כדי לאפשר למשתמשים ליצור, למחוק, להשתמש או לשתף את התמונות המותאמות אישית שלכם, אתם צריכים להקצות להם את התפקידים המתאימים בניהול הזהויות והרשאות הגישה (IAM). במאמר הזה מוסבר אילו הרשאות IAM נדרשות כדי ליצור תמונות בהתאמה אישית ולנהל אותן, ואיך מעניקים אותן למשתמשים.
מידע כללי על מתן גישה למשאבים של Compute Engine זמין במאמר בנושא ניהול גישה למשאבים של Compute Engine. למידע על IAM, קראו את מסמכי העזרה של IAM.
לפני שמתחילים
- קוראים את מאמרי העזרה בנושא IAM.
- מידע על תפקידי IAM ב-Compute Engine, ובפרט על התפקיד Compute Image User (
roles/compute.imageUser). -
אם עדיין לא עשיתם את זה, תצטרכו להגדיר אימות.
אימות הוא תהליך שבו מאמתים את הזהות שלכם כדי לקבל גישה לממשקי API ולשירותים של Cloud de Confiance by S3NS . כדי להריץ קוד או דוגמאות מסביבת פיתוח מקומית, אפשר לבצע אימות ל-Compute Engine באחת מהדרכים הבאות:
צריך לבחור את הכרטיסייה הרלוונטית לאופן שבו תכננתם להשתמש בדוגמאות בדף הזה:
המסוף
כשמשתמשים במסוף Cloud de Confiance כדי לגשת לשירותים ולממשקי ה-API, לא צריך להגדיר אימות. Cloud de Confiance by S3NS
gcloud
-
התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם. אחרי שנכנסתם לחשבון, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה:
gcloud init
-
- הגדרת אזור ותחום כברירת מחדל
REST
כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של API בארכיטקטורת REST שבדף הזה, צריך להשתמש בפרטי הכניסה שאתם נותנים ל-CLI של gcloud.
התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם.
מידע נוסף מופיע במאמר אימות לשימוש ב-REST במסמכי האימות של Cloud de Confiance .
התפקידים הנדרשים
כדי לקבל את ההרשאות שדרושות לניהול הגישה לתמונות בהתאמה אישית, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים:
- אדמין IAM של פרויקט (
roles/resourcemanager.projectIamAdmin) בפרויקט - אדמין Compute (
roles/compute.admin) בפרויקט
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.
התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות לניהול הגישה לתמונות בהתאמה אישית. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות
כדי לנהל את הגישה לתמונות מותאמות אישית, צריך את ההרשאות הבאות:
-
כדי לתת למשתמשים או לחשבונות שירות את ההרשאות שנדרשות ליצירה ולשיתוף של תמונות בהתאמה אישית:
-
resourcemanager.projects.getIamPolicyבפרויקט -
resourcemanager.projects.setIamPolicyבפרויקט
-
-
כדי לתת למשתמשים או לחשבונות שירות את ההרשאות שנדרשות למחיקת תמונות בהתאמה אישית:
-
resourcemanager.projects.getIamPolicyבפרויקט -
resourcemanager.projects.setIamPolicyבפרויקט -
compute.images.getIamPolicyבתמונה -
compute.images.setIamPolicyבתמונה
-
-
כדי לבטל את הגישה של משתמש או חשבון שירות לתמונות בהתאמה אישית:
-
resourcemanager.projects.getIamPolicyבפרויקט -
resourcemanager.projects.setIamPolicyבפרויקט
-
-
כדי ליצור מכונה באמצעות קובץ אימג' משותף:
-
compute.instances.createבפרויקט - כדי להשתמש באימג' בהתאמה אישית ליצירת המכונה הווירטואלית (VM):
compute.images.useReadOnlyבקובץ אימג' - כדי להשתמש ב-snapshot ליצירת המכונה הווירטואלית:
compute.snapshots.useReadOnlyבקובץ ה-snapshot - כדי להשתמש בתבנית של הגדרות מכונה ליצירת המכונה הווירטואלית:
compute.instanceTemplates.useReadOnlyבתבנית של הגדרות המכונה - כדי להקצות רשת מדור קודם למכונה הווירטואלית:
compute.networks.useבפרויקט - כדי לציין כתובת IP סטטית למכונה הווירטואלית:
compute.addresses.useבפרויקט - כדי להקצות כתובת IP חיצונית למכונה הווירטואלית כשמשתמשים ברשת מדור קודם:
compute.networks.useExternalIpבפרויקט - כדי לציין רשת משנה למכונה הווירטואלית:
compute.subnetworks.useבפרויקט או ברשת המשנה שנבחרה - כדי להקצות כתובת IP חיצונית למכונה הווירטואלית כשמשתמשים ברשת VPC:
compute.subnetworks.useExternalIpבפרויקט או ברשת המשנה שנבחרה - כדי להגדיר מטא-נתונים של המכונה הווירטואלית:
compute.instances.setMetadataבפרויקט - כדי להגדיר תגים למכונה הווירטואלית:
compute.instances.setTagsבמכונה הווירטואלית - כדי להגדיר תוויות למכונה הווירטואלית:
compute.instances.setLabelsבמכונה הווירטואלית - כדי להגדיר חשבון שירות לשימוש של המכונה הווירטואלית:
compute.instances.setServiceAccountבמכונה הווירטואלית - כדי ליצור דיסק חדש למכונה הווירטואלית:
compute.disks.createבפרויקט - כדי לצרף דיסק קיים במצב קריאה-בלבד או במצב קריאה וכתיבה:
compute.disks.useבדיסק - כדי לצרף דיסק קיים במצב קריאה-בלבד:
compute.disks.useReadOnlyבדיסק
-
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
מגבלות
בתמונות, אי אפשר להעניק תפקידים לסוג החברות המיוחד allUsers.
איך נותנים הרשאה ליצור תמונות בהתאמה אישית
אתם יכולים לתת למשתמשים את האפשרות ליצור תמונות בהתאמה אישית בארגון או בפרויקט.
