Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Workload Manager-Ressourcen steuern können.
Workload Manager verwendet Identity and Access Management (IAM), um den Zugriff auf Ressourcen zu steuern. IAM ist ein Tool zur Verwaltung der detaillierten Autorisierung für Ihre Google Cloud Ressourcen. Mit IAM können Sie also steuern, wer was für welche Ressourcen tun kann.
Wenn Sie Nutzern mit IAM Zugriff auf eine Ressource gewähren möchten, weisen Sie ihnen bestimmte Rollen zu. IAM-Rollen gewähren den Hauptkonten Berechtigungen zum Ausführen von Aufgaben für Ihre Workload Manager-Ressourcen.
Ausführliche Informationen zu IAM und den entsprechenden Funktionen finden Sie in der IAM-Dokumentation.
Zugriff auf Workload Manager-Ressourcen verwalten
Die gängigste Methode zur Zugriffsverwaltung mit IAM ist die Verwendung von Zulassungsrichtlinien. Zulassungsrichtlinien enthalten eine Liste der Hauptkonten, die Zugriff auf die Ressource haben, und der Aktionen, die sie für die Ressource ausführen können.
In den folgenden Abschnitten wird beschrieben, wie Sie mit „allow“-Richtlinien eine einzelne Rolle über die Google Cloud Console und die Google Cloud CLI zuweisen und widerrufen. Sie können auch mehrere Rollen gleichzeitig zuweisen und widerrufen. Weitere Informationen finden Sie in der IAM-Dokumentation unter Zugriff auf Projekte, Ordner und Organisationen verwalten.
In diesen Abschnitten geht es darum, den Zugriff auf Projektebene zu gewähren und zu widerrufen. Dadurch wird der Zugriff eines Nutzers auf das Projekt und alle Ressourcen im Projekt gesteuert.
Sie können auch „allow“-Richtlinien verwenden, die an verschiedene Google Cloud Ressourcen angehängt sind, um den Zugriff auf anderen Ebenen der Ressourcenhierarchie zu verwalten. Weitere Informationen finden Sie in der IAM-Dokumentation unter Ressourcenhierarchie für Zugriffssteuerung verwenden.
Nicht alle Ressourcen unterstützen Zulassungsrichtlinien. Welche Ressourcen Sie an Zulassungsrichtlinien anhängen können, erfahren Sie in der IAM-Dokumentation unter Ressourcen, die Zulassungsrichtlinien unterstützen.
Informationen zu anderen Richtlinien, mit denen Sie den Zugriff mit IAM steuern können, z. B. Ablehnungsrichtlinien, finden Sie in der IAM-Dokumentation unter IAM-Richtlinientypen.
Einzelne IAM-Rolle zuweisen
So weisen Sie einem Hauptkonto eine einzelne Rolle zu:
Console
- Rufen Sie in der Google Cloud Console die Seite IAM auf.
- Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
- Wählen Sie ein Hauptkonto aus, dem Sie eine Rolle zuweisen möchten:
- Wenn Sie einem Hauptkonto eine zusätzliche Rolle für die Ressource zuweisen möchten, suchen Sie die Zeile mit dem Hauptkonto, klicken Sie in dieser Zeile auf Hauptkonto bearbeiten und dann auf Weitere Rolle hinzufügen.
Wenn Sie einem Dienst-Agent eine Rolle zuweisen möchten, klicken Sie das Kästchen Von Googlebereitgestellte Rollenzuweisungen einschließen an, um die entsprechende E-Mail-Adresse zu sehen.
- Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, das noch keine Rollen für die Ressource hat, klicken Sie auf Zugriff gewähren und geben Sie dann eine Hauptkonto-ID ein, z. B.
my-user@example.comoder//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.
- Wenn Sie einem Hauptkonto eine zusätzliche Rolle für die Ressource zuweisen möchten, suchen Sie die Zeile mit dem Hauptkonto, klicken Sie in dieser Zeile auf Hauptkonto bearbeiten und dann auf Weitere Rolle hinzufügen.
- Wählen Sie eine zu gewährende Rolle aus der Drop-down-Liste aus. Wählen Sie als Best Practice für die Sicherheit eine Rolle aus, die nur die Berechtigungen enthält, die das Hauptkonto benötigt.
- Optional: Fügen Sie der Rolle eine Bedingung hinzu.
