Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Cloud Healthcare API-Datasets und -Datenspeicher mit IAM (Identity and Access Management)-Berechtigungen steuern. Mit IAM können Sie steuern, wer Zugriff auf Ihre Datensätze und Datenspeicher hat. Weitere Informationen zu IAM für die Cloud Healthcare API finden Sie unter Zugriffssteuerung.
Übersicht über IAM-Richtlinien
Der Zugriff auf Ressourcen wird über eine IAM-Richtlinie verwaltet. Eine Richtlinie enthält ein Array mit dem Namen bindings
. Dieses Array enthält eine Sammlung von Bindungen, bei denen es sich um Verknüpfungen zwischen Hauptkonten wie einem Nutzerkonto oder einem Dienstkonto und einer Rolle handelt. Richtlinien werden im JSON- oder YAML-Format dargestellt.
Die folgende Beispielrichtlinie zeigt user-1@example.com
, dem die Rolle roles/healthcare.datasetAdmin
zugewiesen wurde und user-2@example.com
sowie service-account-13@appspot.gserviceaccount.com
, denen die Rolle roles/healthcare.datasetViewer
zugewiesen wurde:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Verwenden Sie zum Aktualisieren einer Richtlinie für eine Ressource das Read-Modify-Write-Muster. Es gibt keine separaten Methoden zum Erstellen, Ändern und Entziehen von Zugriffsrechten.
So aktualisieren Sie eine Richtlinie:
- Rufen Sie die aktuelle Richtlinie durch Aufrufen der
getIamPolicy()
-Methode der Ressource ab. Wenn Sie beispielsweise die aktuelle Richtlinie eines Datasets lesen möchten, rufen Sieprojects.locations.datasets.getIamPolicy
auf. - Bearbeiten Sie die zurückgegebene Richtlinie entweder mit einem Texteditor oder programmgesteuert, um entsprechende Hauptkonten und deren Rollenzuweisungen hinzuzufügen oder zu entfernen.
- Schreiben Sie die aktualisierte Richtlinie durch Aufrufen der Methode
setIamPolicy()
der Ressource. Wenn Sie beispielsweise die aktualisierte Richtlinie eines Datasets schreiben möchten, rufen Sieprojects.locations.datasets.setIamPolicy
auf.
IAM mit Einwilligungsspeichern nutzen
In den folgenden Abschnitten wird gezeigt, wie Sie eine Richtlinie für einen Einwilligungsspeicher abrufen, ändern und festlegen. Diese Abschnitte verwenden die folgende Beispielrichtlinie als Ausgangspunkt:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Richtlinie abrufen
Die folgenden Beispiele zeigen, wie Sie eine IAM-Richtlinie auf Einwilligungsspeicherebene lesen. Weitere Informationen finden Sie unter projects.locations.datasets.consentStores.getIamPolicy
.
Console
So rufen Sie die IAM-Richtlinie für einen Einwilligungsspeicher ab:
- Öffnen Sie in der Google Cloud Console die Seite der Datasets.
- Klicken Sie auf die ID des Datasets, das den Einwilligungsspeicher enthält, und wählen Sie dann den Einwilligungsspeicher aus, für den Sie eine Richtlinie abrufen möchten.
- Klicken Sie auf Infofeld anzeigen.
- Erweitern Sie eine Rolle, um die ihr zugewiesenen Hauptkonten anzeigen zu lassen.
gcloud
Zum Aufrufen der IAM-Richtlinie für einen Einwilligungsspeicher führen Sie den Befehl gcloud healthcare consent-stores get-iam-policy
aus. Geben Sie den Namen des Einwilligungsspeichers, den Dataset-Namen und den Standort an.
gcloud healthcare consent-stores get-iam-policy CONSENT_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Wenn die Anfrage erfolgreich ist, werden die Bindungen angezeigt.
bindings: - members: - user:user-1@example.com role: roles/healthcare.consentStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.consentReader etag: bytes version: VERSION_NUMBER
Node.js
Python
curl
Um die IAM-Richtlinie für einen Einwilligungsspeicher zu lesen, stellen Sie eine GET
-Anfrage und geben Sie den Namen des Datasets, den Namen des Einwilligungsspeichers und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine GET
-Anfrage mit curl
.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:getIamPolicy"
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Um die IAM-Richtlinie für einen Einwilligungsspeicher zu lesen, stellen Sie eine GET
-Anfrage und geben Sie den Namen des Datasets, den Namen des Einwilligungsspeichers und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine GET
-Anfrage mit Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:getIamPolicy" | Select-Object -Expand Content
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Richtlinie ändern
In den folgenden Beispielen wird einem neuen Nutzer die Rolle roles/healthcare.consentReader
zugewiesen. Weitere Informationen finden Sie unter projects.locations.datasets.consentStores.setIamPolicy
.
