本頁面提供相關指引,說明應使用哪種角色 (預先定義、自訂或基本角色) 來控管 Google Cloud 資源的存取權。
使用預先定義角色的時機
在大多數情況下,您應該可以使用預先定義的角色,而非基本或自訂角色。預先定義的角色可提供特定Google Cloud 資源的精細存取權,由 Google 維護,且當Google Cloud新增權限、功能或服務時,會自動更新。
不過,在某些情況下,您可能會想使用自訂或基本角色。以下各節將說明這些情況。
使用自訂角色的時機
與預先定義角色不同,自訂角色不是由 Google 維護。這表示當 Google Cloud 新增權限、功能或服務時,自訂角色不會自動更新。因此,建議您授予符合需求的最低權限預先定義角色。
不過,在下列情況下,您可能適合建立及授予自訂角色:
- 主體需要某項權限,但包含該權限的每個預先定義角色,也包含主體不需要且不應擁有的權限。
- 您可以使用角色建議,將權限過高的角色授予項目,替換為更合適的角色授予項目。在某些情況下,您可能會收到建立自訂角色的建議。
使用自訂角色時,請注意下列限制:
- 自訂角色最多可包含 3,000 項權限。
- 自訂角色的名稱、說明和權限名稱總大小上限為 64 KB。
可建立的自訂角色數量有限:
- 您最多可在機構中建立 300 個機構層級的自訂角色
- 您可以在機構的每個專案中,建立最多 300 個專案層級的自訂角色。
基本角色的適用時機
基本角色包含所有 Google Cloud 服務的數千項權限。在正式環境中,除非沒有其他替代方案,否則請勿授予基本角色。請改為授予最有限的預先定義角色或自訂角色,以符合您的需求。
如要取代基本角色,可以使用角色建議來判斷要改授哪些角色。您也可以使用 Policy Simulator,確保變更角色不會影響主體的存取權。
如要為專案授予更廣泛的權限,可以考慮授予基本角色。在開發或測試環境中授予權限時,常會發生這種情況。
後續步驟
- 瞭解如何找到合適的預先定義角色。
- 瞭解如何建立自訂角色。
- 進一步瞭解基本角色。