此页面由 Cloud Translation API 翻译。

IAM 角色

本页介绍可用于配置 Assured Workloads 的 Identity and Access Management (IAM) 角色。角色可限制主账号执行以下操作的权限访问资源。请仅授予主账号必要的权限，以便与适用的 Google Cloud API、功能或资源进行交互。

为了能够创建 Assured Workloads 文件夹，您必须被指定为以及 Cloud Billing 访问权限控制角色您还必须具有有效的结算账号。如需了解详情，请参阅 Cloud Billing 访问权限控制概览。

所需的角色

以下是必需的最低 Assured Workloads 相关角色。接收者了解如何授予、更改或撤消对资源的访问权限，有关 IAM 角色的信息，请参阅授予、更改和撤消对资源的访问权限。

Assured Workloads Administrator (roles/assuredworkloads.admin)：用于创建和删除 Assured Workloads 文件夹。
Resource Manager Organization Viewer (roles/resourcemanager.organizationViewer)：有权查看属于某个组织的所有资源。

Assured Workloads 角色

以下是与 Assured Workloads 关联的 IAM 角色，以及如何使用 Google Cloud CLI 授予这些角色。要了解如何在或以编程方式 Google Cloud 控制台，请参阅授予、更改和撤消对资源的访问权限。

将 ORGANIZATION_ID 占位符替换为实际组织标识符，并将 [email protected] 替换为用户电子邮件地址。如需检索您的组织 ID，请参阅检索组织 ID。

`roles/assuredworkloads.admin`

用于创建和删除 Assured Workloads 文件夹。允许读写访问权限。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:[email protected]" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

授予读写权限。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:[email protected]" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

用于获取和列出 Assured Workloads 文件夹。允许只读访问权限。

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:[email protected]" \
  --role="roles/assuredworkloads.reader"

自定义角色

如果您想要定义自己的角色以包含您指定的一组权限，请使用自定义角色。

Assured Workloads IAM 最佳实践

妥善保护要遵循的 IAM 角色最小权限是 Google Cloud 安全机制最佳做法。该原则遵循以下规则：用户应仅有权访问其角色所需的产品、服务和应用。目前，用户在 Assured Workloads 文件夹之外部署产品和服务时，可以将范围外的服务与 Assured Workloads 项目搭配使用。

通过报告范围内的产品列表（按控制措施套餐）有助于指导安全管理员创建自定义角色，用于限制用户访问仅限 Assured Workloads 文件夹中的适用产品。自定义这些角色都能够帮助您在组织内获取和维护合规性 Assured Workloads 文件夹。