Richtlinie festlegen
Console
Führen Sie die folgenden Schritte aus, um eine IAM-Richtlinie auf Einwilligungsspeicherebene festzulegen:
- Öffnen Sie in der Google Cloud Console die Seite der Datasets.
- Klicken Sie auf die ID des Datasets, das den Einwilligungsspeicher enthält, und wählen Sie dann den Einwilligungsspeicher aus, für den Sie eine Richtlinie festlegen möchten.
- Klicken Sie auf Infofeld anzeigen.
- Klicken Sie auf Hauptkonto hinzufügen.
- Geben Sie im Feld Neue Hauptkonten eine oder mehrere Identitäten ein, die Zugriff auf den Einwilligungsspeicher benötigen.
- Wählen Sie in der Liste Rolle auswählen unter Cloud Healthcare die Berechtigung aus, die Sie gewähren möchten. Beispiel: Healthcare-Consent-Speicher-Betrachter.
- Klicken Sie auf Speichern.
gcloud
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.consentReader
an:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, führen Sie den entsprechenden set-iam-policy
-Befehl aus, um die Änderungen vorzunehmen. Führen Sie den Befehl gcloud healthcare consent-stores set-iam-policy
aus, um eine Richtlinie auf Einwilligungsspeicherebene festzulegen. Geben Sie den Namen des Einwilligungsspeichers, den Dataset-Namen, den Speicherort und den Pfad zur erstellten Richtliniendatei an.
gcloud healthcare consent-stores set-iam-policy CONSENT_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Wenn die Anfrage erfolgreich ist, werden der Name des Einwilligungsspeichers und dessen Bindungen angezeigt.
Updated IAM policy for consentStore [CONSENT_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.consentStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.consentReader etag: bytes version: VERSION_NUMBER
Node.js
Python
curl
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.consentReader
an:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, rufen Sie projects.locations.datasets.consentStores.setIamPolicy
auf, um die Aktualisierungen vorzunehmen.
Um eine IAM-Richtlinie auf Einwilligungsspeicherebene festzulegen, stellen Sie eine POST
-Anfrage und geben Sie den Namen des Datasets, den Namen des Einwilligungsspeichers, die Richtlinie und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit curl
, um einem neuen Nutzer die vorhandene Rolle roles/healthcare.consentReader
zuzuweisen:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.consentStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.consentReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:setIamPolicy"
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.consentReader
an:
{ "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, rufen Sie projects.locations.datasets.consentStores.setIamPolicy
auf, um die Aktualisierungen vorzunehmen.
Um eine IAM-Richtlinie auf Einwilligungsspeicherebene festzulegen, stellen Sie eine POST
-Anfrage und geben Sie den Namen des Datasets, den Namen des Einwilligungsspeichers, die Richtlinie und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit Windows PowerShell, um einem neuen Nutzer die vorhandene Rolle roles/healthcare.consentReader
zuzuweisen:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.consentStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.consentReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/consentStores/CONSENT_STORE_ID:setIamPolicy" | Select-Object -Expand Content
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.consentStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.consentReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
IAM mit Datasets verwenden
In den folgenden Abschnitten wird beschrieben, wie Sie eine Richtlinie für ein Dataset abrufen, ändern und festlegen. Diese Abschnitte verwenden die folgende Beispielrichtlinie als Ausgangspunkt:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Richtlinie abrufen
Die folgenden Beispiele zeigen, wie eine IAM-Richtlinie auf Dataset-Ebene gelesen wird. Weitere Informationen finden Sie unter projects.locations.datasets.getIamPolicy
.
curl
Um die IAM-Richtlinie für ein Dataset zu lesen, stellen Sie eine GET
-Anfrage und geben Sie den Namen des Datasets und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine GET
-Anfrage mit curl
.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:getIamPolicy"
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Zum Anzeigen der IAM-Richtlinie für ein Dataset senden Sie eine GET
-Anfrage, die den Namen des Datasets und ein Zugriffstoken enthält.
Das folgende Beispiel zeigt eine GET
-Anfrage mit Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:getIamPolicy" | Select-Object -Expand Content
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Console
So rufen Sie die IAM-Richtlinie für ein Dataset auf:- Öffnen Sie in der Google Cloud Console die Seite der Datasets.
- Wählen Sie ein Dataset aus und klicken Sie auf Infofeld anzeigen.