ב-Compute Engine יש תפקיד מוגדר מראש של אדמין אחסון ב-Compute (roles/compute.storageAdmin) שאפשר להקצות למשתמשים כדי שיוכלו ליצור, למחוק ולנהל משאבים שקשורים לאחסון, כולל תמונות, דיסקים ותמונות מצב. אם אתם צריכים תפקיד שמאפשר רק ליצור תמונות, אתם צריכים ליצור תפקיד בהתאמה אישית. בתפקיד המותאם אישית, צריך לכלול את ההרשאות הבאות:
compute.images.createכדי ליצור תמונות חדשות-
compute.images.listכדי להציג רשימה של התמונות בפרויקט -
compute.disks.useאם התמונה נוצרה מדיסק -
compute.disks.listאם המשתמשים צריכים להציג את כל הדיסקים בפרויקט
אם נותנים למשתמש את האפשרות ליצור תמונות בהתאמה אישית ברמת הארגון, המשתמש יכול ליצור תמונות בהתאמה אישית לכל פרויקט בארגון.
המסוף
נכנסים לדף IAM במסוף Cloud de Confiance של הפרויקט או הארגון.
כדי להוסיף חבר חדש, לוחצים על Grant access.
בשדה New principals, מזינים את כתובת האימייל של הזהות שרוצים להעניק לה גישה.
לדוגמה:
- כתובת האימייל בחשבון Google:
test-user@gmail.com - קבוצת Google:
admins@googlegroups.com - זהות מספק זהויות חיצוני:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - חשבון שירות:
server@example.s3ns-system.iam.gserviceaccount.com - דומיין Google Workspace:
example.com
- כתובת האימייל בחשבון Google:
ברשימה Select a role בוחרים באפשרות Compute Engine > Compute Storage Admin, או בוחרים תפקיד בהתאמה אישית אם יצרתם כזה.
אופציונלי: כדי לשלוט יותר בגישת המשתמש למשאבי Cloud de Confiance by S3NS , מוסיפים קישור תפקיד מותנה.
שומרים את השינויים.
gcloud
כדי להעניק את התפקיד roles/compute.storageAdmin ברמת הארגון, משתמשים בפקודה gcloud organizations add-iam-policy-binding:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='MEMBER' \
--role='roles/compute.storageAdmin'
כדי להקצות את התפקיד roles/compute.storageAdmin ברמת הפרויקט, משתמשים בפקודה gcloud projects add-iam-policy-binding:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member='MEMBER' \
--role='roles/compute.storageAdmin'
מחליפים את מה שכתוב בשדות הבאים:
-
ORGANIZATION_IDאוPROJECT_ID: מזהה הארגון או מזהה הפרויקט – לדוגמה,my-organization-1אוmy-project-1
MEMBER: זהות תקפה שרוצים להקצות לה את התפקידלדוגמה:
- כתובת האימייל בחשבון Google:
user:user@gmail.com - קבוצת Google:
group:admins@googlegroups.com - זהות מספק זהויות חיצוני:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - חשבון שירות:
serviceAccount:server@example.s3ns-system.iam.gserviceaccount.com - דומיין Google Workspace:
domain:example.com
- כתובת האימייל בחשבון Google:
REST
קוראים את המדיניות הקיימת באמצעות ה-method
getIamPolicyשל המשאב. לפרויקטים, צריך להשתמש ב-projects.getIamPolicymethod.POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy
מחליפים את
PROJECT_IDבמזהה הפרויקט, לדוגמה,my-project-1.בארגונים, משתמשים בשיטה
organizations.getIamPolicy.POST https://cloudresourcemanager.googleapis.com/v1/organizations/ORGANIZATION_ID:getIamPolicy
מחליפים את
ORGANIZATION_IDבמזהה הארגון, לדוגמה,123456578920.Compute Engine מחזיר את המדיניות הנוכחית בתגובה.
כדי להוסיף או להסיר חברים ואת התפקידים המשויכים שלהם, עורכים את המדיניות באמצעות כלי לעריכת טקסט. כדי להוסיף חברים, צריך להשתמש בפורמט הבא:
user:test-user@gmail.comgroup:admins@example.comserviceAccount:test123@example.domain.comdomain:example.domain.com
לדוגמה, כדי להקצות את התפקיד
roles/compute.storageAdminל-group:admins@example.com, מוסיפים את הקישור הבא למדיניות:{ "members": [ "group:admins@example.com" ], "role":"roles/compute.storageAdmin" }כותבים את המדיניות המעודכנת באמצעות השיטה
setIamPolicy.לדוגמה, כדי להגדיר מדיניות ברמת הפרויקט, משתמשים ב-method
project.setIamPolicy. בגוף הבקשה, מציינים את מדיניות ה-IAM המעודכנת מהשלב הקודם.POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy
מחליפים את
PROJECT_IDבמזהה הפרויקט.
איך נותנים הרשאות למחיקת תמונות בהתאמה אישית
בהתאם לצרכים שלכם, אתם יכולים לתת למשתמשים הרשאה לבצע את הפעולות הבאות:
- מחיקה של תמונה ספציפית
- מחיקת תמונות בבעלות של פרויקט ספציפי
- מחיקת תמונות מכל פרויקט בארגון
הענקת הרשאה ברמת הפרויקט מאפשרת למשתמשים למחוק את כל התמונות שבבעלות הפרויקט. אם נותנים הרשאה ברמת הארגון, המשתמש יכול למחוק תמונות שנמצאות בבעלות הארגון, בלי קשר לפרויקט.
ב-Compute Engine יש תפקיד מוגדר מראש של אדמין אחסון ב-Compute (roles/compute.storageAdmin) שאפשר להקצות למשתמשים כדי שיוכלו ליצור, למחוק ולנהל משאבים שקשורים לאחסון, כולל תמונות, דיסקים ותמונות מצב. אם אתם צריכים תפקיד שמאפשר רק מחיקת תמונות, אתם צריכים ליצור תפקיד בהתאמה אישית.
