需要的權限

這個頁麵說明了所需的權限創建和管理一個磚工作區在穀歌的雲。

穀歌雲上,每個工作空間內運行一個客戶擁有的工作區項目。磚創建並擁有per-workspace服務帳戶管理工作區所需的最小權限。磚使用憑證工作區創造者授予權限的服務帳戶工作區項目。磚賬戶管理必須在工作區項目所需的權限成功創建一個工作區。

在你開始之前

確保下列適用於您如果您計劃創建工作區:

  • 你的項目所有者穀歌雲項目工作區創建期間您所指定的。

  • 你在我管理的項目編輯器和穀歌雲項目工作區創建期間您所指定的。

需要用戶權限或服務帳戶權限創建工作區

磚使用帳戶管理員的權限驗證設置,授予權限,使所需的服務和供應工作區。完成這個過程,磚需要以下權限工作區項目和網絡項目。

Google許可

目的

compute.networks.get

驗證VPC網絡的存在。這是需要驗證customer-provided VPC網絡的網絡資源,這可能屬於一個項目工作區以外的項目。這個許可要求如果工作區使用默認VPC,換句話說,如果它不使用customer-managed VPC

compute.projects.get

獲得主機VPC網絡工程。這是需要驗證customer-provided VPC網絡的網絡資源,這可能屬於一個項目工作區以外的項目。這個許可要求如果工作區使用默認VPC,換句話說,如果它不使用customer-managed VPC

compute.subnetworks.get

驗證VPC網絡的子網。這是需要驗證customer-provided VPC網絡的網絡資源,這可能屬於一個項目工作區以外的項目。這個許可要求如果工作區使用默認VPC,換句話說,如果它不使用customer-managed VPC

iam.roles.create

創建自定義的角色。這是需要創建和管理一個自定義角色授予權限工作空間的服務帳戶。

iam.roles.delete

刪除自定義角色。這是需要創建和管理一個自定義角色授予權限工作空間的服務帳戶。

iam.roles.get

自定義的角色。這是需要創建和管理一個自定義角色授予權限工作空間的服務帳戶。

iam.roles.update

更新自定義角色。這是需要創建和管理一個自定義角色授予權限工作空間的服務帳戶。

iam.serviceAccounts.getIamPolicy

得到我的政策。這是授予和管理工作區服務帳戶所需的服務帳戶用戶角色穀歌雲計算引擎(GCE)服務帳戶啟動GKE集群。

iam.serviceAccounts.setIamPolicy

設置我的政策。這是授予和管理工作區服務帳戶所需的服務帳戶用戶角色穀歌雲計算引擎(GCE)服務帳戶啟動GKE集群。

resourcemanager.projects.get

得到一個項目從項目ID號碼。這是需要對工作區項目基本信息。

resourcemanager.projects.getIamPolicy

得到我的政策。這是需要授予權限工作區項目工作區服務帳戶。

resourcemanager.projects.setIamPolicy

設置我的政策。這是需要授予權限工作區項目工作區服務帳戶。

serviceusage.services.get

驗證客戶項目是否已經啟用所需的穀歌雲api。這需要使穀歌磚工作負載需要的雲服務。

serviceusage.services.list

驗證客戶項目是否已經啟用所需的穀歌雲api。這需要使穀歌磚工作負載需要的雲服務。

serviceusage.services.enable

啟用所需的穀歌雲api項目如果他們不是已經啟用。這需要使穀歌磚工作負載需要的雲服務。

權限自定義角色,磚資助服務帳戶

在創建一個工作區,磚創建一個服務帳戶和授予角色權限,磚需要管理您的工作區。這部分是指這個工作區服務帳戶

如果您的工作區使用customer-managed VPC,它不需要盡可能多的權限。磚的角色創建省略了權限,如創建、更新和刪除對象(如網絡、路由器和子網。

除了表中的權限,以下預定義角色所需的工作區服務帳戶。

  • GKE管理角色:這是需要經營和管理客戶GKE上運行的工作負載。

  • GCE存儲管理角色:這是需要經營和管理穀歌計算引擎(GCE)與GKE相關的持久存儲。

  • 磚的工作空間的作用:per-workspace定製角色授予額外的權限需要管理一個工作區。

下表列出了服務帳戶權限:

