Criar uma política de acesso

Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Nesta página, você verá como criar uma política de acesso no nível da organização para sua organização e políticas com escopo para as pastas e projetos da organização.

Antes de começar

Criar uma política de acesso no nível da organização

Não é possível criar uma política de acesso no nível da organização se ela existir para ela.

Console

Ao criar um nível de acesso ou um perímetro de serviço do VPC Service Controls, uma política de acesso padrão é criada automaticamente. Nenhuma outra etapa manual é necessária.

gcloud

Para criar uma política de acesso no nível da organização, use o comando create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID --title POLICY_TITLE

Em que:

  • ORGANIZATION_ID é o código numérico da organização;

  • POLICY_TITLE é um título para a política que seja legível.

Você verá uma saída semelhante à seguinte, em que POLICY_NAME é um identificador numérico exclusivo da política atribuída pelo GCP:

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Em seguida, defina sua política padrão.

API

Para criar uma política de acesso no nível da organização:

  1. Crie um corpo de solicitação.

    {
     "parent": "ORGANIZATION_ID",
     "title": "POLICY_TITLE"
    }
    

    Em que:

    • ORGANIZATION_ID é o código numérico da organização;

    • POLICY_TITLE é um título para a política que seja legível.

  2. Crie a política de acesso chamando accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Corpo da resposta

Caso a chamada seja bem-sucedida, o corpo da resposta incluirá um recurso de Operation que fornece detalhes sobre a operação POST.

Criar uma política de acesso com escopo e delegar a política

Console

  1. No menu de navegação do Console do Google Cloud, clique em Segurança e, em seguida, clique em VPC Service Controls.

    Acessar o VPC Service Controls

  2. Se solicitado, selecione a organização, a pasta ou o projeto.

  3. Na página VPC Service Controls, selecione a política de acesso que é a mãe da política com escopo. Por exemplo, é possível selecionar a política da organização default policy.

  4. Clique em Gerenciar políticas.

  5. Na página Gerenciar VPC Service Controls, clique em Criar.

  6. Na página Criar política de acesso, na caixa Nome da política de acesso, digite um nome para a política de acesso com escopo.

    O nome da política de acesso com escopo pode ter no máximo 50 caracteres, precisa começar com uma letra e pode conter apenas letras latinas ASCII (az, AZ), números (0-9) ou sublinhados (_). O nome da política de acesso com escopo diferencia maiúsculas de minúsculas e precisa ser exclusivo na política de acesso de uma organização.

  7. Para especificar um escopo para a política de acesso, clique em Escopos.

  8. Especifique um projeto ou uma pasta como o escopo da política de acesso.

    • Para selecionar um projeto que você quer adicionar ao escopo da política de acesso, faça o seguinte:

      1. No painel Escopos, clique em Adicionar projeto.

      2. Na caixa de diálogo Adicionar projeto, marque a caixa de seleção do projeto.

      3. Clique em Concluído. O projeto adicionado aparece na seção Escopos.

    • Para selecionar uma pasta que você quer adicionar ao escopo da política de acesso, faça o seguinte:

      1. No painel Escopos, clique em Adicionar pasta.

      2. Na caixa de diálogo Adicionar pastas, marque a caixa de seleção das pastas em questão.

      3. Clique em Concluído. A pasta adicionada aparece na seção Escopos.

  9. Para delegar a administração da política de acesso com escopo, clique em Diretores.

  10. Para especificar o diretor e o papel que você quer vincular à política de acesso, faça o seguinte:

    1. No painel Diretores, clique em Adicionar diretores.

    2. Na caixa de diálogo Adicionar diretores, selecione um diretor, como um nome de usuário ou uma conta de serviço.

    3. Selecione o papel que você quer associar ao diretor, como papéis de editor e leitura.

    4. Clique em Save. O diretor e a função adicionados aparecem na seção Diretores.

  11. Na página Criar política de acesso, clique em Criar política de acesso.

gcloud

Para criar uma política de acesso com escopo, use o comando gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Em que:

  • ORGANIZATION_ID é o código numérico da organização;

  • POLICY_TITLE é um título para a política que seja legível. O título da política pode ter no máximo 50 caracteres, precisa começar com uma letra e conter apenas letras latinas ASCII (a - z, A a Z), números (0 - 9) ou sublinhados (_). O título da política diferencia maiúsculas de minúsculas e precisa ser exclusivo nas políticas de acesso da organização.

  • SCOPE é a pasta ou o projeto em que esta política se aplica. Só é possível especificar uma pasta ou um projeto como o escopo, que precisa existir na organização especificada. Se você não especificar um escopo, a política será aplicada à organização inteira.

A seguinte saída é exibida (em que POLICY_NAME é um identificador numérico exclusivo da política atribuída pelo GCP:

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Para delegar a administração vinculando um principal e um papel a uma política de acesso com escopo, use o comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Em que:

  • POLICY é o ID da política ou o identificador totalmente qualificado da política.

  • PRINCIPAL é o diretor para quem a vinculação deve ser adicionada. Especifique no seguinte formato: user|group|serviceAccount:email ou domain:domain.

  • ROLE é o nome do papel a ser atribuído ao diretor. O nome do papel é o caminho completo de um papel predefinido, como roles/accesscontextmanager.policyReader, ou o ID do papel, como organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.

API

Para criar uma política de acesso com escopo, faça o seguinte:

  1. Crie um corpo de solicitação.

    {
     "parent": "ORGANIZATION_ID",
     "scope": "SCOPE"
     "title": "POLICY_TITLE"
    }
    

    Em que:

    • ORGANIZATION_ID é o código numérico da organização;

    • SCOPE é a pasta ou o projeto em que esta política se aplica.

    • POLICY_TITLE é um título para a política que seja legível. O título da política pode ter no máximo 50 caracteres, precisa começar com uma letra e conter apenas letras latinas ASCII (a - z, A a Z), números (0 - 9) ou sublinhados (_). O título da política diferencia maiúsculas de minúsculas e precisa ser exclusivo nas políticas de acesso da organização.

  2. Crie a política de acesso chamando accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Corpo da resposta

Caso a chamada seja bem-sucedida, o corpo da resposta incluirá um recurso de Operation que fornece detalhes sobre a operação POST.

Para delegar a administração da política de acesso com escopo, faça o seguinte:

  1. Crie um corpo de solicitação.

    {
     "policy": "IAM_POLICY",
    }
    

    Em que:

    • IAM_POLICY é um conjunto de vinculações. Uma vinculação vincula um ou mais membros, ou diretores, a um único papel. Os diretores podem ser contas de usuário, contas de serviço, Grupos do Google e domínios. Um papel é uma lista nomeada de permissões. Cada um pode ser predefinido pelo IAM ou criado pelo usuário.
  2. Crie a política de acesso chamando accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Corpo da resposta

Se a solicitação for bem-sucedida, o corpo da resposta conterá uma instância de policy.

A seguir