בתפקיד בהתאמה אישית, כוללים את ההרשאות הבאות:
compute.images.deleteכדי למחוק תמונותcompute.images.listאם המשתמשים צריכים להציג רשימה של תמונות בפרויקט או בארגוןcompute.images.getכדי לקבל את התמונות
המסוף
כדי לתת הרשאה למחיקת תמונות ספציפיות:
נכנסים לדף Images במסוף Cloud de Confiance .
בוחרים את התמונות שרוצים לתת להן הרשאות.
כדי להרחיב את עמודת ההרשאות, לוחצים על הצגת חלונית המידע.
כדי להוסיף חבר או חברים, לוחצים על Add principal.
בשדה New principals, מזינים את כתובת האימייל של הזהות שאיתה רוצים לשתף את התמונה.
לדוגמה:
- כתובת האימייל בחשבון Google:
test-user@gmail.com - קבוצת Google:
admins@googlegroups.com - זהות מספק זהויות חיצוני:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - חשבון שירות:
server@example.s3ns-system.iam.gserviceaccount.com - דומיין Google Workspace:
example.com
- כתובת האימייל בחשבון Google:
ברשימה Role, מעבירים את מצביע העכבר מעל Compute Engine ובוחרים באפשרות Storage Admin, או בוחרים תפקיד בהתאמה אישית מהרשימה Custom.
אופציונלי: כדי לשלוט יותר בגישת המשתמש למשאבי Cloud de Confiance by S3NS , מוסיפים קישור תפקיד מותנה.
שומרים את השינויים.
כדי לתת הרשאה למחיקת תמונות בפרויקט או בארגון, מבצעים את הפעולות הבאות:
עוברים לדף IAM של הפרויקט או הארגון.
לוחצים על Grant access.
בשדה New principals, מזינים את כתובת האימייל של הזהות שרוצים להעניק לה גישה. לדוגמה:
- כתובת האימייל בחשבון Google:
test-user@gmail.com - קבוצת Google:
admins@googlegroups.com - זהות מספק זהויות חיצוני:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - חשבון שירות:
server@example.s3ns-system.iam.gserviceaccount.com - דומיין Google Workspace:
example.com
- כתובת האימייל בחשבון Google:
ברשימה Role, מעבירים את מצביע העכבר מעל Compute Engine ובוחרים באפשרות Storage Admin, או בוחרים תפקיד בהתאמה אישית מהרשימה Custom.
אופציונלי: כדי לשלוט יותר בגישת המשתמש למשאבי Cloud de Confiance by S3NS , מוסיפים קישור תפקיד מותנה.
שומרים את השינויים.
gcloud
כדי להעניק הרשאות למחיקת תמונות ברמת הארגון, משתמשים בפקודה gcloud organizations add-iam-policy-binding:
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
--member='MEMBER' \
--role='ROLE'
כדי לתת הרשאות למחיקת תמונות ברמת הפרויקט, משתמשים בפקודה gcloud
projects add-iam-policy-binding:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member='MEMBER' \
--role='ROLE'
כדי לתת הרשאות למחיקת תמונה ספציפית, משתמשים בפקודה gcloud compute
images add-iam-policy-binding:
gcloud compute images add-iam-policy-binding IMAGE_NAME \
--member='MEMBER' \
--role='ROLE'
מחליפים את מה שכתוב בשדות הבאים:
-
ORGANIZATION_IDאוPROJECT_IDאוIMAGE_NAME: מזהה הארגון בן 12 הספרות, מזהה הפרויקט או שם התמונה – לדוגמה,123456578920,my-project-1אוmy-custom-image
MEMBER: זהות תקפה שרוצים להקצות לה את התפקידלדוגמה:
- כתובת האימייל בחשבון Google:
user:user@gmail.com - קבוצת Google:
group:admins@googlegroups.com - זהות מספק זהויות חיצוני:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - חשבון שירות:
serviceAccount:server@example.s3ns-system.iam.gserviceaccount.com - דומיין Google Workspace:
domain:example.com
- כתובת האימייל בחשבון Google:
ROLE: התפקיד שרוצים להקצות לזהות הזו. לדוגמה, התפקידroles/compute.storageAdminאו תפקיד בהתאמה אישית כמוroles/customImageDeletionRole
REST
קוראים את המדיניות הקיימת באמצעות ה-method
getIamPolicyשל המשאב. בפרויקטים, משתמשים בשיטהprojects.getIamPolicy:POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy
מחליפים את
PROJECT_IDבמזהה הפרויקט.בארגונים, משתמשים בשיטה
organizations.getIamPolicy:POST https://cloudresourcemanager.googleapis.com/v1/organizations/ORGANIZATION_ID:getIamPolicy
מחליפים את
ORGANIZATION_IDבמזהה הארגון המספרי בן 12 הספרות.כדי לשפר תמונה ספציפית, משתמשים בשיטה
images.getIamPolicy:POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/images/IMAGE_NAME:getIamPolicy
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט -
IMAGE_NAME: השם של התמונה
Compute Engine מחזיר את המדיניות הנוכחית בתגובה.
-
כדי להוסיף או להסיר חברים ואת התפקידים המשויכים שלהם, אפשר לערוך את המדיניות באמצעות כלי לעריכת טקסט. כדי להוסיף חברים, צריך להשתמש בפורמט הבא:
user:test-user@gmail.comgroup:admins@example.comserviceAccount:test123@example.domain.comdomain:example.domain.com
לדוגמה, כדי להקצות את התפקיד
roles/compute.storageAdminל-user:test-email@example.com, מוסיפים את הקישור הבא למדיניות:{ "members": [ "user:test-email@example.com" ], "role":"roles/compute.storageAdmin" }כותבים את המדיניות המעודכנת באמצעות השיטה
setIamPolicy.לדוגמה, כדי להגדיר מדיניות ברמת הפרויקט, משתמשים ב-method
project.setIamPolicy. בגוף הבקשה, מציינים את מדיניות ה-IAM המעודכנת מהשלב הקודם.POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy
מחליפים את
PROJECT_IDבמזהה הפרויקט.
