使用 IAM 进行访问权限控制

概览

网络保险中心使用 Identity and Access Management (IAM) 管理对模型资源的访问权限。如需授予对模型资源的访问权限，请为用户、群组或服务账号分配一个或多个 IAM 角色。网络保险中心权限已纳入 IAM 角色。

如需详细了解 IAM 角色，请参阅 IAM 角色和权限索引。

网络保险中心角色

网络保险中心提供预定义角色，可向特定的网络保险中心资源授予多项权限。

下表列出了网络保险中心的预定义角色、说明以及它们包含的权限。在组织级层授予这些角色。

角色	职位	说明	权限
`riskmanager.admin`	Risk Manager Admin	所有网络保险中心权限	`riskmanager.serviceaccount.create` `riskmanager.reports.get` `riskmanager.reports.list` `riskmanager.reports.create` `riskmanager.reports.delete` `riskmanager.reports.review` `riskmanager.reports.share` `riskmanager.operations.get` `riskmanager.operations.list` `riskmanager.operations.delete` `riskmanager.policies.get` `riskmanager.policies.list` `riskmanager.settings.get` `riskmanager.settings.update` `riskmanager.controlScoreBreakdowns.get` `riskmanager.controlScoreBreakdowns.list`
`riskmanager.editor`	Risk Manager Editor	有权修改网络保险中心资源（包括所有权限，但分享或查看报告的权限除外）	`riskmanager.serviceaccount.create` `riskmanager.reports.get` `riskmanager.reports.list` `riskmanager.reports.create` `riskmanager.reports.delete` `riskmanager.operations.get` `riskmanager.operations.list` `riskmanager.operations.delete` `riskmanager.policies.get` `riskmanager.policies.list` `riskmanager.settings.get` `riskmanager.settings.update` `riskmanager.controlScoreBreakdowns.get` `riskmanager.controlScoreBreakdowns.list`
`riskmanager.viewer`	Risk Manager Viewer	拥有查看网络保险中心资源的权限	`riskmanager.reports.get` `riskmanager.reports.list` `riskmanager.operations.get` `riskmanager.operations.list` `riskmanager.policies.get` `riskmanager.policies.list` `riskmanager.settings.get` `riskmanager.controlScoreBreakdowns.get` `riskmanager.controlScoreBreakdowns.list`
`riskmanager.reviewer`	Risk Manager Report Reviewer	有权查看/批准网络保险中心报告	`riskmanager.reports.get` `riskmanager.reports.list` `riskmanager.reports.review` `riskmanager.operations.get` `riskmanager.operations.list`

Risk Manager Service Agent 角色

当您加入网络保险中心时，系统会以 organizations-ORGANIZATION_ID@gcp-sa-riskmanager.iam.gserviceaccount.com 格式为您创建一个服务代理。此服务代理需要在组织级层具有 riskmanager.serviceAgent 角色。此角色可让网络保险中心服务代理从其他 Google Cloud 服务中检索所需的数据，以生成网络保险中心报告。

Risk Manager 服务代理 (roles/riskmanager.serviceAgent) 角色包含以下权限：

角色职位说明权限

角色	职位	说明	权限
`roles/riskmanager.serviceAgent`	Risk Manager Service Agent	需要访问权限才能从其他 Google Cloud 服务检索数据，以生成网络保险中心报告。	`resourcemanager.organizations.get` 此外，还包含以下角色的所有权限： `cloudasset.viewer` `securitycenter.assetsViewer` `securitycenter.findingsViewer` `securitycenter.settingsViewer`

roles/riskmanager.serviceAgent

Risk Manager Service Agent

需要访问权限才能从其他 Google Cloud 服务检索数据，以生成网络保险中心报告。

resourcemanager.organizations.get

此外，还包含以下角色的所有权限：

cloudasset.viewer
securitycenter.assetsViewer
securitycenter.findingsViewer
securitycenter.settingsViewer

如需获得授予 Risk Manager 服务代理角色的权限，请让您的管理员为您授予贵组织的 Organization Administrator (roles/resourcemanager.organizationAdmin) IAM 角色。如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

此预定义角色包含授予 Risk Manager 服务代理角色所需的权限。如需查看所需的确切权限，请展开所需权限部分：

所需权限

如需授予“风险管理器服务代理”角色，您需要具备以下权限：

resourcemanager.organizations.getIamPolicy
resourcemanager.organizations.setIamPolicy

您也可以使用自定义角色或其他预定义角色来获取这些权限。

您可以在最初配置网络保险中心时向服务代理授予 Risk Manager Service Agent 角色。您还可以通过运行以下 CLI 命令，向服务代理授予 Risk Manager 服务代理角色：

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="serviceAccount:organizations-ORGANIZATION_ID@gcp-sa-riskmanager.iam.gserviceaccount.com" \
  --role="roles/riskmanager.serviceAgent"

将 ORGANIZATION_ID 替换为您的组织的数字 ID。

网络保险中心自定义角色

除了预定义角色之外，网络保险中心还支持创建自定义 IAM 角色的功能。您可以创建自定义 IAM 角色，并为该角色分配一项或多项权限。然后，您可以将新角色授予协作者。使用自定义角色可创建访问权限控制模型，该模型将直接映射到您的需求以及 Google 提供的可用预定义角色。

本文档未介绍如何创建自定义角色。如需详细了解自定义角色以及有关创建自定义角色的分步说明，请参阅 IAM 文档中的创建和管理自定义角色。