Google許可

目的

compute.globalOperations.get

Get操作數據的可視性GCE操作期間GCE中斷。這是需要管理GCE資源運行工作負載。

compute.instanceGroups.get

獲得GCE故障排除實例組。這是需要管理GCE資源運行工作負載。

compute.instanceGroups.list

GCE故障排除實例組列表。這是需要管理GCE資源運行工作負載。

compute.instances.get

得到計算實例。這是需要管理GCE資源運行工作負載。

compute.instances.list

列表計算GCE故障診斷的實例。這是需要管理GCE資源運行工作負載。

compute.instances.setLabels

設置標簽計算實例。這是需要管理GCE資源運行工作負載。

compute.disks.get

獲取磁盤。這是需要管理GCE資源運行工作負載。

compute.disks.setLabels

設置磁盤標簽。這是需要管理GCE資源運行工作負載。

compute.networks.access

管理網絡資源。這是需要管理GCE資源運行工作負載。

compute.networks.create

管理網絡資源。如果你使用一個customer-managed VPC,這個許可在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。

compute.networks.delete

管理網絡資源。如果你使用一個customer-managed VPC,這個許可在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。

compute.networks.get

管理網絡資源。這是需要管理GCE資源運行工作負載。

compute.networks.getEffectiveFirewalls

管理網絡資源。這是需要管理GCE資源運行工作負載。

compute.networks.update

管理網絡資源。如果你使用一個customer-managed VPC,這個許可在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。

compute.networks.updatePolicy

管理網絡資源。如果你使用一個customer-managed VPC,這個許可在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。

compute.networks.use

管理網絡資源。這是需要管理GCE資源運行工作負載。

compute.networks.useExternalIp

管理網絡資源。這是需要管理GCE資源運行工作負載。

compute.regionOperations.get

得到區域操作可視性穀歌計算引擎(GCE)操作期間GCE中斷。這是需要管理GKE集群工作負載運行。

compute.routers.create

管理網絡資源。如果你使用一個customer-managed VPC,這個許可在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。

compute.routers.delete

管理網絡資源。如果你使用一個customer-managed VPC,這個許可在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。

compute.routers.get

管理網絡資源。這是需要管理GCE資源運行工作負載。

compute.routers.update

管理網絡資源。如果你使用一個customer-managed VPC,這個許可在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。

compute.routers.use

管理網絡資源。這是需要管理GCE資源運行工作負載。

compute.subnetworks.create

管理網絡資源。如果你使用一個customer-managed VPC,這個許可在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。

compute.subnetworks.delete

管理網絡資源。如果你使用一個customer-managed VPC,這個許可在自定義角色,磚資助服務帳戶。

compute.subnetworks.expandIpCidrRange

管理網絡資源。如果你使用一個customer-managed VPC,這個許可在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。

compute.subnetworks.get

管理網絡資源。這是需要管理GCE資源運行工作負載。

compute.subnetworks.getIamPolicy

管理網絡資源。這是需要管理GCE資源運行工作負載。

compute.subnetworks.setIamPolicy

管理網絡資源。如果你使用一個customer-managed VPC,這個許可在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。

compute.subnetworks.setPrivateIpGoogleAccess

管理網絡資源。如果你使用一個customer-managed VPC,這個許可在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。

