Auf dieser Seite werden Cloud Deploy-Dienstkonten, -Rollen und -Berechtigungen beschrieben.
Der Zugriff in Cloud Deploy wird mithilfe der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) gesteuert. Mit IAM können Sie Berechtigungen für Google Cloud-Ressourcen erstellen und verwalten. Cloud Deploy bietet einen bestimmten Satz vordefinierter IAM-Rollen, bei denen jede Rolle eine Reihe von Berechtigungen enthält. Mit diesen Rollen können Sie detaillierteren Zugriff auf bestimmte Google Cloud-Ressourcen gewähren und unerwünschten Zugriff auf andere Ressourcen verhindern. Durch IAM haben Sie die Möglichkeit, das Prinzip der geringsten Berechtigung anzuwenden und somit nur den notwendigen Zugriff auf Ihre Ressourcen zu gewähren.
Unter Zugriff auf Cloud Deploy mit IAM einschränken finden Sie Informationen zu erweiterten Sicherheitsfunktionen für die Zugriffssteuerung.
Dienstkonten in Cloud Deploy
Cloud Deploy wird standardmäßig mit dem Compute Engine-Standarddienstkonto ausgeführt. Weitere Informationen zum Konfigurieren dieses Dienstkontos für die Verwendung mit Cloud Deploy oder zum Auswählen eines anderen Kontos finden Sie in der Dokumentation zum Cloud Deploy-Ausführungsdienstkonto.
Weitere Informationen zur Verwendung von Dienstkonten in Cloud Deploy
Vordefinierte Cloud Deploy-Rollen
Bei IAM erfordert jede API-Methode in der Cloud Deploy API, dass die Identität, die die API-Anfrage stellt, über die entsprechenden Berechtigungen zur Verwendung der Ressource verfügt. Berechtigungen werden durch Festlegen von Richtlinien erteilt, die einem Hauptkonto (Nutzer, Gruppe oder Dienstkonto) Ihres Projekts Rollen zuweisen. Sie können einem Hauptkonto mehrere Rollen für dieselbe Ressource zuweisen.
Die IAM-Dokumentation enthält eine suchbare Referenz aller vordefinierten Rollen.
In der folgenden Tabelle sind die Cloud Deploy-IAM-Rollen und deren Berechtigungen aufgeführt:
Cloud Deployment-Rollen |
Berechtigungen |
Cloud Deploy-Administrator( Vollständige Kontrolle über Cloud Deploy-Ressourcen. |
|
Cloud Deploy-Genehmiger( Berechtigung zum Genehmigen oder Ablehnen von Rollouts. |
|
Cloud Deploy Custom Target Type Admin( Berechtigung zum Verwalten von CustomTargetType-Ressourcen |
|
Cloud Deploy-Entwickler( Berechtigung zum Verwalten der Bereitstellungskonfiguration ohne Berechtigung für den Zugriff auf Betriebsressourcen wie Ziele. |
|
Ausführer von Cloud Deploy( Berechtigung zum Ausführen von Cloud Deploy-Arbeiten ohne Berechtigung zum Senden an ein Ziel. |
|
Cloud Deploy-Operator( Berechtigung zum Verwalten der Bereitstellungskonfiguration. |
|
Cloud Deploy Policy Admin Beta( Berechtigung zum Verwalten von Bereitstellungsrichtlinien. |
|
Cloud Deploy Policy Overrider Beta( Berechtigung zum Überschreiben von Bereitstellungsrichtlinien. |
|
Cloud Deploy-Veröffentlicher( Berechtigung zum Erstellen von Cloud Deploy-Releases und -Rollouts. |
|
Cloud Deploy-Betrachter( Kann Cloud Deploy-Ressourcen aufrufen. |
|
Zusätzlich zu den vordefinierten Cloud Deploy-Rollen enthalten die einfachenRollenversionen Betrachter, Bearbeiter und Inhaber auch Berechtigungen im Zusammenhang mit Cloud Deploy. Es empfiehlt sich jedoch, wenn möglich vordefinierte Rollen zuzuweisen, um das Sicherheitsprinzip der geringsten Berechtigung zu einhalten.
