Mit Sammlungen den Überblick behalten
Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.
In diesem Dokument werden die Zugriffssteuerungsoptionen für Pub/Sub Lite beschrieben.
Pub/Sub Lite verwendet Identity and Access Management für die Zugriffssteuerung.
Wenn Sie einem Nutzer oder einer Anwendung Zugriff auf Pub/Sub Lite-Ressourcen gewähren möchten, weisen Sie dem Nutzer oder dem von der Anwendung verwendeten Dienstkonto mindestens eine vordefinierte oder benutzerdefinierte Rolle zu. Die Rollen enthalten Berechtigungen zum Ausführen bestimmter Aktionen für Pub/Sub Lite-Ressourcen.
Vordefinierte Rollen
In der folgenden Tabelle sind die vordefinierten Rollen aufgeführt, die den Zugriff auf Pub/Sub Lite-Ressourcen ermöglichen:
Role
Titel
Beschreibung
Berechtigungen
roles/pubsublite.admin
Pub/Sub Lite-Administrator
Vollständiger Zugriff auf Lite-Themen und Lite-Abos
pubsublite.*
roles/pubsublite.editor
Pub/Sub Lite-Bearbeiter
Lite-Themen und Lite-Abos ändern, Nachrichten in Lite-Themen veröffentlichen und Nachrichten aus Lite-Abos empfangen
pubsublite.*
roles/pubsublite.publisher
Pub/Sub Lite-Publisher
Nachrichten in Lite-Themen veröffentlichen.
pubsublite.topics.getPartitions
pubsublite.topics.publish
pubsublite.locations.openKafkaStream
roles/pubsublite.subscriber
Pub/Sub Lite-Abonnent
Nachrichten von Lite-Abos empfangen
pubsublite.operations.get
pubsublite.subscriptions.getCursor
pubsublite.subscriptions.seek
pubsublite.subscriptions.setCursor
pubsublite.subscriptions.subscribe
pubsublite.topics.computeHeadCursor
pubsublite.topics.computeMessageStats
pubsublite.topics.computeTimeCursor
pubsublite.topics.getPartitions
pubsublite.topics.subscribe
pubsublite.locations.openKafkaStream
roles/pubsublite.viewer
Pub/Sub Lite-Betrachter
Lite-Themen und Lite-Abos ansehen
pubsublite.operations.get
pubsublite.operations.list
pubsublite.subscriptions.get
pubsublite.subscriptions.getCursor
pubsublite.subscriptions.list
pubsublite.topics.get
pubsublite.topics.getPartitions
pubsublite.topics.list
pubsublite.topics.listSubscriptions
Benutzerdefinierte Rollen
Benutzerdefinierte Rollen können alle von Ihnen angegebenen Berechtigungen enthalten. Sie können benutzerdefinierte Rollen erstellen, die Berechtigungen zum Ausführen bestimmter Verwaltungsvorgänge enthalten, z. B. zum Aktualisieren von Lite-Themen oder zum Löschen von Lite-Abos. Informationen zum Erstellen benutzerdefinierter Rollen finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.
In der folgenden Tabelle sind Beispiele für benutzerdefinierte Rollen aufgeführt:
Beschreibung
Berechtigungen
Lite-Reservierungen erstellen und verwalten
pubsublite.reservations.create
pubsublite.reservations.update
pubsublite.reservations.get
pubsublite.reservations.list
pubsublite.reservations.delete
Lite-Themen erstellen und verwalten
pubsublite.topics.create
pubsublite.topics.update
pubsublite.topics.get
pubsublite.topics.getPartitions
pubsublite.topics.list
pubsublite.topics.listSubscriptions
pubsublite.topics.delete
Lite-Abos erstellen und verwalten
pubsublite.subscriptions.create
pubsublite.topics.subscribe
pubsublite.subscriptions.update
pubsublite.subscriptions.get
pubsublite.subscriptions.list
pubsublite.subscriptions.delete
Lite-Themen und Lite-Abos erstellen
pubsublite.topics.create
pubsublite.subscriptions.create
pubsublite.topics.subscribe
Lite-Themen und Lite-Abos ändern
pubsublite.topics.update
pubsublite.subscriptions.update
Lite-Themen und Lite-Abos löschen
pubsublite.topics.delete
pubsublite.subscriptions.delete
Rollen zuweisen
Sie können Rollen für den Zugriff auf Pub/Sub Lite-Ressourcen auf Projektebene zuweisen. Sie können einem Dienstkonto beispielsweise die Möglichkeit geben, alle Lite-Themen in einem Projekt aufzurufen, aber nicht einem Dienstkonto den Zugriff zur Anzeige eines einzelnen Lite-Themas gewähren.
Sie können eine Rolle für ein Projekt mit der Google Cloud Console oder der Google Cloud CLI zuweisen.
Console
So weisen Sie einem Nutzer, einem Dienstkonto oder einem anderen Mitglied eine Rolle zu:
Öffnen Sie in der Google Cloud Console die Seite "IAM".