איך נותנים הרשאות לשיתוף תמונות בהתאמה אישית בארגון
אם הפרויקט שייך לארגון, יכול להיות לארגון כמה פרויקטים אחרים עם רמות גישה שונות לפרויקטים אחרים. כשיוצרים תמונות בהתאמה אישית, אפשר לשתף אותן עם משתמשים אחרים מפרויקטים אחרים בארגון.
ב-Compute Engine יש את תפקידי ה-IAM המוגדרים מראש הבאים שבהם אפשר להשתמש לניהול תמונות:
- משתמש בתמונת Compute (
roles/compute.imageUser): הרשאה להציג רשימה של תמונות, לקרוא אותן ולהשתמש בהן בבקשות, בלי הרשאות אחרות לגבי התמונה - אדמין של אחסון ב-Compute (
roles/compute.storageAdmin): הרשאות ליצור, לשנות ולמחוק דיסקים, תמונות וקובצי snapshot
אפשר גם ליצור תפקיד IAM בהתאמה אישית.
מומלץ לשמור את כל התמונות המותאמות אישית בפרויקט אחד שמוקדש לאירוח התמונות האלה. השיטה הזו משפרת את ניהול התמונות, ומאפשרת להעניק לצוותים ספציפיים גישה רק לתמונות שהם צריכים. אפשר גם להעניק לצוותים גישה לכל פרויקט התמונות, אבל אנחנו לא ממליצים על כך כי גישת צוות לכל פרויקט התמונות מנוגדת לעיקרון של הרשאות מינימליות.
בדוגמה שלמטה אפשר לראות איך מוסיפים קבוצה כדי שלמשתמשים בקבוצה הזו תהיה גישה לתמונה.
המסוף
נכנסים לדף Images במסוף Cloud de Confiance .
בוחרים את התמונה שרוצים לשתף עם משתמשים אחרים.
כדי להרחיב את עמודת ההרשאות, לוחצים על הצגת חלונית המידע.
כדי להוסיף חבר או חברים, לוחצים על Add principal.
בשדה New principals, מזינים את כתובת האימייל של הזהות שאיתה רוצים לשתף את התמונה.
לדוגמה:
- כתובת האימייל בחשבון Google:
test-user@gmail.com - קבוצת Google:
admins@googlegroups.com - זהות מספק זהויות חיצוני:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - חשבון שירות:
server@example.s3ns-system.iam.gserviceaccount.com - דומיין Google Workspace:
example.com
- כתובת האימייל בחשבון Google:
ברשימה Role, מעבירים את מצביע העכבר מעל Compute Engine ובוחרים באפשרות Image User או Storage Admin, או בוחרים תפקיד בהתאמה אישית.
אופציונלי: כדי לשלוט יותר בגישת המשתמש למשאבים של Cloud de Confiance, מוסיפים קישור תפקיד מותנה.
שומרים את השינויים.
כדי לאפשר למשתמשים להפעיל תמונות בהתאמה אישית שמשותפות מהמסוף Cloud de Confiance , צריך להקצות למשתמשים את תפקיד הצפייה ב-IAM (roles/viewer) בפרויקט התמונות. הענקת התפקיד הזה עוזרת לוודא שהתמונות המשותפות יופיעו ברשימת התמונות לבחירה.
נכנסים לדף IAM במסוף Cloud de Confiance .
לוחצים על Grant access.
בשדה New principals, מזינים את כתובת האימייל של הזהות שאיתה רוצים לשתף את התמונה. לדוגמה:
- כתובת האימייל בחשבון Google:
test-user@gmail.com - קבוצת Google:
admins@googlegroups.com - זהות מספק זהויות חיצוני:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - חשבון שירות:
server@example.s3ns-system.iam.gserviceaccount.com - דומיין Google Workspace:
example.com
- כתובת האימייל בחשבון Google:
ברשימה Role, מציבים את הסמן מעל Project ובוחרים באפשרות Viewer.
אופציונלי: כדי לשלוט יותר בגישת המשתמש למשאבים של Cloud de Confiance, מוסיפים קישור תפקיד מותנה.
שומרים את השינויים.
gcloud
כדי לעדכן את מדיניות ה-IAM של תמונה ספציפית, משתמשים בפקודה gcloud compute images add-iam-policy-binding:
gcloud compute images add-iam-policy-binding IMAGE_NAME \
--member='MEMBER' \
--role='ROLE'
מחליפים את מה שכתוב בשדות הבאים:
-
IMAGE_NAME: שם התמונה, לדוגמהcustom-centos-8
MEMBER: זהות תקפה שרוצים להעניק לה את התפקידלדוגמה:
user:test-user@gmail.comgroup:admins@example.comserviceAccount:test123@example.domain.comdomain:example.domain.com
ROLE: התפקיד שאליו רוצים להקצות את הזהות, כמוroles/compute.imageUser,roles/compute.storageAdminאו תפקיד בהתאמה אישית
אופציונלי: כדי לאפשר למשתמשים לראות את התמונות המשותפות האלה בimages.listבקשות שלהם, צריך להקצות למשתמשים את תפקיד הצפייה ב-IAM (roles/viewer) בפרויקט התמונות באמצעות הפקודה gcloud projects add-iam-policy-binding. אם אתם לא רוצים שהמשתמשים יוכלו לראות את רשימת התמונות ששותפו, אתם יכולים לדלג על השלב הזה.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member='MEMBER' \
--role='roles/viewer'
REST
קוראים את המדיניות הקיימת באמצעות ה-method
getIamPolicyשל המשאב. לדוגמה, כדי לקבל את המדיניות לגבי תמונה ספציפית, משתמשים ב-method images.getIamPolicy:POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/images/IMAGE_NAME:getIamPolicy
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט שאליו שייך התמונה -
IMAGE_NAME: השם של התמונה
Compute Engine מחזיר את המדיניות הנוכחית בתגובה.