Berechtigungen
In der folgenden Tabelle werden die Berechtigungen aufgeführt, die erforderlich sind, um eine bestimmte Methode aufzurufen:
| API-Methode | Erforderliche Berechtigung | Beschreibung |
|---|---|---|
automations.create() |
clouddeploy.automations.create |
Erstellen Sie eine neue Automatisierungsressource. |
automations.delete() |
clouddeploy.automations.delete |
Vorhandene Automatisierungsressource löschen |
automations.get() |
clouddeploy.automations.get |
Rufen Sie Details zu einer einzelnen Automatisierungsressource ab. |
automations.list() |
clouddeploy.automations.list |
Automatisierungsressourcen und ihre Metadaten auflisten |
automations.update() |
clouddeploy.automations.update |
Vorhandene Automatisierungsressource aktualisieren |
automationRuns.cancel() |
clouddeploy.automationRuns.cancel |
Eine laufende Automatisierung abbrechen |
automationRuns.get() |
clouddeploy.automationRuns.get |
Details zu einer einzelnen Automatisierungsausführung abrufen |
automationRuns.list() |
clouddeploy.automationRuns.list |
Automatisierungsläufe und ihre Metadaten auflisten |
customTargetTypes.create() |
clouddeploy.customTargetTypes.create |
Erstellen Sie eine benutzerdefinierte Zielressource. |
customTargetTypes.delete() |
clouddeploy.customTargetTypes.delete |
Löschen Sie eine benutzerdefinierte Zielressource. |
customTargetTypes.get() |
clouddeploy.customTargetTypes.get |
Details zu einem benutzerdefinierten Zieltyp abrufen |
customTargetTypes.getIamPolicy() |
clouddeploy.customTargetTypes.getIamPolicy |
IAM-Richtlinie für eine Ressource mit benutzerdefiniertem Zieltyp abrufen |
customTargetTypes.list() |
clouddeploy.customTargetTypes.list |
Liste der verfügbaren benutzerdefinierten Zieltypen und ihrer Metadaten. |
customTargetTypes.patch() |
clouddeploy.customTargetTypes.patch |
Vorhandenen benutzerdefinierten Zieltyp aktualisieren |
customTargetTypes.setIamPolicy() |
clouddeploy.customTargetTypes.setIamPolicy |
Legen Sie die IAM-Richtlinie für eine Ressource mit benutzerdefiniertem Zieltyp fest. |
deliveryPipelines.create() |
clouddeploy.deliveryPipelines.create |
Erstellen Sie eine neue Lieferpipeline-Ressource. |
deliveryPipelines.delete() |
clouddeploy.deliveryPipelines.delete |
Löschen Sie eine vorhandene Lieferpipeline-Ressource. |
deliveryPipelines.get() |
clouddeploy.deliveryPipelines.get |
Rufen Sie Details zu einer einzelnen Lieferpipeline ab. |
deliveryPipelines.getIamPolicy() |
clouddeploy.deliveryPipelines.getIamPolicy |
Rufen Sie die IAM-Richtlinie für eine Lieferpipeline-Ressource ab. |
deliveryPipelines.list() |
clouddeploy.deliveryPipelines.list |
Lieferpipelines und ihre Metadaten auflisten |
deliveryPipelines.rollbackTarget() |
clouddeploy.rollouts.rollback |
Führt ein Rollback für ein Ziel durch. |
deliveryPipelines.setIamPolicy() |
clouddeploy.deliveryPipelines.setIamPolicy |
Legen Sie die IAM-Richtlinie für eine Lieferpipeline-Ressource fest. |
deliveryPipelines.update() |
clouddeploy.deliveryPipelines.update |
Aktualisieren Sie vorhandene Lieferpipeline-Ressourcen. |
deployPolicies.create() |
clouddeploy.deployPolicies.create |
Erstellen Sie eine Bereitstellungsrichtlinienressource. |
deployPolicies.delete() |
clouddeploy.deployPolicies.delete |
Löschen Sie eine Bereitstellungsrichtlinienressource. |
deployPolicies.get() |
clouddeploy.deployPolicies.get |
Details zu einer Ressource für Bereitstellungsrichtlinien abrufen |
deployPolicies.list() |
clouddeploy.deployPolicies.list |
Verfügbare Bereitstellungsrichtlinien und ihre Metadaten auflisten. |
jobRuns.get() |
clouddeploy.jobRuns.get |
JobRuns-Ressource abrufen |
jobRuns.list() |
clouddeploy.jobRuns.list |
JobRuns-Ressourcen und ihre Metadaten auflisten |
jobRuns.terminate() |
clouddeploy.jobRuns.terminate |
Laufende Jobausführung beenden |
operations.cancel() |
clouddeploy.operations.cancel |
Lange laufenden Vorgang abbrechen. |
operation.delete() |
clouddeploy.operations.delete |
Lange laufenden Vorgang löschen. |
operations.get() |
clouddeploy.operations.get |
Einen bestimmten Vorgang mit langer Ausführungszeit abrufen (z. B. um den Status der Erstellung eines Releases zurückzugeben). |
