授予使用者執行個體存取權

本頁說明如何使用 Identity and Access Management (IAM),授予使用者 Secure Source Manager 執行個體的存取權。如要進一步瞭解 Secure Source Manager 的存取權控管機制,請參閱「使用 IAM 控管存取權」。

必要的角色

如要取得授予使用者執行個體存取權所需的權限,請要求管理員授予 Secure Source Manager 執行個體的Secure Source Manager 執行個體擁有者角色 (roles/securesourcemanager.instanceOwner) IAM 角色。如要進一步瞭解如何授予角色,請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色,取得必要權限。

如要瞭解如何授予 Secure Source Manager 角色,請參閱「使用 IAM 控管存取權」。

授予員工身分聯盟使用者存取權

如果您使用員工身分聯盟存取 Secure Source Manager,主體會以不同方式表示。如要進一步瞭解如何將存取權授予代表身分群組的主體,請參閱「在 IAM 政策中代表工作團隊集區使用者」。

舉例來說,下列指令會將專案 my-projectus-central1 地區的執行個體 my-instance 中,工作站集區 my-pool 的執行個體存取者角色 (roles/securesourcemanager.instanceAccessor) 授予使用者 user@example.com

  gcloud source-manager instances add-iam-policy-binding my-instance \
      --project=my-project \
      --region=us-central1 \
      --member=principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/user@example.com \
      --role=roles/securesourcemanager.instanceAccessor

您可以根據身分識別提供者 (IdP) 屬性,授予工作人員身分識別集區中的使用者或群組權限,也可以使用通用運算式語言 (CEL) 將 OIDC 屬性對應至自訂屬性,以便在 IAM 政策中定義授權策略。如要進一步瞭解屬性對應,請參閱「屬性對應」。

在 Google Cloud 控制台中授予執行個體存取權

  1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

    前往「IAM」頁面

  2. 按一下「授予存取權」

  3. 在「New principals」(新增主體) 欄位中,輸入要授予存取權的使用者或群組的電子郵件地址。

  4. 從「Select a role」(選取角色) 清單中選取角色。

    • 如要授予執行個體的唯讀存取權,請選取「Secure Source Manager Instance Accessor」(roles/securesourcemanager.instanceAccessor)。這項角色會授予執行個體的存取權,但不會授予存放區檢視權限。
    • 如要授予存放區的唯讀存取權,請選取「Secure Source Manager Repository Reader」(roles/securesourcemanager.repoReader)。使用者也需要 Instance Accessor 角色,才能透過 Secure Source Manager 網頁介面存取存放區。
    • 如要允許建立及修改存放區,請選取「Secure Source Manager Instance Repository Creator」(Secure Source Manager 執行個體存放區建立者) (roles/securesourcemanager.instanceRepositoryCreator)。
    • 如要授予執行個體的完整管理存取權,請選取「Secure Source Manager 執行個體擁有者」(roles/securesourcemanager.instanceOwner)。

  5. 按一下 [儲存]

授予單一使用者存取權

如要授予單一使用者執行個體存取權,請使用下列 Google Cloud CLI 指令:

  gcloud source-manager instances add-iam-policy-binding INSTANCE_ID \
      --project=PROJECT_ID \
      --region=REGION \
      --member=PRINCIPAL_IDENTIFIER \
      --role=roles/securesourcemanager.instanceAccessor

更改下列內容:

  • INSTANCE_ID 換成執行個體 ID。
  • PROJECT_ID 替換為執行個體的專案 ID 或專案編號。
  • REGION,其中包含執行個體所在的區域。如要瞭解可用的 Secure Source Manager 地區,請參閱位置說明文件

  • PRINCIPAL_IDENTIFIER,並輸入要授予角色的主體 ID。

    舉例來說,如要將角色授予單一使用者,請以電子郵件地址格式設定主體 ID,也就是 user:EMAIL,其中 EMAIL 是使用者的電子郵件地址。

    如要進一步瞭解支援的主體 ID,請參閱「主體 ID」。

舉例來說,下列指令會將 us-central 地區中 my-project 專案的 my-instance 執行個體 roles/securesourcemanager.instanceAccessor 角色授予 trusted-user1@gmail.com 使用者。

  gcloud source-manager instances add-iam-policy-binding INSTANCE_ID \
      --project=my-project \
      --region=us-central1 \
      --member=user:trusted-user1@gmail.com \
      --role=roles/securesourcemanager.instanceAccessor

將存取權授予多位使用者

如要授予多位使用者存取權,建議建立 Google 群組,納入所有潛在使用者,例如所有開發人員。

然後授予群組下列一或多個角色:

  • 執行個體存取子 (roles/securesourcemanager.instanceAccessor):查看執行個體。
  • 執行個體存放區建立者 (roles/securesourcemanager.instanceRepositoryCreator):建立及修改存放區。
  • 執行個體擁有者 (roles/securesourcemanager.instanceOwner):可全面管理執行個體。

如要瞭解如何將角色授予群組,請參閱 IAM 說明文件中的「授予多個主體的存取權」。

後續步驟