VMware Engine 身分與存取權管理角色和權限
當您在專案中新增成員時,可以使用 身分與存取權管理 (IAM) 政策為該成員提供一或多個 IAM 角色。每個 IAM 角色都包含授予成員存取 VMware Engine 資源的權限。
本文件著重說明與 VMware Engine 相關的 IAM 權限,以及授予這些權限的 IAM 角色。如要進一步瞭解 IAM 及其功能,請參閱「身分與存取權管理總覽」和「授予、變更及撤銷資源的存取權」。
角色類型
您可以為資源設定 IAM 政策,授予存取權。這項政策會將一或多個成員 (例如使用者或服務帳戶) 繫結至一或多個角色。每個角色都包含一組權限清單,讓成員與資源互動。
IAM 中有三種角色類型:
- 預先定義角色:針對特定服務提供精細的存取權限,且是由 Google Cloud管理。預先定義的角色可因應常見的用途和存取權控管模式。
- 自訂角色:根據使用者指定的權限清單,提供精細的存取權限。
- 基本角色是專案層級角色,包含適用於所有 Google Cloud 資源的廣泛權限。基本角色包括在 IAM 推出前就存在的「擁有者」、「編輯者」和「檢視者」角色。
建議您盡可能使用預先定義的角色或自訂角色,因為這些角色包含更多僅適用於 VMware Engine 的精細權限。
預先定義的角色
預先定義的角色包含一組適用於特定工作的權限。特定權限和角色僅適用於 Google Cloud CLI 和 VMware Engine API。如要查看 VMware Engine 的預先定義角色完整清單,請參閱 IAM 說明文件中的 VMware Engine 角色參考資料。
自訂角色
如果 VMware Engine 的預先定義角色不符合您的需求,您可以建立自訂角色,只包含您指定的權限。找出您需要執行的工作,然後將每項工作所需的權限新增至自訂角色。
如要查看 VMware Engine 的完整權限清單,請前往權限參考資料,然後搜尋前置字串 vmwareengine。
如要進一步瞭解如何建立自訂角色,請參閱「建立及管理自訂角色」。
授予或撤銷 VMware Engine 的存取權
角色會套用至專案層級的 VMware Engine 資源。如果專案包含多個私有雲,則無法將角色套用至個別私有雲。
授予存取權
如要將小組成員新增至專案,並且授予 VMware Engine 角色,請按照下列步驟操作:
在 Google Cloud 控制台中,依序前往「IAM & Admin」>「IAM」。
按一下「新增」。
輸入電子郵件地址。您可以將個人、服務帳戶或 Google 網路論壇新增為成員。
根據使用者或群組所需的存取權類型,選取
VMware Engine Service Viewer或VMware Engine Service Admin角色。按一下 [儲存]。
撤銷存取權
如要從使用者或群組中移除角色及其對應的權限,請按照下列步驟操作:
在 Google Cloud 控制台中,依序前往「IAM & Admin」>「IAM」。
找出要撤銷存取權的使用者或群組,然後按一下「編輯成員」。
針對要撤銷的每個角色,按一下「刪除」。
按一下 [儲存]。
VMware Engine 權限
如要查看 VMware Engine 的完整權限清單,請前往權限參考資料,然後搜尋前置字串 vmwareengine。
權限可讓使用者對 VMware Engine 資源執行特定動作。您不能直接授予使用者特定權限,而是指派預先定義的角色或自訂角色給他們,每個角色可能具備一或多項權限。