Zugriffssteuerung mit IAM

Auf dieser Seite werden die Rollen und Berechtigungen von Infrastructure Manager beschrieben.

Infra Manager verwendet Identity and Access Management (IAM), um den Zugriff auf den Dienst zu steuern. Um den Zugriff zum Bereitstellen von Ressourcen mit Infra Manager zu gewähren, weisen Sie dem Dienstkonto, mit dem Sie Infra Manager aufrufen, die erforderlichen IAM-Rollen für Infra Manager zu. Weitere Informationen zum Zuweisen von Berechtigungen zu Dienstkonten finden Sie unter Zugriff auf Dienstkonten verwalten.

Sie benötigen kein Dienstkonto, um Infra Manager-Bereitstellungen, ‑Revisionen und ‑IAM-Richtlinien anzusehen. Wenn Sie Infra Manager aufrufen möchten, müssen Sie dem Nutzer, der Gruppe oder dem Dienstkonto Zugriff gewähren.

Damit Sie die in der Terraform-Konfiguration definierten Google Cloud Ressourcen bereitstellen oder ansehen können, müssen Sie dem Dienstkonto Berechtigungen erteilen, die für diese Ressourcen spezifisch sind. Diese Berechtigungen gelten zusätzlich zu den auf dieser Seite aufgeführten Infra Manager-Berechtigungen. Eine Liste aller Rollen und der darin enthaltenen Berechtigungen finden Sie in der Referenz zu einfachen und vordefinierten Rollen von Identity and Access Management.

Vordefinierte Infra Manager-Rollen

IAM bietet vordefinierte Rollen für den Zugriff auf bestimmte Google Cloud Ressourcen. Mit diesen Rollen wird der unbefugte Zugriff auf andere Ressourcen verhindert.

In der folgenden Tabelle sind die Infra Manager-IAM-Rollen und deren Berechtigungen aufgeführt:

Rolle Beschreibung Berechtigungen
Infra Manager-Administrator (roles/config.admin) Vollständige Kontrolle über Infra Manager-Ressourcen für einen Nutzer config.deployments.create
config.deployments.delete
config.deployments.deleteState
config.deployments.get
config.deployments.getIamPolicy
config.deployments.getLock
config.deployments.getState
config.deployments.list
config.deployments.lock
config.deployments.setIamPolicy
config.deployments.unlock
config.deployments.update
config.deployments.updateState
config.previews.create
config.previews.delete
config.previews.get
config.previews.list
config.previews.export
config.previews.upload
config.locations.get
config.locations.list
config.operations.cancel
config.operations.delete
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.resourcechanges.get
config.resourcechanges.list
config.resourcedrifts.get
config.resourcedrifts.list
config.revisions.get
config.revisions.getState
config.revisions.list
config.artifacts.import
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list
Infra Manager-Dienst-Agent (roles/config.agent) Gewähren Sie Zugriff auf ein Dienstkonto, um mit Infra Manager zu arbeiten, einschließlich Bereitstellungen, Revisionen, Logging und Terraform-Zustandsdateien. storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
logging.logEntries.create
config.deployments.getState
config.deployments.updateState
config.deployments.deleteState
config.deployments.getLock
config.previews.upload
config.artifacts.import
config.revisions.getState
cloudbuild.connections.list
cloudbuild.repositories.accessReadToken
cloudbuild.repositories.list
cloudquotas.quotas.get
monitoring.timeSeries.list
Infra Manager-Dienstkonto (roles/cloudconfig.serviceAgent) Wenn Sie die Infra Manager API aktivieren, wird das Infra Manager-Dienstkonto automatisch im Projekt erstellt und erhält diese Rolle für die Ressourcen im Projekt. Das Infra Manager-Dienstkonto verwendet diese Rolle nur bei Bedarf, um Aktionen beim Erstellen, Verwalten oder Löschen von Bereitstellungen und Revisionen auszuführen. cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update
cloudbuild.workerpools.use
iam.serviceAccounts.actAs
iam.serviceAccounts.getAccessToken
logging.logEntries.create
logging.logEntries.route
serviceusage.services.use
storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
Infra Manager-Betrachter (roles/config.viewer) Bereitstellungen, Revisionen und IAM-Richtlinien lesen config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.previews.get
config.previews.list
config.locations.get
config.locations.list
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list

Zusätzlich zu den vordefinierten Infra Manager-Rollen enthalten die einfachen Rollen „Betrachter“ und „Inhaber“ auch Berechtigungen im Zusammenhang mit Infra Manager. Es empfiehlt sich jedoch, wenn möglich vordefinierte Rollen zuzuweisen, um das Sicherheitsprinzip der geringsten Berechtigung zu einhalten.

In der folgenden Tabelle sind die einfachen Rollen und die darin enthaltenen Infra Manager-IAM-Rollen aufgeführt.

Rolle Umfasst die Rolle
Betrachter roles/config.viewer
Inhaber roles/config.admin

Berechtigungen

Die Berechtigungen, die der Aufrufer zum Aufrufen der einzelnen Methoden benötigt, sind in der REST API-Referenz aufgeführt.

Nächste Schritte