-
כדי להוסיף או להסיר חברים ואת התפקידים המשויכים שלהם, צריך לערוך את המדיניות באמצעות כלי לעריכת טקסט. כדי להוסיף חברים, צריך להשתמש בפורמט הבא:
user:test-user@gmail.comgroup:admins@example.comserviceAccount:test123@example.domain.comdomain:example.domain.com
לדוגמה, כדי להעניק את ההרשאה
roles/compute.imageUserל-test-email@example.com, מוסיפים את הקישור הבא למדיניות:{ "members": [ "user:test-email@example.com" ], "role":"roles/compute.imageUser" }כותבים את המדיניות המעודכנת באמצעות השיטה
setIamPolicy. לדוגמה, כדי להגדיר מדיניות לגבי תמונה ספציפית, משתמשים ב-method project.setIamPolicy. בגוף הבקשה, מציינים את מדיניות ה-IAM המעודכנת מהשלב הקודם.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/images/IMAGE_NAME:setIamPolicy
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט שאליו שייך התמונה -
IMAGE_NAME: השם של התמונה
-
אופציונלית, כדי לאפשר למשתמשים לראות את התמונות המשותפות האלה בבקשות שלהם images.list, צריך להקצות למשתמשים את תפקיד הצפייה ב-IAM (roles/viewer) בפרויקט התמונות באמצעות השיטה projects.setIamPolicy.
אם אתם לא רוצים שהמשתמשים יוכלו לראות את רשימת התמונות המשותפות, אתם יכולים לדלג על השלב הזה.
POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy
הענקת הרשאות לשיתוף תמונות בהתאמה אישית בין ארגונים
יצירת קטלוג של תמונות בהתאמה אישית יכולה להיות שימושית לשיתוף תמונות עם שותפים, משתמשים או קבלנים מחוץ לארגון. כדי לשתף את התמונות עם משתמשים מחוץ לארגון, צריך להוסיף אותם לפרויקט כמשתמשי תמונות:
המסוף
נכנסים לדף Images במסוף Cloud de Confiance .
בוחרים את התמונה שרוצים לשתף עם משתמשים אחרים.
כדי להרחיב את עמודת ההרשאות, לוחצים על הצגת חלונית המידע.
כדי להוסיף חבר או חברים, לוחצים על Add principal.
בשדה New principals, מזינים את כתובת האימייל של הקבוצה שרוצים לשתף איתה את התמונה. לדוגמה,
admins@example.com.ברשימה Role, מעבירים את מצביע העכבר מעל Compute Engine ובוחרים באפשרות Compute Image User.
אופציונלי: כדי לשלוט יותר בגישת המשתמש למשאבים של Cloud de Confiance, מוסיפים קישור תפקיד מותנה.
שומרים את השינויים.
כדי לאפשר למשתמשים להפעיל תמונות בהתאמה אישית שמשותפות מהמסוף Cloud de Confiance , צריך להקצות למשתמשים את תפקיד הצפייה ב-IAM (roles/viewer) בפרויקט התמונות. הענקת התפקיד הזה עוזרת לוודא שהתמונות המשותפות יופיעו ברשימת התמונות לבחירה.
נכנסים לדף IAM במסוף Cloud de Confiance .
לוחצים על Grant access.
בשדה New principals, מזינים את כתובת האימייל של הזהות שאיתה רוצים לשתף את התמונה. לדוגמה,
admins@example.com.ברשימה Role, מציבים את הסמן מעל Project ובוחרים באפשרות Viewer.
אופציונלי: כדי לשלוט יותר בגישת המשתמש למשאבים של Cloud de Confiance, מוסיפים קישור תפקיד מותנה.
שומרים את השינויים.
gcloud
כדי להעניק למשתמשים את התפקיד roles/compute.imageUser, משתמשים בפקודה gcloud
compute images add-iam-policy-binding:
gcloud compute images add-iam-policy-binding IMAGE_NAME \
--member='MEMBER' \
--role='roles/compute.imageUser'
מחליפים את מה שכתוב בשדות הבאים:
-
IMAGE_NAME: שם התמונה, לדוגמהcustom-centos-8 -
MEMBER: זהות תקפה שרוצים להעניק לה את התפקיד – לדוגמה,group:admins@example.com
אופציונלי: כדי לאפשר למשתמשים לראות את התמונות המשותפות האלה בimages.listבקשות שלהם, צריך להקצות למשתמשים את תפקיד הצפייה ב-IAM (roles/viewer) בפרויקט התמונות באמצעות הפקודה gcloud projects add-iam-policy-binding. אם אתם לא רוצים שהמשתמשים יוכלו לראות את רשימת התמונות המשותפות, אתם יכולים לדלג על השלב הזה.
gcloud projects add-iam-policy-binding PROJECT_ID \
--member='MEMBER' \
--role='roles/viewer'
REST
קוראים את המדיניות הקיימת באמצעות ה-method
getIamPolicyשל המשאב. לדוגמה, כדי לקבל את המדיניות לגבי תמונה ספציפית, משתמשים ב-method images.getIamPolicy:POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/images/IMAGE_NAME:getIamPolicy
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט שאליו שייך התמונה -
IMAGE_NAME: השם של התמונה
Compute Engine מחזיר את המדיניות הנוכחית בתגובה.
