Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

בקרת גישה באמצעות IAM

בדף הזה מוסבר איך להעניק ולנהל גישה ל-Service Catalog באמצעות ניהול הזהויות והרשאות הגישה (IAM).

לפני שמתחילים

צריך להפעיל את Service Catalog בארגון Google Cloud .
כדי להקצות תפקידי IAM ב-Service Catalog, צריך להיות לכם התפקיד אדמין ארגוני (roles/resourcemanager.organizationAdmin) בארגון ב-Google Cloud .

מהו ניהול זהויות והרשאות גישה (IAM)?

‫Google Cloud כולל את הממשק לניהול הזהויות והרשאות הגישה (IAM), שבאמצעותו אתם יכולים לתת גישה פרטנית יותר למשאבים ספציפיים ב- Google Cloud ולמנוע גישה לא רצויה למשאבים אחרים. בעזרת IAM תוכלו לשמור על עקרון האבטחה של הרשאות מינימליות, וכך לתת רק למי שצריך את רמת הגישה שצריך למשאבים השונים.

באמצעות כללי המדיניות ב-IAM תוכלו לקבוע למי (זהות) יש אילו (תפקידים) הרשאות לאילו משאבים. כללי המדיניות ב-IAM נותנים לחשבונות המשתמשים תפקידים ספציפיים עם הרשאות ספציפיות.

לדוגמה, תוכלו לתת לחשבון Google מסוים את התפקיד roles/compute.networkAdmin בפרויקט ספציפי. כך, המשתמש באותו חשבון יוכל לשלוט במשאבים שקשורים לרשת בפרויקט אבל לא לנהל משאבים אחרים, כמו מופעים ודיסקים.

תפקידי IAM בקטלוג השירותים

באמצעות IAM, כל method ב-API גם ב-Service Catalog API וגם ב-Service Catalog Producer API דורשת שלזהות שממנה הגיעה בקשת ה-API יהיו ההרשאות המתאימות לשימוש במשאב. ההרשאות ניתנות על ידי הגדרת מדיניות שמעניקה תפקידים לחשבון משתמש, כמו משתמש, קבוצה או חשבון שירות. בנוסף לתפקידים הבסיסיים בעלים, עריכה וצפייה, אפשר להקצות לחשבונות משתמשים את התפקידים 'קטלוג שירותים' ו'יצרן קטלוג שירותים' שמתוארים בדף הזה.

בטבלאות הבאות מפורטים התפקידים ב-IAM שזמינים למשתמשי Service Catalog. הטבלאות מאורגנות לפי תפקידים שונים.

מנהל מערכת בארגון של הקטלוג

שם התפקיד	תיאור	כולל הרשאות
`roles/cloudprivatecatalogproducer.orgAdmin`	ניהול ההגדרות של קטלוג השירותים ברמת הארגון Google Cloud. יוצר ומנהל משאבים של Service Catalog, כמו פתרונות וקטלוגים.	`cloudprivatecatalogproducer.settings.` `cloudprivatecatalogproducer.catalogs.` `cloudprivatecatalogproducer.associations.` `cloudprivatecatalogproducer.targets.` `cloudprivatecatalogproducer.producerCatalogs.` `cloudprivatecatalogproducer.catalogAssociations.` `cloudprivatecatalogproducer.products.` `cloudprivatecatalog.targets.` `resourcemanager.projects.get` `resourcemanager.projects.list` `resourcemanager.folders.get` `resourcemanager.folders.list` `resourcemanager.organizations.get`

אדמין של הקטלוג

שם התפקיד	תיאור	כולל הרשאות
`roles/cloudprivatecatalogproducer.admin`	יוצר ומנהל משאבים של Service Catalog, כמו פתרונות וקטלוגים.	`cloudprivatecatalogproducer.catalogs.` `cloudprivatecatalogproducer.associations.` `cloudprivatecatalogproducer.targets.` `cloudprivatecatalogproducer.producerCatalogs.` `cloudprivatecatalogproducer.catalogAssociations.` `cloudprivatecatalogproducer.products.` `cloudprivatecatalog.targets.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `resourcemanager.folders.get` `resourcemanager.folders.list` `resourcemanager.organizations.get`

