本页面提供了有关应使用哪种类型的角色(预定义、自定义或基本)来控制对 Google Cloud 资源的访问权限的指导。
何时使用预定义角色
在大多数情况下,您应该可以使用预定义角色,而不是基本角色或自定义角色。预定义角色可让用户对特定Google Cloud 资源拥有精细的访问权限,由 Google 维护,并会在Google Cloud中添加新权限、功能或服务时自动更新。
不过,在某些情况下,您可能需要使用自定义角色或基本角色。以下部分介绍了这些情况。
何时使用自定义角色
与预定义角色不同,自定义角色不是由 Google 维护的。这意味着,向 Google Cloud 添加新权限、功能或服务时,您的自定义角色将不会自动更新。因此,我们建议您授予满足您需求的最受限的预定义角色。
不过,在以下情况下,创建和授予自定义角色可能很有用:
- 主账号需要某项权限,但包含该权限的每个预定义角色也包括主账号不需要且不应具有的权限。
- 您可以使用角色建议来使用更合适的角色授权替换过于宽松的角色授权。在某些情况下,您可能会收到创建自定义角色的建议。
使用自定义角色时,请注意以下限制:
- 自定义角色最多可以包含 3,000 个权限。
- 自定义角色的名称、描述和权限名称的总大小不得超过 64 KB。
您可以创建的自定义角色数量存在限制:
- 您可以在组织中创建多达 300 个组织级自定义角色
- 您可以在组织中的每个项目中创建最多 300 个项目级自定义角色。
何时使用基本角色
基本角色具有针对所有 Google Cloud 服务的数千项权限。在生产环境中,除非没有替代角色,否则请勿授予基本角色。应授予满足您需求的最受限的预定义角色或自定义角色。
如果您需要替换基本角色,则可以使用角色建议来确定继而要授予的角色。您还可以使用 Policy Simulator 来确保更改角色不会影响主账号的访问权限。
当您想为项目授予更广泛的权限时,可以授予基本角色。当您在开发或测试环境中授予权限时,往往会发生这种情况。
后续步骤
- 了解如何查找合适的预定义角色。
- 了解如何创建自定义角色。
- 详细了解基本角色。