Auf dieser Seite wird beschrieben, wie Sie Ihren Nutzern mit Identity and Access Management (IAM) Zugriff auf Ihre Secure Source Manager-Instanz gewähren. Weitere Informationen zur Zugriffssteuerung in Secure Source Manager finden Sie unter Zugriffssteuerung mit IAM
Erforderliche Rollen
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Inhaber von Secure Source Manager-Instanzen (roles/securesourcemanager.instanceOwner) für die Secure Source Manager-Instanz zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Gewähren des Instanzzugriffs für Nutzer benötigen.
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Informationen zum Zuweisen von Secure Source Manager-Rollen, siehe Zugriffssteuerung mit IAM.
Zugriff für Nutzer der Mitarbeiteridentitätsföderation gewähren
Wenn Sie die Mitarbeiteridentitätsföderation verwenden, um auf Secure Source Manager zuzugreifen, werden Hauptkonten anders dargestellt. Weitere Informationen zum Gewähren des Zugriffs auf Hauptkonten, die Gruppen von Identitäten darstellen, finden Sie unter Mitarbeiterpoolnutzer in IAM-Richtlinien darstellen.
Mit dem folgenden Befehl wird beispielsweise dem Nutzer user@example.com die Rolle „Instanzzugriff“ (roles/securesourcemanager.instanceAccessor) im Mitarbeiterpool my-pool für die Instanz my-instance im Projekt my-project in der Region us-central1 zugewiesen:
gcloud source-manager instances add-iam-policy-binding my-instance \
--project=my-project \
--region=us-central1 \
--member=principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/user@example.com \
--role=roles/securesourcemanager.instanceAccessor
Sie können Nutzern oder Gruppen in Ihrem Mitarbeiteridentitätspool basierend auf Ihren Identitätsanbieterattributen (IdP) Zugriff gewähren oder mit Common Expression Language (CEL) Ihre OIDC-Attribute benutzerdefinierten Attributen zuordnen, um eine Autorisierungsstrategie in Ihrer IAM Richtlinie zu definieren. Weitere Informationen zu Attributzuordnungen finden Sie unter Attributzuordnungen.
Instanzzugriff in der Google Cloud Console gewähren
Rufen Sie in der Google Cloud Console die Seite IAM auf.
Klicken Sie auf Zugriff erlauben.
Geben Sie im Feld Neue Hauptkonten die E-Mail-Adresse des Nutzers oder der Gruppe ein, dem bzw. der Sie Zugriff gewähren möchten.
Wählen Sie in der Liste Rolle auswählen eine Rolle aus.
- Wenn Sie schreibgeschützten Zugriff auf die Instanz gewähren möchten, wählen Sie Secure Source Manager-Instanzzugriff (
roles/securesourcemanager.instanceAccessor) aus. Mit dieser Rolle wird Zugriff auf die Instanz gewährt, aber keine Berechtigungen zum Anzeigen von Repositories. - Wenn Sie Lesezugriff auf Repositories gewähren möchten, wählen Sie Secure Source Manager-Repository-Leser (
roles/securesourcemanager.repoReader) aus. Nutzer benötigen auch die Rolle „Instanzzugriff“, um über die Secure Source Manager-Weboberfläche auf Repositories zuzugreifen. - Wenn Sie das Erstellen und Ändern von Repositories zulassen möchten, wählen Sie Ersteller von Secure Source Manager-Instanz-Repositories (
roles/securesourcemanager.instanceRepositoryCreator) aus. - Wenn Sie vollständigen Administratorzugriff auf die Instanz gewähren möchten, wählen Sie Inhaber von Secure Source Manager-Instanzen (
roles/securesourcemanager.instanceOwner) aus.
- Wenn Sie schreibgeschützten Zugriff auf die Instanz gewähren möchten, wählen Sie Secure Source Manager-Instanzzugriff (
Klicken Sie auf Speichern.
Zugriff für einen einzelnen Nutzer gewähren
Verwenden Sie den folgenden Google Cloud CLI-Befehl, um einem einzelnen Nutzer Zugriff auf die Instanz zu gewähren:
gcloud source-manager instances add-iam-policy-binding INSTANCE_ID \
--project=PROJECT_ID \
--region=REGION \
--member=PRINCIPAL_IDENTIFIER \
--role=roles/securesourcemanager.instanceAccessor
Ersetzen Sie Folgendes:
INSTANCE_IDdurch die Instanz-ID.PROJECT_IDdurch die Projekt-ID oder Projektnummer der Instanz.REGIONdurch die Region, in der sich die Instanz befindet. Eine Liste der verfügbaren Secure Source Manager-Regionen finden Sie in der Dokumentation zu Standorten.PRINCIPAL_IDENTIFIERdurch die ID des Prinzipals , dem Sie die Rolle zuweisen möchten.Wenn Sie die Rolle beispielsweise einem einzelnen Nutzer mit seiner E-Mail-Adresse zuweisen möchten, formatieren Sie die Hauptkonto-ID als
user:EMAIL. Dabei ist EMAIL die E-Mail-Adresse des Nutzers.Weitere Informationen zu unterstützten Hauptkonto-IDs finden Sie unter Hauptkonto-IDs.
Mit dem folgenden Befehl wird beispielsweise dem Nutzer trusted-user1@gmail.com die Rolle roles/securesourcemanager.instanceAccessor für die Instanz my-instance im Projekt my-project in der Region us-central zugewiesen.
gcloud source-manager instances add-iam-policy-binding INSTANCE_ID \
--project=my-project \
--region=us-central1 \
--member=user:trusted-user1@gmail.com \
--role=roles/securesourcemanager.instanceAccessor
Zugriff für mehrere Nutzer gewähren
Wenn Sie mehreren Nutzern Zugriff gewähren möchten, empfehlen wir, eine Google-Gruppe zu erstellen, die alle potenziellen Nutzer enthält, z. B. alle Entwickler.
Anschließend können Sie der Gruppe eine oder mehrere der folgenden Rollen zuweisen:
- Instanzzugriff (
roles/securesourcemanager.instanceAccessor): Instanz ansehen. - Ersteller von Instanz-Repositories (
roles/securesourcemanager.instanceRepositoryCreator): Repositories erstellen und ändern. - Instanzinhaber (
roles/securesourcemanager.instanceOwner): Vollständige Verwaltung der Instanz.
Eine Anleitung zum Zuweisen von Rollen zu einer Gruppe finden Sie in der IAM-Dokumentation unter Zugriff für mehrere Hauptkonten gewähren.
Nächste Schritte
- Nutzern Zugriff auf Repositories gewähren.
- Weitere Informationen zur Zugriffssteuerung mit IAM.
- Repository erstellen.
- IAM-Rollen zuweisen und entziehen.