operations.list() |
clouddeploy.operations.list |
Lange laufende Vorgänge auflisten. |
releases.abandon() |
clouddeploy.releases.abandon |
Einen Release aufgeben und weitere Releases für den Release verhindern |
releases.create() |
clouddeploy.releases.create |
Erstellen einer neuen Releaseressource. Der Aufrufer benötigt außerdem die iam.serviceAccounts.actAs-Berechtigung für das Dienstkonto, das zum Rendern des Manifests verwendet wird. |
releases.get() |
clouddeploy.releases.get |
Details zu einer einzelnen Version abrufen |
releases.list() |
clouddeploy.releases.list |
Releases und Metadaten auflisten. |
rollouts.advance() |
clouddeploy.rollouts.advance |
Roll-out in die nächste Phase fortsetzen |
rollouts.approve() |
clouddeploy.rollouts.approve |
Genehmigen oder ablehnen Sie ein Roll-out mit dem Genehmigungsstatus required. |
rollouts.cancel() |
clouddeploy.rollouts.cancel |
Roll-out abbrechen |
rollouts.create() |
clouddeploy.rollouts.create |
Erstellen Sie eine neue Roll-out-Ressource oder stufen Sie einen Release hoch. Der Aufrufer benötigt außerdem die iam.serviceAccounts.actAs-Berechtigung für das Projekt oder Dienstkonto, das für die Bereitstellung verwendet wird. |
rollouts.get() |
clouddeploy.rollouts.get |
Details zu einem einzelnen Roll-out abrufen |
rollouts.ignoreJob() |
clouddeploy.rollouts.ignoreJob |
Einen fehlgeschlagenen Job ignorieren |
rollouts.list() |
clouddeploy.rollouts.list |
Einführungen und Metadaten auflisten. |
rollouts.retryJob() |
clouddeploy.rollouts.retryJob |
Fehlgeschlagene Jobs werden noch einmal ausgeführt. |
rollouts.advance(), rollouts.approve(), rollouts.cancel(), rollouts.create(), rollouts.ignoreJob(), rollouts.retryJob(), deliveryPipelines.rollbackTarget(), jobRuns.terminate() |
clouddeploy.deployPolicies.override |
Überschreiben Sie eine Bereitstellungsrichtlinienressource. |
deployPolicies.update() |
clouddeploy.deployPolicies.update |
Vorhandene Bereitstellungsrichtlinienressource aktualisieren |
targets.create() |
clouddeploy.targets.create |
Erstellen einer neuen Zielressource. |
targets.delete() |
clouddeploy.targets.delete |
Vorhandene Zielressource löschen. |
targets.get() |
clouddeploy.targets.get |
Rufen Sie Details zu einem einzelnen Ziel ab. |
targets.getIamPolicy() |
clouddeploy.targets.getIamPolicy |
Ruft die IAM-Richtlinie für eine Zielressource ab. |
targets.list() |
clouddeploy.targets.list |
Ziele und ihre Metadaten auflisten. |
targets.setIamPolicy() |
clouddeploy.targets.setIamPolicy |
Legt die IAM-Richtlinie für eine Zielressource fest. |
targets.update() |
clouddeploy.targets.update |
Vorhandene Zielressource aktualisieren. |
Aktionen mit Cloud Deploy-Ressourcen mit IAM einschränken
Sie haben folgende Möglichkeiten, Ihre Cloud Deploy-Ressourcen mit IAM zu schützen:
IAM-Meta-APIs
Verwenden Sie
setIamPolicybei Cloud Deploy-Ressourcen, um Aktionen für diese Ressourcen einzuschränken.Bedingte IAM-Richtlinien
Wenden Sie Zugriffsrichtlinien programmatisch an, einschließlich der Bedingungen, unter denen Sie Zugriff gewähren oder verweigern.
Mit diesen Richtlinien und Bedingungen können Sie folgende Aktionen für Ihre Cloud Deploy-Ressourcen einschränken:
Lieferpipeline oder -ziel erstellen
Sie können diesen Zugriff für bestimmte Nutzer oder Gruppen gewähren.
Bestimmte Lieferpipeline aktualisieren oder löschen
Sie können diesen Zugriff für bestimmte Nutzer oder Gruppen gewähren.
Release für eine bestimmte Lieferpipeline erstellen
Sie können diesen Zugriff für bestimmte Nutzer oder Gruppen gewähren.
Bestimmtes Ziel aktualisieren oder löschen
Sie können diesen Zugriff für bestimmte Nutzer oder Gruppen gewähren.
Rollout erstellen, genehmigen oder hochstufen
Sie können diesen Zugriff für bestimmte Nutzer oder Gruppen für eine bestimmte Ziel- oder Lieferpipeline gewähren.
Sie können auch eine Bedingung festlegen, die diesen Zugriff auf ein bestimmtes Zeitfenster beschränkt.
Nächste Schritte
- IAM
- Weitere Informationen zur Verwendung von Bedingungen in IAM
- Weitere Informationen zu Cloud Deploy-Dienstkonten