使用 IAM 控管存取權

本頁面說明 Cloud Scheduler 提供的存取權控管選項。

總覽

Cloud Scheduler 使用 Identity and Access Management (IAM) 控管存取權。

如要瞭解 IAM 及其功能,請參閱 IAM 總覽。如要瞭解如何授予及撤銷存取權,請參閱「管理專案、資料夾和機構的存取權」一文。

如需 Cloud Scheduler 支援的權限與角色清單,請參閱下列各節。

啟用 Cloud Scheduler API

如要查看及指派 Cloud Scheduler 的 IAM 角色,您必須為專案啟用 Cloud Scheduler API。啟用 API 後,您才能在 Google Cloud 控制台 中看到 Cloud Scheduler 角色。

Roles required to enable APIs

To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

Enable the API

預先定義的角色

下表列出 Cloud Scheduler 預先定義的 IAM 角色,以及各角色具備的所有權限對應清單。

預先定義的角色可因應大多數一般用途。如果預先定義的角色無法滿足您的用途,可以建立 IAM 自訂角色

Cloud Scheduler 角色

Role Permissions

(roles/cloudscheduler.admin)

Full access to jobs and executions.

Note that a Cloud Scheduler Admin (or any custom role with the permission cloudscheduler.jobs.create) can create jobs that publish to any Pub/Sub topics within the project.

appengine.applications.get

cloudscheduler.*

  • cloudscheduler.jobs.create
  • cloudscheduler.jobs.delete
  • cloudscheduler.jobs.enable
  • cloudscheduler.jobs.fullView
  • cloudscheduler.jobs.get
  • cloudscheduler.jobs.list
  • cloudscheduler.jobs.pause
  • cloudscheduler.jobs.run
  • cloudscheduler.jobs.update
  • cloudscheduler.locations.get
  • cloudscheduler.locations.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/cloudscheduler.jobRunner)

Access to run jobs.

appengine.applications.get

cloudscheduler.jobs.fullView

cloudscheduler.jobs.run

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

(roles/cloudscheduler.serviceAgent)

Grants Cloud Scheduler Service Account access to manage resources.

iam.serviceAccounts.getAccessToken

iam.serviceAccounts.getOpenIdToken

logging.logEntries.create

logging.logEntries.route

pubsub.topics.publish

(roles/cloudscheduler.viewer)

Get and list access to jobs, executions, and locations.

appengine.applications.get

cloudscheduler.jobs.fullView

cloudscheduler.jobs.get

cloudscheduler.jobs.list

cloudscheduler.locations.*

  • cloudscheduler.locations.get
  • cloudscheduler.locations.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.services.get

serviceusage.services.list

專案層級的 IAM 管理

在專案層級中,您可以透過 Google Cloud 控制台、IAM API 或是 Google Cloud CLI 來授予、變更及撤銷 IAM 角色。如需相關操作說明,請參閱「管理專案、資料夾和機構的存取權」。