Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

בקרת גישה באמצעות IAM

בדף הזה מוסבר על התפקידים וההרשאות ב-Infrastructure Manager.

‫Infra Manager משתמש בניהול זהויות והרשאות גישה (IAM) כדי לשלוט בגישה לשירות. כדי לתת גישה לפריסת משאבים באמצעות Infra Manager, צריך להקצות את תפקידי ה-IAM הנדרשים של Infra Manager לחשבון השירות שמשמש לקריאה ל-Infra Manager. במאמר ניהול הגישה לחשבונות שירות מוסבר איך נותנים הרשאות לחשבונות שירות.

לא נדרש חשבון שירות כדי להציג פריסות, גרסאות ומדיניות IAM ב-Infra Manager. כדי להציג את Infra Manager, צריך להעניק גישה למשתמש, לקבוצה או לחשבון השירות.

כדי לפרוס או להציג את המשאבים שמוגדרים בהגדרות של Terraform, צריך להעניק לחשבון השירות הרשאות שספציפיות למשאבים האלה. Google Cloud ההרשאות האלה הן בנוסף להרשאות של Infra Manager שמפורטות בדף הזה. רשימת כל התפקידים וההרשאות שמוגדרות להם מופיעה במאמר הפניה לתפקידים בסיסיים ומוגדרים מראש בניהול זהויות והרשאות גישה.

תפקידים מוגדרים מראש ב-Infra Manager

מערכת IAM מספקת תפקידים מוגדרים מראש שנותנים גישה למשאבים ספציפיים ב- Google Cloud ומונעים גישה לא מורשית למשאבים אחרים.

בטבלה הבאה מפורטים תפקידי IAM ב-Infra Manager וההרשאות שהם כוללים:

תפקיד	תיאור	הרשאות
אדמין ב-Infra Manager‏ (`roles/config.admin`)	למשתמש, שליטה מלאה במשאבי Infra Manager	`config.deployments.create` `config.deployments.delete` `config.deployments.deleteState` `config.deployments.get` `config.deployments.getIamPolicy` `config.deployments.getLock` `config.deployments.getState` `config.deployments.list` `config.deployments.lock` `config.deployments.setIamPolicy` `config.deploymentgroups.create` `config.deploymentgroups.update` `config.deploymentgroups.delete` `config.deploymentgroups.get` `config.deploymentgroups.list` `config.deploymentgroups.provision` `config.deploymentgroups.deprovision` `config.deploymentgrouprevisions.get` `config.deploymentgrouprevisions.list` `config.deployments.unlock` `config.deployments.update` `config.deployments.updateState` `config.automigrationconfig.get` `config.automigrationconfig.update` `config.previews.create` `config.previews.delete` `config.previews.get` `config.previews.list` `config.previews.export` `config.previews.upload` `config.locations.get` `config.locations.list` `config.operations.cancel` `config.operations.delete` `config.operations.get` `config.operations.list` `config.resources.get` `config.resources.list` `config.resourcechanges.get` `config.resourcechanges.list` `config.resourcedrifts.get` `config.resourcedrifts.list` `config.revisions.get` `config.revisions.getState` `config.revisions.list` `config.artifacts.import` `config.terraformversions.get` `config.terraformversions.list` `resourcemanager.projects.get` `resourcemanager.projects.list`
סוכן שירות של Infra Manager (`roles/config.agent`)	מתן גישה לחשבון שירות כדי לעבוד עם Infra Manager, כולל פריסות, עדכונים, רישום ביומן וקבצים של מצב Terraform.	`storage.buckets.get` `storage.buckets.list` `storage.buckets.create` `storage.buckets.update` `storage.buckets.delete` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.update` `storage.objects.delete` `logging.logEntries.create` `config.deployments.getState` `config.deployments.updateState` `config.deployments.deleteState` `config.deployments.getLock` `config.previews.upload` `config.artifacts.import` `config.revisions.getState` `cloudbuild.connections.list` `cloudbuild.repositories.accessReadToken` `cloudbuild.repositories.list` `cloudquotas.quotas.get` `monitoring.timeSeries.list`
חשבון שירות של Infra Manager‏ (`roles/cloudconfig.serviceAgent`)	כשמפעילים את Infra Manager API, חשבון השירות של Infra Manager נוצר אוטומטית בפרויקט ומקבל את התפקיד הזה עבור המשאבים בפרויקט. חשבון השירות של Infra Manager משתמש בתפקיד הזה רק כשנדרש לבצע פעולות של יצירה, ניהול או מחיקה של פריסות ועדכונים.	`cloudbuild.builds.get` `cloudbuild.builds.list` `cloudbuild.builds.create` `cloudbuild.builds.update` `cloudbuild.workerpools.use` `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `logging.logEntries.create` `logging.logEntries.route` `serviceusage.services.use` `storage.buckets.get` `storage.buckets.list` `storage.buckets.create` `storage.buckets.update` `storage.buckets.delete` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.update` `storage.objects.delete`
בעל הרשאת צפייה ב-Infra Manager (`roles/config.viewer`)	קריאת פריסות, גרסאות וכללי מדיניות IAM.	`config.deployments.get` `config.deployments.getIamPolicy` `config.deployments.list` `config.deploymentgroups.get` `config.deploymentgroups.list` `config.deploymentgrouprevisions.get` `config.deploymentgrouprevisions.list` `config.previews.get` `config.previews.list` `config.locations.get` `config.locations.list` `config.operations.get` `config.operations.list` `config.resources.get` `config.resources.list` `config.revisions.get` `config.revisions.list` `config.terraformversions.get` `config.terraformversions.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

בנוסף לתפקידים המוגדרים מראש ב-Infra Manager, התפקידים הבסיסיים Viewer ו-Owner כוללים גם הרשאות שקשורות ל-Infra Manager. עם זאת, מומלץ להקצות תפקידים מוגדרים מראש ככל האפשר כדי לעמוד בדרישות עקרון האבטחה של הרשאות מינימליות.

בטבלה הבאה מפורטים התפקידים הבסיסיים ותפקידי ה-IAM ב-Infra Manager שהם כוללים.

תפקיד	כולל תפקיד
צפייה	`roles/config.viewer`
בעלים	`roles/config.admin`

הרשאות

ההרשאות שנדרשות למבצע הקריאה החוזרת (caller) כדי להפעיל קריאה לכל שיטה מפורטות בהפניית API בארכיטקטורת REST.

בקרת גישה באמצעות IAM קל לארגן דפים בעזרת אוספים אפשר לשמור ולסווג תוכן על סמך ההעדפות שלך.

תפקידים מוגדרים מראש ב-Infra Manager

הרשאות

המאמרים הבאים

בקרת גישה באמצעות IAM