In diesem Dokument werden die Zugriffssteuerungsoptionen für Pub/Sub Lite beschrieben. Pub/Sub Lite verwendet Identity and Access Management für die Zugriffssteuerung.
Wenn Sie einem Nutzer oder einer Anwendung Zugriff auf Pub/Sub Lite-Ressourcen gewähren möchten, weisen Sie dem Nutzer oder dem von der Anwendung verwendeten Dienstkonto mindestens eine vordefinierte oder benutzerdefinierte Rolle zu. Die Rollen enthalten Berechtigungen zum Ausführen bestimmter Aktionen für Pub/Sub Lite-Ressourcen.
Vordefinierte Rollen
In der folgenden Tabelle sind die vordefinierten Rollen aufgeführt, die den Zugriff auf Pub/Sub Lite-Ressourcen ermöglichen:
Role | Titel | Beschreibung | Berechtigungen | |
---|---|---|---|---|
roles/ |
Pub/Sub Lite-Administrator | Vollständiger Zugriff auf Lite-Themen und Lite-Abos |
pubsublite.*
|
|
roles/ |
Pub/Sub Lite-Bearbeiter | Lite-Themen und Lite-Abos ändern, Nachrichten in Lite-Themen veröffentlichen und Nachrichten aus Lite-Abos empfangen |
pubsublite.*
|
|
roles/ |
Pub/Sub Lite-Publisher | Nachrichten in Lite-Themen veröffentlichen. |
pubsublite.topics.getPartitions pubsublite.topics.publish pubsublite.locations.openKafkaStream |
|
roles/ |
Pub/Sub Lite-Abonnent | Nachrichten von Lite-Abos empfangen |
|
|
roles/ |
Pub/Sub Lite-Betrachter | Lite-Themen und Lite-Abos ansehen |
|
Benutzerdefinierte Rollen
Benutzerdefinierte Rollen können alle von Ihnen angegebenen Berechtigungen enthalten. Sie können benutzerdefinierte Rollen erstellen, die Berechtigungen zum Ausführen bestimmter Verwaltungsvorgänge enthalten, z. B. zum Aktualisieren von Lite-Themen oder zum Löschen von Lite-Abos. Informationen zum Erstellen benutzerdefinierter Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.
In der folgenden Tabelle sind Beispiele für benutzerdefinierte Rollen aufgeführt:
Beschreibung | Berechtigungen |
---|---|
Lite-Reservierungen erstellen und verwalten |
|
Lite-Themen erstellen und verwalten |
|
Lite-Abos erstellen und verwalten |
|
Lite-Themen und Lite-Abos erstellen |
|
Lite-Themen und Lite-Abos ändern |
|
Lite-Themen und Lite-Abos löschen |
|
Rollen zuweisen
Sie können Rollen für den Zugriff auf Pub/Sub Lite-Ressourcen auf Projektebene zuweisen. Sie können einem Dienstkonto beispielsweise die Möglichkeit geben, alle Lite-Themen in einem Projekt aufzurufen, aber nicht einem Dienstkonto den Zugriff zur Anzeige eines einzelnen Lite-Themas gewähren.
Sie können eine Rolle für ein Projekt mit der Google Cloud Console oder der Google Cloud CLI zuweisen.
Console
So weisen Sie einem Nutzer, einem Dienstkonto oder einem anderen Mitglied eine Rolle zu:
- Öffnen Sie in der Google Cloud Console die Seite "IAM".
Klicken Sie auf Hinzufügen.
Geben Sie die E-Mail-Adresse eines Nutzers, eines Dienstkontos oder eines anderen Mitglieds ein.
Wählen Sie eine Rolle aus.
Klicken Sie auf Speichern.
gcloud
Wenn Sie einem Nutzer, Dienstkonto oder einem anderen Mitglied eine Rolle zuweisen möchten, führen Sie den Befehl gcloud projects
add-iam-policy-binding
aus:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=MEMBER \ --role=ROLE_ID
Ersetzen Sie Folgendes:
- MEMBER: eine Kennung für das Mitglied, z. B.
serviceAccount:test123@example.domain.com
- ROLE_ID: der Name der vordefinierten oder benutzerdefinierten Rolle
Sie können auch eine JSON- oder YAML-Datei mit der aktuellen IAM-Richtlinie abrufen, der Datei mehrere Rollen oder Mitglieder hinzufügen und dann die Richtlinie aktualisieren. Verwenden Sie zum Lesen und Verwalten der Richtlinie die Google Cloud CLI, die IAM API oder IAM. Weitere Informationen finden Sie unter Zugriff programmatisch steuern.
Nächste Schritte
- Übersicht über IAM
- Weitere Informationen zu den von Pub/Sub Lite unterstützten Authentifizierungsmethoden
- Weitere Informationen zum Verwalten des Zugriffs auf Ressourcen