Zugriffssteuerung mit IAM

Auf dieser Seite werden die Rollen und Berechtigungen von Infrastructure Manager beschrieben.

Infra Manager verwendet Identity and Access Management (IAM), um den Zugriff auf den Dienst zu steuern. Wenn Sie Zugriff auf die Bereitstellung von Ressourcen mit Infra Manager gewähren möchten, weisen Sie dem Dienstkonto , mit dem Sie Infra Manager aufrufen, die erforderlichen Infra Manager IAM-Rollen zu. Weitere Informationen zum Gewähren von Berechtigungen für Dienstkonten finden Sie unter Zugriff auf Dienstkonten verwalten.

Ein Dienstkonto ist nicht erforderlich, um Infra Manager-Bereitstellungen, ‑Revisionen und ‑IAM-Richtlinien anzusehen. Wenn Sie Infra Manager ansehen möchten, gewähren Sie dem Nutzer, der Gruppe oder dem Dienstkonto Zugriff.

Wenn Sie die in der Terraform Konfiguration definierten Google Cloud Ressourcen bereitstellen oder ansehen möchten, müssen Sie dem Dienstkonto Berechtigungen gewähren, die speziell für diese Ressourcen gelten. Diese Berechtigungen gelten zusätzlich zu den auf dieser Seite aufgeführten Infra Manager-Berechtigungen. Eine Liste aller Rollen und der darin enthaltenen Berechtigungen finden Sie unter Referenz zu einfachen und vordefinierten Rollen von Identity and Access Management.

Vordefinierte Infra Manager-Rollen

IAM bietet vordefinierte Rollen für den Zugriff auf bestimmte Google Cloud Ressourcen. Mit diesen Rollen wird der unbefugte Zugriff auf andere Ressourcen verhindert.

In der folgenden Tabelle sind die Infra Manager-IAM-Rollen und die darin enthaltenen Berechtigungen aufgeführt:

Rolle Beschreibung Berechtigungen
Infra Manager-Administrator (roles/config.admin) Vollständige Kontrolle über Infra Manager-Ressourcen für einen Nutzer config.deployments.create
config.deployments.delete
config.deployments.deleteState
config.deployments.get
config.deployments.getIamPolicy
config.deployments.getLock
config.deployments.getState
config.deployments.list
config.deployments.lock
config.deployments.setIamPolicy
config.deploymentgroups.create
config.deploymentgroups.update
config.deploymentgroups.delete
config.deploymentgroups.get
config.deploymentgroups.list
config.deploymentgroups.provision
config.deploymentgroups.deprovision
config.deploymentgrouprevisions.get
config.deploymentgrouprevisions.list
config.deployments.unlock
config.deployments.update
config.deployments.updateState
config.automigrationconfig.get
config.automigrationconfig.update
config.previews.create
config.previews.delete
config.previews.get
config.previews.list
config.previews.export
config.previews.upload
config.locations.get
config.locations.list
config.operations.cancel
config.operations.delete
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.resourcechanges.get
config.resourcechanges.list
config.resourcedrifts.get
config.resourcedrifts.list
config.revisions.get
config.revisions.getState
config.revisions.list
config.artifacts.import
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list
Infra Manager-Dienst-Agent (roles/config.agent) Gewährt Zugriff auf ein Dienstkonto für die Arbeit mit Infra Manager, einschließlich Bereitstellungen, Revisionen, Logging und Terraform-Statusdateien. storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
logging.logEntries.create
config.deployments.getState
config.deployments.updateState
config.deployments.deleteState
config.deployments.getLock
config.previews.upload
config.artifacts.import
config.revisions.getState
cloudbuild.connections.list
cloudbuild.repositories.accessReadToken
cloudbuild.repositories.list
cloudquotas.quotas.get
monitoring.timeSeries.list
Infra Manager-Dienstkonto (roles/cloudconfig.serviceAgent) Wenn Sie die Infra Manager API aktivieren, wird das Infra Manager-Dienstkonto automatisch im Projekt erstellt und erhält diese Rolle für die Ressourcen im Projekt. Das Infra Manager-Dienstkonto verwendet diese Rolle nur bei Bedarf, um Aktionen beim Erstellen, Verwalten oder Löschen von Bereitstellungen und Revisionen auszuführen. cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update
cloudbuild.workerpools.use
iam.serviceAccounts.actAs
iam.serviceAccounts.getAccessToken
logging.logEntries.create
logging.logEntries.route
serviceusage.services.use
storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
Infra Manager-Betrachter (roles/config.viewer) Bereitstellungen, Revisionen und IAM-Richtlinien lesen config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.deploymentgroups.get
config.deploymentgroups.list
config.deploymentgrouprevisions.get
config.deploymentgrouprevisions.list
config.previews.get
config.previews.list
config.locations.get
config.locations.list
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list

Zusätzlich zu den vordefinierten Infra Manager-Rollen enthalten die einfachen Rollen „Betrachter“ und „Inhaber“ auch Berechtigungen im Zusammenhang mit Infra Manager. Es empfiehlt sich jedoch, wenn möglich vordefinierte Rollen zuzuweisen, um das Sicherheitsprinzip der geringsten Berechtigung einzuhalten.

In der folgenden Tabelle sind die einfachen Rollen und die darin enthaltenen Infra Manager-IAM-Rollen aufgeführt.

Rolle Umfasst die Rolle
Betrachter roles/config.viewer
Inhaber roles/config.admin

Berechtigungen

Die Berechtigungen, die der Aufrufer zum Aufrufen der einzelnen Methoden benötigt, sind in der REST API-Referenz aufgeführt.

Nächste Schritte