informationen dazu, wie Sie prüfen können, ob eine Rolle die erforderlichen Berechtigungen hat, finden Sie auf dieser Seite unter Rollentypen.

Eine Liste der Berechtigungen in der Rolle „Bearbeiter“ finden Sie in den Rollendetails in der Google Cloud Console:

Zur Rolle „Bearbeiter“

Inhaber (roles/owner)

Alle Editor-Berechtigungen plus Berechtigungen für Aktionen wie die folgenden:

Sensible Aufgaben wie das Verwalten von Tag-Bindungen für Compute Engine-Ressourcen ausführen
Verwaltung von Rollen und Berechtigungen für ein Projekt und aller Ressourcen innerhalb des Projekts
Abrechnung für ein Projekt einrichten

Die Rolle „Inhaber“ enthält nicht alle Berechtigungen für alle Google Cloud -Ressourcen. Sie enthält beispielsweise keine Berechtigungen zum Ändern Ihrer Cloud Billing-Zahlungsinformationen oder zum Erstellen von IAM-Ablehnungsrichtlinien.

Eine Liste der Berechtigungen in der Rolle „Inhaber“ finden Sie in den Rollendetails der Google Cloud Console:

Zur Rolle „Inhaber“

Im Allgemeinen können Sie einfache Legacy-Rollen über die Google Cloud -Console, die API oder die gcloud CLI zuweisen. In den folgenden Situationen müssen Sie jedoch dieGoogle Cloud Console verwenden, um die Rolle „Inhaber“ zu gewähren:

Der Nutzer, dem Sie die Inhaberrolle zuweisen, gehört nicht zu Ihrer Organisation.
Das Projekt, für das Sie die Rolle „Inhaber“ zuweisen, gehört keiner Organisation an.

Außerdem können Sie die Rolle „Inhaber“ nur den folgenden Hauptkontotypen zuweisen:

Google-Konten
Dienstkonten in Ihrer Organisation
Google-Gruppen in Ihrer Organisation

Informationen zum Zuweisen von Rollen finden Sie unter Zugriff gewähren, ändern und entziehen.

Vordefinierte Rollen

Zusätzlich zu den einfachen Rollen bietet IAM weitere vordefinierte Rollen, die detaillierten Zugriff auf bestimmte Google Cloud-Ressourcen ermöglichen. Vordefinierte Rollen werden von Google erstellt und verwaltet. Google aktualisiert seine Berechtigungen bei Bedarf automatisch, z. B. wennGoogle Cloud neue Funktionen oder Dienste hinzufügt.

Sie können demselben Nutzer auf jeder Ebene der Ressourcenhierarchie mehrere Rollen zuweisen. Zum Beispiel kann ein Nutzer die Rollen "Compute-Netzwerkadministrator" und "Logbetrachter" für ein Projekt und auch die Rolle "Pub/Sub-Publisher" für ein Pub/Sub-Thema in diesem Projekt haben. Informationen zum Auflisten der in einer Rolle enthaltenen Berechtigungen finden Sie unter Rollenmetadaten abrufen.

Hilfe bei der Auswahl der am besten geeigneten vordefinierten Rollen finden Sie unter Die richtigen vordefinierten Rollen finden.

Eine Liste der vordefinierten Rollen finden Sie in der Rollenreferenz.

Benutzerdefinierte Rollen

Mit IAM können Sie auch benutzerdefinierte IAM-Rollen erstellen. Mit benutzerdefinierten Rollen können Sie das Prinzip der geringsten Berechtigung erzwingen und damit den Hauptkonten in Ihrer Organisation nur die Berechtigungen erteilen, die sie benötigen.

Benutzerdefinierte Rollen werden vom Nutzer definiert und ermöglichen die Zusammenstellung von einer unterstützten Berechtigung oder von mehreren, je nach Ihren speziellen Anforderungen. Wenn Sie eine benutzerdefinierte Rolle erstellen, müssen Sie eine Organisation oder ein Projekt auswählen. Anschließend können Sie die benutzerdefinierte Rolle für die Organisation oder das Projekt sowie für alle Ressourcen innerhalb dieser Organisation oder des Projekts zuweisen. Sie können nur 300 Schlüssel pro Organisation und 300 Schlüssel pro Projekt erstellen.

Sie können eine benutzerdefinierte Rolle nur innerhalb des Projekts oder der Organisation zuweisen, in der Sie sie erstellt haben. Sie können keine benutzerdefinierten Rollen für andere Projekte oder Organisationen oder für Ressourcen innerhalb anderer Projekte oder Organisationen zuweisen.

Eine benutzerdefinierte Rolle erstellen Sie, indem Sie eine oder mehrere der unterstützen IAM-Berechtigungen kombinieren. Informationen zum Erstellen einer benutzerdefinierten Rolle finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Unterstützte Berechtigungen

Sie können viele, aber nicht alle IAM-Berechtigungen in benutzerdefinierte Rollen aufnehmen. Jede Berechtigung hat eine der folgenden Unterstützungsstufen zur Verwendung in benutzerdefinierten Rollen:

Unterstützungsstufe	Beschreibung
`SUPPORTED`	Die Berechtigung wird in benutzerdefinierten Rollen vollständig unterstützt.
`TESTING`	Google testet die Berechtigung, um ihre Kompatibilität mit benutzerdefinierten Rollen zu prüfen. Sie können die Berechtigung zwar in benutzerdefinierte Rollen einfügen, es kann aber zu unerwartetem Verhalten kommen. Nicht für die Produktion empfohlen.
`NOT_SUPPORTED`	Die Berechtigung wird in benutzerdefinierten Rollen nicht unterstützt.

