Zugriffssteuerung mit IAM

Auf dieser Seite werden SaaS Runtime-Rollen und -Berechtigungen beschrieben.

Damit Sie die SaaS-Laufzeit verwenden können, benötigen Sie die erforderlichen Dienstkonten. Für diese Dienstkonten müssen Sie die erforderlichen Berechtigungen erteilen. Weitere Informationen zu Dienstkonten und zur SaaS-Laufzeit finden Sie unter SaaS-Laufzeit-Dienstkonten. Weitere Informationen zu Dienstkonten finden Sie in der Übersicht zu Dienstkonten.

Damit Sie die in der Terraform-Konfiguration definierten Google Cloud -Ressourcen bereitstellen oder ansehen können, müssen Sie dem Dienstkonto Berechtigungen erteilen, die für diese Ressourcen spezifisch sind. Diese Berechtigungen sind zusätzlich zu den Berechtigungen erforderlich, die für die Verwendung der SaaS-Laufzeit erforderlich sind. Eine Liste aller Rollen und der darin enthaltenen Berechtigungen finden Sie in der Referenz zu einfachen und vordefinierten Rollen von Identity and Access Management.

Zum Aufrufen von SaaS Runtime-Bereitstellungen, ‑Revisionen und IAM-Richtlinien ist kein Dienstkonto erforderlich.

Vordefinierte SaaS-Laufzeitrollen

IAM bietet vordefinierte Rollen für den Zugriff auf bestimmte Google Cloud Ressourcen. Mit diesen Rollen wird der unbefugte Zugriff auf andere Ressourcen verhindert.

In der folgenden Tabelle sind die IAM-Rollen für die SaaS-Laufzeitumgebung und die zugehörigen Berechtigungen aufgeführt:

Rolle Beschreibung Berechtigungen
SaaS Runtime Admin (roles/saasservicemgmt.admin) Vollständiger Zugriff auf alle SaaS-Laufzeitressourcen. saasservicemgmt.rollouts.create
saasservicemgmt.rollouts.update
saasservicemgmt.rollouts.delete
saasservicemgmt.rolloutKinds.create
saasservicemgmt.rolloutKinds.update
saasservicemgmt.rolloutKinds.delete
saasservicemgmt.releases.create
saasservicemgmt.releases.update
saasservicemgmt.releases.delete
saasservicemgmt.units.create
saasservicemgmt.units.update
saasservicemgmt.units.delete
saasservicemgmt.unitKinds.create
saasservicemgmt.unitKinds.update
saasservicemgmt.unitKinds.delete
saasservicemgmt.unitOperations.create
saasservicemgmt.unitOperations.update
saasservicemgmt.unitOperations.delete
saasservicemgmt.tenants.create
saasservicemgmt.tenants.update
saasservicemgmt.tenants.delete
saasservicemgmt.saas.create
saasservicemgmt.saas.update
saasservicemgmt.saas.delete
resourcemanager.projects.get
resourcemanager.projects.list
saasservicemgmt.locations.list
saasservicemgmt.locations.get
saasservicemgmt.rollouts.list
saasservicemgmt.rollouts.get
saasservicemgmt.rolloutKinds.list
saasservicemgmt.rolloutKinds.get
saasservicemgmt.releases.list
saasservicemgmt.releases.get
saasservicemgmt.units.list
saasservicemgmt.units.get
saasservicemgmt.unitKinds.list
saasservicemgmt.unitKinds.get
saasservicemgmt.unitOperations.list
saasservicemgmt.unitOperations.get
saasservicemgmt.tenants.list
saasservicemgmt.tenants.get
saasservicemgmt.saas.list
saasservicemgmt.saas.get
SaaS Runtime Viewer (roles/saasservicemgmt.viewer) SaaS-Laufzeitressourcen lesen: Releases, Roll-outs, Roll-out-Arten, Einheiten, Einheitstypen, Einheitenoperationen, SaaS und Mandanten. resourcemanager.projects.get
resourcemanager.projects.list
saasservicemgmt.locations.list
saasservicemgmt.locations.get
saasservicemgmt.rollouts.list
saasservicemgmt.rollouts.get
saasservicemgmt.rolloutKinds.list
saasservicemgmt.rolloutKinds.get
saasservicemgmt.releases.list
saasservicemgmt.releases.get
saasservicemgmt.units.list
saasservicemgmt.units.get
saasservicemgmt.unitKinds.list
saasservicemgmt.unitKinds.get
saasservicemgmt.unitOperations.list
saasservicemgmt.unitOperations.get
saasservicemgmt.tenants.list
saasservicemgmt.tenants.get
saasservicemgmt.saas.list
saasservicemgmt.saas.get

Berechtigungen

Die Berechtigungen, die der Aufrufer zum Aufrufen der einzelnen Methoden benötigt, sind in der REST API-Referenz aufgeführt.

Nächste Schritte