Criar uma política de acesso

Esta página descreve como criar uma política de acesso no nível da organização para sua organização e políticas com escopo para as pastas e os projetos da organização.

Antes de começar

Criar uma política de acesso no nível da organização

Não é possível criar uma política de acesso no nível da organização se ela já existir.

Console

Quando você cria um nível de acesso, uma política de acesso padrão é criada automaticamente. Nenhuma outra etapa manual é necessária.

gcloud

Para criar uma política de acesso no nível da organização, use o create kubectl.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID --title POLICY_TITLE

Em que:

  • ORGANIZATION_ID é o código numérico da organização;

  • POLICY_TITLE é um título para a política que seja legível.

Será exibida uma saída semelhante à seguinte (em que POLICY_NAME é um identificador numérico exclusivo da política atribuído pelo Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Em seguida, defina sua política padrão.

API

Para criar uma política de acesso no nível da organização:

  1. Crie um corpo da solicitação.

    {
     "parent": "ORGANIZATION_ID",
     "title": "POLICY_TITLE"
    }

    Em que:

    • ORGANIZATION_ID é o código numérico da organização;

    • POLICY_TITLE é um título para a política que seja legível.

  2. Crie a política de acesso chamando accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Corpo da resposta

Se bem-sucedido, o corpo da resposta da chamada conterá um recurso Operation que fornece detalhes sobre a operação POST.

Criar uma política de acesso com escopo e delegar a política

Somente o VPC Service Controls oferece suporte à criação de uma política de acesso com escopo. Você precisa continuar usando políticas no nível da organização para os serviços do Google Cloud, como o Identity-Aware Proxy (IAP).

Console

  1. No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.

    Acessar o VPC Service Controls

  2. Se solicitado, selecione a organização, a pasta ou o projeto.

  3. Na página VPC Service Controls, selecione a política de acesso que é a mãe da política com escopo. Por exemplo, é possível selecionar a política da organização default policy.

  4. Clique em Gerenciar políticas.

  5. Na página Gerenciar VPC Service Controls, clique em Criar.

  6. Na página Criar política de acesso, na caixa Nome da política de acesso, digite um nome para a política de acesso com escopo.

    O nome da política de acesso com escopo pode ter no máximo 50 caracteres, precisa começar com uma letra e pode conter apenas letras latinas ASCII (az, AZ), números (0-9) ou sublinhados (_). O nome da política de acesso com escopo diferencia maiúsculas de minúsculas e precisa ser exclusivo na política de acesso de uma organização.

  7. Para especificar um escopo para a política de acesso, clique em Escopos.

  8. Especifique um projeto ou uma pasta como o escopo da política de acesso.

    • Para selecionar um projeto que você quer adicionar ao escopo da política de acesso, faça o seguinte:

      1. No painel Escopos, clique em Adicionar projeto.

      2. Na caixa de diálogo Adicionar projeto, marque a caixa de seleção do projeto.

      3. Clique em Concluído. O projeto adicionado aparece na seção Escopos.

    • Para selecionar uma pasta que você quer adicionar ao escopo da política de acesso, faça o seguinte:

      1. No painel Escopos, clique em Adicionar pasta.

      2. Na caixa de diálogo Adicionar pastas, marque a caixa de seleção das pastas em questão.

      3. Clique em Concluído. A pasta adicionada aparece na seção Escopos.

  9. Para delegar a administração da política de acesso com escopo, clique em Diretores.

  10. Para especificar o diretor e o papel que você quer vincular à política de acesso, faça o seguinte:

    1. No painel Diretores, clique em Adicionar diretores.

    2. Na caixa de diálogo Adicionar diretores, selecione um diretor, como um nome de usuário ou uma conta de serviço.

    3. Selecione o papel que você quer associar ao diretor, como papéis de editor e leitura.

    4. Clique em Save. O diretor e a função adicionados aparecem na seção Diretores.

  11. Na página Criar política de acesso, clique em Criar política de acesso.

gcloud

Para criar uma política de acesso com escopo, use o comando gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Em que:

  • ORGANIZATION_ID é o código numérico da organização;

  • POLICY_TITLE é um título para a política que seja legível. O título da política pode ter no máximo 50 caracteres, precisa começar com uma letra e conter apenas letras latinas ASCII (az, A-Z), números (0-9) ou sublinhados (_). O título da política diferencia maiúsculas de minúsculas e precisa ser exclusivo na política de acesso de uma organização.

  • SCOPE é a pasta ou o projeto em que essa política é aplicável. Só é possível especificar uma pasta ou um projeto como o escopo, que precisa existir na organização especificada. Se você não especificar um escopo, a política será aplicada à organização inteira.

É exibida a seguinte saída, em que POLICY_NAME é um identificador numérico da política exclusivo atribuído pelo Google Cloud:

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Para delegar a administração vinculando um principal e um papel a uma política de acesso com escopo, use o comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Em que:

  • POLICY é o ID da política ou o identificador totalmente qualificado da política.

  • PRINCIPAL é o diretor para quem a vinculação deve ser adicionada. Especifique no seguinte formato: user|group|serviceAccount:email ou domain:domain.

  • ROLE é o nome do papel a ser atribuído ao diretor. O nome do papel é o caminho completo de um papel predefinido, como roles/accesscontextmanager.policyReader, ou o ID do papel, como organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.

API

Para criar uma política de acesso com escopo, faça o seguinte:

  1. Crie um corpo da solicitação.

    {
     "parent": "ORGANIZATION_ID",
     "scope": "SCOPE"
     "title": "POLICY_TITLE"
    }

    Em que:

    • ORGANIZATION_ID é o código numérico da organização;

    • SCOPE é a pasta ou o projeto em que essa política é aplicável.

    • POLICY_TITLE é um título para a política que seja legível. O título da política pode ter no máximo 50 caracteres, precisa começar com uma letra e conter apenas letras latinas ASCII (az, A-Z), números (0-9) ou sublinhados (_). O título da política diferencia maiúsculas de minúsculas e precisa ser exclusivo na política de acesso de uma organização.

  2. Crie a política de acesso chamando accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Corpo da resposta

Caso a chamada seja bem-sucedida, o corpo da resposta incluirá um recurso de Operation que fornece detalhes sobre a operação POST.

Para delegar a administração da política de acesso com escopo, faça o seguinte:

  1. Crie um corpo da solicitação.

    {
     "policy": "IAM_POLICY",
    }

    Em que:

    • IAM_POLICY é um conjunto de vinculações. Uma vinculação vincula um ou mais membros, ou diretores, a um único papel. Os diretores podem ser contas de usuário, contas de serviço, Grupos do Google e domínios. Um papel é uma lista nomeada de permissões. Cada um pode ser predefinido pelo IAM ou criado pelo usuário.
  2. Crie a política de acesso chamando accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Corpo da resposta

Se a solicitação for bem-sucedida, o corpo da resposta conterá uma instância de policy.

A seguir