使用 IAM 进行访问权限控制

Cloud Workstations 使用 Identity and Access Management (IAM) 来管理对工作站和工作站配置的访问权限。如需授予访问权限，请为主账号（用户、群组或服务账号）分配一个或多个 Identity and Access Management 角色。政策定义了将哪些角色分配给哪些主账号。

启用所需的 Identity and Access Management 角色

如果您所需的 Identity and Access Management 权限尚未设置，请按照以下说明设置以下一个或多个角色：

• Cloud Workstations User
• Cloud Workstations Creator
• Cloud Workstations Admin
• Cloud Workstations Network Admin
• Cloud Workstations Limit Exempted Creator
• Cloud Workstations Policy Admin

Cloud Workstations User：适用于使用工作站的开发者

如需获得访问工作站所需的权限，请让您的管理员为您授予以下 IAM 角色：

• Cloud Workstations User (roles/workstations.user) 在工作站上
• 项目的 Cloud Workstations Operation Viewer (roles/workstations.operationViewer)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

Cloud Workstations Creator：适用于创建工作站并连接到工作站的开发者

如需获得查看工作站配置、创建工作站和访问工作站所需的权限，请让您的管理员为您授予以下 IAM 角色：

• 项目或单个工作站配置的 Cloud Workstations Creator (roles/workstations.workstationCreator)
• 项目的 Cloud Workstations Operation Viewer (roles/workstations.operationViewer)

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

Cloud Workstations 会自动向您以 Cloud Workstations Creator 身份创建的任何工作站授予 Cloud Workstations User 角色 (roles/workstations.user)。

Cloud Workstations Admin：适用于创建和更新工作站配置和工作站集群的管理员

如需获得在项目中创建 Cloud Workstations 资源所需的权限，请让您的管理员为您授予项目的 Cloud Workstations Admin (roles/workstations.admin) IAM 角色。 如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

如需详细了解如何使用 Google Cloud 控制台更改权限，请参阅以下部分：使用控制台添加用户和修改权限。

Cloud Workstations 网络管理员：适用于创建和更新共享 VPC 权限的网络管理员

如需获得在共享 VPC 中创建 Cloud Workstations 资源所需的权限，请让您的管理员为您授予项目的 Cloud Workstations Network Admin (roles/workstations.networkAdmin) IAM 角色。如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

如需详细了解如何使用 Google Cloud 控制台更改权限，请参阅以下部分：使用控制台添加用户和修改权限。

Cloud Workstations Limit Exempted Creator：适用于创建工作站并连接到工作站的开发者

如需获得查看工作站配置、创建不受 `maxUsableWorkstations` 限制的工作站以及访问工作站所需的权限，请让管理员向您授予项目的以下 IAM 角色：

• Cloud Workstations Limit Exempted Creator (roles/workstations.workstationLimitExemptedCreator) - 项目或单个工作站配置
• Cloud Workstations Operation Viewer (roles/workstations.operationViewer) - 项目

如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

您也可以通过自定义角色或其他预定义角色来获取所需的权限。

Cloud Workstations Policy Admin：适用于更新工作站 IAM 政策的开发者

如需获得更新工作站 IAM 政策所需的权限，以便授予对整个工作站或其各个端口的访问权限，请让您的管理员为您授予工作站的 Cloud Workstations Policy Admin (roles/workstations.policyAdmin) IAM 角色。

如果您以 Cloud Workstations 创建者的身份创建工作站，并且 Cloud Workstations 配置中启用了向工作站创建者授予 Policy Admin 角色选项，则 Cloud Workstations 会自动向您授予您创建的任何工作站的 Cloud Workstations Policy Admin 角色 (roles/workstations.policyAdmin)。如需详细了解此选项，请参阅创建工作站配置指南的添加用户部分。

使用 Google Cloud 控制台添加用户和修改权限

如果您是 Cloud Workstations 管理员，则必须为您的账号分配 Cloud Workstations Admin 角色（或旧版 Editor 或 Owner 角色）。

如需添加用户或修改权限，请按以下步骤操作：

1. 前往 Cloud Workstations 工作站配置页面。
2. 如需添加新用户，请点击配置名称旁边的添加用户，然后在新的主账号字段中输入新用户信息。

3. 如需更改配置的现有权限，请点击包含配置名称的行中的 arrow_drop_down 展开箭头，选择修改权限，然后选择添加正文。

   

后续步骤

• 限制每个开发者的工作站数量。