Eine vollständige Liste der in benutzerdefinierten Rollen unterstützten Berechtigungen finden Sie unter Supportstufen für Berechtigungen in benutzerdefinierten Rollen.

Eine benutzerdefinierte Rolle auf Organisationsebene kann alle IAM-Berechtigungen enthalten, die in benutzerdefinierten Rollen unterstützt werden. Eine benutzerdefinierte Rolle auf Projektebene kann alle unterstützten Berechtigungen enthalten, außer Berechtigungen, die nur auf Organisations- oder Ordnerebene verwendet werden können.

Der Grund dafür, dass Sie ordner- und organisationsspezifische Berechtigungen nicht in Rollen auf Projektebene einbeziehen können, ist, dass sie keine Auswirkungen haben, wenn sie auf Projektebene gewährt werden. Das liegt daran, dass Ressourcen in Google Cloud hierarchisch organisiert sind. Berechtigungen werden über die Ressourcenhierarchie übernommen, d. h. sie sind für die Ressource und alle Nachfolgerelemente dieser Ressource wirksam. Organisationen und Ordner befinden sich jedoch immer über Projekten in derGoogle Cloud Ressourcenhierarchie. Daher können Sie niemals mit einer Berechtigung, die Ihnen auf Projektebene erteilt wurde, auf Ordner oder Organisationen zugreifen. Daher sind ordner- und organisationsspezifische Berechtigungen (z. B. resourcemanager.folders.list) für benutzerdefinierte Rollen auf Projektebene nicht wirksam.

Berechtigungen und Abhängigkeiten

Einige Berechtigungen sind nur gültig, wenn sie zusammen erteilt werden. Wenn Sie beispielsweise eine Zulassungsrichtlinie aktualisieren möchten, müssen Sie die Richtlinie lesen, bevor Sie sie ändern und schreiben können. Daher benötigen Sie für die Aktualisierung einer Zulassungsrichtlinie fast immer die Berechtigung getIamPolicy für den jeweiligen Dienst und Ressourcentyp sowie die Berechtigung setIamPolicy.

Damit Ihre benutzerdefinierten Rollen tatsächlich wirksam sind, können Sie benutzerdefinierte Rollen anhand vordefinierter Rollen mit ähnlichen Berechtigungen erstellen. Vordefinierte Rollen sind für bestimmte Aufgaben konzipiert und enthalten alle Berechtigungen, die Sie zum Ausführen dieser Aufgaben benötigen. Wenn Sie sich diese Rollen ansehen, können Sie sehen, welche Berechtigungen in der Regel zusammen erteilt werden. Anschließend können Sie diese Informationen verwenden, um effektive benutzerdefinierte Rollen zu erstellen.

Weitere Informationen zum Erstellen einer benutzerdefinierten Rolle anhand einer vordefinierten Rolle finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Lebenszyklus benutzerdefinierter Rollen

In den folgenden Abschnitten werden wichtige Überlegungen für jede Phase des Lebenszyklus einer benutzerdefinierten Rolle beschrieben. Anhand dieser Informationen können Sie Ihre benutzerdefinierten Rollen erstellen und verwalten.

Erstellung

Wenn Sie eine benutzerdefinierte Rolle erstellen, sollten Sie eine ID, einen Titel und eine Beschreibung auswählen, die Ihnen helfen, die Rolle zu identifizieren:

Rollen-ID: Die Rollen-ID ist eine eindeutige Kennung für die Rolle. Sie kann bis zu 64 Byte lang sein sowie alphanumerische Zeichen in Groß- und Kleinschreibung, Unterstriche und Punkte enthalten. Sie können eine Rollen-ID nicht innerhalb einer Organisation oder eines Projekts wiederverwenden.

Rollen-IDs können nicht geändert werden. Wählen Sie sie daher sorgfältig aus. Sie können eine benutzerdefinierte Rolle löschen, aber erst nach Abschluss des 44-tägigen Löschvorgangs können Sie eine neue benutzerdefinierte Rolle mit derselben ID in derselben Organisation oder demselben Projekt erstellen. Weitere Informationen zum Löschprozess finden Sie unter Benutzerdefinierte Rolle löschen.
Rollentitel: Der Rollentitel wird in der Liste der Rollen in derGoogle Cloud -Konsole angezeigt. Der Name muss nicht eindeutig sein. Wir empfehlen jedoch, eindeutige und aussagekräftige Namen zu verwenden, um die Rollen besser zu unterscheiden. Außerdem sollten Sie im Rollennamen angeben, ob die Rolle auf Organisations- oder auf Projektebene erstellt wurde.

