IAM-Rollen und -Berechtigungen für VMware Engine
Wenn Sie ein neues Mitglied in Ihr Projekt aufnehmen, können Sie diesem Mitglied mithilfe einer Richtlinie für die Identity and Access Management (IAM) eine oder mehrere IAM-Rollen zuweisen. Jede IAM-Rolle enthält Berechtigungen, die dem Mitglied Zugriff auf VMware Engine-Ressourcen gewähren.
In diesem Dokument werden die für VMware Engine relevanten IAM-Berechtigungen und die IAM-Rollen beschrieben, mit denen diese Berechtigungen gewährt werden. Eine ausführliche Beschreibung von IAM und seinen Funktionen finden Sie in der Übersicht über die Identitäts- und Zugriffsverwaltung und unter Zugriff auf Ressourcen erteilen, ändern und entziehen.
Rollentypen
Sie gewähren einer Ressource Zugriff durch Festlegen einer Cloud IAM-Richtlinie für diese Ressource. Die Richtlinie bindet ein oder mehrere Mitglieder, z. B. einen Nutzer oder ein Dienstkonto, an eine oder mehrere Rollen. Jede Rolle enthält eine Reihe von Berechtigungen, mit denen das Mitglied mit der Ressource interagieren kann.
Es gibt drei Arten von Rollen in IAM:
- Vordefinierte Rollen ermöglichen einen genau definierten Zugriff auf einen bestimmten Dienst und werden von Google Cloud verwaltet. Vordefinierte Rollen sollen allgemeine Anwendungsfälle und Zugriffskontrollmuster unterstützen.
- Benutzerdefinierte Rollen, die einen genau definierten Zugriff gemäß einer vom Nutzer angegebenen Liste von Berechtigungen ermöglichen.
- Einfache Rollen sind Rollen auf Projektebene, die allgemeine Berechtigungen umfassen, die für alle Google Cloud-Ressourcen gelten. Einfache Rollen, zu denen die Rollen „Inhaber“, „Bearbeiter“ und „Betrachter“ gehören und die es schon vor der Einführung von IAM gab.
Wir empfehlen, nach Möglichkeit eine vordefinierte Rolle oder eine benutzerdefinierte Rolle zu verwenden, da sie detailliertere Berechtigungen enthalten, die nur für VMware Engine gelten.
Vordefinierte Rollen
Eine vordefinierte Rolle enthält eine Reihe von Berechtigungen, die für eine bestimmte Aufgabe geeignet sind. Bestimmte Berechtigungen und Rollen gelten nur für die Google Cloud CLI und die VMware Engine API. Eine umfassende Liste der vordefinierten Rollen für die VMware Engine finden Sie in der IAM-Dokumentation unter Referenz zu VMware Engine-Rollen.
Benutzerdefinierte Rollen
Wenn die vordefinierten Rollen für VMware Engine nicht Ihren Anforderungen entsprechen, können Sie eine benutzerdefinierte Rolle erstellen, die nur die von Ihnen angegebenen Berechtigungen enthält. Identifizieren Sie die Aufgaben, die Sie ausführen müssen, und fügen Sie dann der benutzerdefinierten Rolle die Berechtigungen hinzu, die für jede Aufgabe erforderlich sind.
Eine umfassende Liste der Berechtigungen für VMware Engine finden Sie in der Berechtigungsreferenz unter dem Präfix vmwareengine
.
Weitere Informationen zum Erstellen einer benutzerdefinierten Rolle finden Sie unter Benutzerdefinierte Rollen erstellen und verwalten.
Zugriff auf VMware Engine gewähren oder widerrufen
Rollen gelten für VMware Engine-Ressourcen auf Projektebene. Eine Rolle kann nicht auf eine einzelne private Cloud angewendet werden, wenn ein Projekt mehrere private Clouds enthält.
Zugriff gewähren
So fügen Sie einem Projekt ein Teammitglied hinzu und weisen ihm eine VMware Engine-Rolle zu:
Wechseln Sie in der Google Cloud Console zu IAM und Verwaltung > IAM.
Klicken Sie auf Add.
Geben Sie eine E-Mail-Adresse ein. Sie können Einzelpersonen, Dienstkonten oder Google Groups als Mitglieder hinzufügen.
Wählen Sie je nach Art des Zugriffs, den der Nutzer oder die Gruppe benötigt, die Rolle
VMware Engine Service Viewer
oderVMware Engine Service Admin
aus.Klicken Sie auf Speichern.
Zugriffsrechte entziehen
So entfernen Sie eine Rolle und die zugehörigen Berechtigungen von einem Nutzer oder einer Gruppe:
Wechseln Sie in der Google Cloud Console zu IAM und Verwaltung > IAM.
Suchen Sie den Nutzer oder die Gruppe, der Sie den Zugriff entziehen möchten, und klicken Sie auf Mitglied bearbeiten.
Klicken Sie für jede Rolle, die Sie entziehen möchten, auf Löschen.
Klicken Sie auf Speichern.
VMware Engine-Berechtigungen
Eine umfassende Liste der Berechtigungen für VMware Engine finden Sie in der Berechtigungsreferenz unter dem Präfix vmwareengine
.
Mit Berechtigungen werden Nutzer autorisiert, bestimmte Aktionen für VMware Engine-Ressourcen durchzuführen. Sie erteilen den Nutzern die Berechtigungen nicht direkt, sondern Sie weisen ihnen vordefinierte Rollen oder benutzerdefinierte Rollen zu, die eine oder mehrere Berechtigungen enthalten.