Auf dieser Seite wird das allgemeine Verfahren zum Gewähren, Ändern und Entziehen des Zugriffs auf Ressourcen beschrieben, die Zulassungsrichtlinien akzeptieren.
In der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) wird der Zugriff über „allow”-Richtlinien (auch als IAM-Richtlinien bezeichnet) gewährt. Eine „allow”-Richtlinie ist mit einer Google Cloud-Ressource verknüpft. Jede Richtlinie enthält eine Sammlung von Rollenbindungen, die ein oder mehrere Hauptkonten, z. B. Nutzer oder Dienstkonten, mit einer IAM-Rolle verknüpfen. Diese Rollenbindungen gewähren den Hauptkonten die angegebenen Rollen sowohl für die Ressource, mit der die „allow”-Richtlinie verbunden ist, als auch für alle Nachfolgerelemente der Ressource. Weitere Informationen zu „allow”-Richtlinien finden Sie unter „allow”-Richtlinien.
Auf dieser Seite wird beschrieben, wie Sie den Zugriff auf Ressourcen mit der Google Cloud Console, der Google Cloud CLI und der REST API verwalten. Sie können den Zugriff auch über die Google Cloud-Clientbibliotheken verwalten.
Vorbereitung
Siehe Liste der Ressourcentypen, die Zulassungsrichtlinien akzeptieren.
Erforderliche Berechtigungen
Um den Zugriff auf eine Ressource zu verwalten, benötigen Sie Berechtigungen, um die Zulassungsrichtlinie für die Ressource abzurufen und festzulegen. Diese Berechtigungen haben das folgende Format, wobei SERVICE
der Name des Dienstes ist, zu dem die Ressource gehört, und RESOURCE_TYPE
der Name des Ressourcentyps, für den Sie den Zugriff verwalten möchten:
SERVICE.RESOURCE_TYPE.get
SERVICE.RESOURCE_TYPE.getIamPolicy
SERVICE.RESOURCE_TYPE.setIamPolicy
Sie benötigen beispielsweise die folgenden Berechtigungen, um den Zugriff auf eine Compute Engine-Instanz zu verwalten:
compute.instances.get
compute.instances.getIamPolicy
compute.instances.setIamPolicy
Bitten Sie Ihren Administrator, Ihnen eine vordefinierte oder benutzerdefinierte Rolle zuzuweisen, die die Berechtigungen enthält. Beispielsweise kann Ihr Administrator Ihnen die Rolle "Sicherheitsadministrator" (roles/iam.securityAdmin
) zuweisen, die Berechtigungen zum Verwalten des Zugriffs auf fast alle Google Cloud-Ressourcen enthält.
Aktuellen Zugriff ansehen
Im folgenden Abschnitt erfahren Sie, wie Sie mit der Google Cloud Console, der gcloud CLI und der REST API den Zugriff auf eine Ressource aufrufen. Sie können den Zugriff auch mithilfe der Google Cloud-Clientbibliotheken anzeigen, um die Zulassungsrichtlinie der Ressource abzurufen.
Console
Rufen Sie in der Google Cloud Console die Seite auf, auf der die Ressource aufgeführt ist, auf die Sie zugreifen möchten.
Wenn Sie beispielsweise den Zugriff auf eine Compute Engine-Instanz verwalten möchten, rufen Sie die Seite VM-Instanzen auf.
Klicken Sie auf das Kästchen neben der Ressource, für die Sie sich den Zugriff ansehen möchten.
Das Infofeld muss sichtbar sein. Falls es nicht sichtbar ist, klicken Sie auf Infofeld ansehen. Auf dem Tab Berechtigungen des Infofelds werden alle Hauptkonten aufgelistet, die Zugriff auf die Ressource haben.