- Erweitern Sie eine Rolle, um die ihr zugewiesenen Hauptkonten anzeigen zu lassen.
gcloud
Zum Aufrufen der IAM-Richtlinie für ein Dataset führen Sie den Befehl gcloud healthcare datasets get-iam-policy
aus. Geben Sie den Namen des Datasets und den Speicherort an.
gcloud healthcare datasets get-iam-policy DATASET_ID \ --location=LOCATION
Wenn die Anfrage erfolgreich ist, werden die Bindungen angezeigt.
bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.datasetViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
Richtlinie ändern
In den folgenden Beispielen wird einem neuen Nutzer die Rolle roles/healthcare.datasetViewer
zugewiesen:
Richtlinie festlegen
Console
Führen Sie die folgenden Schritte aus, um eine IAM-Richtlinie auf Dataset-Ebene festzulegen:
- Öffnen Sie in der Google Cloud Console die Seite der Datasets.
- Wählen Sie das Dataset aus, für das Sie eine Richtlinie festlegen möchten, und klicken Sie dann auf Infofeld ansehen.
- Klicken Sie auf Hauptkonto hinzufügen.
- Geben Sie im Feld Neue Hauptkonten eine oder mehrere Identitäten ein, die Zugriff auf das Dataset benötigen.
- Wählen Sie in der Liste Rolle auswählen unter Cloud Healthcare die Berechtigung aus, die Sie erteilen möchten. Zum Beispiel Healthcare-Dataset-Betrachter.
- Klicken Sie auf Speichern.
gcloud
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.datasetViewer
an:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, führen Sie den entsprechenden set-iam-policy
-Befehl aus, um die Änderungen vorzunehmen. Führen Sie den Befehl gcloud healthcare datasets set-iam-policy
aus, um eine Richtlinie auf Dataset-Ebene festzulegen. Geben Sie den Dataset-Namen, den Speicherort und den Pfad zur von Ihnen erstellten Richtliniendatei an.
gcloud healthcare datasets set-iam-policy DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Wenn die Anfrage erfolgreich ist, werden der Dataset-Name und die Bindungen angezeigt.
Updated IAM policy for dataset [DATASET_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.datasetAdmin - user:user-1@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.datasetViewer etag: bytes version: VERSION_NUMBER
curl
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.datasetViewer
an:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, rufen Sie projects.locations.datasets.setIamPolicy
auf, um die Aktualisierungen vorzunehmen.
Um eine IAM-Richtlinie auf Dataset-Ebene festzulegen, stellen Sie eine POST
-Anfrage und geben Sie den Namen des Datasets, die Richtlinie und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit curl
, um einem neuen Nutzer die vorhandene Rolle roles/healthcare.datasetViewer
zuzuweisen:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.datasetAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.datasetViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:setIamPolicy"
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.datasetViewer
an:
{ "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, rufen Sie projects.locations.datasets.setIamPolicy
auf, um die Aktualisierungen vorzunehmen.
Um eine IAM-Richtlinie auf Dataset-Ebene festzulegen, stellen Sie eine POST
-Anfrage und geben Sie den Namen des Datasets, die Richtlinie und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit Windows PowerShell, um einem neuen Nutzer die vorhandene Rolle roles/healthcare.datasetViewer
zuzuweisen:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.datasetAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role': 'roles/healthcare.datasetViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID:setIamPolicy" | Select-Object -Expand Content
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.datasetAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.datasetViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Go
Java
Node.js
Python
IAM mit DICOM-Speichern verwenden
In den folgenden Abschnitten wird gezeigt, wie Sie eine Richtlinie für einen DICOM-Speicher abrufen, ändern und festlegen. Diese Abschnitte verwenden die folgende Beispielrichtlinie als Ausgangspunkt:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Richtlinie abrufen
In den folgenden Beispielen wird gezeigt, wie Sie eine IAM-Richtlinie auf DICOM-Speicherebene lesen. Weitere Informationen finden Sie unter projects.locations.datasets.dicomStores.getIamPolicy
.
Console
So zeigen Sie die IAM-Richtlinie für einen DICOM-Speicher an:
- Öffnen Sie in der Google Cloud Console die Seite der Datasets.
- Klicken Sie auf die ID des Datasets, das den DICOM-Speicher enthält, und wählen Sie dann den DICOM-Speicher aus, für den Sie eine Richtlinie abrufen möchten.
- Klicken Sie auf Infofeld anzeigen.