-
כדי להוסיף או להסיר חברים ואת התפקידים המשויכים שלהם, אפשר לערוך את המדיניות באמצעות כלי לעריכת טקסט. כדי להוסיף חברים, צריך להשתמש בפורמט הבא:
user:test-user@gmail.comgroup:admins@example.comserviceAccount:test123@example.domain.comdomain:example.domain.com
לדוגמה, כדי להעניק את ההרשאה
roles/compute.imageUserל-test-user@example.com, מוסיפים את הקישור הבא למדיניות:{ "members": [ "user:test-user@example.com" ], "role":"roles/compute.imageUser" }כותבים את המדיניות המעודכנת באמצעות השיטה
setIamPolicy. לדוגמה, כדי להגדיר מדיניות לגבי תמונה ספציפית, משתמשים ב-method images.setIamPolicy. בגוף הבקשה, מציינים את מדיניות ה-IAM המעודכנת מהשלב הקודם.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/images/IMAGE_NAME:setIamPolicy
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט שאליו שייך התמונה -
IMAGE_NAME: השם של התמונה
אופציונלי: כדי לאפשר למשתמשים לראות את התמונות המשותפות האלה בבקשות שלהם, צריך להקצות למשתמשים את תפקיד הצפייה ב-IAM (
roles/viewer) בפרויקט התמונות באמצעות השיטהprojects.setIamPolicy.images.listאם אתם לא רוצים שהמשתמשים יוכלו לראות את רשימת התמונות המשותפות, אתם יכולים לדלג על השלב הזה.POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy
-
הענקת הרשאות לשיתוף תמונות בהתאמה אישית באופן ציבורי
אתם יכולים לשתף את התמונות המותאמות אישית עם כל המשתמשים המאומתים ב-Compute Engine, בלי קשר לשאלה אם הם חלק מהארגון או מהפרויקט שלכם.
אפשר לשתף משאבים, כמו תמונות, עם כל המשתמשים המאומתים, אבל אי אפשר לשתף פרויקטים או ארגונים עם כל המשתמשים המאומתים. ההגבלה הזו, והיררכיית המשאבים, עוזרות למנוע מצב שבו ארגון משתף בטעות את כל הפרויקט שלו עם כל המשתמשים המאומתים ב-Compute Engine.
בדוגמה הבאה מוצג איך לתת לכל המשתמשים המאומתים ב-Compute Engine את התפקיד Compute Image User (roles/compute.imageUser) לתמונה בהתאמה אישית.
gcloud
כדי להפוך תמונות לגלויות לכולם, משתמשים בפקודה gcloud compute images add-iam-policy-binding:
gcloud compute images add-iam-policy-binding IMAGE_NAME \
--member='allAuthenticatedUsers' \
--role='roles/compute.imageUser'
מחליפים את IMAGE_NAME בשם המשאב – לדוגמה, my_image.
REST
קוראים את המדיניות הקיימת באמצעות השיטה
getIamPolicy. לדוגמה, כדי לקבל את המדיניות לגבי תמונה ספציפית, משתמשים ב-method images.getIamPolicy:POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/images/IMAGE_NAME:getIamPolicy
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט שאליו שייך התמונה -
IMAGE_NAME: השם של התמונה
Compute Engine מחזיר את המדיניות הנוכחית בתגובה.
-
כדי להוסיף או להסיר חברים ואת התפקידים המשויכים שלהם, עורכים את המדיניות באמצעות כלי לעריכת טקסט:
{ "members": [ "allAuthenticatedUsers" ], "role":"roles/compute.imageUser" }כותבים את המדיניות המעודכנת באמצעות השיטה
setIamPolicy. לדוגמה, כדי להגדיר מדיניות לגבי תמונה ספציפית, משתמשים ב-method images.setIamPolicy. בגוף הבקשה, מציינים את מדיניות ה-IAM המעודכנת מהשלב הקודם.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/images/IMAGE_NAME:setIamPolicy
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט שאליו שייך התמונה -
IMAGE_NAME: השם של התמונה
-
הענקת גישה של קבוצת מופעי מכונה מנוהלים לתמונות
ב-Compute Engine אפשר ליצור קבוצות של מכונות, מנוהלות או לא מנוהלות. אם יוצרים קבוצת מופעי מכונה מנוהלים (MIG), Compute Engine משתמש בסוכן השירות של Google APIs כדי לקרוא ל-Compute Engine API ולבצע פעולות שקשורות לקבוצה, כמו יצירה מחדש של מכונות לא תקינות ועדכון מכונות.
אם רוצים ליצור קבוצת מופעים מנוהלת (MIG) באמצעות תמונה מפרויקט אחר, צריך להעניק את התפקיד 'משתמש בתמונת Compute' (roles/compute.imageUser) לחשבון השירות של ממשקי ה-API ששייך לפרויקט שיוצר את ה-MIG. לדוגמה:
- פרויקט א' רוצה ליצור קבוצת מופעים מנוהלת (MIG) באמצעות תמונות שנמצאות בבעלות פרויקט ב'.
- בפרויקט ב', לחשבון השירות של פרויקט א' מוקצה התפקיד Compute Image User.
- עכשיו אפשר להשתמש בתמונות מפרויקט ב' כדי ליצור קבוצות של מכונות מופעלות (MIG).
אחרי שמקצים את התפקיד 'משתמש בתמונת Compute', אפשר לגשת לתמונה מהפרויקטים האחרים באמצעות המסוף או כתובת ה-URL של התמונה כשיוצרים את תבנית של הגדרות מכונה לקבוצה המנוהלת.
איך מוצאים את כתובת האימייל של חשבון השירות
נכנסים לדף IAM במסוף Cloud de Confiance של הפרויקט שרוצים לתת גישה לחשבון השירות שלו.
אם מתבקשים, בוחרים את הפרויקט מהרשימה.
מחפשים את Google APIs Service Agent, עם כתובת אימייל בפורמט הבא:
PROJECT_NUMBER@cloudservices.s3ns-system.iam.gserviceaccount.com
אחרי שמקבלים את כתובת האימייל של חשבון השירות, אפשר לעבור לאחד מהקטעים הבאים:
הענקת גישה ל-MIG לכל התמונות בפרויקט
עכשיו, כשכתובת האימייל של חשבון השירות ידועה, אפשר להוסיף את הכתובת לפרויקט אחר ולהעניק לה את התפקיד 'משתמש בתמונת מכונה וירטואלית של Compute' (roles/compute.imageUser).
המסוף
נכנסים לדף IAM במסוף Cloud de Confiance של פרויקט התמונות.
