Zugriffssteuerung

Die Kontrolle darüber, wer auf Ressourcen zugreifen kann, ist entscheidend für die Cloud-Sicherheit. Sie können den Zugriff über IAM-Rollenbindungen verwalten, die Berechtigungen für Benutzer, Gruppen und Service Accounts festlegen. Während Rollen des Resource Managers helfen, die Ressourcenhierarchie zu verwalten, gewähren sie keinen Zugriff auf die Cloud-Ressourcen innerhalb eines Projekts.

Weitere Informationen finden Sie in unserer Dokumentation zur Zugriffsverwaltung.

Rollen und Berechtigungen des Resource Managers

Rollen setzen sich aus Berechtigungen zusammen, die erforderlich sind, um bestimmte Aktionen auszuführen. Berechtigungen können zwar nicht direkt zugewiesen werden, sie werden jedoch über Rollen gewährt. Möglicherweise finden Sie dieselbe Rolle auf verschiedenen Ebenen der Hierarchie, jedoch mit unterschiedlichen Berechtigungen, da nicht alle Berechtigungen für jeden Bereich gelten.

Beispielsweise umfasst die Rolle „Resource Manager Reader“ auf Projektebene nur die Berechtigung resource-manager.project.get. Dies liegt daran, dass Berechtigungen wie resource-manager.folder.get auf Projektebene nicht anwendbar sind, da es unterhalb eines Projekts keine untergeordneten Ordner-Ressourcen gibt.

Um einem Benutzer in Ihrer Organisation eine neue Rolle zuzuweisen, muss der Benutzer zunächst eine dieser erforderlichen Rollen besitzen:

• Die Owner-Rolle
• Eine der Legacy-Rollen: organization.member oder organization.auditor

Wir empfehlen die Verwendung der Rolle organization.auditor. Sie ist die beste Wahl, da sie Leseberechtigungen auf Organisationsebene bietet, aber keinen Zugriff auf die Ordner oder Projekte der Organisation erbt.

 

Niedrigster Bereich	Name	Beschreibung	Berechtigungen
Projekt	Resource Manager Reader	Benutzer mit dieser Rolle können die Details von untergeordneten Elementen wie Projekten und Ordnern einsehen, aber nicht die Ressourcen innerhalb dieser Projekte.	resource-manager.organization.get resource-manager.organization.direct.get resource-manager.folder.get resource-manager.folder.list resource-manager.project.get resource-manager.project.list
Projekt	Resource Manager Project Mover	Benutzer mit dieser Rolle können Projekte innerhalb derselben Organisation zu einem anderen übergeordneten Element verschieben.	resource-manager.organization.get resource-manager.organization.direct.get resource-manager.folder.list resource-manager.folder.get resource-manager.project.get resource-manager.project.list resource-manager.project.edit resource-manager.project.move
Projekt	Resource Manager Project Deleter	Diese Rolle ermöglicht es Benutzern, Projekte innerhalb eines bestimmten Bereichs zu löschen.	resource-manager.organization.get resource-manager.organization.direct.get resource-manager.folder.get resource-manager.folder.list resource-manager.project.delete resource-manager.project.get resource-manager.project.list
Projekt	Resource Manager Admin	Diese Rolle ist eine Kombination aus jeder Resource Manager-Berechtigung.	resource-manager.folder.create resource-manager.folder.delete resource-manager.folder.edit resource-manager.folder.get resource-manager.folder.list resource-manager.folder.move resource-manager.organization.direct.get resource-manager.organization.edit resource-manager.organization.get resource-manager.project.create resource-manager.project.delete resource-manager.project.edit resource-manager.project.get resource-manager.project.list resource-manager.project.move
Ordner	Resource Manager Project Creator	Diese Rolle ermöglicht es Benutzern, Projekte innerhalb eines bestimmten Bereichs zu erstellen.	resource-manager.organization.get resource-manager.organization.direct.get resource-manager.folder.get resource-manager.folder.list resource-manager.project.list resource-manager.project.create
Ordner	Resource Manager Folder Creator	Diese Rolle ermöglicht es Benutzern, Ordner innerhalb eines bestimmten Bereichs zu erstellen.	resource-manager.organization.get resource-manager.organization.direct.get resource-manager.folder.create resource-manager.folder.get resource-manager.folder.list resource-manager.project.list
Ordner	Resource Manager Folder Editor	Diese Rolle ermöglicht es Benutzern, die Ressourcenhierarchie zu durchsuchen und Ordner zu bearbeiten.	resource-manager.organization.get resource-manager.organization.direct.get resource-manager.folder.edit resource-manager.folder.get resource-manager.folder.list resource-manager.project.list
Ordner	Resource Manager Folder Mover	Benutzer mit dieser Rolle können Ordner innerhalb derselben Organisation zu einem anderen übergeordneten Element verschieben.	resource-manager.organization.get resource-manager.organization.direct.get resource-manager.folder.move resource-manager.folder.edit resource-manager.folder.get resource-manager.folder.list resource-manager.project.list
Ordner	Resource Manager Folder Deleter	Diese Rolle ermöglicht es Benutzern, Ordner innerhalb eines bestimmten Bereichs zu löschen.	resource-manager.organization.get resource-manager.organization.direct.get resource-manager.folder.get resource-manager.folder.list resource-manager.folder.delete resource-manager.project.list