- Erweitern Sie eine Rolle, um die ihr zugewiesenen Hauptkonten anzeigen zu lassen.
gcloud
Führen Sie den Befehl gcloud healthcare dicom-stores get-iam-policy
aus, um die IAM-Richtlinie für einen DICOM-Speicher anzusehen. Geben Sie den DICOM-Speichernamen, den Dataset-Namen und den Speicherort an.
gcloud healthcare dicom-stores get-iam-policy DICOM_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Wenn die Anfrage erfolgreich ist, werden die Bindungen angezeigt.
bindings: - members: - user:user-1@example.com role: roles/healthcare.dicomStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.dicomViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Um die IAM-Richtlinie für einen DICOM-Speicher zu lesen, stellen Sie eine GET
-Anfrage und geben Sie den Namen des Datasets, den Namen des DICOM-Speichers und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine GET
-Anfrage mit curl
.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:getIamPolicy"
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Um die IAM-Richtlinie für einen DICOM-Speicher zu lesen, stellen Sie eine GET
-Anfrage und geben Sie den Namen des Datasets, den Namen des DICOM-Speichers und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine GET
-Anfrage mit Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:getIamPolicy" | Select-Object -Expand Content
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Richtlinie ändern
In den folgenden Beispielen wird einem neuen Nutzer die Rolle roles/healthcare.dicomViewer
zugewiesen. Weitere Informationen finden Sie unter projects.locations.datasets.dicomStores.setIamPolicy
.
Richtlinie festlegen
Console
Führen Sie die folgenden Schritte aus, um eine IAM-Richtlinie auf DICOM-Speicherebene festzulegen:
- Öffnen Sie in der Google Cloud Console die Seite der Datasets.
- Klicken Sie auf die ID des Datasets, das den DICOM-Speicher enthält, und wählen Sie dann den DICOM-Speicher aus, für den Sie eine Richtlinie festlegen möchten.
- Klicken Sie auf Infofeld anzeigen.
- Klicken Sie auf Hauptkonto hinzufügen.
- Geben Sie im Feld Neue Hauptkonten eine oder mehrere Identitäten ein, die Zugriff auf den DICOM-Speicher benötigen.
- Wählen Sie in der Liste Rolle auswählen unter Cloud Healthcare die Berechtigung aus, die Sie gewähren möchten. Beispiel: Healthcare-DICOM-Speicherbetrachter
- Klicken Sie auf Speichern.
gcloud
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.dicomViewer
an:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, führen Sie den entsprechenden set-iam-policy
-Befehl aus, um die Änderungen vorzunehmen. Führen Sie den Befehl gcloud healthcare dicom-stores set-iam-policy
aus, um eine DICOM-Richtlinie auf Speicherebene festzulegen. Geben Sie den DICOM-Speichernamen, den Dataset-Namen, den Speicherort und den Pfad zur erstellten Richtliniendatei an.
gcloud healthcare dicom-stores set-iam-policy DICOM_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Wenn die Anfrage erfolgreich ist, werden der Name des DICOM-Speichers und die Bindungen angezeigt.
Updated IAM policy for dicomStore [DICOM_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.dicomStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.dicomViewer etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.dicomViewer
an:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, rufen Sie projects.locations.datasets.dicomStores.setIamPolicy
auf, um die Aktualisierungen vorzunehmen.
Um eine IAM-Richtlinie auf DICOM-Speicherebene festzulegen, stellen Sie eine POST
-Anfrage und geben Sie den Namen des Datasets, den Namen des DICOM-Speichers, die Richtlinie und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit curl
, um einem neuen Nutzer die vorhandene Rolle roles/healthcare.dicomViewer
zuzuweisen:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.dicomStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.dicomViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:setIamPolicy"
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.dicomViewer
an:
{ "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, rufen Sie projects.locations.datasets.dicomStores.setIamPolicy
auf, um die Aktualisierungen vorzunehmen.
Um eine IAM-Richtlinie auf DICOM-Speicherebene festzulegen, stellen Sie eine POST
-Anfrage und geben Sie den Namen des Datasets, den Namen des DICOM-Speichers, die Richtlinie und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit Windows PowerShell, um einem neuen Nutzer die vorhandene Rolle roles/healthcare.dicomViewer
zuzuweisen:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.dicomStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.dicomViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/dicomStores/DICOM_STORE_ID:setIamPolicy" | Select-Object -Expand Content
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.dicomStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.dicomViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
IAM mit FHIR-Speichern verwenden
In den folgenden Abschnitten wird gezeigt, wie Sie eine Richtlinie für einen FHIR-Speicher abrufen, ändern und festlegen. Diese Abschnitte verwenden die folgende Beispielrichtlinie als Ausgangspunkt:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Richtlinie abrufen
Die folgenden Beispiele zeigen, wie Sie eine IAM-Richtlinie auf FHIR-Speicherebene lesen. Weitere Informationen finden Sie unter projects.locations.datasets.fhirStores.getIamPolicy
.
Console
So rufen Sie die IAM-Richtlinie für einen FHIR-Speicher ab:
- Öffnen Sie in der Google Cloud Console die Seite der Datasets.
- Klicken Sie auf die ID des Datasets, das den FHIR-Speicher enthält, und wählen Sie dann den FHIR-Speicher aus, für den Sie eine Richtlinie abrufen möchten.
