Esta página descreve como criar uma política de acesso ao nível da organização para a sua organização e políticas com âmbito para as pastas e os projetos na sua organização.
Antes de começar
- Certifique-se de que tem as autorizações corretas para usar o Gestor de contexto de acesso.
Crie uma política de acesso ao nível da organização
Para uma organização, não pode criar uma política de acesso ao nível da organização se existir uma política de acesso ao nível da organização para essa organização.
Consola
Quando cria um nível de acesso, é criada automaticamente uma política de acesso predefinida. Não são necessários passos manuais adicionais.
gcloud
Para criar uma política de acesso ao nível da organização, use o comando create.
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID --title POLICY_TITLE
Onde:
ORGANIZATION_ID é o ID numérico da sua organização.
POLICY_TITLE é um título legível para a sua política.
Deverá ver um resultado semelhante ao seguinte (em que POLICY_NAME é um identificador numérico exclusivo da política atribuído por Google Cloud):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
Em seguida, defina a sua política predefinida.
API
Para criar uma política de acesso ao nível da organização:
Crie um corpo do pedido.
{ "parent": "ORGANIZATION_ID", "title": "POLICY_TITLE" }
Onde:
ORGANIZATION_ID é o ID numérico da sua organização.
POLICY_TITLE é um título legível para a sua política.
Crie a política de acesso chamando
accessPolicies.create.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corpo da resposta
Se for bem-sucedido, o corpo da resposta da chamada contém um recurso Operation que fornece detalhes sobre a operação POST.
Crie uma política de acesso com âmbito e delegue a política
Apenas os VPC Service Controls suportam a criação de uma política de acesso com âmbito. Tem de continuar a usar políticas ao nível da organização para serviços, como o Identity-Aware Proxy (IAP). Google Cloud
Consola
No menu de navegação da Google Cloud consola, clique em Segurança e, de seguida, clique em VPC Service Controls.
Se lhe for pedido, selecione a sua organização, pasta ou projeto.
Na página VPC Service Controls, selecione a política de acesso que é a principal da política com âmbito. Por exemplo, pode selecionar a
default policypolítica da organização.Clique em Gerir políticas.
Na página Gerir VPC Service Controls, clique em Criar.
Na página Criar política de acesso, na caixa Nome da política de acesso, introduza um nome para a política de acesso com âmbito.
O nome da política de acesso com âmbito tem um comprimento máximo de 50 carateres, tem de começar com uma letra e só pode conter letras latinas ASCII (a-z, A-Z), números (0-9) ou sublinhados (
_). O nome da política de acesso com âmbito é sensível a maiúsculas e minúsculas e tem de ser exclusivo na política de acesso de uma organização.Para especificar um âmbito para a política de acesso, clique em Âmbitos.
Especifique um projeto ou uma pasta como o âmbito da política de acesso.
Para selecionar um projeto que quer adicionar ao âmbito da política de acesso, faça o seguinte:
No painel Âmbitos, clique em Adicionar projeto.
Na caixa de diálogo Adicionar projeto, selecione a caixa de verificação desse projeto.
Clique em Concluído. O projeto adicionado aparece na secção Âmbitos.
Para selecionar uma pasta que quer adicionar ao âmbito da política de acesso, faça o seguinte:
No painel Âmbitos, clique em Adicionar pasta.
Na caixa de diálogo Adicionar pastas, selecione a caixa de verificação dessa pasta.
Clique em Concluído. A pasta adicionada é apresentada na secção Âmbitos.
Para delegar a administração da política de acesso com âmbito, clique em Principais.
Para especificar o principal e a função que quer associar à política de acesso, faça o seguinte:
No painel Principais, clique em Adicionar principais.
Na caixa de diálogo Adicionar membros, selecione um membro, como um nome de utilizador ou uma conta de serviço.
Selecione a função que quer associar ao principal, como funções de editor e de leitura.
Clique em Guardar. O principal e a função adicionados aparecem na secção Principais.
Na página Criar política de acesso, clique em Criar política de acesso.
gcloud
Para criar uma política de acesso com âmbito, use o comando gcloud access-context-manager policies create.
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE
Onde:
ORGANIZATION_ID é o ID numérico da sua organização.
POLICY_TITLE é um título legível para a sua política. O título da política pode ter um comprimento máximo de 50 carateres, tem de começar com uma letra e só pode conter letras latinas ASCII (a-z, A-Z), números (0-9) ou sublinhados (
_). O título da política é sensível a maiúsculas e minúsculas e tem de ser exclusivo na política de acesso de uma organização.SCOPE é a pasta ou o projeto no qual esta política é aplicável. Só pode especificar uma pasta ou um projeto como âmbito, e o âmbito tem de existir na organização especificada. Se não especificar um âmbito, a política aplica-se a toda a organização.
É apresentada a seguinte saída (em que POLICY_NAME é um identificador numérico exclusivo da política atribuído por Google Cloud):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
Para delegar a administração associando um principal e uma função a uma política de acesso com âmbito, use o comando add-iam-policy-binding.
gcloud access-context-manager policies add-iam-policy-binding \ [POLICY] --member=PRINCIPAL --role=ROLE
Onde:
POLICY é o ID da política ou o identificador totalmente qualificado da política.
PRINCIPAL é o principal ao qual adicionar a associação. Especifique no seguinte formato:
user|group|serviceAccount:emailoudomain:domain.ROLE é o nome da função a atribuir ao principal. O nome da função é o caminho completo de uma função predefinida, como
roles/accesscontextmanager.policyReader, ou o ID da função de uma função personalizada, comoorganizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.
API
Para criar uma política de acesso restrito, faça o seguinte:
Crie um corpo do pedido.
{ "parent": "ORGANIZATION_ID", "scope": "SCOPE" "title": "POLICY_TITLE" }
Onde:
ORGANIZATION_ID é o ID numérico da sua organização.
SCOPE é a pasta ou o projeto no qual esta política é aplicável.
POLICY_TITLE é um título legível para a sua política. O título da política pode ter um comprimento máximo de 50 carateres, tem de começar com uma letra e só pode conter letras latinas ASCII (a-z, A-Z), números (0-9) ou sublinhados (
_). O título da política é sensível a maiúsculas e minúsculas e tem de ser exclusivo na política de acesso de uma organização.
Crie a política de acesso chamando
accessPolicies.create.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corpo da resposta
Se for bem-sucedido, o corpo da resposta da chamada contém um recurso Operation que fornece detalhes sobre a operação POST.
Para delegar a administração da política de acesso restrito, faça o seguinte:
Crie um corpo do pedido.
{ "policy": "IAM_POLICY", }
Onde:
- IAM_POLICY é uma coleção de associações. Uma associação associa um ou mais membros, ou principais, a uma única função. Os principais podem ser contas de utilizador, contas de serviço, grupos Google e domínios. Uma função é uma lista denominada de autorizações. Cada função pode ser uma função predefinida do IAM ou uma função personalizada criada pelo utilizador.
Crie a política de acesso chamando
accessPolicies.setIamPolicy.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corpo da resposta
Se for bem-sucedido, o corpo da resposta contém uma instância de policy.