Zugriffssteuerung mit IAM

Auf dieser Seite werden die Rollen und Berechtigungen der SaaS-Laufzeit beschrieben.

Wenn Sie die SaaS-Laufzeit verwenden möchten, müssen Sie die erforderlichen Dienstkonten haben. Für diese Dienstkonten müssen Sie die erforderlichen Berechtigungen erteilen. Weitere Informationen zu Dienstkonten und der SaaS-Laufzeit finden Sie unter Dienstkonten der SaaS-Laufzeit. Weitere Informationen zu Dienstkonten finden Sie in der Übersicht über Dienstkonten.

Wenn Sie die in der Terraform Konfiguration definierten Google Cloud Ressourcen bereitstellen oder ansehen möchten, müssen Sie dem Dienstkonto Berechtigungen erteilen, die für diese Ressourcen spezifisch sind. Diese Berechtigungen ergänzen die Berechtigungen, die für die Verwendung der SaaS-Laufzeit erforderlich sind. Eine Liste aller Rollen und der darin enthaltenen Berechtigungen finden Sie unter Referenz zu einfachen und vordefinierten Rollen von Identity and Access Management.

Zum Ansehen von SaaS-Laufzeitbereitstellungen, -Revisionen und IAM-Richtlinien ist kein Dienstkonto erforderlich.

Vordefinierte Rollen der SaaS-Laufzeit

IAM bietet vordefinierte Rollen für den Zugriff auf bestimmte Google Cloud Ressourcen. Mit diesen Rollen wird der unbefugte Zugriff auf andere Ressourcen verhindert.

In der folgenden Tabelle sind die IAM-Rollen der SaaS-Laufzeit und deren Berechtigungen aufgeführt:

Rolle Beschreibung Berechtigungen
SaaS Runtime Admin (roles/saasservicemgmt.admin) Vollständiger Zugriff auf alle Ressourcen der SaaS-Laufzeit. saasservicemgmt.rollouts.create
saasservicemgmt.rollouts.update
saasservicemgmt.rollouts.delete
saasservicemgmt.rolloutKinds.create
saasservicemgmt.rolloutKinds.update
saasservicemgmt.rolloutKinds.delete
saasservicemgmt.releases.create
saasservicemgmt.releases.update
saasservicemgmt.releases.delete
saasservicemgmt.units.create
saasservicemgmt.units.update
saasservicemgmt.units.delete
saasservicemgmt.unitKinds.create
saasservicemgmt.unitKinds.update
saasservicemgmt.unitKinds.delete
saasservicemgmt.unitOperations.create
saasservicemgmt.unitOperations.update
saasservicemgmt.unitOperations.delete
saasservicemgmt.tenants.create
saasservicemgmt.tenants.update
saasservicemgmt.tenants.delete
saasservicemgmt.saas.create
saasservicemgmt.saas.update
saasservicemgmt.saas.delete
resourcemanager.projects.get
resourcemanager.projects.list
saasservicemgmt.locations.list
saasservicemgmt.locations.get
saasservicemgmt.rollouts.list
saasservicemgmt.rollouts.get
saasservicemgmt.rolloutKinds.list
saasservicemgmt.rolloutKinds.get
saasservicemgmt.releases.list
saasservicemgmt.releases.get
saasservicemgmt.units.list
saasservicemgmt.units.get
saasservicemgmt.unitKinds.list
saasservicemgmt.unitKinds.get
saasservicemgmt.unitOperations.list
saasservicemgmt.unitOperations.get
saasservicemgmt.tenants.list
saasservicemgmt.tenants.get
saasservicemgmt.saas.list
saasservicemgmt.saas.get
SaaS Runtime Viewer (roles/saasservicemgmt.viewer) Ressourcen der SaaS-Laufzeit lesen: Releases, Roll-outs, Roll-out-Arten, Einheiten, Einheitenarten, Einheitenoperationen, SaaS und Mandanten. resourcemanager.projects.get
resourcemanager.projects.list
saasservicemgmt.locations.list
saasservicemgmt.locations.get
saasservicemgmt.rollouts.list
saasservicemgmt.rollouts.get
saasservicemgmt.rolloutKinds.list
saasservicemgmt.rolloutKinds.get
saasservicemgmt.releases.list
saasservicemgmt.releases.get
saasservicemgmt.units.list
saasservicemgmt.units.get
saasservicemgmt.unitKinds.list
saasservicemgmt.unitKinds.get
saasservicemgmt.unitOperations.list
saasservicemgmt.unitOperations.get
saasservicemgmt.tenants.list
saasservicemgmt.tenants.get
saasservicemgmt.saas.list
saasservicemgmt.saas.get

Berechtigungen

Die Berechtigungen, die der Aufrufer zum Aufrufen der einzelnen Methoden benötigt, sind in der REST API-Referenz aufgeführt.

Nächste Schritte