Rollen und Berechtigungen

Google Cloud bietet Identity and Access Management (IAM), mit dem sich der Zugriff auf einzelne Ressourcen von Google Cloud präzise steuern und unerwünschter Zugriff auf andere Ressourcen verhindern lässt. Auf dieser Seite werden die Rollen und Berechtigungen für Service Extensions beschrieben.

Durch IAM können Sie das Prinzip der geringsten Berechtigung anwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen gewähren.

Rollen sind Sammlungen von IAM-Berechtigungen. Wenn Sie Hauptkonten Berechtigungen erteilen möchten, einschließlich Nutzern, Gruppen und Dienstkonten, weisen Sie den Hauptkonten Rollen zu. Sie können steuern, wer was für Berechtigungen für welche Ressourcen hat. Dazu legen Sie IAM-Richtlinien fest. IAM-Richtlinien gewähren Hauptkonten bestimmte Rollen und damit bestimmte Berechtigungen.

Ausführliche Informationen zu IAM-Rollen finden Sie unter Rollen und Berechtigungen.

Vordefinierte Rollen und Berechtigungen für Dienst-Extensions

Service Extensions unterstützt IAM-Berechtigungen auf Projektebene.

In der folgenden Tabelle sind die IAM-Rollen für Dienst-Extensions und die Berechtigungen aufgeführt, die jede Rolle enthält.

Rollen Berechtigungen

Rollen	Berechtigungen
Service Extensions Admin (`roles/networkservices.serviceExtensionsAdmin`) Berechtigungen zum Erstellen, Aktualisieren, Auflisten, Ansehen und Löschen von Erweiterungen.	`networkservices.authzExtensions.create` `networkservices.authzExtensions.delete` `networkservices.authzExtensions.get` `networkservices.authzExtensions.list` `networkservices.authzExtensions.update` `networkservices.authzExtensions.use` `networkservices.lbEdgeExtensions.create` `networkservices.lbEdgeExtensions.delete` `networkservices.lbEdgeExtensions.get` `networkservices.lbEdgeExtensions.list` `networkservices.lbEdgeExtensions.update` `networkservices.lbRouteExtensions.create` `networkservices.lbRouteExtensions.delete` `networkservices.lbRouteExtensions.get` `networkservices.lbRouteExtensions.list` `networkservices.lbRouteExtensions.update` `networkservices.lbTrafficExtensions.create` `networkservices.lbTrafficExtensions.delete` `networkservices.lbTrafficExtensions.get` `networkservices.lbTrafficExtensions.list` `networkservices.lbTrafficExtensions.update` `networkservices.wasmActions.get` `networkservices.wasmActions.list` `networkservices.wasmActions.create` `networkservices.wasmActions.delete` `networkservices.wasmPlugins.get` `networkservices.wasmPlugins.list` `networkservices.wasmPlugins.create` `networkservices.wasmPlugins.update` `networkservices.wasmPlugins.delete` `networkservices.wasmPlugins.use`
Service Extensions Viewer (`roles/networkservices.serviceExtensionsViewer`) Berechtigungen zum Auflisten und Aufrufen von Erweiterungen.	`networkservices.authzExtensions.get` `networkservices.authzExtensions.list` `networkservices.lbEdgeExtensions.get` `networkservices.lbEdgeExtensions.list` `networkservices.lbRouteExtensions.get` `networkservices.lbRouteExtensions.list` `networkservices.lbTrafficExtensions.get` `networkservices.lbTrafficExtensions.list` `networkservices.wasmActions.get` `networkservices.wasmActions.list` `networkservices.wasmPlugins.get` `networkservices.wasmPlugins.list`

Service Extensions Admin

(roles/networkservices.serviceExtensionsAdmin)

Berechtigungen zum Erstellen, Aktualisieren, Auflisten, Ansehen und Löschen von Erweiterungen.

networkservices.authzExtensions.create
networkservices.authzExtensions.delete
networkservices.authzExtensions.get
networkservices.authzExtensions.list
networkservices.authzExtensions.update
networkservices.authzExtensions.use
networkservices.lbEdgeExtensions.create
networkservices.lbEdgeExtensions.delete
networkservices.lbEdgeExtensions.get
networkservices.lbEdgeExtensions.list
networkservices.lbEdgeExtensions.update
networkservices.lbRouteExtensions.create
networkservices.lbRouteExtensions.delete
networkservices.lbRouteExtensions.get
networkservices.lbRouteExtensions.list
networkservices.lbRouteExtensions.update
networkservices.lbTrafficExtensions.create
networkservices.lbTrafficExtensions.delete
networkservices.lbTrafficExtensions.get
networkservices.lbTrafficExtensions.list
networkservices.lbTrafficExtensions.update
networkservices.wasmActions.get
networkservices.wasmActions.list
networkservices.wasmActions.create
networkservices.wasmActions.delete
networkservices.wasmPlugins.get
networkservices.wasmPlugins.list
networkservices.wasmPlugins.create
networkservices.wasmPlugins.update
networkservices.wasmPlugins.delete
networkservices.wasmPlugins.use