- Klicken Sie auf Infofeld anzeigen.
- Erweitern Sie eine Rolle, um die ihr zugewiesenen Hauptkonten anzeigen zu lassen.
gcloud
Zum Aufrufen der IAM-Richtlinie für einen FHIR-Speicher führen Sie den Befehl gcloud healthcare fhir-stores get-iam-policy
aus. Geben Sie den FHIR-Speichernamen, den Dataset-Namen und den Standort an.
gcloud healthcare fhir-stores get-iam-policy FHIR_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Wenn die Anfrage erfolgreich ist, werden die Bindungen angezeigt.
bindings: - members: - user:user-1@example.com role: roles/healthcare.fhirStoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.fhirResourceReader etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Um die IAM-Richtlinie für einen FHIR-Speicher zu lesen, stellen Sie eine POST
-Anfrage und geben Sie den Namen des Datasets, den Namen des FHIR-Speichers und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit curl
.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:getIamPolicy"
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Um die IAM-Richtlinie für einen FHIR-Speicher zu lesen, stellen Sie eine POST
-Anfrage und geben Sie den Namen des Datasets, den Namen des FHIR-Speichers und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:getIamPolicy" | Select-Object -Expand Content
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Richtlinie ändern
In den folgenden Beispielen wird einem neuen Nutzer die Rolle roles/healthcare.fhirResourceReader
zugewiesen. Weitere Informationen finden Sie unter projects.locations.datasets.fhirStores.setIamPolicy
.
Richtlinie festlegen
Console
Führen Sie die folgenden Schritte aus, um eine IAM-Richtlinie auf FHIR-Speicherebene festzulegen:
- Öffnen Sie in der Google Cloud Console die Seite der Datasets.
- Klicken Sie auf die ID des Datasets, das den FHIR-Speicher enthält, und wählen Sie dann den FHIR-Speicher aus, für den Sie eine Richtlinie festlegen möchten.
- Klicken Sie auf Infofeld anzeigen.
- Klicken Sie auf Hauptkonto hinzufügen.
- Geben Sie im Feld Neue Hauptkonten eine oder mehrere Identitäten ein, die Zugriff auf den FHIR-Speicher benötigen.
- Wählen Sie in der Liste Rolle auswählen unter Cloud Healthcare die Berechtigung aus, die Sie gewähren möchten. Beispiel: Healthcare-FHIR-Ressourcenleser.
- Klicken Sie auf Speichern.
gcloud
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.fhirResourceReader
an:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, führen Sie den entsprechenden set-iam-policy
-Befehl aus, um die Änderungen vorzunehmen.
Führen Sie den Befehl gcloud healthcare fhir-stores set-iam-policy
aus, um eine FHIR-Richtlinie auf Speicherebene festzulegen. Geben Sie den FHIR-Speichernamen, den Dataset-Namen, den Speicherort und den Pfad zur erstellten Richtliniendatei an.
gcloud healthcare fhir-stores set-iam-policy FHIR_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Wenn die Anfrage erfolgreich ist, werden der FHIR-Speichername und die Bindungen angezeigt.
Updated IAM policy for fhirStore [FHIR_STORE_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.fhirResourceReader etag: bytes version: VERSION_NUMBER
Go
Java
Node.js
Python
curl
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wertetag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.fhirResourceReader
an:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, rufen Sie projects.locations.datasets.fhirStores.setIamPolicy
auf, um die Aktualisierungen vorzunehmen.
Um eine IAM-Richtlinie auf FHIR-Speicherebene festzulegen, stellen Sie eine POST
-Anfrage und geben Sie den Namen des Datasets, den Namen des FHIR-Speichers, die Richtlinie und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit curl
, um einem neuen Nutzer die vorhandene Rolle roles/healthcare.fhirResourceReader
zuzuweisen:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.fhirStoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.fhirResourceReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:setIamPolicy"
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.fhirResourceReader
an:
{ "role":"roles/healthcare.fhirResourceReader", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, rufen Sie projects.locations.datasets.fhirStores.setIamPolicy
auf, um die Aktualisierungen vorzunehmen.
Um eine IAM-Richtlinie auf FHIR-Speicherebene festzulegen, stellen Sie eine POST
-Anfrage und geben Sie den Namen des Datasets, den Namen des FHIR-Speichers, die Richtlinie und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit Windows PowerShell, um einem neuen Nutzer die vorhandene Rolle roles/healthcare.fhirResourceReader
zuzuweisen:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.fhirStoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.fhirResourceReader', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/fhirStores/FHIR_STORE_ID:setIamPolicy" | Select-Object -Expand Content
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.fhirStoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.fhirResourceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
IAM mit HL7v2-Speichern verwenden
In den folgenden Abschnitten wird gezeigt, wie Sie eine Richtlinie für einen HL7v2-Speicher abrufen, ändern und festlegen. Diese Abschnitte verwenden die folgende Beispielrichtlinie als Ausgangspunkt:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Richtlinie abrufen
Die folgenden Beispiele zeigen, wie Sie eine IAM-Richtlinie auf HL7v2-Speicherebene lesen. Weitere Informationen finden Sie unter projects.locations.datasets.hl7V2Stores.getIamPolicy
.