Geben Sie die E-Mail-Adresse eines Nutzers, eines Dienstkontos oder eines anderen Mitglieds ein.
Wählen Sie eine Rolle aus.
Klicken Sie auf Speichern.
gcloud
Wenn Sie einem Nutzer, Dienstkonto oder einem anderen Mitglied eine Rolle zuweisen möchten, führen Sie den Befehl gcloud projects
add-iam-policy-binding aus:
Sie können auch eine JSON- oder YAML-Datei mit der aktuellen IAM-Richtlinie abrufen, der Datei mehrere Rollen oder Mitglieder hinzufügen und dann die Richtlinie aktualisieren.
Verwenden Sie zum Lesen und Verwalten der Richtlinie die Google Cloud CLI, die IAM API oder IAM. Weitere Informationen finden Sie unter Zugriff programmatisch steuern.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-01-30 (UTC)."],[],[],null,["# Access control with IAM\n\n| **Note:** Pub/Sub Lite is deprecated. Effective March 18, 2026, Pub/Sub Lite will be turned down. \n|\n| - Current customers: Pub/Sub Lite remains functional until March 18, 2026. \n| If you have not used Pub/Sub Lite within the 90-day period preceding July 15, 2025 (April 15, 2025 - July 15, 2025), you won't be able to access Pub/Sub Lite starting on July 15, 2025.\n| - New customers: Pub/Sub Lite is no longer available for new customers after September 24, 2024.\n|\n| You can migrate your Pub/Sub Lite service to\n| [Google Cloud Managed Service for Apache Kafka](/pubsub/lite/docs/migrate-pubsub-lite-to-managed-service-for-apache-kafka)\n| or [Pub/Sub](/pubsub/lite/docs/migrate-pubsub-lite-to-pubsub).\n\nThis document describes the access control options for Pub/Sub Lite.\nPub/Sub Lite uses [Identity and Access Management](/iam/docs) for access control.\n\nTo give a user or application access to Pub/Sub Lite resources, grant\nat least one [predefined](#predefined_roles) or [custom](#custom_roles) role to\nthe user or the service account that the application uses. The roles include\npermissions to perform specific actions on Pub/Sub Lite resources.\n\nPredefined roles\n----------------\n\nThe following table lists the predefined roles that give you access to\nPub/Sub Lite resources:\n\nCustom roles\n------------\n\nCustom roles can include any permissions that you specify. You can create custom\nroles that include permissions to perform specific administrative operations,\nlike updating Lite topics or deleting Lite subscriptions. To create custom\nroles, see [Creating and managing custom\nroles](/iam/docs/creating-custom-roles).\n\nThe following table lists examples of custom roles:\n\nGranting roles\n--------------\n\nYou can grant roles to access Pub/Sub Lite resources at the project\nlevel. For example, you can give a service account access to view any Lite topic\nin a project, but you can't give a service account access to view a single Lite topic.\n\nTo grant a role on a project, you can use the Google Cloud console or the\nGoogle Cloud CLI. \n\n### Console\n\nTo grant a role to a user, service account, or other member, follow these\nsteps:\n\n1. In the Google Cloud console, go to the IAM page.\n\n[Go to IAM](https://console.cloud.google.com/iam-admin)\n\n1. Click **Add**.\n\n2. Enter the email address of a user, service account, or other member.\n\n3. Select a role.\n\n4. Click **Save**.\n\n### gcloud\n\nTo grant a role to a user, service account, or other member, run the\n[`gcloud projects\nadd-iam-policy-binding`](/sdk/gcloud/reference/projects/add-iam-policy-binding)\ncommand: \n\n```bash\ngcloud projects add-iam-policy-binding PROJECT_ID \\\n--member=MEMBER \\\n--role=ROLE_ID\n```\n\nReplace the following:\n\n- \u003cvar translate=\"no\"\u003eMEMBER\u003c/var\u003e: an [identifier for the\n member](/iam/docs/reference/rest/v1/Policy#Binding), like `serviceAccount:test123@example.domain.com`\n- \u003cvar translate=\"no\"\u003eROLE_ID\u003c/var\u003e: the name of the [predefined](#predefined_roles) or [custom](#custom_role) role\n\nYou can also get a JSON or YAML file with the current IAM\npolicy, add multiple roles or members to the file, and then update the policy.\nTo read and manage the policy, use the Google Cloud CLI, the IAM API,\nor the IAM. For details, see [Controlling access\nprogrammatically](/iam/docs/granting-changing-revoking-access#programmatic).\n\nWhat's next\n-----------\n\n- Get an [overview of IAM](/iam/docs/overview).\n- Refer to the [authentication methods that Pub/Sub Lite\n supports](/pubsub/lite/docs).\n- Learn more about [managing access to\n resources](/iam/docs/granting-changing-revoking-access)."]]