compute.subnetworks.update

管理網絡資源。如果你使用一個customer-managed VPC,這個許可在自定義角色,磚資助服務帳戶。這是需要管理GCE資源運行工作負載。

compute.subnetworks.use

管理網絡資源。這是需要管理GCE資源運行工作負載。

compute.subnetworks.useExternalIp

管理網絡資源。這是需要管理GCE資源運行工作負載。

container.clusterRoleBindings.create

創建集群角色綁定。這是需要管理GKE集群工作負載運行。

container.clusterRoleBindings.get

集群角色綁定。這是需要管理GKE集群工作負載運行。

container.clusterRoles.bind

結合集群角色綁定。這是需要管理GKE集群工作負載運行。

container.clusterRoles.create

創建集群的角色。這是需要管理GKE集群工作負載運行。

container.clusterRoles.get

集群的角色。這是需要管理GKE集群工作負載運行。

container.clusters.create

創建集群的角色。這是需要管理GKE集群工作負載運行。

container.clusters.delete

刪除集群的角色。這是需要管理GKE集群工作負載運行。

container.clusters.get

獲取集群。這是需要管理GKE集群工作負載運行。

container.clusters.getCredentials

集群的憑證。這是需要管理GKE集群工作負載運行。

container.clusters.list

集群列表。這是需要管理GKE集群工作負載運行。

container.clusters.update

更新集群。這是需要管理GKE集群工作負載運行。

container.configMaps.create

創建configMaps。這是需要管理GKE集群工作負載運行。

container.configMaps.get

得到configMaps。這是需要管理GKE集群工作負載運行。

container.configMaps.update

更新configMaps。這是需要管理GKE集群工作負載運行。

container.customResourceDefinitions.create

創建自定義的資源定義。這是需要管理GKE集群工作負載運行。

container.customResourceDefinitions.get

自定義資源定義。這是需要管理GKE集群工作負載運行。

container.customResourceDefinitions.update

更新自定義資源定義。這是需要管理GKE集群工作負載運行。

container.daemonSets.create

創建程序集。這是需要管理GKE集群工作負載運行。

container.daemonSets.get

守護程序集。這是需要管理GKE集群工作負載運行。

container.daemonSets.update

更新程序集。這是需要管理GKE集群工作負載運行。

container.deployments.create

創建部署。這是需要管理GKE集群工作負載運行。

container.deployments.get

得到部署。這是需要管理GKE集群工作負載運行。

container.deployments.update

更新部署。這是需要管理GKE集群工作負載運行。

container.jobs.create

創建工作。這是需要管理GKE集群工作負載運行。

container.jobs.get

得到工作。這是需要管理GKE集群工作負載運行。

container.jobs.update

更新工作。這是需要管理GKE集群工作負載運行。

container.namespaces.create

創建名稱空間。這是需要管理GKE集群工作負載運行。

container.namespaces.get

名稱空間。這是需要管理GKE集群工作負載運行。

container.namespaces.list

列表名稱空間。這是需要管理GKE集群工作負載運行。

container.operations.get

獲取操作。這是需要管理GKE集群工作負載運行。

container.pods.get

豆莢。這是需要管理GKE集群工作負載運行。

container.pods.getLogs

pod日誌。這是需要管理GKE集群工作負載運行。

container.pods.list

豆莢列表。這是需要管理GKE集群工作負載運行。

container.roleBindings.create

創建角色綁定。這是需要管理GKE集群工作負載運行。

container.roleBindings.get

角色綁定。這是需要管理GKE集群工作負載運行。

container.roles.bind

綁定的角色。這是需要管理GKE集群工作負載運行。

container.roles.create

創建角色。這是需要管理GKE集群工作負載運行。

container.roles.get

得到的角色。這是需要管理GKE集群工作負載運行。

container.secrets.create

創建的秘密。這是需要管理GKE集群工作負載運行。

container.secrets.get

得到一個秘密。這是需要管理GKE集群工作負載運行。

container.secrets.update

更新一個秘密。這是需要管理GKE集群工作負載運行。

container.serviceAccounts.create

創建一個服務帳戶。這是需要管理GKE集群工作負載運行。

container.serviceAccounts.get

服務帳戶。這是需要管理GKE集群工作負載運行。

container.services.create

創建一個服務。這是需要管理GKE集群工作負載運行。

container.services.get

得到服務。這是需要管理GKE集群工作負載運行。

container.thirdPartyObjects.create

創建一個第三方的對象。這是需要管理GKE集群工作負載運行。

container.thirdPartyObjects.delete

刪除第三方對象。這是需要管理GKE集群工作負載運行。

container.thirdPartyObjects.get

獲得一個第三方的對象。這是需要管理GKE集群工作負載運行。

container.thirdPartyObjects.list

第三方對象列表。這是需要管理GKE集群工作負載運行。

container.thirdPartyObjects.update

更新第三方對象。這是需要管理GKE集群工作負載運行。

iam.serviceAccounts.getIamPolicy

檢查服務帳戶或將其綁定到一個集群。這是需要配置GKE工作負載的身份一個集群的服務帳戶來訪問你的數據。

iam.serviceAccounts.setIamPolicy

檢查服務帳戶或將其綁定到一個集群。這是需要配置GKE工作負載的身份一個集群的服務帳戶來訪問你的數據。

resourcemanager.projects.get

客戶項目ID轉換為一個項目號碼。這是穀歌需要驗證項目狀態,無論是生活和工作空間等服務帳戶有足夠的權限。

resourcemanager.projects.getIamPolicy

檢查項目我政策是否正確配置。這是穀歌需要驗證項目狀態,無論是生活和工作空間等服務帳戶有足夠的權限。

storage.buckets.create

創建一個桶。這是需要創建和管理GCS桶DBFS、內部構件和日誌記錄。

storage.buckets.delete

刪除一個桶。這是需要創建和管理GCS桶DBFS、內部構件和日誌記錄。

storage.buckets.get

得到一桶。這是需要創建和管理GCS桶DBFS、內部構件和日誌記錄。

storage.buckets.getIamPolicy

獲取存儲我的政策。這是需要創建和管理GCS桶DBFS、內部構件和日誌記錄。

storage.buckets.list

桶列表。這是需要創建和管理GCS桶DBFS、內部構件和日誌記錄。

storage.buckets.setIamPolicy

設置存儲我的政策。這是需要創建和管理GCS桶DBFS、內部構件和日誌記錄。

storage.buckets.update

更新存儲我的政策。這是需要創建和管理GCS桶DBFS、內部構件和日誌記錄。

storage.objects.create

創建一個存儲對象。這是需要讀和寫DBFS對象、內部構件和日誌記錄。

storage.objects.delete

刪除存儲對象。這是需要讀和寫DBFS對象、內部構件和日誌記錄。

storage.objects.get

得到一個存儲對象。這是需要讀和寫DBFS對象、內部構件和日誌記錄。

storage.objects.list

存儲對象列表。這是需要讀和寫DBFS對象、內部構件和日誌記錄。

storage.objects.update

更新一個存儲對象。這是需要讀和寫DBFS對象、內部構件和日誌記錄。