授予使用者執行個體存取權

本頁說明如何使用 Identity and Access Management (IAM)，授予使用者 Secure Source Manager 執行個體的存取權。如要進一步瞭解 Secure Source Manager 的存取權控管機制，請參閱「使用 IAM 控管存取權」。

必要的角色

如要取得授予使用者執行個體存取權所需的權限，請要求管理員授予 Secure Source Manager 執行個體的Secure Source Manager 執行個體擁有者角色 (roles/securesourcemanager.instanceOwner) IAM 角色。如要進一步瞭解如何授予角色，請參閱「管理專案、資料夾和組織的存取權」。

您或許也能透過自訂角色或其他預先定義的角色，取得必要權限。

如要瞭解如何授予 Secure Source Manager 角色，請參閱「使用 IAM 控管存取權」。

授予員工身分聯盟使用者存取權

如果您使用員工身分聯盟存取 Secure Source Manager，主體會以不同方式表示。如要進一步瞭解如何將存取權授予代表身分群組的主體，請參閱「在 IAM 政策中代表工作團隊集區使用者」。

舉例來說，下列指令會將專案 my-project 中 us-central1 地區的執行個體 my-instance 中，工作站集區 my-pool 的執行個體存取者角色 (roles/securesourcemanager.instanceAccessor) 授予使用者 user@example.com：

  gcloud source-manager instances add-iam-policy-binding my-instance \
      --project=my-project \
      --region=us-central1 \
      --member=principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/user@example.com \
      --role=roles/securesourcemanager.instanceAccessor

您可以根據身分識別提供者 (IdP) 屬性，授予工作人員身分識別集區中的使用者或群組權限，也可以使用通用運算式語言 (CEL) 將 OIDC 屬性對應至自訂屬性，以便在 IAM 政策中定義授權策略。如要進一步瞭解屬性對應，請參閱「屬性對應」。

授予單一使用者存取權

如要授予單一使用者執行個體存取權，請使用下列 Google Cloud CLI 指令：

  gcloud source-manager instances add-iam-policy-binding INSTANCE_ID \
      --project=PROJECT_ID \
      --region=REGION \
      --member=PRINCIPAL_IDENTIFIER \
      --role=roles/securesourcemanager.instanceAccessor

更改下列內容：

• 將 INSTANCE_ID 換成執行個體 ID。
• 將 PROJECT_ID 替換為執行個體的專案 ID 或專案編號。
• REGION，其中包含執行個體所在的區域。如要瞭解可用的 Secure Source Manager 地區，請參閱位置說明文件。

• PRINCIPAL_IDENTIFIER，並輸入要授予角色的主體 ID。

  舉例來說，如要將角色授予單一使用者，請以電子郵件地址格式設定主體 ID，也就是 user:EMAIL，其中 EMAIL 是使用者的電子郵件地址。

  如要進一步瞭解支援的主體 ID，請參閱「主體 ID」。

舉例來說，下列指令會將 us-central 地區中 my-project 專案的 my-instance 執行個體 roles/securesourcemanager.instanceAccessor 角色授予 trusted-user1@gmail.com 使用者。

  gcloud source-manager instances add-iam-policy-binding INSTANCE_ID \
      --project=my-project \
      --region=us-central1 \
      --member=user:trusted-user1@gmail.com \
      --role=roles/securesourcemanager.instanceAccessor

將存取權授予多位使用者

如要授予多位使用者存取權，建議建立 Google 群組，納入所有潛在使用者，例如所有開發人員。

然後授予群組下列一或多個角色：

• 執行個體存取子 (roles/securesourcemanager.instanceAccessor)：查看執行個體。
• 執行個體存放區建立者 (roles/securesourcemanager.instanceRepositoryCreator)：建立及修改存放區。
• 執行個體擁有者 (roles/securesourcemanager.instanceOwner)：可全面管理執行個體。

如要瞭解如何將角色授予群組，請參閱 IAM 說明文件中的「授予多個主體的存取權」。

後續步驟

• 授予使用者存放區存取權。
• 進一步瞭解如何使用 IAM 控管存取權。
• 建立存放區。
• 授予及撤銷 IAM 角色。