角色和權限

Google Cloud 提供身分與存取權管理 (IAM) 功能，可對特定 Google Cloud 資源授予更精細的存取權，避免未經授權者存取其他資源。本頁說明 Service Extensions 的角色和權限。

IAM 採用最小權限安全原則，可確保您僅授予使用者必要的資源存取權限。

角色是 IAM 權限的集合。如要讓主體 (包括使用者、群組和服務帳戶) 取得權限，請將角色授予主體。設定 IAM 政策後，即可控管「哪些人」具備「何種」權限，可以存取「哪些」資源。IAM 政策可授予主體特定角色，讓對方擁有特定權限。

如要進一步瞭解 IAM 角色，請參閱「角色和權限」。

服務擴充功能的預先定義角色和權限

服務擴充功能支援專案層級的 IAM 權限。

下表列出 Service Extensions IAM 角色，以及各角色具備的權限。

角色	權限
Service Extensions 管理員 (roles/networkservices.serviceExtensionsAdmin) 具備建立、更新、列出、查看及刪除擴充功能的權限。	networkservices.authzExtensions.create networkservices.authzExtensions.delete networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.authzExtensions.update networkservices.authzExtensions.use networkservices.lbEdgeExtensions.create networkservices.lbEdgeExtensions.delete networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbEdgeExtensions.update networkservices.lbRouteExtensions.create networkservices.lbRouteExtensions.delete networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbRouteExtensions.update networkservices.lbTrafficExtensions.create networkservices.lbTrafficExtensions.delete networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.lbTrafficExtensions.update networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmActions.create networkservices.wasmActions.delete networkservices.wasmPlugins.get networkservices.wasmPlugins.list networkservices.wasmPlugins.create networkservices.wasmPlugins.update networkservices.wasmPlugins.delete networkservices.wasmPlugins.use
Service Extensions 檢視者 (roles/networkservices.serviceExtensionsViewer) 列出及查看擴充功能的權限。	networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmPlugins.get networkservices.wasmPlugins.list

下表列出其他服務所需的 IAM 角色，以及各角色具備的權限。

角色	權限
Compute 負載平衡器管理員 (roles/compute.loadBalancerAdmin) 更新轉送規則的權限。建立及更新附加至轉送規則的擴充功能時，此為必填欄位。	compute.forwardingRules.update compute.globalForwardingRules.update
Compute 負載平衡器服務使用者 (roles/compute.loadBalancerServiceUser) 使用後端服務的權限。建立及更新使用後端服務做為擴充功能服務的擴充功能時，這是必要元素。	compute.backendServices.use compute.regionBackendBuckets.use

管理存取控管

如要在專案層級設定存取控管選項，請按照下列步驟操作：

1. 前往 Google Cloud 控制台的「IAM」(身分與存取權管理) 頁面。

   前往「IAM」(身分與存取權管理) 頁面

2. 選取專案。

3. 按一下「新增」。

4. 在「New principals」(新增主體) 中，輸入新主體的電子郵件地址。

5. 選取所需角色。

6. 按一下 [儲存]。

7. 確認列出的主體具備您所授予的角色。

找出角色中的權限

如要判斷某個或某幾個權限是否包含在角色中，請利用下列其中一種方式：

• IAM 權限搜尋參考資料
• gcloud iam roles describe 指令
• IAM API 中的 roles.get() 方法

後續步驟

• 請參閱 Service Extensions 總覽。
• 瞭解如何準備外掛程式程式碼，以便建立外掛程式。
• 瞭解如何建立外掛程式。
• 瞭解如何管理外掛程式。