- Klicken Sie auf Speichern. Dem Hauptkonto wird die Rolle für die Ressource zugewiesen.
gcloud
-
Aktivieren Sie Cloud Shell in der Google Cloud Console.
Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.
-
Mit dem Befehl
add-iam-policy-bindingkönnen Sie einem Hauptkonto schnell eine Rolle zuweisen.Ersetzen Sie folgende Werte, bevor sie einen der Befehlsdaten verwenden:
-
RESOURCE_TYPE: Der Ressourcentyp, für den Sie den Zugriff verwalten möchten. Verwenden Sieprojects,resource-manager foldersoderorganizations. -
RESOURCE_ID: Ihr Google Cloud Projekt, Ihr Ordner oder Ihre Organisations-ID. Projekt-IDs sind alphanumerisch, z. B.my-project. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012. -
PRINCIPAL: Eine Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat:PRINCIPAL_TYPE:ID. Beispiel:user:my-user@example.comoderprincipalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com. Eine vollständige Liste der fürPRINCIPALzulässigen Werte finden Sie unter Hauptkonto-IDs.Beim Hauptkontotyp
usermuss der Domainname in der Kennung eine Google Workspace- oder Cloud Identity-Domain sein. Informationen zum Einrichten einer Cloud Identity-Domain finden Sie unter Cloud Identity – Übersicht. -
ROLE_NAME: Der Name der Rolle, die Sie zuweisen möchten. Verwenden Sie eines der folgenden Formate:- Vordefinierte Rollen:
roles/SERVICE.IDENTIFIER - Benutzerdefinierte Rollen auf Projektebene:
projects/PROJECT_ID/roles/IDENTIFIER - Benutzerdefinierte Rollen auf Organisationsebene:
organizations/ORG_ID/roles/IDENTIFIER
Eine Liste der vordefinierten Rollen finden Sie unter Informationen zu Rollen.
- Vordefinierte Rollen:
-
CONDITION: Die Bedingung, die der Rollenbindung hinzugefügt werden soll. Wenn Sie keine Bedingung hinzufügen möchten, verwenden Sie den WertNone. Weitere Informationen zu Bedingungen finden Sie in der Übersicht der Bedingungen.
Führen Sie folgenden Befehl aus:
Linux, macOS oder Cloud Shell
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID \ --member=PRINCIPAL --role=ROLE_NAME \ --condition=CONDITION
Windows (PowerShell)
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID ` --member=PRINCIPAL --role=ROLE_NAME ` --condition=CONDITION
Windows (cmd.exe)
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID ^ --member=PRINCIPAL --role=ROLE_NAME ^ --condition=CONDITION
Die Antwort enthält die aktualisierte IAM-Zulassungsrichtlinie.
-
Einzelne IAM-Rolle widerrufen
So widerrufen Sie eine einzelne Rolle eines Hauptkontos:
Console
- Rufen Sie in der Google Cloud Console die Seite IAM auf.
- Wählen Sie ein Projekt, einen Ordner oder eine Organisation aus.
- Suchen Sie die Zeile mit dem Hauptkonto, dessen Zugriff Sie widerrufen möchten. Klicken Sie dann in dieser Zeile auf Hauptkonto bearbeiten.
- Klicken Sie für die Rolle, die Sie entziehen möchten, auf den Button Löschen und dann auf Speichern.
gcloud
-
Aktivieren Sie Cloud Shell in der Google Cloud Console.
Unten in der Google Cloud Console wird eine Cloud Shell-Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung, in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.
-
Wenn Sie einem Nutzer eine Rolle entziehen möchten, führen Sie den Befehl
remove-iam-policy-bindingaus:gcloud RESOURCE_TYPE remove-iam-policy-binding RESOURCE_ID \ --member=PRINCIPAL --role=ROLE_NAME
Geben Sie folgende Werte an:
-
RESOURCE_TYPE: Der Ressourcentyp, für den Sie den Zugriff verwalten möchten. Verwenden Sieprojects,resource-manager foldersoderorganizations. -
RESOURCE_ID: Die ID Ihres Google Cloud Projekts, Ihres Ordners oder Ihrer Organisation. Projekt-IDs sind alphanumerisch, z. B.my-project. Ordner- und Organisations-IDs sind numerisch, z. B.123456789012. -
PRINCIPAL: Eine Kennung für das Hauptkonto bzw. Mitglied, die normalerweise die folgende Form hat:PRINCIPAL_TYPE:ID. Beispiel:user:my-user@example.comoderprincipalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.Beim Hauptkontotyp
usermuss der Domainname in der Kennung eine Google Workspace- oder Cloud Identity-Domain sein. Informationen zum Einrichten einer Cloud Identity-Domain finden Sie unter Cloud Identity – Übersicht. -
ROLE_NAME: Der Name der Rolle, die Sie aufheben möchten. Verwenden Sie eines der folgenden Formate:- Vordefinierte Rollen:
roles/SERVICE.IDENTIFIER - Benutzerdefinierte Rollen auf Projektebene:
projects/PROJECT_ID/roles/IDENTIFIER - Benutzerdefinierte Rollen auf Organisationsebene:
organizations/ORG_ID/roles/IDENTIFIER
Eine Liste der vordefinierten Rollen finden Sie unter Informationen zu Rollen.