כדי להוסיף חבר חדש, לוחצים על Grant access.
בשדה New principals, מוסיפים את כתובת האימייל של חשבון השירות.
ברשימה Role, מעבירים את מצביע העכבר מעל Compute ובוחרים באפשרות Compute Image User.
אופציונלי: כדי לשלוט יותר בגישת המשתמש למשאבים של Cloud de Confiance, מוסיפים קישור תפקיד מותנה.
לוחצים על Save.
חוזרים לפרויקט של חשבון השירות.
עכשיו אפשר ליצור תבנית של הגדרות מכונה על סמך תמונה מפרויקט התמונות וליצור MIG על סמך תבנית של הגדרות מכונה.
gcloud
מוסיפים חשבון שירות מפרויקט התמונה באמצעות הפקודה gcloud projects
add-iam-policy-binding:
gcloud projects add-iam-policy-binding PROJECT_ID \
--member='serviceAccount:SERVICE_ACCOUNT_EMAIL' --role='roles/compute.imageUser'
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט שמכיל את התמונות שרוצים לשתף SERVICE_ACCOUNT_EMAIL: כתובת האימייל של חשבון השירות
עכשיו אפשר ליצור תבנית של הגדרות מכונה על סמך תמונה מפרויקט התמונות וליצור MIG על סמך תבנית של הגדרות מכונה.
REST
כדי לקבל את מדיניות ה-IAM של פרויקט התמונות, משתמשים ב-method
projects.getIamPolicy:POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:getIamPolicy
מחליפים את
PROJECT_IDבמזהה הפרויקט של תמונת הדיסק.כדי להעניק את התפקיד
roles/compute.imageUserלחשבון השירות, עורכים את המדיניות באמצעות עורך טקסט:{ "bindings": [ { "role": "roles/compute.imageUser", "members": [ "serviceAccount:SERVICE_ACCOUNT_EMAIL" ] } ] }מחליפים את
SERVICE_ACCOUNT_EMAILבכתובת האימייל בחשבון השירות.כותבים את המדיניות המעודכנת באמצעות
projects.setIamPolicy. בגוף הבקשה, מציינים את מדיניות ה-IAM המעודכנת מהשלב הקודם.POST https://cloudresourcemanager.googleapis.com/v1/projects/PROJECT_ID:setIamPolicy
מחליפים את
PROJECT_IDבמזהה המוצר של פרויקט התמונות.עכשיו אפשר ליצור תבנית של הגדרות מכונה על סמך תמונה מפרויקט התמונות וליצור MIG על סמך תבנית של הגדרות מכונה.
הענקת גישה ל-MIG לתמונות ספציפיות בפרויקט
עכשיו שיש לכם את כתובת האימייל של חשבון השירות, אתם יכולים להוסיף את הכתובת לפרויקט אחר ולהעניק את התפקיד Compute Image User (roles/compute.imageUser) לתמונות מסוימות.
המסוף
נכנסים לדף Images במסוף Cloud de Confiance של פרויקט התמונות.
מסמנים את התיבות לצד התמונות שרוצים לשתף.
כדי להרחיב את עמודת ההרשאות, לוחצים על הצגת חלונית המידע.
בחלונית Permissions, לוחצים על Add principal.
בשדה New principals, מזינים את כתובת האימייל בחשבון השירות שאיתו רוצים לשתף את התמונה. לדוגמה,
test123@example.domain.com.ברשימה Role בוחרים באפשרות Compute ואז באפשרות Compute Image User.
אופציונלי: כדי לשלוט יותר בגישת המשתמש למשאבי Cloud de Confiance by S3NS , מוסיפים קישור תפקיד מותנה.
לוחצים על Save.
חוזרים לפרויקט של חשבון השירות.
עכשיו אפשר ליצור תבנית של הגדרות מכונה על סמך תמונה מפרויקט התמונות וליצור MIG על סמך תבנית של הגדרות מכונה.
gcloud
כדי לתת לחשבון שירות גישה לתמונה ספציפית, משתמשים בפקודה gcloud compute images add-iam-policy-binding:
gcloud compute images add-iam-policy-binding IMAGE_NAME \
--member='serviceAccount:SERVICE_ACCOUNT_EMAIL' \
--role='roles/compute.imageUser'
מחליפים את מה שכתוב בשדות הבאים:
-
IMAGE_NAME: שם התמונה שרוצים לשתף SERVICE_ACCOUNT_EMAIL: כתובת האימייל של חשבון השירות
עכשיו אפשר ליצור תבנית של הגדרות מכונה על סמך תמונה מפרויקט התמונות וליצור MIG על סמך תבנית של הגדרות מכונה.
REST
כדי לקבל את מדיניות ה-IAM של תמונה באמצעות השיטה
images.getIamPolicy:POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/images/IMAGE_NAME:getIamPolicy
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט של פרויקט התמונות -
IMAGE_NAME: השם של התמונה שרוצים לשתף
-
כדי להעניק לחשבון השירות את התפקיד
roles/compute.imageUser, עורכים את המדיניות באמצעות עורך טקסט:{ "bindings": [ { "role": "roles/compute.imageUser", "members": [ "serviceAccount:SERVICE_ACCOUNT_EMAIL" ] } ] }מחליפים את
SERVICE_ACCOUNT_EMAILבכתובת האימייל בחשבון השירות.כותבים את המדיניות העדכנית באמצעות השיטה
images.setIamPolicy. בגוף הבקשה, מציינים את מדיניות ה-IAM המעודכנת מהשלב הקודם.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/images/IMAGE_NAME:setIamPolicy
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט של פרויקט התמונות -
IMAGE_NAME: השם של התמונה שרוצים לשתף
עכשיו אפשר ליצור תבנית של הגדרות מכונה על סמך תמונה מפרויקט התמונות וליצור MIG על סמך תבנית של הגדרות מכונה.