Wenn der Schieberegler Übernommene Berechtigungen anzeigen aktiviert ist, enthält die Liste Hauptkonten mit übernommenen Rollen. Das heißt, Hauptkonten, deren Zugriff von Rollen für übergeordnete Ressourcen und nicht von Rollen für die Ressource selbst stammt. Weitere Informationen zur Richtlinienübernahme finden Sie unter Richtlinienübernahme und die Ressourcenhierarchie.
gcloud
Wenn Sie sehen möchten, wer Zugriff auf Ihre Ressource hat, rufen Sie die Zulassungsrichtlinie für die Ressource ab. Informationen zum Interpretieren von „allow”-Richtlinien finden Sie unter Informationen zu „allow”-Richtlinien.
Um die Zulassungsrichtlinie für die Ressource abzurufen, führen Sie den Befehl get-iam-policy
für die Ressource aus:
Das Format dieses Befehls hängt vom Ressourcentyp ab, für den Sie den Zugriff verwalten. Sie finden das Format für Ihre Ressource in der Referenz zum Befehl get-iam-policy
der Ressource in der Google Cloud CLI-Referenz. Diese Referenz ist nach Dienst und dann nach Ressource organisiert.
Wenn Sie beispielsweise die Zulassungsrichtlinie einer Compute Engine-VM-Instanz abrufen möchten, folgen Sie dem in der Referenz zu gcloud compute instances get-iam-policy
beschriebenen Format.
Fügen Sie dem Befehl optional die folgenden Argumente hinzu, um das Format anzugeben und die Ergebnisse zu exportieren:
--format=FORMAT > PATH
Geben Sie folgende Werte an:
FORMAT
: Das gewünschte Format für die Richtlinie. Verwenden Siejson
oderyaml
.PATH
: Der Pfad zu einer neuen Ausgabedatei für die Richtlinie.
Wenn Sie den Befehl ausführen, wird die Zulassungsrichtlinie der Ressource entweder in der Konsole ausgegeben oder in die angegebene Datei exportiert.
REST
Damit Sie feststellen können, wer Zugriff auf Ihre Ressource hat, rufen Sie die Zulassungsrichtlinie der Ressource ab. Informationen zum Interpretieren von „allow”-Richtlinien finden Sie unter Informationen zu „allow”-Richtlinien.
Die Zulassungsrichtlinie der Ressource erhalten Sie mit der Methode getIamPolicy
der Ressource.
Die HTTP-Methode, die URL und der Anfragetext hängen von der Ressource ab, für die Sie sich den Zugriff ansehen möchten. Diese Details finden Sie in der API-Referenz für den Dienst, dem die Ressource gehört, in der Referenz zur Methode getIamPolicy
der Ressource. Beispielsweise werden die HTTP-Methode, die URL und der Anfragetext für eine Compute Engine-Instanz in der Referenz zur getIamPolicy
-Instanz angegeben.
Die Antwort für die Methode getIamPolicy
einer Ressource enthält die Zulassungsrichtlinie der Ressource.
Einzelne Rolle gewähren oder widerrufen
Sie können die Google Cloud Console und die gcloud CLI verwenden, um für ein einzelnes Hauptkonto schnell eine einzelne Rolle zuzuweisen oder zu widerrufen, ohne die Zulassungsrichtlinie der Ressource direkt zu bearbeiten. Zu den gängigen Typen von Hauptkonten zählen Google-Konten, Dienstkonten, Google-Gruppen und Domains. Eine Liste der Typen von Hauptkonten finden Sie unter Konzepte in Verbindung mit Identität.
Im Allgemeinen werden Richtlinienänderungen innerhalb von zwei Minuten wirksam. In einigen Fällen kann es jedoch sieben Minuten oder länger dauern, bis die Änderungen im gesamten System wirksam wurden.
Hilfe bei der Ermittlung der am besten geeigneten vordefinierten Rolle finden Sie unter Vordefinierte Rollen auswählen.
Einzelne Rolle gewähren
So weisen Sie einem Hauptkonto eine einzelne Rolle zu:
Console
Rufen Sie in der Google Cloud Console die Seite auf, auf der die Ressource aufgeführt ist, auf die Sie zugreifen möchten.
Wenn Sie beispielsweise den Zugriff auf eine Compute Engine-Instanz verwalten möchten, rufen Sie die Seite VM-Instanzen auf.