Achtung

Sowohl eine „get“- als auch eine „list“-Berechtigung geben Ihnen vollen Zugriff auf die Details einer Ressource. Wenn es um die Daten geht, die Sie sehen können, sind sie identisch. Wenn Sie beispielsweise die Berechtigung „resource-manager.project.list“ für einen Ordner haben, können Sie alle untergeordneten Projekte und deren jeweilige Datenattribute sehen.

Diese Berechtigungen werden jedoch für unterschiedliche Aktionen verwendet:

• Die list-Berechtigung ermöglicht es Ihnen, die „list“-API zu verwenden, die mehrere Ressourcen gleichzeitig zurückgibt.
• Die get-Berechtigung ermöglicht es Ihnen, die „get“-API zu verwenden, die die Details einer einzelnen, spezifischen Ressource abruft.

Selbst wenn Sie also über get-Berechtigungen verfügen, können Sie keine „list“-API verwenden, um Ressourcen anzuzeigen. Dazu benötigen Sie die spezifische list-Berechtigung.

Legacy-Berechtigungen

Im Zuge der Weiterentwicklung unseres Systems für die Zugriffsverwaltung haben wir einige Änderungen an den Berechtigungen eingeführt. Gelegentlich können Sie im System noch auf einige dieser veralteten Legacy-Berechtigungen stoßen. Diese bleiben vorerst bestehen, um einen sicheren Übergang zu gewährleisten, bis wir sie endgültig entfernen können.

Im Folgenden finden Sie eine Liste dieser Berechtigungen und deren Beschreibungen:

Berechtigungsname	Beschreibung
project.read	Alias für resource-manager.project.get
resource-manager.project.direct.get	Veraltete Berechtigung. Alias für resource-manager.project.get
resource-manager.organization.direct.get	Veraltete Berechtigung. Alias für resource-manager.organization.get
resource-manager.resource.project.edit	Veraltete Berechtigung. Sie wird in zukünftigen Releases entfernt.

Legacy-Rollen

Niedrigster Bereich	Name	Beschreibung	Berechtigungen
Organisation	organization.member	Diese Rolle gewährt nur Zugriff auf die Organisationsebene (z. B. Erstellen von Projekten, Lesen von Organisationsdetails). Sie ist als Legacy gekennzeichnet, da ihre Berechtigungen nicht auf untergeordnete Objekte wie Ordner oder Projekte vererbt werden. Sie müssen diesen Elementen spezifischen Zugriff zuweisen.	audit-log.resource.entry.get billing-account.billing-details.get customer.billing-account.get customer.billing-account.list customer.linkable-billing-account.list customer.organization.customer.get customer.organization.list customer.project.billing-account.get iaas.network-area.getiaas.network-area.list iaas.network-area.project.list iaas.network-area.range.getiaas.network-area.range.list iaas.network-area.route.get iaas.network-area.route.list iaas.network-area.rt.getiaas.network-area.rt.list iaas.network-area.rt.route.get iaas.network-area.rt.route.list iaas.regional-network-area.get iaas.regional-network-area.list iaas.resource.request.get iam.resource.member.get iam.resource.role.getpartner.reseller.get resource-manager.organization.direct.get resource-manager.organization.get resource-manager.project.create
Organisation	organization.auditor	Die Rolle „Organization Auditor“ existiert nur auf Organisationsebene. Sie gewährt keinen Zugriff auf untergeordnete Objekte wie Ordner oder Projekte. Verwenden Sie diese Rolle, um Benutzern schreibgeschützten Zugriff auf die Organisation selbst zu geben. Dies ist eine Legacy-Rolle, da ihre Berechtigungen nicht auf untergeordnete Elemente vererbt werden.	audit-log.resource.entry.get billing-account.billing-details.get customer.billing-account.get customer.billing-account.list customer.linkable-billing-account.list customer.organization.customer.get customer.organization.list customer.project.billing-account.get iaas.network-area.getiaas.network-area.list iaas.network-area.project.list iaas.network-area.range.getiaas.network-area.range.list iaas.network-area.route.get iaas.network-area.route.list iaas.network-area.rt.getiaas.network-area.rt.list iaas.network-area.rt.route.get iaas.network-area.rt.route.list iaas.regional-network-area.get iaas.regional-network-area.list iaas.resource.request.get iam.resource.member.get iam.resource.role.getpartner.reseller.get resource-manager.organization.direct.get resource-manager.organization.get