Console
So zeigen Sie die IAM-Richtlinie für einen HL7v2-Speicher an:
- Öffnen Sie in der Google Cloud Console die Seite der Datasets.
- Klicken Sie auf die ID des Datasets, das den HL7v2-Speicher enthält, und wählen Sie dann den HL7v2-Speicher aus, für den Sie eine Richtlinie abrufen möchten.
- Klicken Sie auf Infofeld anzeigen.
- Erweitern Sie eine Rolle, um die ihr zugewiesenen Hauptkonten anzeigen zu lassen.
gcloud
Führen Sie den Befehl hl7v2-stores get-iam-policy
aus, um die IAM-Richtlinie für einen HL7v2-Speicher anzuzeigen. Geben Sie den HL7v2-Speichernamen, den Dataset-Namen und den Standort an.
gcloud healthcare hl7v2-stores get-iam-policy HL7V2_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION
Wenn die Anfrage erfolgreich ist, werden die Bindungen angezeigt.
bindings: - members: - user:user-1@example.com role: roles/healthcare.hl7v2StoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com role: roles/healthcare.hl7v2Consumer etag: bytes version: VERSION_NUMBER
curl
Um die IAM-Richtlinie für einen HL7v2-Speicher zu lesen, stellen Sie eine GET
-Anfrage und geben Sie den Namen des Datasets, den Namen des HL7v2-Speichers und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine GET
-Anfrage mit curl
.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:getIamPolicy"
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
PowerShell
Um die IAM-Richtlinie für einen HL7v2-Speicher zu lesen, stellen Sie eine GET
-Anfrage und geben Sie den Namen des Datasets, den Namen des HL7v2-Speichers und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine GET
-Anfrage mit Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Get ` -Headers $headers ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:getIamPolicy" | Select-Object -Expand Content
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com" ] } ] }
Go
Java
Node.js
Python
Richtlinie ändern
In den folgenden Beispielen wird einem neuen Nutzer die Rolle roles/healthcare.hl7V2Consumer
zugewiesen. Weitere Informationen finden Sie unter projects.locations.datasets.hl7V2Stores.setIamPolicy
.
Richtlinie festlegen
Console
Führen Sie die folgenden Schritte aus, um eine IAM-Richtlinie auf HL7v2-Speicherebene festzulegen:
- Öffnen Sie in der Google Cloud Console die Seite der Datasets.
- Klicken Sie auf die ID des Datasets, das den HL7v2-Speicher enthält, und wählen Sie dann den HL7v2-Speicher aus, für den Sie eine Richtlinie festlegen möchten.
- Klicken Sie auf Infofeld anzeigen.
- Klicken Sie auf Hauptkonto hinzufügen.
- Geben Sie im Feld Neue Hauptkonten eine oder mehrere Identitäten ein, die Zugriff auf den HL7v2-Speicher benötigen.
- Wählen Sie in der Liste Rolle auswählen unter Cloud Healthcare die Berechtigung aus, die Sie gewähren möchten. Zum Beispiel Healthcare-HL7v2-Nachrichtenverbraucher.
- Klicken Sie auf Speichern.
gcloud
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.hl7V2Consumer
an:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, führen Sie den entsprechenden set-iam-policy
-Befehl aus, um die Änderungen vorzunehmen.
Führen Sie den Befehl gcloud healthcare hl7v2-stores set-iam-policy
aus, um eine HL7v2-Richtlinie auf Speicherebene festzulegen. Geben Sie den HL7v2-Speichernamen, den Dataset-Namen, den Speicherort und den Pfad zur erstellten Richtliniendatei an.
gcloud healthcare hl7v2-stores set-iam-policy HL7V2_STORE_ID \ --dataset=DATASET_ID \ --location=LOCATION \ POLICY_FILE_NAME
Wenn die Anfrage erfolgreich ist, werden der HL7v2-Speichername und die Bindungen angezeigt.
Updated IAM policy for hl7v2Store [HL7V2_STORE_ID]. bindings: - members: - user:user-1@example.com role: roles/healthcare.hl7v2StoreAdmin - serviceAccount:service-account-13@appspot.gserviceaccount.com - user:user-2@example.com - user:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.hl7v2Consumer etag: bytes version: VERSION_NUMBER
curl
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.hl7V2Consumer
an:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, rufen Sie projects.locations.datasets.hl7V2Stores.setIamPolicy
auf, um die Aktualisierungen vorzunehmen.