Catalog Manager

שם התפקיד	תיאור	כולל הרשאות
`roles/cloudprivatecatalogproducer.manager`	הצגת פתרונות וקטלוגים ושיתוף קטלוגים עם משתמשי Service Catalog.	`cloudprivatecatalog.targets.get` `cloudprivatecatalogproducer.catalogs.get` `cloudprivatecatalogproducer.catalogs.list` `cloudprivatecatalogproducer.targets.` `cloudprivatecatalogproducer.associations.` `cloudprivatecatalogproducer.producerCatalogs.get` `cloudprivatecatalogproducer.producerCatalogs.list` `cloudprivatecatalogproducer.catalogAssociations.*` `resourcemanager.projects.get` `resourcemanager.projects.list` `resourcemanager.folders.get` `resourcemanager.folders.list` `resourcemanager.organizations.get`

צרכן קטלוג

שם התפקיד	תיאור	כולל הרשאות
`roles/cloudprivatecatalog.consumer`	עיון בקטלוגים. פתרונות להצגת נתונים ולהשקת אפליקציות. פועל תחת משאב יעד Google Cloud , כמו ארגון, פרויקט או תיקייה.	`cloudprivatecatalog.targets.get` `resourcemanager.projects.get` `resourcemanager.projects.list`

הוספת משתמשים לתפקידי IAM ב-Service Catalog

כדי שמשתמשים יוכלו להוסיף ב-IAM משתמשים אחרים לתפקידים עם גישה לקטלוג השירותים, הם צריכים את ההרשאה resourcemanager.organizations.setIamPolicy ברמת הארגון. כדי לתת למשתמש או לקבוצה את ההרשאה הזו, אפשר להקצות להם את התפקיד 'אדמין ארגוני' (roles/resourcemanager.organizationAdmin).

לדוגמה, אם רוצים שמשתמשים בארגון עם התפקיד 'אדמין קטלוג' יוכלו גם להוסיף ב-IAM משתמשים וקבוצות לתפקידים אחרים בקטלוג השירותים (ולהסיר אותם מתפקידים כאלה), אפשר לתת להם את התפקיד 'אדמין ארגוני' באחת מהדרכים הבאות:

יוצרים קבוצה ב-Google למשתמשים (MyCompanyCatalogAdmins).
להקצות לקבוצת Google‏ (MyCompanyCatalogAdmins) את התפקיד 'אדמין ארגוני'.
מקצים לקבוצת Google‏ (MyCompanyCatalogAdmins) את התפקיד 'אדמין של הקטלוג'.

בדוגמה הזו, החברים בקבוצת Google‏ (MyCompanyCatalogAdmins) יכולים לתת למשתמשים ולקבוצות בארגון תפקידים ב-IAM, כי לקבוצה ניתנה ההרשאה MyCompanyCatalogAdmins כשהוקצה לה התפקיד 'אדמין ארגוני'.setIamPolicy כשאדמינים חדשים של הקטלוג יצטרפו לארגון, תוכלו להוסיף אותם לקבוצת Google‏ (MyCompanyCatalogAdmins) כדי שהם יקבלו את התפקידים הרצויים.

כדי להוסיף משתמש, קבוצה או דומיין לתפקיד IAM בקטלוג השירותים, פועלים לפי השלבים הבאים.

נכנסים לדף IAM & admin במסוף Google Cloud כאדמינים ארגוניים.
כניסה לדף IAM & admin במסוף Google Cloud
בתפריט הצד, בוחרים באפשרות Cloud Private Catalog.
בוחרים את התפקיד להקצאה:
- אדמין של קטלוג
- Catalog Manager
- Catalog Consumer
מציינים את המשתמשים, הקבוצות או הדומיינים שרוצים להוסיף.

המאמרים הבאים

יצירת קטלוג