-
שליטה בשימוש בתמונות ובצילומי המסך ששיתפתם
אחרי שמשתפים את התמונות עם משתמשים אחרים, אפשר לקבוע איפה בארגון הם יוכלו להשתמש במשאבים האלה. מגדירים את ההגבלה constraints/compute.storageResourceUseRestrictionsכדי להגדיר את הפרויקטים שבהם מותר למשתמשים להשתמש במשאבי האחסון שלכם.
כדי להגדיר את האילוצים האלה, צריכה להיות לכם הרשאה לשנות את כללי המדיניות של הארגון. לדוגמה, לתפקיד resourcemanager.organizationAdmin יש הרשאה להגדיר את האילוצים האלה.
כדי למצוא את מזהה הארגון שלכם, משתמשים בפקודה
gcloud organization list:gcloud organizations list
כדי לקבל את הגדרות המדיניות הקיימות בארגון, משתמשים בפקודה
gcloud resource-manager org-policies describe:gcloud resource-manager org-policies describe \ compute.storageResourceUseRestrictions \ --organization ORGANIZATION_ID > org-policy.yamlמחליפים את ORGANIZATION_ID במזהה הארגון בן 12 הספרות.
פותחים את הקובץ
org-policy.yamlבכלי לעריכת טקסט ומשנים את האילוץcompute.storageResourceUseRestrictions. מוסיפים את ההגבלות שרוצים או מסירים את ההגבלות שכבר לא נדרשות. כשמסיימים לערוך את הקובץ, שומרים את השינויים. לדוגמה, אפשר להגדיר את רשומת האילוץ הבאה בקובץ המדיניות:constraint: compute.storageResourceUseRestrictions listPolicy: allowedValues: - under:organization/organization-idמחילים את הקובץ
org-policy.yamlעל הארגון באמצעות הפקודהgcloud resource-manager org-policies set-policy:gcloud resource-manager org-policies set-policy \ --organization=ORGANIZATION_ID org-policy.yaml
מחליפים את ORGANIZATION_ID במזהה הארגון בן 12 הספרות.
כשמסיימים להגדיר את האילוצים במדיניות הארגון, צריך לבדוק אותם כדי לוודא שהם יוצרים את ההגבלות הרצויות.
שימוש בתמונות מפרויקט אחר
אם מישהו נותן לכם גישה לתמונה אחת או יותר בפרויקט אחר, אתם יכולים לגשת לתמונות האלה בפרויקט על ידי ציון פרויקט התמונה בבקשות שלכם.
לדוגמה, כדי ליצור מכונה באמצעות קובץ אימג' משותף מפרויקט אחר, צריך לפעול לפי השלבים שמפורטים במאמר בנושא יצירת מכונה מקובץ אימג' משותף.
אפשר גם ליצור נפחים של דיסק אתחול מתמונות בפרויקט אחר. מידע על יצירת דיסק אתחול מקובץ אימג' זמין במאמר יצירת דיסק אתחול עצמאי של אחסון מתמיד.
ביטול הגישה לתמונות משותפות
אם משתמש כבר לא צריך גישה למשאבי Compute Engine, אפשר לבטל את הגישה שלו באמצעות מסוף Cloud de Confiance , Google Cloud CLI או REST.
המסוף
נכנסים לדף Images במסוף Cloud de Confiance של פרויקט התמונות.
מסמנים את תיבות הסימון לצד התמונות שרוצים לעדכן.
כדי להרחיב את עמודת ההרשאות, לוחצים על הצגת חלונית המידע.
מרחיבים את התפקיד שרוצים להסיר ממנו משתמשים.
כדי להסיר משתמש מהתפקיד, לוחצים על מחיקה.
gcloud
כדי להסיר משתמש מתפקיד בתמונה, משתמשים בפקודה gcloud compute images
remove-iam-policy-binding עם הדגלים --member ו---role:
gcloud compute images remove-iam-policy-binding IMAGE_NAME \
--member='MEMBER' \
--role='ROLE'
מחליפים את מה שכתוב בשדות הבאים:
-
IMAGE_NAME: שם התמונה, לדוגמהmy_image
MEMBER: הזהות שרוצים להסירהערך צריך להיות בפורמט
user|group|serviceAccount:emailאוdomain:domain. לדוגמה:user:test-user@gmail.comgroup:admins@example.comserviceAccount:test123@example.domain.comdomain:example.domain.com
ROLE: התפקיד שממנו רוצים להסיר את הזהות
אם מבטלים את הגישה למשאב שנמצא בגרסת בטא, צריך להשתמש בפקודה gcloud beta compute.
REST
קוראים את המדיניות הקיימת באמצעות השיטה
images.getIamPolicy:POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/global/images/IMAGE_NAME:getIamPolicy
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט שאליו שייך הדימוי -
IMAGE_NAME: השם של התמונה
Compute Engine מחזיר את המדיניות הנוכחית בתגובה.
-
כדי להסיר חברים ואת התפקידים שמשויכים אליהם, צריך לערוך את המדיניות באמצעות עורך טקסט.
כותבים את המדיניות העדכנית באמצעות השיטה
images.setIamPolicy. בגוף הבקשה, מציינים את מדיניות ה-IAM המעודכנת מהשלב הקודם.POST https://compute.googleapis.com/compute/v1/projects/PROJECT_ID/zones/global/images/IMAGE_NAME:setIamPolicy
מחליפים את מה שכתוב בשדות הבאים:
-
PROJECT_ID: מזהה הפרויקט שאליו שייך הדימוי -
IMAGE_NAME: השם של התמונה
-
המאמרים הבאים
- מידע על IAM
- רשימת התפקידים ב-IAM של Compute Engine
- מידע נוסף על תמונות
- איך יוצרים מכונה באמצעות קובץ אימג' משותף
- איך יוצרים דיסק קשיח קבוע לאתחול עצמאי
- כך משתמשים בתפקיד הזה עם פריסות של Deployment Manager.
- כדאי להחיל את העיקרון של הרשאות מינימליות על ידי הענקת גישה למשאבים ספציפיים של Compute Engine במקום לפרויקט שלם.