Um eine IAM-Richtlinie auf HL7v2-Speicherebene festzulegen, stellen Sie eine POST
-Anfrage und geben Sie den Namen des Datasets, den Namen des HL7v2-Speichers, die Richtlinie und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit curl
, um einem neuen Nutzer die vorhandene Rolle roles/healthcare.hl7V2Consumer
zuzuweisen.
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.hl7V2StoreAdmin', 'members': [ 'user:user-1@example.com' ] }, { 'role':'roles/healthcare.hl7V2Consumer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:setIamPolicy"
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
PowerShell
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Um einem neuen Nutzer die Rolle zuzuweisen, hängen Sie seine E-Mail-Adresse an das Array members
unter der Bindung roles/healthcare.hl7V2Consumer
an:
{ "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, rufen Sie projects.locations.datasets.hl7V2Stores.setIamPolicy
auf, um die Aktualisierungen vorzunehmen.
Um eine IAM-Richtlinie auf HL7v2-Speicherebene festzulegen, stellen Sie eine POST
-Anfrage und geben Sie den Namen des Datasets, den Namen des HL7v2-Speichers, die Richtlinie und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit curl
, um einem neuen Nutzer die vorhandene Rolle roles/healthcare.hl7V2Consumer
zuzuweisen:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.hl7V2StoreAdmin', 'members': [ 'user:user-1@example.com', ] }, { 'role': 'roles/healthcare.hl7V2Consumer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'user:user-2@example.com', 'user:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://healthcare.googleapis.com/v1/projects/PROJECT_ID/locations/LOCATION/datasets/DATASET_ID/hl7V2Stores/HL7V2_STORE_ID:setIamPolicy" | Select-Object -Expand Content
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.hl7V2StoreAdmin", "members": [ "user:user-1@example.com" ] }, { "role":"roles/healthcare.hl7V2Consumer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "user:user-2@example.com", "user:NEW_USER_EMAIL_ADDRESS" ] } ] }
Go
Java
Node.js
Python
IAM mit der Healthcare Natural Language API verwenden
In den folgenden Abschnitten wird gezeigt, wie Sie eine Richtlinie für die Healthcare Natural Language API abrufen, ändern und festlegen. Diese Abschnitte verwenden die folgende Beispielrichtlinie als Ausgangspunkt:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
Richtlinie abrufen
Die folgenden Beispiele zeigen, wie eine IAM-Richtlinie auf Projektebene gelesen wird. Weitere Informationen finden Sie im Artikel zur Methode projects.getIamPolicy
.
curl
Um die IAM-Richtlinie für ein Projekt zu lesen, stellen Sie eine POST
-Anfrage und geben Sie den Namen des Projekts und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit curl
.
curl -X GET \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy"
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
PowerShell
Wenn Sie die IAM-Richtlinie für ein Projekt aufrufen möchten, stellen Sie eine POST
-Anfrage und geben Sie den Namen des Projekts und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit Windows PowerShell.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method POST ` -Headers $headers ` -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy" | Select-Object -Expand Content
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
Console
Führen Sie die folgenden Schritte aus, um die IAM-Richtlinie für ein Projekt aufzurufen:
- Öffnen Sie in der Google Cloud Console die Seite "IAM".
- Wenn Sie die einer Rolle zugewiesenen Hauptkonten ansehen möchten, klicken Sie auf Rollen und maximieren dann die Rolle.
gcloud
Zum Aufrufen der IAM-Richtlinie für ein Projekt führen Sie den Befehl gcloud projects get-iam-policy
aus. Geben Sie den Projektnamen in der Anfrage an.
gcloud projects get-iam-policy PROJECT_ID
Wenn die Anfrage erfolgreich ist, werden die Bindungen angezeigt.
bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com role: roles/healthcare.nlpServiceViewer etag: bytes version: VERSION_NUMBER
Richtlinie ändern
In den folgenden Beispielen wird einem Dienst die Rolle roles/healthcare.nlpServiceViewer
zugewiesen. Weitere Informationen finden Sie unter projects.setIamPolicy
.
Richtlinie festlegen
Console
Führen Sie die folgenden Schritte aus, um eine IAM-Richtlinie auf Projektebene festzulegen:
- Öffnen Sie in der Google Cloud Console die Seite "IAM".
- Klicken Sie neben dem Hauptkonto auf die Schaltfläche Bearbeiten oder klicken Sie auf Hauptkonto hinzufügen und geben Sie dann im Feld Neue Hauptkonten eine oder mehrere Identitäten ein, die Zugriff auf das Projekt benötigen.
