Zugriffssteuerung mit IAM

Auf dieser Seite werden die Möglichkeiten der Zugriffssteuerung beschrieben, die Ihnen in Cloud Scheduler zur Verfügung stehen.

Übersicht

Cloud Scheduler verwendet Identity and Access Management (IAM) für die Zugriffssteuerung.

Eine Einführung in IAM und die zugehörigen Features finden Sie in der IAM-Übersicht. Informationen zum Gewähren und Widerrufen des Zugriffs finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Listen mit Berechtigungen und Rollen, die Cloud Scheduler unterstützt, finden Sie in den folgenden Abschnitten.

Cloud Scheduler API aktivieren

Wenn Sie IAM-Rollen für Cloud Scheduler aufrufen und zuweisen möchten, müssen Sie die Cloud Scheduler API für Ihr Projekt aktivieren. Sie können die Cloud Scheduler-Rollen in der Google Cloud Console erst sehen, wenn Sie die API aktiviert haben.

Für das Aktivieren von APIs erforderliche Rollen

Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Informationen zum Zuweisen von Rollen.

API aktivieren

Vordefinierte Rollen

In der folgenden Tabelle sind die vordefinierten IAM-Rollen für Cloud Scheduler und die jeweiligen Berechtigungen aufgeführt, die eine Rolle umfasst.

Diese vorkonfigurierten Rollen berücksichtigen die meisten typischen Anwendungsfälle. Wenn Ihr Anwendungsfall nicht durch die vordefinierten Rollen abgedeckt ist, können Sie eine benutzerdefinierte IAM-Rolle erstellen.

Cloud Scheduler-Rollen

Role Permissions

(roles/cloudscheduler.admin)

Full access to jobs and executions.

Note that a Cloud Scheduler Admin (or any custom role with the permission cloudscheduler.jobs.create) can create jobs that publish to any Pub/Sub topics within the project.

appengine.applications.get

cloudscheduler.*

  • cloudscheduler.jobs.create
  • cloudscheduler.jobs.delete
  • cloudscheduler.jobs.enable
  • cloudscheduler.jobs.fullView
  • cloudscheduler.jobs.get
  • cloudscheduler.jobs.list
  • cloudscheduler.jobs.pause
  • cloudscheduler.jobs.run
  • cloudscheduler.jobs.update
  • cloudscheduler.locations.get
  • cloudscheduler.locations.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.consumerpolicy.analyze

serviceusage.consumerpolicy.get

serviceusage.effectivepolicy.get

serviceusage.groups.*

  • serviceusage.groups.list
  • serviceusage.groups.listExpandedMembers
  • serviceusage.groups.listMembers

serviceusage.services.get

serviceusage.services.list

serviceusage.values.test

(roles/cloudscheduler.jobRunner)

Access to run jobs.

appengine.applications.get

cloudscheduler.jobs.fullView

cloudscheduler.jobs.run

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.consumerpolicy.analyze

serviceusage.consumerpolicy.get

serviceusage.effectivepolicy.get

serviceusage.groups.*

  • serviceusage.groups.list
  • serviceusage.groups.listExpandedMembers
  • serviceusage.groups.listMembers

serviceusage.services.get

serviceusage.services.list

serviceusage.values.test

(roles/cloudscheduler.serviceAgent)

Grants Cloud Scheduler Service Account access to manage resources.

iam.serviceAccounts.getAccessToken

iam.serviceAccounts.getOpenIdToken

logging.logEntries.create

logging.logEntries.route

pubsub.topics.publish

(roles/cloudscheduler.viewer)

Get and list access to jobs, executions, and locations.

appengine.applications.get

cloudscheduler.jobs.fullView

cloudscheduler.jobs.get

cloudscheduler.jobs.list

cloudscheduler.locations.*

  • cloudscheduler.locations.get
  • cloudscheduler.locations.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.consumerpolicy.analyze

serviceusage.consumerpolicy.get

serviceusage.effectivepolicy.get

serviceusage.groups.*

  • serviceusage.groups.list
  • serviceusage.groups.listExpandedMembers
  • serviceusage.groups.listMembers

serviceusage.services.get

serviceusage.services.list

serviceusage.values.test

IAM-Verwaltung auf Projektebene

Auf Projektebene können Sie IAM-Rollen mithilfe der Google Cloud Console, der IAM API oder der Google Cloud CLI zuweisen, ändern und widerrufen. Eine Anleitung finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.