Service Extensions Viewer

(roles/networkservices.serviceExtensionsViewer)

Berechtigungen zum Auflisten und Aufrufen von Erweiterungen.

networkservices.authzExtensions.get
networkservices.authzExtensions.list
networkservices.lbEdgeExtensions.get
networkservices.lbEdgeExtensions.list
networkservices.lbRouteExtensions.get
networkservices.lbRouteExtensions.list
networkservices.lbTrafficExtensions.get
networkservices.lbTrafficExtensions.list
networkservices.wasmActions.get
networkservices.wasmActions.list
networkservices.wasmPlugins.get
networkservices.wasmPlugins.list

In der folgenden Tabelle sind die IAM-Rollen aufgeführt, die Sie für andere Dienste benötigen, sowie die Berechtigungen, die in jeder Rolle enthalten sind.

Rollen Berechtigungen

Rollen	Berechtigungen
Administrator für Compute-Load-Balancer (`roles/compute.loadBalancerAdmin`) Berechtigungen zum Aktualisieren von Weiterleitungsregeln. Erforderlich beim Erstellen und Aktualisieren von Erweiterungen, die an Weiterleitungsregeln angehängt werden.	`compute.forwardingRules.update` `compute.globalForwardingRules.update`
Nutzer von Compute-Load-Balancer-Diensten (`roles/compute.loadBalancerServiceUser`) Berechtigungen zur Verwendung von Backend-Diensten. Erforderlich beim Erstellen und Aktualisieren von Erweiterungen, die Back-End-Dienste als Erweiterungsdienste verwenden.	`compute.backendServices.use` `compute.regionBackendBuckets.use`

Administrator für Compute-Load-Balancer

(roles/compute.loadBalancerAdmin)

Berechtigungen zum Aktualisieren von Weiterleitungsregeln. Erforderlich beim Erstellen und Aktualisieren von Erweiterungen, die an Weiterleitungsregeln angehängt werden.

compute.forwardingRules.update
compute.globalForwardingRules.update

Nutzer von Compute-Load-Balancer-Diensten

(roles/compute.loadBalancerServiceUser)

Berechtigungen zur Verwendung von Backend-Diensten. Erforderlich beim Erstellen und Aktualisieren von Erweiterungen, die Back-End-Dienste als Erweiterungsdienste verwenden.

compute.backendServices.use
compute.regionBackendBuckets.use

Zugriffssteuerung verwalten

So legen Sie die Zugriffssteuerung auf Projektebene fest:

Rufen Sie in der Google Cloud Console die Seite IAM auf.

IAM aufrufen
Wählen Sie Ihr Projekt aus.
Klicken Sie auf Hinzufügen.
Geben Sie unter Neue Hauptkonten die E-Mail-Adresse eines neuen Hauptkontos ein.
Wählen Sie die gewünschte Rolle aus.
Klicken Sie auf Speichern.
Prüfen Sie, ob das Hauptkonto mit der Rolle aufgelistet wird, die Sie ihm zugewiesen haben.

Berechtigungen in einer Rolle ermitteln

Mit einer der folgenden Methoden können Sie ermitteln, ob eine oder mehrere Berechtigungen in einer Rolle enthalten sind:

Referenz zur Suche nach IAM-Berechtigungen
Den Befehl gcloud iam roles describe
Die Methode roles.get() in der IAM API

Nächste Schritte

Weitere Informationen finden Sie unter Übersicht über Diensterweiterungen.
Informationen zum Vorbereiten des Plug‑in-Codes zum Erstellen von Plug‑ins
Informationen zum Erstellen von Plug-ins
Informationen zum Verwalten von Plugins

Rollen und Berechtigungen Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Vordefinierte Rollen und Berechtigungen für Dienst-Extensions

Zugriffssteuerung verwalten

Berechtigungen in einer Rolle ermitteln

Nächste Schritte

Rollen und Berechtigungen