Rollentitel können bis zu 100 Byte lang sein sowie alphanumerische Zeichen in Groß- und Kleinschreibung und Symbole enthalten. Sie können den Rollentitel jederzeit ändern.
Rollenbeschreibung: Die Rollenbeschreibung ist ein optionales Feld, in dem Sie zusätzliche Informationen zu einer Rolle angeben können. Sie können beispielsweise den Zweck der Rolle, das Datum, an dem eine Rolle erstellt oder geändert wurde, sowie alle vordefinierten Rollen angeben, auf denen die benutzerdefinierte Rolle basiert. Beschreibungen können bis zu 300 Byte lang sein sowie alphanumerische Zeichen in Groß- und Kleinschreibung und Symbole enthalten.

Berücksichtigen Sie beim Erstellen benutzerdefinierter Rollen auch Berechtigungsabhängigkeiten.

Weitere Informationen zum Erstellen einer benutzerdefinierten Rolle anhand einer vordefinierten Rolle finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.

Starten

Benutzerdefinierte Rollen umfassen eine Startphase als Teil der Metadaten der Rolle. Die häufigsten Startphasen für benutzerdefinierte Rollen sind ALPHA, BETA und GA. Diese Phasen der Einführung sind informativ. Damit können Sie nachvollziehen, ob jede Rolle für den Einsatz bereit ist. Eine weitere übliche Startphase ist DISABLED. In dieser Startphase können Sie benutzerdefinierte Rollen deaktivieren.

Wir empfehlen, die Startphasen zu verwenden, um die folgenden Informationen über die Rolle zu vermitteln:

EAP oder ALPHA: Die Rolle wird noch entwickelt oder getestet oder enthält Berechtigungen für Google Cloud -Dienste oder -Funktionen, die noch nicht öffentlich sind. Sie ist noch nicht für die allgemeine Verwendung bereit.
BETA: Die Rolle wurde nur eingeschränkt getestet oder enthält Berechtigungen für Google Cloud -Dienste oder -Funktionen, die nicht allgemein verfügbar sind.
GA: Die Rolle wurde umfassend getestet und alle Berechtigungen gelten fürGoogle Cloud -Dienste oder ‑Funktionen, die allgemein verfügbar sind.
DEPRECATED: Die Rolle wird nicht mehr verwendet.

Informationen zum Ändern der Startphase einer Rolle finden Sie unter Vorhandene benutzerdefinierte Rolle bearbeiten.

Wartung

Sie sind für die Verwaltung benutzerdefinierter Rollen verantwortlich. Dazu gehört, Rollen zu aktualisieren, wenn sich die Verantwortlichkeiten Ihrer Nutzer ändern, sowie Rollen zu aktualisieren, damit Nutzer auf neue Funktionen zugreifen können, für die zusätzliche Berechtigungen erforderlich sind.

Wenn Ihre benutzerdefinierte Rolle auf vordefinierten Rollen basiert, empfehlen wir, diese vordefinierten Rollen regelmäßig auf Berechtigungsänderungen zu prüfen. Wenn Sie diese Änderungen im Blick behalten, können Sie besser entscheiden, wann und wie Sie Ihre benutzerdefinierte Rolle aktualisieren sollten. Angenommen, Sie stellen fest, dass eine vordefinierte Rolle mit Berechtigungen für die Verwendung einer neuen Funktion in der Vorabversion aktualisiert wurde. Sie möchten diese Berechtigungen auch Ihrer benutzerdefinierten Rolle hinzufügen.

Damit Sie leichter erkennen, welche vordefinierten Rollen Sie im Blick behalten sollten, empfehlen wir, alle vordefinierten Rollen, auf denen Ihre benutzerdefinierte Rolle basiert, im Beschreibungsfeld der benutzerdefinierten Rolle aufzulisten. Die Google Cloud Console erledigt das automatisch, wenn Sie mit der Google Cloud Console eine benutzerdefinierte Rolle auf Grundlage vordefinierter Rollen erstellen.

Weitere Informationen zum Aktualisieren der Berechtigungen und Beschreibungen einer benutzerdefinierten Rolle finden Sie unter Vorhandene benutzerdefinierte Rolle bearbeiten.

Im Änderungsprotokoll für Berechtigungen sehen Sie, welche Rollen und Berechtigungen kürzlich geändert wurden.

Deaktivieren

Wenn Sie nicht mehr möchten, dass Hauptkonten in Ihrer Organisation eine benutzerdefinierte Rolle verwenden, können Sie die Rolle deaktivieren. Ändern Sie die Startphase zu DISABLED, um die Rolle zu deaktivieren.

Deaktivierte Rollen werden weiterhin in Ihren IAM-Richtlinien angezeigt und können Hauptkonten zugewiesen werden, haben aber keine Auswirkungen.

Informationen zum Deaktivieren einer benutzerdefinierten Rolle finden Sie unter Benutzerdefinierte Rolle deaktivieren.

Nächste Schritte

Verwenden Sie die Richtlinien-Fehlerbehebung, um zu verstehen, warum ein Nutzer Zugriff auf eine Ressource hat oder nicht oder über die Berechtigung zum Aufrufen einer API verfügt.