Nesta página, descrevemos como criar uma política de acesso no nível da organização e políticas com escopo para as pastas e projetos da organização.
Antes de começar
- Certifique-se de ter as permissões corretas para usar o Access Context Manager.
Criar uma política de acesso no nível da organização
Para uma organização, não é possível criar uma política de acesso no nível da organização se existir uma política de acesso no nível da organização.
Console
Quando você cria um nível de acesso ou perímetro de serviço do VPC Service Controls, uma política de acesso padrão é criada automaticamente. Nenhuma outra etapa manual é necessária.
gcloud
Para criar uma política de acesso no nível da organização, use o comando create.
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID --title POLICY_TITLE
Em que:
ORGANIZATION_ID é o código numérico da organização;
POLICY_TITLE é um título para a política que seja legível.
Você verá uma saída semelhante a esta (em que POLICY_NAME é um identificador numérico para a política atribuído pelo Google Cloud):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
Em seguida, defina sua política padrão.
API
Para criar uma política de acesso no nível da organização:
Crie um corpo da solicitação.
{ "parent": "ORGANIZATION_ID", "title": "POLICY_TITLE" }Em que:
ORGANIZATION_ID é o código numérico da organização;
POLICY_TITLE é um título para a política que seja legível.
Crie a política de acesso chamando
accessPolicies.create.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corpo da resposta
Caso a chamada seja bem-sucedida, o corpo da resposta incluirá um recurso de
Operation que fornece detalhes sobre a
operação POST.
Criar uma política de acesso com escopo e delegar a política
Somente o VPC Service Controls é compatível com a criação de uma política de acesso com escopo. Você precisa continuar usando políticas no nível da organização para os serviços do Google Cloud, como o Identity-Aware Proxy (IAP).
Console
No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.
Se solicitado, selecione a organização, a pasta ou o projeto.
Na página VPC Service Controls, selecione a política de acesso que é a mãe da política com escopo. Por exemplo, é possível selecionar a política da organização
default policy.Clique em Gerenciar políticas.
Na página Gerenciar VPC Service Controls, clique em Criar.
Na página Criar política de acesso, na caixa Nome da política de acesso, digite um nome para a política de acesso com escopo.
O nome da política de acesso com escopo pode ter no máximo 50 caracteres, precisa começar com uma letra e pode conter apenas letras latinas ASCII (az, AZ), números (0-9) ou sublinhados (
_). O nome da política de acesso com escopo diferencia maiúsculas de minúsculas e precisa ser exclusivo na política de acesso de uma organização.Para especificar um escopo para a política de acesso, clique em Escopos.
Especifique um projeto ou uma pasta como o escopo da política de acesso.
Para selecionar um projeto que você quer adicionar ao escopo da política de acesso, faça o seguinte:
No painel Escopos, clique em Adicionar projeto.
Na caixa de diálogo Adicionar projeto, marque a caixa de seleção do projeto.
Clique em Concluído. O projeto adicionado aparece na seção Escopos.
Para selecionar uma pasta que você quer adicionar ao escopo da política de acesso, faça o seguinte:
No painel Escopos, clique em Adicionar pasta.
Na caixa de diálogo Adicionar pastas, marque a caixa de seleção das pastas em questão.
Clique em Concluído. A pasta adicionada aparece na seção Escopos.
Para delegar a administração da política de acesso com escopo, clique em Diretores.
Para especificar o diretor e o papel que você quer vincular à política de acesso, faça o seguinte:
No painel Diretores, clique em Adicionar diretores.
Na caixa de diálogo Adicionar diretores, selecione um diretor, como um nome de usuário ou uma conta de serviço.
Selecione o papel que você quer associar ao diretor, como papéis de editor e leitura.
Clique em Save. O diretor e a função adicionados aparecem na seção Diretores.
Na página Criar política de acesso, clique em Criar política de acesso.
gcloud
Para criar uma política de acesso com escopo, use o comando gcloud access-context-manager policies create.
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE
Em que:
ORGANIZATION_ID é o código numérico da organização;
POLICY_TITLE é um título para a política que seja legível. O título da política pode ter no máximo 50 caracteres, precisa começar com uma letra e conter apenas letras latinas ASCII (az, A-Z), números (0-9) ou sublinhados (
_). O título da política diferencia maiúsculas de minúsculas e precisa ser exclusivo na política de acesso de uma organização.SCOPE é a pasta ou o projeto em que essa política é aplicável. Só é possível especificar uma pasta ou um projeto como o escopo, que precisa existir na organização especificada. Se você não especificar um escopo, a política será aplicada à organização inteira.
A saída a seguir é exibida (em que POLICY_NAME é um identificador numérico da política atribuído pelo Google Cloud):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
Para delegar a administração vinculando um principal e um papel a uma política de acesso com escopo, use o comando add-iam-policy-binding.
gcloud access-context-manager policies add-iam-policy-binding \ [POLICY] --member=PRINCIPAL --role=ROLE
Em que:
POLICY é o ID da política ou o identificador totalmente qualificado da política.
PRINCIPAL é o diretor para quem a vinculação deve ser adicionada. Especifique no seguinte formato:
user|group|serviceAccount:emailoudomain:domain.ROLE é o nome do papel a ser atribuído ao diretor. O nome do papel é o caminho completo de um papel predefinido, como
roles/accesscontextmanager.policyReader, ou o ID do papel, comoorganizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.
API
Para criar uma política de acesso com escopo, faça o seguinte:
Crie um corpo da solicitação.
{ "parent": "ORGANIZATION_ID", "scope": "SCOPE" "title": "POLICY_TITLE" }Em que:
ORGANIZATION_ID é o código numérico da organização;
SCOPE é a pasta ou o projeto em que essa política é aplicável.
POLICY_TITLE é um título para a política que seja legível. O título da política pode ter no máximo 50 caracteres, precisa começar com uma letra e conter apenas letras latinas ASCII (az, A-Z), números (0-9) ou sublinhados (
_). O título da política diferencia maiúsculas de minúsculas e precisa ser exclusivo na política de acesso de uma organização.
Crie a política de acesso chamando
accessPolicies.create.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corpo da resposta
Caso a chamada seja bem-sucedida, o corpo da resposta incluirá um recurso de
Operation que fornece detalhes sobre a
operação POST.
Para delegar a administração da política de acesso com escopo, faça o seguinte:
Crie um corpo da solicitação.
{ "policy": "IAM_POLICY", }Em que:
- IAM_POLICY é um conjunto de vinculações. Uma vinculação vincula um ou mais membros, ou diretores, a um único papel. Os diretores podem ser contas de usuário, contas de serviço, Grupos do Google e domínios. Um papel é uma lista nomeada de permissões. Cada um pode ser predefinido pelo IAM ou criado pelo usuário.
Crie a política de acesso chamando
accessPolicies.setIamPolicy.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Corpo da resposta
Se a solicitação for bem-sucedida, o corpo da resposta conterá uma instância de policy.