Klicken Sie das Kästchen neben der Ressource an, für die Sie den Zugriff verwalten möchten.
Das Infofeld muss sichtbar sein. Falls es nicht sichtbar ist, klicken Sie auf Infofeld ansehen.
Wählen Sie ein Hauptkonto aus, um in folgenden Fällen eine Rolle zuzuweisen:
Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, das bereits andere Rollen für die Ressource hat, suchen Sie die Zeile mit dem Hauptkonto und klicken Sie in dieser Zeile auf
Hauptkonto bearbeiten. und auf Weitere Rolle hinzufügen.Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, das noch keine anderen Rollen für die Ressource hat, klicken Sie auf
Hauptkonto hinzufügen und geben Sie dann eine Kennzeichnung für das Hauptkonto ein, z. B.my-user@example.com
.
Wählen Sie eine zu gewährende Rolle aus der Drop-down-Liste aus. Wählen Sie als Best Practice für die Sicherheit eine Rolle aus, die nur die Berechtigungen enthält, die das Hauptkonto benötigt.
Optional: Fügen Sie der Rolle eine Bedingung hinzu.
Klicken Sie auf Speichern. Dem Hauptkonto wird die Rolle für die Ressource zugewiesen.
gcloud
Wenn Sie einem Hauptkonto eine Rolle zuweisen möchten, führen Sie den Befehl add-iam-policy-binding
aus:
Das Format dieses Befehls hängt vom Ressourcentyp ab, für den Sie den Zugriff verwalten. Sie finden das Format für Ihre Ressource in der Referenz zum Befehl add-iam-policy-binding
der Ressource in der Google Cloud CLI-Referenz. Diese Referenz ist nach Dienst und dann nach Ressource organisiert.
Wenn Sie einem Hauptkonto beispielsweise eine Rolle auf einer Compute Engine-Instanz zuweisen möchten, verwenden Sie das in der Referenz zu gcloud compute instances add-iam-policy-
binding
beschriebene Format.
Einzelne Rolle widerrufen
So widerrufen Sie eine einzelne Rolle eines Hauptkontos:
Console
Rufen Sie in der Google Cloud Console die Seite auf, auf der die Ressource aufgeführt ist, für die Sie den Zugriff widerrufen möchten.
Wenn Sie beispielsweise den Zugriff auf eine Compute Engine-Instanz verwalten möchten, rufen Sie die Seite VM-Instanzen auf:
Klicken Sie das Kästchen neben der Ressource an, für die Sie den Zugriff verwalten möchten.
Das Infofeld muss sichtbar sein. Falls es nicht sichtbar ist, klicken Sie auf Infofeld ansehen.
Suchen Sie die Zeile mit dem Hauptkonto, dessen Zugriff Sie widerrufen möchten. Klicken Sie dann in dieser Zeile auf
Hauptkonto bearbeiten.Klicken Sie für die Rolle, die Sie entziehen möchten, auf die Schaltfläche Löschen
und dann auf Speichern.
gcloud
Wenn Sie einem Hauptkonto schnell eine Rolle entziehen möchten, führen Sie den Befehl remove-iam-policy-binding
aus.
Das Format dieses Befehls hängt vom Ressourcentyp ab, für den Sie den Zugriff verwalten. Sie finden das Format für Ihre Ressource in der Referenz zum Befehl remove-iam-policy-binding
der Ressource in der Google Cloud CLI-Referenz. Diese Referenz ist nach Dienst und dann nach Ressource organisiert.
Wenn Sie einem Hauptkonto beispielsweise eine Rolle auf einer Compute Engine-Instanz zuweisen möchten, verwenden Sie das in der Referenz zu gcloud compute instances
remove-iam-policy-binding
beschriebene Format.
Mehrere Rollen mithilfe der Google Cloud Console zuweisen oder widerrufen
In der Google Cloud Console können Sie für ein einzelnes Hauptkonto mehrere Rollen zuweisen und widerrufen:
Rufen Sie in der Google Cloud Console die Seite auf, auf der die Ressource aufgeführt ist, auf die Sie zugreifen möchten.
