IAM 角色

本頁說明可用於設定 Assured Workloads 的身分與存取權管理 (IAM) 角色。角色會限制主體存取資源的能力。只授予實體所需的權限,讓實體能夠與適用的 Google Cloud API、功能或資源互動。

如要建立 Assured Workloads 資料夾,您必須具備下列任一角色的權限,以及 Cloud Billing 存取權控管角色。您也必須具備有效的帳單帳戶。詳情請參閱「Cloud Billing 存取權控管總覽」。

必要的角色

以下是 Assured Workloads 相關角色的最低要求。如要瞭解如何使用身分與存取權管理角色授予、變更或撤銷資源存取權,請參閱「授予、變更及撤銷資源的存取權」。

  • Assured Workloads 管理員 (roles/assuredworkloads.admin):用於建立及刪除 Assured Workloads 資料夾。
  • Resource Manager 機構檢視器 (roles/resourcemanager.organizationViewer): 可查看屬於機構的所有資源。

Assured Workloads 角色

以下是與 Assured Workloads 相關聯的 IAM 角色,以及如何使用 Google Cloud CLI 授予這些角色。如要瞭解如何在Google Cloud 控制台或以程式輔助方式授予這些角色,請參閱 IAM 說明文件中的「授予、變更及撤銷資源的存取權」一文。

ORGANIZATION_ID 預留位置替換為實際的機構 ID,並將 example@customer.org 替換為使用者電子郵件地址。如要擷取機構 ID,請參閱「擷取機構 ID」一文。

roles/assuredworkloads.admin

建立及刪除 Assured Workloads 資料夾。允許讀寫存取權。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

roles/assuredworkloads.editor

允許讀取/寫入存取權。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

roles/assuredworkloads.reader

用於取得及列出 Assured Workloads 資料夾。允許唯讀存取權。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

自訂角色

如果您想要定義自己的角色來包含您指定的權限組合,請使用自訂角色

Assured Workloads IAM 最佳做法

Google Cloud 安全性最佳做法是妥善保護 IAM 角色,以遵循最低權限原則。這項原則遵循的規則是,使用者只能存取其角色所需的產品、服務和應用程式。在 Assured Workloads 資料夾外部署產品和服務時,使用者目前不受限制,可以使用超出範圍的服務。

控制項包內的範圍內產品清單可協助安全性管理員建立自訂角色,將使用者存取權限限制在 Assured Workloads 資料夾內的範圍內產品。自訂角色可協助您在 Assured Workloads 資料夾中取得及維持法規遵循。