概览
网络保险中心使用 Identity and Access Management (IAM) 管理对模型资源的访问权限。如需授予对模型资源的访问权限,请为用户、群组或 服务帐号分配 一个或多个 IAM 角色。 IAM 角色包含网络保险中心的权限。
如需详细了解 IAM 角色,请参阅 IAM 角色和权限索引。
网络保险中心角色
网络保险中心提供预定义角色,这些角色可向特定的网络保险中心资源授予多项权限 。
下表列出了网络保险中心的预定义角色、其 说明以及包含的权限。在 组织级层应用这些角色。
| 角色 | 职位 | 说明 | 权限 |
|---|---|---|---|
riskmanager.admin |
Risk Manager Admin | 所有网络保险中心权限 |
riskmanager.serviceaccount.createriskmanager.reports.getriskmanager.reports.listriskmanager.reports.createriskmanager.reports.deleteriskmanager.reports.reviewriskmanager.reports.shareriskmanager.operations.getriskmanager.operations.listriskmanager.operations.deleteriskmanager.policies.getriskmanager.policies.listriskmanager.settings.getriskmanager.settings.updateriskmanager.controlScoreBreakdowns.getriskmanager.controlScoreBreakdowns.list |
riskmanager.editor |
Risk Manager Editor | 拥有修改网络保险中心资源的权限(包含除分享或审核报告之外的所有权限) |
riskmanager.serviceaccount.createriskmanager.reports.getriskmanager.reports.listriskmanager.reports.createriskmanager.reports.deleteriskmanager.operations.getriskmanager.operations.listriskmanager.operations.deleteriskmanager.policies.getriskmanager.policies.listriskmanager.settings.getriskmanager.settings.updateriskmanager.controlScoreBreakdowns.getriskmanager.controlScoreBreakdowns.list |
riskmanager.viewer |
Risk Manager Viewer | 拥有查看网络保险中心资源的权限 |
riskmanager.reports.getriskmanager.reports.listriskmanager.operations.getriskmanager.operations.listriskmanager.policies.getriskmanager.policies.listriskmanager.settings.getriskmanager.controlScoreBreakdowns.getriskmanager.controlScoreBreakdowns.list |
riskmanager.reviewer |
Risk Manager Report Reviewer | 拥有审核/批准网络保险中心报告的权限 |
riskmanager.reports.getriskmanager.reports.listriskmanager.reports.reviewriskmanager.operations.getriskmanager.operations.list |
Risk Manager Service Agent 角色
注册网络保险中心时,系统会以
格式为您创建一个服务代理。
organizations-ORGANIZATION_ID@gcp-sa-riskmanager.iam.gserviceaccount.com此服务代理需要在组织级层具有 riskmanager.serviceAgent
角色。借助此角色,网络保险中心
服务代理可以从其他 Google Cloud 服务检索生成
网络保险中心报告所需的数据。
此 Risk Manager Service Agent
(roles/riskmanager.serviceAgent) 角色是一个包含以下权限的角色:
| 角色 | 职位 | 说明 | 权限 |
|---|---|---|---|
roles/riskmanager.serviceAgent |
Risk Manager Service Agent | 拥有从其他 Google Cloud 服务检索生成网络保险中心报告所需数据的权限 。 |
此外,还包含以下角色的所有权限:
|
如需获得授予 Risk Manager Service Agent 角色所需的权限,请让您的管理员为您授予组织的 Organization Administrator (roles/resourcemanager.organizationAdmin) IAM 角色。如需详细了解如何授予角色,请参阅管理对项目、文件夹和组织的访问权限。
此预定义角色包含 授予 Risk Manager Service Agent 角色所需的权限。如需查看所需的确切权限,请展开所需权限部分:
所需权限
如需授予 Risk Manager Service Agent 角色,您需要具有以下权限:
-
resourcemanager.organizations.getIamPolicy -
resourcemanager.organizations.setIamPolicy
您可以在首次 配置网络保险中心时向服务代理授予 Risk Manager Service Agent 角色。您还可以通过运行 以下 CLI 命令向服务代理授予 Risk Manager Service Agent 角色:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member="serviceAccount:organizations-ORGANIZATION_ID@gcp-sa-riskmanager.iam.gserviceaccount.com" \
--role="roles/riskmanager.serviceAgent"
将 ORGANIZATION_ID 替换为您的组织的数字 ID。
网络保险中心自定义角色
除了预定义角色之外,网络保险中心还支持创建 自定义 IAM 角色的功能。您可以创建自定义 IAM 角色,并为该角色分配一项或 多项权限。然后,您可以将新创建的角色授予协作者。使用 自定义角色可创建访问权限控制模型,该模型将直接映射到您的需求, 以及 Google 提供的可用预定义角色。
本文档未介绍如何创建自定义角色。如需详细了解自定义角色以及有关创建自定义角色的分步说明,请参阅 IAM 文档中的创建和管理自定义角色。