Wenn Sie beispielsweise den Zugriff auf eine Compute Engine-Instanz verwalten möchten, rufen Sie die Seite VM-Instanzen auf.
Klicken Sie das Kästchen neben der Ressource an, für die Sie den Zugriff verwalten möchten.
Wenn das Infofeld nicht sichtbar ist, klicken Sie auf Infofeld ansehen.
Wählen Sie das Hauptkonto aus, dessen Rollen Sie ändern möchten:
Wenn Sie Rollen für ein Hauptkonto ändern möchten, das bereits Rollen für die Ressource hat, suchen Sie die Zeile mit dem Hauptkonto und klicken Sie in dieser Zeile auf
Hauptkonto bearbeiten. Gehen Sie dann auf Weitere Rolle hinzufügen.Wenn Sie einem Hauptkonto Rollen zuweisen möchten, das noch keine Rollen für die Ressource hat, klicken Sie auf
Hauptkonto hinzufügen und geben Sie dann eine Kennung für das Hauptkonto ein, z. B.my-user@example.com
.
Ändern Sie die Rollen des Hauptkontos:
- Wenn Sie eine Rolle für ein Hauptkonto zuweisen möchten, das noch keine Rollen für die Ressource hat, klicken Sie auf Rolle auswählen und wählen Sie eine Rolle aus der Drop-down-Liste aus.
- Wenn Sie dem Hauptkonto eine zusätzliche Rolle zuweisen möchten, klicken Sie auf Weitere Rolle hinzufügen und wählen Sie dann eine Rolle aus der Drop-down-Liste aus.
- Wenn Sie eine der Rollen des Hauptkontos durch eine andere Rolle ersetzen möchten, klicken Sie auf die vorhandene Rolle und wählen Sie dann eine andere Rolle aus der Drop-down-Liste aus.
- Wenn Sie eine der Rollen des Hauptkontos widerrufen möchten, klicken Sie für jede Rolle, die Sie widerrufen möchten, auf die Schaltfläche Löschen .
Sie können einer Rolle auch eine Bedingung hinzufügen, die Bedingung einer Rolle ändern oder die Bedingung einer Rolle entfernen.
Klicken Sie auf Speichern.
Mehrere Rollen programmatisch gewähren oder widerrufen
Um umfangreiche Zugriffsänderungen vorzunehmen, bei denen mehrere Rollen für mehrere Hauptkonten zugewiesen und widerrufen werden, verwenden Sie das Muster read-modify-write, um die Zulassungsrichtlinie der Ressource zu aktualisieren:
- Lesen Sie die aktuelle Zulassungsrichtlinie, indem Sie
getIamPolicy()
aufrufen. - Zulassungsrichtlinie entweder mithilfe eines Texteditors oder programmatisch bearbeiten, um Hauptkonten oder Rollenbindungen hinzuzufügen oder zu entfernen.
- Schreiben Sie die aktualisierte Zulassungsrichtlinie durch Aufrufen von
setIamPolicy()
.
In diesem Abschnitt wird gezeigt, wie Sie mit der gcloud CLI und der REST API die Zulassungsrichtlinie aktualisieren. Sie können die Zulassungsrichtlinie auch mithilfe der Google Cloud-Clientbibliotheken aktualisieren.
Im Allgemeinen werden Richtlinienänderungen innerhalb von zwei Minuten wirksam. In einigen Fällen kann es jedoch sieben Minuten oder länger dauern, bis die Änderungen im gesamten System wirksam wurden.
Aktuelle Zulassungsrichtlinie abrufen
gcloud
Um die Zulassungsrichtlinie für die Ressource abzurufen, führen Sie den Befehl get-iam-policy
für die Ressource aus:
Das Format dieses Befehls hängt vom Ressourcentyp ab, für den Sie den Zugriff verwalten. Sie finden das Format für Ihre Ressource in der Referenz zum Befehl get-iam-policy
der Ressource in der Google Cloud CLI-Referenz. Diese Referenz ist nach Dienst und dann nach Ressource organisiert.
