角色与权限

本页面介绍了执行特定安全 Web 代理操作所需的 Identity and Access Management (IAM) 权限。本文还介绍了如何创建自定义 IAM 角色，以及如何为该角色分配管理各种安全 Web 代理资源所需的权限。

权限

下表列出了在安全 Web 代理中执行特定操作所需的权限。如需了解详情，请参阅 IAM 权限参考文档。

操作	资源	权限（方法）
创建政策	网关安全政策	networksecurity.gatewaySecurityPolicies.create
删除政策	网关安全政策	networksecurity.gatewaySecurityPolicies.delete
检索政策	网关安全政策	networksecurity.gatewaySecurityPolicies.get
列出政策	网关安全政策	networksecurity.gatewaySecurityPolicies.list
更新政策	网关安全政策	networksecurity.gatewaySecurityPolicies.update
创建规则	网关安全政策规则	networksecurity.gatewaySecurityPolicyRules.create
删除规则	网关安全政策规则	networksecurity.gatewaySecurityPolicyRules.delete
检索规则	网关安全政策规则	networksecurity.gatewaySecurityPolicyRules.get
列出规则	网关安全政策规则	networksecurity.gatewaySecurityPolicyRules.list
更新规则	网关安全政策规则	networksecurity.gatewaySecurityPolicyRules.update
检索操作	运维	networksecurity.operations.get
创建 TLS 检查政策	TLS 检查政策	networksecurity.tlsInspectionPolicies.create
删除 TLS 检查政策	TLS 检查政策	networksecurity.tlsInspectionPolicies.delete
检索 TLS 检查政策	TLS 检查政策	networksecurity.tlsInspectionPolicies.get
列出 TLS 检查政策	TLS 检查政策	networksecurity.tlsInspectionPolicies.list
更新 TLS 检查政策	TLS 检查政策	networksecurity.tlsInspectionPolicies.update
将 TLS 检查政策附加到安全 Web 代理政策	TLS 检查政策	networksecurity.tlsInspectionPolicies.use
创建网址列表	网址列表	networksecurity.urlLists.create
删除网址列表	网址列表	networksecurity.urlLists.delete
检索网址列表	网址列表	networksecurity.urlLists.get
列出所有网址列表	网址列表	networksecurity.urlLists.list
更新网址列表	网址列表	networksecurity.urlLists.update
将网址列表附加到安全 Web 代理规则	网址列表	networksecurity.urlLists.use
配置和管理安全 Web 代理实例	各种 Certificate Manager、Compute Engine、安全 Web 代理、Resource Manager 和 Cloud Monitoring 资源	certificatemanager.certs.get certificatemanager.certs.list certificatemanager.certs.use compute.addresses.create compute.addresses.createInternal compute.addresses.list compute.instances.update compute.networks.get compute.networks.list compute.projects.get compute.regionOperations.get compute.routers.create compute.routers.delete compute.routers.get compute.routers.list compute.routers.update compute.subnetworks.get compute.subnetworks.list networksecurity.gatewaySecurityPolicies.get networksecurity.gatewaySecurityPolicies.list networksecurity.gatewaySecurityPolicies.use networksecurity.gatewaySecurityPolicyRules.get networksecurity.gatewaySecurityPolicyRules.list networksecurity.locations.list networksecurity.urlLists.get networksecurity.urlLists.list networksecurity.urlLists.use networkservices.gateways.create networkservices.gateways.delete networkservices.gateways.get networkservices.gateways.list networkservices.gateways.update networkservices.gateways.use networkservices.locations.list networkservices.operations.get networkservices.operations.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list

角色

如需获得预配安全 Web 代理实例所需的权限，请让管理员向您授予项目的以下 IAM 角色：

• 如需配置政策和预配 Secure Web Proxy 实例，您需要具备 Compute Network Admin 角色 (roles/compute.networkAdmin)
• 如需上传显式安全 Web 代理 TLS 证书，您需要具备证书管理器编辑者角色 (roles/certificatemanager.editor)。

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

可选：如果您有一组用户负责管理 Compute Engine 组织安全政策，请向他们授予 Compute Organization Security Policy Admin 角色 (roles/compute.orgSecurityPolicyAdmin)。

如需详细了解项目角色和权限，请参阅以下内容：

• Identity and Access Management 文档
• Compute Engine API 文档
• Cloud Monitoring API 文档

后续步骤

• 如需完成初始任务以设置 Secure Web Proxy，请参阅初始设置步骤。