- Wählen Sie in der Liste Rolle auswählen unter Cloud Healthcare Healthcare Natural Language-Dienstbetrachter aus.
- Klicken Sie auf Speichern.
gcloud
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Wenn Sie einem neuen Dienstkonto die Rolle zuweisen möchten, fügen Sie unter roles/healthcare.nlpServiceViewer
-Bindung die E-Mail-Adresse des Dienstkontos unter members
hinzu:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, führen Sie den gcloud projects set-iam-policy
-Befehl aus, um die Änderungen vorzunehmen. Geben Sie das Projekt und den Pfad zur von Ihnen erstellten Richtliniendatei an.
gcloud projects set-iam-policy PROJECT_STORE_ID \ POLICY_FILE_NAME
Wenn die Anfrage erfolgreich ist, werden der Projektname und die Bindungen angezeigt.
Updated IAM policy for project [PROJECT_ID]. bindings: - members: - serviceAccount:service-account-13@appspot.gserviceaccount.com - serviceAccount:NEW_USER_EMAIL_ADDRESS role: roles/healthcare.nlpServiceViewer etag: bytes version: VERSION_NUMBER
curl
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Wenn Sie einem neuen Dienstkonto die Rolle zuweisen möchten, fügen Sie unter roles/healthcare.nlpServiceViewer
-Bindung die E-Mail-Adresse des Dienstkontos unter members
hinzu:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, rufen Sie projects.setIamPolicy
auf, um die Aktualisierungen vorzunehmen.
Um eine IAM-Richtlinie auf Projektebene festzulegen, stellen Sie eine POST
-Anfrage und geben Sie den Projektnamen, die Richtlinie und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit curl
, um einem neuen Nutzer die vorhandene Rolle roles/healthcare.nlpServiceViewer
zuzuweisen:
Policy
.
curl -X POST \ -H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \ -H "Content-Type: application/json; charset=utf-8" \ --data "{ 'policy': { 'bindings': [ { 'role':'roles/healthcare.nlpServiceViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com' ] } ] } }" "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy"
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com" ] } ] }
PowerShell
Sie können Nutzern Rollen dadurch zuweisen oder entziehen, dass Sie die Richtlinie ändern, die Sie abgerufen haben – programmatisch oder mithilfe eines Texteditors. Der Wert etag
ändert sich, wenn sich die Richtlinie ändert. Sie müssen den aktuellen Wert also angeben.
Wenn Sie einem neuen Dienstkonto die Rolle zuweisen möchten, fügen Sie unter roles/healthcare.nlpServiceViewer
-Bindung die E-Mail-Adresse des Dienstkontos unter members
hinzu:
{ "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_SERVICE_ACCOUNT_EMAIL_ADDRESS" ] }
members
. Wenn Sie den Zugriff vom letzten Hauptkonto mit einer Rolle widerrufen möchten, löschen Sie das bindings
-Array für die Rolle. In Ihrer Richtlinie darf kein leeres bindings
-Array enthalten sein.
Nachdem Sie die Richtlinie geändert haben, um die entsprechenden Rollen zuzuweisen, rufen Sie projects.setIamPolicy
auf, um die Aktualisierungen vorzunehmen.
Um eine IAM-Richtlinie auf Projektebene festzulegen, stellen Sie eine POST
-Anfrage und geben Sie den Projektnamen, die Richtlinie und ein Zugriffstoken an.
Das folgende Beispiel zeigt eine POST
-Anfrage mit curl
, um einem neuen Nutzer die vorhandene Rolle roles/healthcare.nlpServiceViewer
zuzuweisen:
Policy
.
$cred = gcloud auth application-default print-access-token $headers = @{ Authorization = "Bearer $cred" } Invoke-WebRequest ` -Method Post ` -Headers $headers ` -ContentType: "application/json; charset=utf-8" ` -Body "{ 'policy': { 'bindings': [ { 'role': 'roles/healthcare.nlpServiceViewer', 'members': [ 'serviceAccount:service-account-13@appspot.gserviceaccount.com', 'serviceAccount:NEW_USER_EMAIL_ADDRESS' ] } ] } }" ` -Uri "https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy" | Select-Object -Expand Content
Die Antwort lautet:
{ "etag":"bytes", "bindings": [ { "role":"roles/healthcare.nlpServiceViewer", "members": [ "serviceAccount:service-account-13@appspot.gserviceaccount.com", "serviceAccount:NEW_USER_EMAIL_ADDRESS" ] } ] }
Nächste Schritte
- Informieren Sie sich über das Read-Modify-Write-Muster bei der Verwendung von IAM-Richtlinien.
- Verfügbare Cloud Healthcare API-Rollen ansehen