תפקידים והרשאות

ב-Google Cloud יש ממשק לניהול זהויות והרשאות גישה (IAM), שמאפשר לתת גישה פרטנית יותר למשאבים ספציפיים ב- Google Cloud ולמנוע גישה למשאבים אחרים. בדף הזה מתוארים התפקידים וההרשאות של Service Extensions.

בעזרת IAM תוכלו לשמור על עקרון האבטחה של הרשאות מינימליות, וכך לתת רק למי שצריך את רמת הגישה שצריך למשאבים השונים.

תפקידים הם אוספים של הרשאות IAM. כדי להפוך הרשאות לזמינות לישויות מורשות, כולל משתמשים, קבוצות וחשבונות שירות, צריך להעניק תפקידים לישויות המורשות. אתם יכולים להגדיר כללי מדיניות ב-IAM כדי לקבוע למי יש אילו הרשאות למשאבים מסוימים. כללי המדיניות ב-IAM נותנים לחשבונות משתמשים תפקידים ספציפיים, שיש להם הרשאות ספציפיות.

מידע מפורט על תפקידים ב-IAM זמין במאמר תפקידים והרשאות.

תפקידים והרשאות מוגדרים מראש ל-Service Extensions

ההרשאות ב-IAM ב-Service Extensions הן ברמת הפרויקט.

בטבלה הבאה מפורטים התפקידים ב-IAM של Service Extensions וההרשאות שכלולים בכל תפקיד.

תפקידים	הרשאות
אדמין של Service Extensions (roles/networkservices.serviceExtensionsAdmin) הרשאות ליצירה, לעדכון, להצגה ברשימה, לצפייה ולמחיקה של תוספים.	networkservices.authzExtensions.create networkservices.authzExtensions.delete networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.authzExtensions.update networkservices.authzExtensions.use networkservices.lbEdgeExtensions.create networkservices.lbEdgeExtensions.delete networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbEdgeExtensions.update networkservices.lbRouteExtensions.create networkservices.lbRouteExtensions.delete networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbRouteExtensions.update networkservices.lbTrafficExtensions.create networkservices.lbTrafficExtensions.delete networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.lbTrafficExtensions.update networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmActions.create networkservices.wasmActions.delete networkservices.wasmPlugins.get networkservices.wasmPlugins.list networkservices.wasmPlugins.create networkservices.wasmPlugins.update networkservices.wasmPlugins.delete networkservices.wasmPlugins.use
Service Extensions Viewer (roles/networkservices.serviceExtensionsViewer) הרשאות לרישום ולצפייה בתוספים.	networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmPlugins.get networkservices.wasmPlugins.list

בטבלה הבאה מפורטים תפקידי IAM שנדרשים לשירותים אחרים וההרשאות שכלולים בכל תפקיד.

תפקידים	הרשאות
אדמין של מאזן עומסים ב-Compute (roles/compute.loadBalancerAdmin) הרשאות לעדכון כללי העברה. חובה כשיוצרים ומעדכנים תוספים שמצורפים לכללי העברה.	compute.forwardingRules.update compute.globalForwardingRules.update
משתמש בשירותי איזון עומסים של Compute (roles/compute.loadBalancerServiceUser) הרשאות לשימוש בשירותי קצה עורפי. נדרש כשיוצרים ומעדכנים תוספים שמשתמשים בשירותי קצה עורפי כשירותי תוסף.	compute.backendServices.use compute.regionBackendBuckets.use

ניהול בקרת הגישה

כדי להגדיר אמצעי בקרה לגישה ברמת הפרויקט, פועלים לפי השלבים הבאים:

1. נכנסים לדף IAM במסוף Google Cloud .

   כניסה לדף IAM

2. בוחרים את הפרויקט הרצוי.

3. לוחצים על הוספה.

4. בשדה New principals, מזינים את כתובת האימייל של חשבון משתמש חדש.

5. בוחרים את התפקיד הנדרש.

6. לוחצים על Save.

7. מוודאים שחשבון המשתמש מופיע עם התפקיד שהקציתם לו.

זיהוי ההרשאות בתפקיד

כדי לבדוק אם הרשאה אחת או יותר כלולות בתפקיד, אפשר להשתמש באחת מהשיטות הבאות:

• הפניה לחיפוש הרשאות IAM
• הפקודה gcloud iam roles describe
• ‫roles.get() method ב-IAM API

המאמרים הבאים

• אפשר לעיין בסקירה הכללית על Service Extensions.
• איך מכינים את קוד הפלאגין כדי ליצור פלאגינים
• איך יוצרים תוסף
• איך מנהלים תוספים