Benutzerdefinierte Rollen
Auf dieser Seite wird beschrieben, wie Sie benutzerdefinierte Rollen in STACKIT über das Portal oder die API erstellen, ändern und löschen.
Benutzerdefinierte Rollen verstehen
Abschnitt betitelt „Benutzerdefinierte Rollen verstehen“Rollen sind Container für Berechtigungen. Sie ermöglichen es, Berechtigungen zu bündeln und wiederzuverwenden. Rollen können Benutzern, Gruppen oder Service-Accounts zugewiesen werden. Die in einer Rolle gebündelten Berechtigungen erlauben es dem Zugewiesenen, spezifische Aktionen auf verschiedenen STACKIT-Ressourcen durchzuführen. Berechtigungen können nicht einzeln erteilt werden, sondern müssen einer Rolle zugewiesen werden.
STACKIT bietet eine Reihe vordefinierter Rollen für seine Ressourcen, wie z. B. Inhaber, Bearbeiter und Leser. Sie können auch Rollen mit benutzerdefinierten Berechtigungssätzen definieren, die als benutzerdefinierte Rollen bezeichnet werden. Die Verteilung von Berechtigungen an Ihre Benutzer, Gruppen und Service-Accounts auf diese Weise kann es einfacher machen, das Prinzip des geringsten Privilegs (Principle of Least Privilege) anzuwenden, das besagt, dass Benutzer nur genau die Berechtigungen haben sollten, die sie benötigen, und nicht mehr.
Eine benutzerdefinierte Rolle erstellen
Abschnitt betitelt „Eine benutzerdefinierte Rolle erstellen“Bevor Sie versuchen, eine benutzerdefinierte Rolle zu erstellen, stellen Sie sicher, dass Ihnen die Berechtigung iam.role.add zugewiesen ist. Benutzerdefinierte Rollen können entweder im STACKIT Portal oder über die API erstellt werden:
Stellen Sie sicher, dass Sie die Ressource, für die Sie eine benutzerdefinierte Rolle erstellen möchten, über den Resource Manager ausgewählt haben. Navigieren Sie dann in der Seitenleiste des Portals zu IAM und Verwaltung > Rollen. Klicken Sie auf die Schaltfläche ’+ Rolle erstellen’, um den Dialog zu öffnen.
Fügen Sie eine Beschreibung hinzu und wählen Sie die Berechtigungen aus, die Sie Ihrer neuen benutzerdefinierten Rolle hinzufügen möchten. Wenn Sie fertig sind, klicken Sie abschließend auf die Schaltfläche ‘Erstellen’, um Ihre neue benutzerdefinierte Rolle zu erstellen. Ihre benutzerdefinierte Rolle sollte nun erstellt sein. Wenn Sie Ihrer benutzerdefinierten Rolle Subjekte hinzufügen möchten, suchen Sie Ihre neue benutzerdefinierte Rolle in der Übersicht ‘Allgemeine Rollen’, klicken Sie auf die ’⋮‘-Schaltfläche für die benutzerdefinierte Rolle, der Sie Zugriff gewähren möchten, und klicken Sie auf ‘Zugriff gewähren’. Von hier aus können Sie benutzerdefinierten Rollen genauso Zugriff gewähren wie jeder anderen Rolle. Klicken Sie auf ‘Speichern’, um den Vorgang abzuschließen.
Verwenden Sie den folgenden API-Aufruf, um eine neue benutzerdefinierte Rolle für Ihre Ressource zu erstellen.
PATCH https://authorization.api.stackit.cloud/v2/{resourceId}/rolesContent-Type: application/json{ "resourceType": "project", "roles": [ { "description": "Benutzerdefinierte Rolle für das Entwicklungsteam.", "name": "dev-team-custom-role", "permissions": ["logs.instance.get", "logs.instance.list", "postgres-flex.database.get"] } ]}Eine benutzerdefinierte Rolle ändern
Abschnitt betitelt „Eine benutzerdefinierte Rolle ändern“Bestehende benutzerdefinierte Rollen können geändert werden (z. B. den Namen ändern, Berechtigungen hinzufügen).
Um dies über das Portal zu tun, navigieren Sie zu IAM und Verwaltung > Rollen und wählen Sie die benutzerdefinierte Rolle aus der Rollenübersicht aus. Ein Menü wird angezeigt, in dem Sie den Namen, die Beschreibung und die Berechtigungen der benutzerdefinierten Rolle ändern können. Klicken Sie auf ‘Speichern’, sobald Sie mit Ihren Änderungen fertig sind. Sollten Sie den Zugriff auf die benutzerdefinierte Rolle gewähren oder entziehen wollen, navigieren Sie zu IAM und Verwaltung > Zugriff.
Verwenden Sie den folgenden API-Aufruf, um eine bestehende benutzerdefinierte Rolle zu ändern:
PUT https://authorization.api.stackit.cloud/v2/{resourceType}/{resourceId}/roles/{roleId}Content-Type: application/json{ "description": "Benutzerdefinierte Rolle für das Entwicklungsteam.", "name": "dev-team-custom-role", "permissions": [ { "name": "iam.member.read" } ]}Eine benutzerdefinierte Rolle löschen
Abschnitt betitelt „Eine benutzerdefinierte Rolle löschen“Sollten Sie eine benutzerdefinierte Rolle nicht mehr benötigen, können Sie sie über das STACKIT Portal oder die API löschen.
Stellen Sie sicher, dass Sie die Ressource, für die Sie eine benutzerdefinierte Rolle erstellen möchten, über den Resource Manager ausgewählt haben. Navigieren Sie dann in der Seitenleiste des Portals zu IAM und Verwaltung > Rollen. Wählen Sie die benutzerdefinierte Rolle, die Sie löschen möchten, aus der Übersicht aus und klicken Sie auf die ’⋮‘-Schaltfläche, um die Optionen für diese benutzerdefinierte Rolle anzuzeigen. Um die benutzerdefinierte Rolle zu löschen, klicken Sie einfach auf ‘Löschen’ und bestätigen Sie Ihre Wahl.
Verwenden Sie den folgenden API-Aufruf, um eine benutzerdefinierte Rolle zu löschen:
DELETE https://authorization.api.stackit.cloud/v2/{resourceType}/{resourceId}/roles/{roleId}