本文由【云老大】 TG@yunlaoda360 撰写
创建项目和启用 IAM
- 创建项目 :登录谷歌云控制台,点击控制台左上角的项目下拉菜单,选择 “新建项目”,为项目命名并等待项目创建完成。
- 启用 IAM :在谷歌云控制台中,导航到 “IAM & Admin” 页面,系统会自动启用 IAM 功能,无需手动额外操作。
添加成员并分配角色
- 添加成员 :在 “IAM & Admin” 页面,点击 “添加” 按钮,在 “新成员” 字段中输入要添加的用户或服务账号的电子邮件地址。
- 选择角色 :在 “角色” 下拉菜单中,选择要分配给该成员的角色。谷歌云多种提供了预定义角色,如 “项目 > 所有者”“项目 > 编辑者”“项目 > 查看者” 等基础角色,以及针对特定服务的更精细的角色,如 “Compute Admin”(计算管理员)、“Storage Admin”(存储管理员) 等。根据实际需求为成员分配合适的角色,以授予相应的权限。
设置条件访问控制(可选)
- 创建条件 :在 “IAM & Admin” 页面,点击 “创建条件” 按钮,可以基于各种条件来限制成员的访问权限,如 IP 地址范围、设备类型、时间范围等。
- 应用条件到角色或成员 :将创建好的条件应用到特定的角色或成员上,只有满足条件的访问请求才会被允许。
管理权限
- 查看权限 :在 “IAM & Admin” 页面,可以查看每个成员所拥有的角色和权限,了解其在项目中的访问级别。
- 修改权限 :当成员的角色或权限需要调整时,点击相应的成员行,在 “角色” 列中进行修改,选择新的角色或移除已有的角色。
- 移除成员 :如果成员不再需要访问项目,可以点击成员行中的 “移除” 按钮,将其从项目中删除,从而撤销其所有权限。
使用组织政策进行访问控制(可选)
- 创建组织政策 :在谷歌云控制台中,导航到 “组织政策” 页面,创建新的政策来定义组织范围内的访问控制规则,如限制特定服务的使用、指定资源的位置等。
- 应用组织政策 :将创建好的组织政策应用到相应的项目、文件夹或组织级别上,以确保所有相关资源都遵循统一的访问控制策略。
使用 VPC Service Controls(可选)
- 创建服务 perimeter :在谷歌云控制台中,导航到 “VPC Service Controls” 页面,创建服务 perimeter 来定义一个安全边界,将敏感资源包含在内。
- 配置访问权限 :设置哪些用户和服务账号可以在服务 perimeter 内访问受保护的资源,以及如何与外部资源进行交互,从而进一步增强访问控制的安全性。
