IAM 角色

本页介绍可用于配置 Assured Workloads 的 Identity and Access Management (IAM) 角色。角色可限制主账号访问资源的权限。请仅授予主账号必要的权限，以便与适用的 Google Cloud API、功能或资源进行交互。

为了能够创建 Assured Workloads 文件夹，您必须获得以下任一具有该能力的角色以及 Cloud Billing 访问权限控制角色。您还必须具有有效的结算账号。如需了解详情，请参阅 Cloud Billing 访问权限控制概览。

所需的角色

以下是必需的最低 Assured Workloads 相关角色。如需了解如何使用 IAM 角色授予、更改或撤消对资源的访问权限，请参阅授予、更改和撤消对资源的访问权限。

Assured Workloads Administrator (roles/assuredworkloads.admin)：用于创建和删除 Assured Workloads 文件夹。
Resource Manager Organization Viewer (roles/resourcemanager.organizationViewer)：有权查看属于某个组织的所有资源。

Assured Workloads 角色

以下是与 Assured Workloads 关联的 IAM 角色，以及如何使用 Google Cloud CLI 授予这些角色。如需了解如何在Google Cloud 控制台中或以编程方式授予这些角色，请参阅 IAM 文档中的授予、更改和撤消对资源的访问权限。

将 ORGANIZATION_ID 占位符替换为实际组织标识符，并将 example@customer.org 替换为用户电子邮件地址。如需检索您的组织 ID，请参阅检索组织 ID。

`roles/assuredworkloads.admin`

用于创建和删除 Assured Workloads 文件夹。授予读写权限。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

授予读写权限。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

用于获取和列出 Assured Workloads 文件夹。允许只读访问。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

自定义角色

如果您想要定义自己的角色以包含您指定的一组权限，请使用自定义角色。

Assured Workloads IAM 最佳实践

妥善保护 IAM 角色以遵循最小权限原则是 Google Cloud 安全最佳实践。该原则遵循以下规则：用户应仅有权访问其角色所需的产品、服务和应用。目前，用户在 Assured Workloads 文件夹之外部署产品和服务时，可以将范围外的服务与 Assured Workloads 项目搭配使用。

按控制包划分的适用产品列表有助于指导安全管理员在创建自定义角色时，只允许用户访问 Assured Workloads 文件夹中的范围内产品。自定义角色有助于在 Assured Workloads 文件夹中满足合规性要求并保持合规状态。