Wenn Sie beispielsweise die Zulassungsrichtlinie einer Compute Engine-VM-Instanz abrufen möchten, folgen Sie dem in der Referenz zu gcloud compute instances get-iam-policy
beschriebenen Format.
Fügen Sie dem Befehl optional die folgenden Argumente hinzu, um das Format anzugeben und die Ergebnisse zu exportieren:
--format=FORMAT > PATH
Geben Sie folgende Werte an:
FORMAT
: Das gewünschte Format für die Zulassungsrichtlinie. Verwenden Siejson
oderyaml
.PATH
: Den Pfad zu einer neuen Ausgabedatei für die Zulassungsrichtlinie.
Wenn Sie den Befehl ausführen, wird die Zulassungsrichtlinie der Ressource entweder in der Konsole ausgegeben oder in die angegebene Datei exportiert.
REST
Die Zulassungsrichtlinie der Ressource erhalten Sie mit der Methode getIamPolicy
der Ressource.
Die HTTP-Methode, die URL und der Anfragetext hängen von der Ressource ab, für die Sie sich den Zugriff ansehen möchten. Diese Details finden Sie in der API-Referenz für den Dienst, dem die Ressource gehört, in der Referenz zur Methode getIamPolicy
der Ressource. Beispielsweise werden die HTTP-Methode, die URL und der Anfragetext für eine Compute Engine-VM-Instanz in der Referenz zur getIamPolicy
-Instanz angegeben.
Die Antwort für die Methode getIamPolicy
einer Ressource enthält die Zulassungsrichtlinie der Ressource. Speichern Sie die Antwort in einer Datei des entsprechenden Typs (json
oder yaml
).
Ändern Sie die Zulassungsrichtlinie
Passen Sie die lokale Kopie der Zulassungsliste Ihrer Ressource programmgesteuert oder mithilfe eines Texteditors so an, dass sie die Rollen widerspiegelt, die Sie gewähren oder widerrufen möchten.
Bearbeiten Sie das Feld etag
der Zulassungsrichtlinie nicht und entfernen Sie es nicht, um sicherzustellen, dass Sie keine anderen Richtlinienänderungen überschreiben. Das Feld etag
gibt den aktuellen Zustand der Zulassungsrichtlinie an. Wenn Sie die aktualisierte Zulassungsrichtlinie festlegen, vergleicht IAM den etag
-Wert in der Anfrage mit dem vorhandenen etag
und schreibt die Zulassungsrichtlinie nur, wenn die Werte übereinstimmen.
Wenn Sie die Rollen bearbeiten möchten, die durch eine Zulassungsrichtlinie gewährt werden, müssen Sie die Rollenbindungen in der Zulassungsrichtlinie bearbeiten. Rollenbindungen haben folgendes Format:
{ "role": "ROLE_NAME", "members": [ "PRINCIPAL_1", "PRINCIPAL_2", ... "PRINCIPAL_N" ], "conditions:" { CONDITIONS } }
Die Platzhalter haben folgende Werte:
ROLE_NAME
: Der Name der Rolle, die Sie zuweisen möchten. Verwenden Sie eines der folgenden Formate:- Vordefinierte Rollen:
roles/SERVICE.IDENTIFIER
- Benutzerdefinierte Rollen auf Projektebene:
projects/PROJECT_ID/roles/IDENTIFIER
- Benutzerdefinierte Rollen auf Organisationsebene:
organizations/ORG_ID/roles/IDENTIFIER
Eine Liste der vordefinierten Rollen finden Sie unter Informationen zu Rollen.
- Vordefinierte Rollen:
PRINCIPAL_1
,PRINCIPAL_2
,...PRINCIPAL_N
: IDs für die Hauptkonten, denen Sie die Rolle zuweisen möchten.Hauptkonto-Kennzeichnungen haben normalerweise das folgende Format:
PRINCIPAL-TYPE:ID
. Beispiel:user:my-user@example.com
. Eine vollständige Liste der fürPRINCIPAL
zulässigen Werte finden Sie unter Principal-IDs.Beim Hauptkontotyp
user
muss der Domainname in der Kennung eine Google Workspace- oder Cloud Identity-Domain sein. Informationen zum Einrichten einer Cloud Identity-Domain finden Sie unter Cloud Identity – Übersicht.CONDITIONS
: Optional. Bedingungen, die festlegen, wann der Zugriff gewährt wird.
