Nutzern Instanzzugriff gewähren

Auf dieser Seite wird beschrieben, wie Sie Ihren Nutzern mit Identity and Access Management (IAM) Zugriff auf Ihre Secure Source Manager-Instanz gewähren. Weitere Informationen zur Zugriffssteuerung in Secure Source Manager finden Sie unter Zugriffssteuerung mit IAM.

Erforderliche Rollen

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Secure Source Manager Instance Owner (roles/securesourcemanager.instanceOwner) für die Secure Source Manager-Instanz zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Gewähren des Instanzzugriffs für Nutzer benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Informationen zum Zuweisen von Secure Source Manager-Rollen finden Sie unter Zugriffssteuerung mit IAM.

Zugriff für Nutzer der Mitarbeiteridentitätsföderation gewähren

Wenn Sie die Mitarbeiteridentitätsföderation für den Zugriff auf Secure Source Manager verwenden, werden Hauptkonten anders dargestellt. Weitere Informationen zum Gewähren des Zugriffs auf Principals, die Gruppen von Identitäten darstellen, finden Sie unter Mitarbeiteridentitätspool-Nutzer in IAM-Richtlinien darstellen.

Mit dem folgenden Befehl wird dem Nutzer user@example.com beispielsweise die Rolle „Instance Accessor“ (roles/securesourcemanager.instanceAccessor) im Workforce-Pool my-pool für die Instanz my-instance im Projekt my-project in der Region us-central1 zugewiesen:

  gcloud source-manager instances add-iam-policy-binding my-instance \
      --project=my-project \
      --region=us-central1 \
      --member=principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/user@example.com \
      --role=roles/securesourcemanager.instanceAccessor

Sie können Nutzern oder Gruppen in Ihrem Workforce Identity-Pool basierend auf den Attributen Ihres Identitätsanbieters (IdP) Berechtigungen erteilen oder Common Expression Language (CEL) verwenden, um Ihre OIDC-Attribute benutzerdefinierten Attributen zuzuordnen und so eine Autorisierungsstrategie in Ihrer IAM-Richtlinie zu definieren. Weitere Informationen zu Attributzuordnungen finden Sie unter Attributzuordnungen.

Instanzzugriff in der Google Cloud Console gewähren

Rufen Sie in der Google Cloud Console die Seite IAM auf.

IAM aufrufen
Klicken Sie auf Zugriff erlauben.
Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Nutzers oder der Gruppe ein, dem bzw. der Sie Zugriff gewähren möchten.
Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
- Wenn Sie nur Lesezugriff auf die Instanz gewähren möchten, wählen Sie Secure Source Manager Instance Accessor (roles/securesourcemanager.instanceAccessor) aus. Mit dieser Rolle wird Zugriff auf die Instanz gewährt, aber keine Berechtigungen zum Aufrufen von Repositorys.
- Wenn Sie schreibgeschützten Zugriff auf Repositories gewähren möchten, wählen Sie Secure Source Manager Repository Reader (roles/securesourcemanager.repoReader) aus. Nutzer benötigen außerdem die Rolle „Instance Accessor“, um über die Secure Source Manager-Weboberfläche auf Repositories zuzugreifen.
- Wenn Sie das Erstellen und Ändern von Repositories zulassen möchten, wählen Sie Ersteller von Secure Source Manager-Instanz-Repositories (roles/securesourcemanager.instanceRepositoryCreator) aus.
- Wenn Sie vollständigen Administratorzugriff auf die Instanz gewähren möchten, wählen Sie Inhaber von Secure Source Manager-Instanzen (roles/securesourcemanager.instanceOwner) aus.
Klicken Sie auf Speichern.

Einzelnen Nutzern Zugriff gewähren

Verwenden Sie den folgenden Google Cloud CLI-Befehl, um einem einzelnen Nutzer Zugriff auf die Instanz zu gewähren:

  gcloud source-manager instances add-iam-policy-binding INSTANCE_ID \
      --project=PROJECT_ID \
      --region=REGION \
      --member=PRINCIPAL_IDENTIFIER \
      --role=roles/securesourcemanager.instanceAccessor

Ersetzen Sie Folgendes:

INSTANCE_ID durch die Instanz-ID.
Ersetzen Sie PROJECT_ID durch die Projekt-ID oder Projektnummer der Instanz.
REGION durch die Region, in der sich die Instanz befindet. Informationen zu den verfügbaren Secure Source Manager-Regionen finden Sie in der Dokumentation zu Standorten.
PRINCIPAL_IDENTIFIER mit der Kennzeichnung für das Hauptkonto, dem Sie die Rolle zuweisen möchten.

Wenn Sie die Rolle beispielsweise einem einzelnen Nutzer mit seiner E-Mail-Adresse zuweisen möchten, formatieren Sie die Prinzipal-ID als user:EMAIL, wobei EMAIL die E-Mail-Adresse des Nutzers ist.

Weitere Informationen zu unterstützten Hauptkonto-IDs finden Sie unter Hauptkonto-IDs.

Mit dem folgenden Befehl wird beispielsweise dem Nutzer trusted-user1@gmail.com die Rolle roles/securesourcemanager.instanceAccessor für die Instanz my-instance im Projekt my-project in der Region us-central zugewiesen.

  gcloud source-manager instances add-iam-policy-binding INSTANCE_ID \
      --project=my-project \
      --region=us-central1 \
      --member=user:trusted-user1@gmail.com \
      --role=roles/securesourcemanager.instanceAccessor

Mehreren Nutzern Zugriff gewähren

Wenn Sie mehreren Nutzern Zugriff gewähren möchten, empfehlen wir, eine Google-Gruppe zu erstellen, die alle potenziellen Nutzer, z. B. alle Entwickler, enthält.

Sie können der Gruppe dann eine oder mehrere der folgenden Rollen zuweisen:

Instanz-Accessor (roles/securesourcemanager.instanceAccessor): Instanz ansehen.
Instance Repository Creator (roles/securesourcemanager.instanceRepositoryCreator): Erstellen und ändern Sie Repositories.
Instanzinhaber (roles/securesourcemanager.instanceOwner): Vollständige Verwaltung der Instanz.

Eine Anleitung zum Zuweisen von Rollen für eine Gruppe finden Sie in der IAM-Dokumentation unter Zugriff für mehrere Principals gewähren.

Nutzern Instanzzugriff gewähren Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.