Zugriffssteuerung mit IAM

Service Usage verwendet das Identity and Access Management (IAM), um den Zugriff auf Dienste zu steuern. Auf dieser Seite werden die IAM-Rollen und -Berechtigungen für Service Usage sowie deren Verwendung zur Zugriffssteuerung erläutert.

Ressourcenmodell

Für die Dienstauslastung sind drei Ressourcen relevant:

  1. Der Dienst, den Sie verwenden.

  2. Das Projekt, von dem aus Sie den Dienst verwenden.

  3. Der Vorgang bzw. lang laufende Vorgang, der von bestimmten Methoden zurückgegeben wird.

Jede Dienstauslastungsmethode erfordert eine Berechtigung für eine oder mehrere dieser Ressourcen.

IAM-Berechtigungen

In der folgenden Tabelle werden die erforderlichen Berechtigungen für jede API-Methode der Dienstauslastung angegeben. Sie finden diese Informationen auch in der API-Referenz.

Methode Erforderliche Berechtigungen
services.batchEnable Für das Projekt: serviceusage.services.enable
Für die Dienste: servicemanagement.services.bind
services.enable Für das Projekt: serviceusage.services.enable
Für den Dienst: servicemanagement.services.bind
services.disable Für das Projekt: serviceusage.services.disable
services.get Für das Projekt: serviceusage.services.get
services.list Für das Projekt: serviceusage.services.list
services.consumerQuotaMetrics.list
services.consumerQuotaMetrics.get
services.consumerQuotaMetrics.limits.get
services.consumerQuotaMetrics.limits.consumerOverrides.list
services.consumerQuotaMetrics.limits.adminOverrides.list
services.consumerQuotaMetrics.limits.producerOverrides.list 		Für das Projekt: serviceusage.quota.get
Für den Dienst: servicemanagement.services.bind
services.consumerQuotaMetrics.consumerOverrides.create
services.consumerQuotaMetrics.consumerOverrides.patch
services.consumerQuotaMetrics.consumerOverrides.delete
services.adminQuotaMetrics.adminOverrides.create
services.adminQuotaMetrics.adminOverrides.patch
services.adminQuotaMetrics.adminOverrides.delete 		Für das Projekt: serviceusage.quota.update
Für den Dienst: servicemanagement.services.bind
Ein Projekt für Kontingent- und Abrechnungszwecke verwenden. Weitere Informationen finden Sie unter Systemparameter. Für das Projekt: serviceusage.services.use

IAM-Rollen

Über IAM gewähren Sie Nutzern Berechtigungen und weisen ihnen Rollen zu. In folgenden Tabellen sind die einfachen und vordefinierten IAM-Rollen sowie die Berechtigungen für Service Usage aufgeführt, die diese Rollen enthalten.

Weitere Informationen zu Rollen finden Sie hier.

Einfache Rollen

Name Titel Berechtigungen
roles/viewer Betrachter serviceusage.services.get
serviceusage.services.list
serviceusage.quotas.get

roles/editor

roles/owner

Editor

Inhaber

 serviceusage.services.get
serviceusage.services.list
serviceusage.services.disable
serviceusage.services.enable
serviceusage.services.use
serviceusage.quotas.get
serviceusage.quotas.update

Vordefinierte Rollen

Rolle Berechtigungen

(roles/serviceusage.apiKeysAdmin)

Kann API-Schlüssel für ein Projekt erstellen, löschen, aktualisieren, abrufen und auflisten.

apikeys.*

  • apikeys.keys.create
  • apikeys.keys.delete
  • apikeys.keys.get
  • apikeys.keys.getKeyString
  • apikeys.keys.list
  • apikeys.keys.lookup
  • apikeys.keys.undelete
  • apikeys.keys.update

orgpolicy.policy.get

serviceusage.apiKeys.*

  • serviceusage.apiKeys.regenerate
  • serviceusage.apiKeys.revert

serviceusage.operations.get

(roles/serviceusage.apiKeysViewer)

Kann API-Schlüssel für ein Projekt abrufen und auflisten.

apikeys.keys.get

apikeys.keys.getKeyString

apikeys.keys.list

apikeys.keys.lookup

(roles/serviceusage.serviceUsageAdmin)

Erlaubnis, Dienststatus zu aktivieren, zu deaktivieren und zu überprüfen, Vorgänge zu überprüfen, sowie Kontingent und Abrechnung für ein Consumer-Projekt zu verarbeiten.

monitoring.timeSeries.list

serviceusage.consumerpolicy.*

  • serviceusage.consumerpolicy.analyze
  • serviceusage.consumerpolicy.get
  • serviceusage.consumerpolicy.update

serviceusage.effectivepolicy.get

serviceusage.groups.*

  • serviceusage.groups.list
  • serviceusage.groups.listExpandedMembers
  • serviceusage.groups.listMembers

serviceusage.operations.get

serviceusage.quotas.*

  • serviceusage.quotas.get
  • serviceusage.quotas.update

serviceusage.services.*

  • serviceusage.services.disable
  • serviceusage.services.enable
  • serviceusage.services.get
  • serviceusage.services.list
  • serviceusage.services.use

serviceusage.values.test

(roles/serviceusage.serviceUsageConsumer)

Kann Dienststatus und Vorgänge einsehen sowie Kontingente und Abrechnungen für ein Kundenprojekt verwenden.

monitoring.timeSeries.list

serviceusage.consumerpolicy.analyze

serviceusage.consumerpolicy.get

serviceusage.effectivepolicy.get

serviceusage.groups.*

  • serviceusage.groups.list
  • serviceusage.groups.listExpandedMembers
  • serviceusage.groups.listMembers

serviceusage.operations.get

serviceusage.quotas.get

serviceusage.services.get

serviceusage.services.list

serviceusage.services.use

serviceusage.values.test

(roles/serviceusage.serviceUsageViewer)

Berechtigung zur Überprüfung von Dienststatus und Vorgängen für ein Nutzerprojekt.

monitoring.timeSeries.list

serviceusage.consumerpolicy.analyze

serviceusage.consumerpolicy.get

serviceusage.effectivepolicy.get

serviceusage.groups.*

  • serviceusage.groups.list
  • serviceusage.groups.listExpandedMembers
  • serviceusage.groups.listMembers

serviceusage.operations.get

serviceusage.quotas.get

serviceusage.services.get

serviceusage.services.list

serviceusage.values.test