Rolle zuweisen
Ändern Sie die Rollenbindungen in der Zulassungsrichtlinie, um Ihren Hauptkonten Rollen zuzuweisen. Informationen zu den Rollen, die Sie zuweisen können, finden Sie unter Informationen zu Rollen oder Zuweisbare Rollen für die Ressource aufrufen. Hilfe bei der Ermittlung der am besten geeigneten vordefinierten Rollen finden Sie unter Vordefinierte Rollen auswählen.
Optional können Sie Bedingungen zum Zuweisen von Rollen verwenden, wenn bestimmte Anforderungen erfüllt sein müssen.
Um eine Rolle zuzuweisen, die bereits in der Zulassungsrichtlinie enthalten ist, fügen Sie das Hauptkonto einer vorhandenen Rollenbindung hinzu:
gcloud
Bearbeiten Sie die zurückgegebene Zulassungsrichtlinie, indem Sie das Hauptkonto einer vorhandenen Rollenbindung hinzufügen. Beachten Sie, dass diese Änderung erst wirksam wird, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.
Angenommen, die Zulassungsrichtlinie enthält die folgende Rollenbindung, die Kai die Rolle „Compute-Instanzadministrator“ (roles/compute.instanceAdmin
) zuweist:
{
"role": "roles/compute.instanceAdmin",
"members": [
"user:kai@example.com"
]
}
Wenn Sie Raha dieselbe Rolle zuweisen möchten, fügen Sie der vorhandenen Rollenbindung die Hauptkonto-ID von Raha hinzu:
{ "role": "roles/compute.instanceAdmin", "members": [ "user:kai@example.com", "user:raha@example.com" ] }
REST
Bearbeiten Sie die zurückgegebene Zulassungsrichtlinie, indem Sie das Hauptkonto einer vorhandenen Rollenbindung hinzufügen. Beachten Sie, dass diese Änderung erst wirksam wird, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.
Angenommen, die Zulassungsrichtlinie enthält die folgende Rollenbindung, die Kai die Rolle „Compute-Instanzadministrator“ (roles/compute.instanceAdmin
) zuweist:
{
"role": "roles/compute.instanceAdmin",
"members": [
"user:kai@example.com"
]
}
Wenn Sie Raha dieselbe Rolle zuweisen möchten, fügen Sie der vorhandenen Rollenbindung die Hauptkonto-ID von Raha hinzu:
{ "role": "roles/compute.instanceAdmin", "members": [ "user:kai@example.com", "user:raha@example.com" ] }
Fügen Sie eine neue Rollenbindung hinzu, um eine Rolle zuzuweisen, die in der Zulassungsrichtlinie noch nicht enthalten ist.
gcloud
Bearbeiten Sie die Zulassungsrichtlinie, indem Sie eine neue Rollenbindung hinzufügen, die dem Hauptkonto die Rolle zuweist. Diese Änderung wird erst wirksam, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.
Wenn Sie beispielsweise Raha die Rolle „Administrator für Compute-Load-Balancer“ (roles/compute.loadBalancerAdmin
) zuweisen möchten, fügen Sie dem Array bindings
für die Zulassungsrichtlinie die folgende Rollenbindung hinzu:
{
"role": "roles/compute.loadBalancerAdmin",
"members": [
"user:raha@example.com"
]
}
REST
Bearbeiten Sie die Zulassungsrichtlinie, indem Sie eine neue Rollenbindung hinzufügen, die dem Hauptkonto die Rolle zuweist. Diese Änderung wird erst wirksam, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.
