VMware Engine IAM 角色和权限
向项目添加新成员时,您可以使用 Identity and Access Management (IAM) 政策为该成员授予一个或多个 IAM 角色。每个 IAM 角色都包含一些权限,这些权限可授予成员对 VMware Engine 资源的访问权限。
本文档重点介绍与 VMware Engine 相关的 IAM 权限以及授予这些权限的 IAM 角色。如需详细了解 IAM 及其功能,请参阅 Identity and Access Management 概览以及授予、更改和撤消对资源的访问权限。
角色类型
您可以通过为资源设置 IAM 政策来授予对该资源的访问权限。该政策会将一个或多个成员(例如一个用户或一个服务账号)绑定到一个或多个角色。每个角色都包含一系列可让成员与资源交互的权限。
IAM 中有三种角色:
- 预定义角色针对特定服务提供精细访问权限,并由 Google Cloud 管理。预定义角色旨在为常见使用场景和访问权限控制模式提供支持。
- 自定义角色根据用户指定的权限列表提供精细访问权限。
- 基本角色是项目级层角色,包含适用于您的所有 Google Cloud 资源的广泛权限。基本角色包括在引入 IAM 之前已存在的 Owner、Editor 和 Viewer 角色。
我们建议您尽可能使用预定义角色或自定义角色,因为它们包含仅适用于 VMware Engine 的更精细的权限。
预定义角色
预定义角色包含一组适合特定任务的权限。特定权限和角色仅适用于 Google Cloud CLI 和 VMware Engine API。如需查看 VMware Engine 的预定义角色的完整列表,请参阅 IAM 文档中的 VMware Engine 角色参考。
自定义角色
如果 VMware Engine 的预定义角色无法满足您的需求,您可以创建一个仅包含您指定的权限的自定义角色。确定您需要执行的任务,然后将每个任务所需的权限添加到自定义角色中。
如需查看 VMware Engine 的权限完整列表,请前往权限参考,然后搜索前缀 vmwareengine
。
如需详细了解如何创建自定义角色,请参阅创建和管理自定义角色。
授予或撤消对 VMware Engine 的访问权限
角色适用于项目级层的 VMware Engine 资源。如果项目包含多个私有云,则无法将角色应用于单个私有云。
授予访问权限
如需将团队成员添加到项目中并向其授予 VMware Engine 角色,请执行以下操作:
在 Google Cloud 控制台中,转到 IAM 和管理 > IAM。
点击添加。
输入电子邮件地址。您可以将个人、服务账号或 Google 群组网添加为成员。
根据用户或组所需的访问权限类型选择
VMware Engine Service Viewer
或VMware Engine Service Admin
角色。点击保存。
撤消访问权限
如需从用户或群组中移除角色及其对应的权限,请执行以下操作:
在 Google Cloud 控制台中,转到 IAM 和管理 > IAM。
找到要撤消其访问权限的用户或群组,然后点击修改成员。
针对要撤消的每个角色,点击删除。
点击保存。
VMware Engine 权限
如需查看 VMware Engine 的权限完整列表,请前往权限参考,然后搜索前缀 vmwareengine
。
有了权限,用户便可对 VMware Engine 资源执行特定操作。您不能直接授予用户权限,但可以为他们分配预定义角色或自定义角色,这些角色本身会与一项或多项权限相关联。