- Vordefinierte Rollen:
So widerrufen Sie z. B. die Rolle Projektersteller“ des Dienstkontos
example-service-account@example-project.iam.gserviceaccount.comfür das Projektexample-project:gcloud projects remove-iam-policy-binding example-project \ --member=serviceAccount:example-service-account@example-project.iam.gserviceaccount.com \ --role=roles/resourcemanager.projectCreator
-
Um zu vermeiden, dass erforderliche Rollen widerrufen werden, können Sie Empfehlungen zu Änderungsrisiken aktivieren. Empfehlungen zu Änderungsrisiken geben Warnungen aus, wenn Sie versuchen, Rollen auf Projektebene zu widerrufen, die Google Cloud als wichtig identifiziert hat.
Bedingter Zugriff
Mit IAM Conditions können Sie Ihre Richtlinien detaillierter gestalten, indem Sie Hauptkonten nur dann Zugriff gewähren, wenn bestimmte Bedingungen erfüllt sind. Bedingungen basieren auf Attributen, die sich auf das Hauptkonto, die Ressource und die Anfrage beziehen. Sie können einem Prinzipal beispielsweise nur dann Zugriff gewähren, wenn er von einem bestimmten Ort oder zu einer bestimmten Zeit auf die Ressource zugreift.
Bedingungen in Zulassungsrichtlinien basieren auf den folgenden Attributtypen:
- Ressourcenattribute: Enthält den Dienst, den Typ oder den Namen der Ressource. Diese Attribute werden in der Regel verwendet, um den Umfang eines durch eine Rollenbindung gewährten Zugriffs zu ändern.
- Anfrageattribute: Enthält Details zur Anfrage, z. B. die Uhrzeit oder die Zugriffsebene des Hauptkontos, das die Anfrage gestellt hat. Mit diesen Attributen können Sie Bedingungen erstellen, mit denen Details der Anfrage ausgewertet werden, z. B. Zugriffsebene, Datum und Uhrzeit, Ziel-IP-Adresse und -Port oder der erwartete URL-Pfad.
Weitere Informationen zu den von Workload Manager unterstützten Bedingungsattributen finden Sie in der IAM-Dokumentation unter Attributreferenz für IAM Conditions.
Sie können keinen bedingten Zugriff direkt auf Workload Manager-Ressourcen gewähren. Sie können jedoch bedingten Zugriff auf Workload Manager-Ressourcentypen gewähren, indem Sie Prinzipalen Rollen für eine Containerressource wie ein Projekt, einen Ordner oder eine Organisation zuweisen und diesen Rollenbindungen Bedingungen hinzufügen. Bedingungen, die der Zulassungsrichtlinie einer Containerressource hinzugefügt werden, werden von den in dieser Containerressource enthaltenen Ressourcen übernommen. Weitere Informationen zu übernommenen Bedingungen finden Sie in der IAM-Dokumentation unter Unterstützung für übernommene Bedingungen.
Informationen zum Hinzufügen von Bedingungen zu Rollenbindungen finden Sie in der IAM-Dokumentation unter Bedingte Rollenbindungen verwalten.
Nächste Schritte
- Weitere Informationen zur Zugriffssteuerung mit IAM finden Sie in der IAM-Übersicht.
- Die verfügbaren Rollen und Berechtigungen für Workload Manager finden Sie unter Workload Manager-Rollen und ‑Berechtigungen.
- Informationen zu Dienst-Agents für Workload Manager
- Informationen zur Authentifizierung bei Workload Manager