角色与权限

Google Cloud 提供 Identity and Access Management (IAM)，可让您授予对特定 Google Cloud 资源更精细的访问权限，并防止对其他资源进行访问。本页面介绍了 Service Extensions 的角色和权限。

借助 IAM，您可以采用最小权限安全原则，只需授予对您资源的必要访问权限。

角色是 IAM 权限的集合。如需向主账号（包括用户、群组和服务账号）提供权限，您可以向主账号授予角色。您可以设置 IAM 政策，以控制哪些人对哪些资源具有什么权限。IAM 政策可为主账号授予特定角色，进而授予相应账号特定权限。

如需详细了解 IAM 角色，请参阅角色和权限。

Service Extensions 的预定义角色和权限

服务扩展程序支持项目级 IAM 权限。

下表列出了服务扩展 IAM 角色以及每个角色包含的权限。

角色	权限
Service Extensions Admin （roles/networkservices.serviceExtensionsAdmin） 创建、更新、列出、查看和删除扩展程序的权限。	networkservices.authzExtensions.create networkservices.authzExtensions.delete networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.authzExtensions.update networkservices.authzExtensions.use networkservices.lbEdgeExtensions.create networkservices.lbEdgeExtensions.delete networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbEdgeExtensions.update networkservices.lbRouteExtensions.create networkservices.lbRouteExtensions.delete networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbRouteExtensions.update networkservices.lbTrafficExtensions.create networkservices.lbTrafficExtensions.delete networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.lbTrafficExtensions.update networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmActions.create networkservices.wasmActions.delete networkservices.wasmPlugins.get networkservices.wasmPlugins.list networkservices.wasmPlugins.create networkservices.wasmPlugins.update networkservices.wasmPlugins.delete networkservices.wasmPlugins.use
Service Extensions Viewer （roles/networkservices.serviceExtensionsViewer） 列出和查看扩展程序的权限。	networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmPlugins.get networkservices.wasmPlugins.list

下表列出了其他服务所需的 IAM 角色以及每个角色包含的权限。

角色	权限
Compute Load Balancer Admin （roles/compute.loadBalancerAdmin） 更新转发规则的权限。在创建和更新附加到转发规则的扩展服务时，此参数是必需的。	compute.forwardingRules.update compute.globalForwardingRules.update
Compute Load Balancer Services User （roles/compute.loadBalancerServiceUser） 使用后端服务的权限。在创建和更新使用后端服务作为扩展服务时为必需项。	compute.backendServices.use compute.regionBackendBuckets.use

管理访问权限控制

如需在项目级层设置访问权限控制，请按照以下步骤操作：

1. 在 Google Cloud 控制台中，前往 IAM 页面。

   转到 IAM

2. 选择您的项目。

3. 点击 Add（添加）。

4. 在新的主账号中，输入新主账号的电子邮件地址。

5. 选择所需角色。

6. 点击保存。

7. 验证该主账号是否拥有您授予的角色。

确定角色中的权限

如需确定角色中是否包含一项或多项权限，您可以使用以下方法之一：

• IAM 权限搜索参考
• gcloud iam roles describe 命令
• IAM API 中的 roles.get() 方法

后续步骤

• 请参阅 Service Extensions 概览。
• 了解如何准备插件代码以创建插件。
• 了解如何创建插件。
• 了解如何管理插件。