Wenn Sie beispielsweise Raha die Rolle „Administrator für Compute-Load-Balancer“ (roles/compute.loadBalancerAdmin
) zuweisen möchten, fügen Sie dem Array bindings
für die Zulassungsrichtlinie die folgende Rollenbindung hinzu:
{
"role": "roles/compute.loadBalancerAdmin",
"members": [
"user:raha@example.com"
]
}
Rolle entziehen
Um eine Rolle zu entziehen, entfernen Sie das Hauptkonto aus der Rollenbindung. Wenn die Rollenbindung keine anderen Hauptkonten enthält, entfernen Sie die gesamte Rollenbindung.
gcloud
Zum Widerrufen einer Rolle bearbeiten Sie die vom Befehl get-iam-policy
zurückgegebene JSON- oder YAML-Zulassungsrichtlinie entsprechend. Diese Änderung wird erst wirksam, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.
Um eine Rolle von einem Hauptkonto zu widerrufen, löschen Sie die gewünschten Hauptkonten oder Bindungen aus dem bindings
-Array für die Zulassungsrichtlinie.
REST
Zum Widerrufen einer Rolle bearbeiten Sie die vom Befehl get-iam-policy
zurückgegebene JSON- oder YAML-Zulassungsrichtlinie entsprechend. Diese Änderung wird erst wirksam, wenn Sie die aktualisierte Zulassungsrichtlinie festgelegt haben.
Um eine Rolle von einem Hauptkonto zu widerrufen, löschen Sie die gewünschten Hauptkonten oder Bindungen aus dem bindings
-Array für die Zulassungsrichtlinie.
Zulassungsrichtlinie festlegen
Nachdem Sie die Zulassungsrichtlinie geändert haben, um die gewünschten Rollen zuzuweisen und zu widerrufen, rufen Sie setIamPolicy()
auf, um Aktualisierungen vorzunehmen.
gcloud
Führen Sie den Befehl set-iam-policy
für die Ressource aus, um die Zulassungsrichtlinie für die Ressource festzulegen.
Das Format dieses Befehls hängt vom Ressourcentyp ab, für den Sie den Zugriff verwalten. Sie finden das Format für Ihre Ressource in der Referenz zum Befehl set-iam-policy
der Ressource in der Google Cloud CLI-Referenz. Diese Referenz ist nach Dienst und dann nach Ressource organisiert.
Wenn Sie beispielsweise die Zulassungsrichtlinie einer Compute Engine-VM-Instanz abrufen möchten, folgen Sie dem in der Referenz zu gcloud compute instances set-iam-policy
beschriebenen Format.
Die Antwort für den Befehl set-iam-policy
einer Ressource enthält die aktualisierte Zulassungsrichtlinie der Ressource.
REST
Legen Sie die Zulassungsrichtlinie der Ressource mit der Methode setIamPolicy
der Ressource fest.
Die HTTP-Methode, die URL und der Anfragetext hängen von der Ressource ab, für die Sie sich den Zugriff ansehen möchten. Diese Details finden Sie in der API-Referenz für den Dienst, dem die Ressource gehört, in der Referenz zur Methode setIamPolicy
der Ressource. Beispielsweise werden die HTTP-Methode, die URL und der Anfragetext für eine Compute Engine-VM-Instanz in der Referenz zur setIamPolicy
-Instanz angegeben.
Die Antwort für die Methode setIamPolicy
einer Ressource enthält die aktualisierte Zulassungsrichtlinie der Ressource.
Nächste Schritte
- Zugriff auf Projekte, Ordner und Organisationen verwalten und Zugriff auf Dienstkonten verwalten.
- Geeignete vordefinierte Rollen auswählen
- Verwenden Sie die Richtlinien-Fehlerbehebung, um zu verstehen, warum ein Nutzer Zugriff auf eine Ressource hat oder nicht oder über die Berechtigung zum Aufrufen einer API verfügt.
- Erfahren Sie, wie Sie die Rollen aufrufen, die Sie einer bestimmten Ressource zuweisen können.
- Informationen zum Erteilen des Zugriffs eines Hauptkontos mit bedingten Rollenbindungen
Jetzt testen
Wenn Sie mit Google Cloud noch nicht vertraut sind, erstellen Sie einfach ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.
Jetzt kostenlos starten