Nesta página, descrevemos as opções de controle de acesso disponíveis para a API Cloud Asset.
Visão geral
O Inventário de recursos do Cloud usa o gerenciamento de identidade e acesso (IAM) para controle de acesso.
Na API Cloud Asset, o controle de acesso pode ser configurado para envolvidos no projeto ou no nível da organização. Por exemplo, você pode conceder acesso a todos os recursos do Cloud Asset Inventory dentro de um projeto a um grupo de desenvolvedores.
Para ver uma descrição detalhada do IAM e dos recursos dele, consulte este Guia do desenvolvedor. Consulte especificamente a seção Como gerenciar políticas do IAM.
Cada método da API do Cloud Asset Inventory exige que o autor da chamada tenha as permissões necessárias. Para mais informações, veja Permissões e papéis.
Permissões e papéis
Nesta seção, resumimos as permissões e papéis da API Cloud Asset compatíveis com o IAM.
Permissões necessárias
A tabela a seguir lista as permissões que o autor da chamada precisa ter para chamar cada método na API Cloud Asset ou para executar tarefas usando ferramentas do Google Cloud que usam a API, como o Console do Google Cloud ou a CLI do Google Cloud.
Permissão | Métodos de API |
---|---|
cloudasset.assets.searchAllResources |
*.searchAllResources |
cloudasset.assets.searchAllIamPolicies |
*.searchAllIamPolicies |
cloudasset.assets.analyzeIamPolicy
| *.analyzeIamPolicy |
*.analyzeIamPolicyLongrunning |
|
cloudasset.assets.analyzeIamPolicy ,cloudasset.assets.searchAllResources ecloudasset.assets.searchAllIamPolicies |
*.batchGetEffectiveIamPolicies |
cloudasset.feeds.get |
*.getFeed |
cloudasset.feeds.list |
*.listFeeds |
cloudasset.feeds.delete |
*.deleteFeed |
cloudasset.feeds.create ,cloudasset.assets.exportResource oucloudasset.assets.exportIamPolicy com base no content_type
|
*.createFeed |
cloudasset.feeds.update ,cloudasset.assets.exportResource oucloudasset.assets.exportIamPolicy com base no content_type
|
*.updateFeed |
cloudasset.assets.exportResource ,cloudasset.assets.exportIamPolicy ,cloudasset.assets.exportOrgPolicy , cloudasset.assets.exportOSInventories oucloudasset.assets.exportAccessPolicy com base no content_type
|
*.batchGetAssetsHistory |
*.exportAssets |
|
*.operations.get |
|
cloudasset.assets.listResource ,cloudasset.assets.listIamPolicy ,cloudasset.assets.listOrgPolicy , cloudasset.assets.listAccessPolicy oucloudasset.assets.listOSInventories com base no content_type
|
*.listAssets |
cloudasset.assets.analyzeMove |
*.analyzeMove |
cloudasset.savedqueries.create |
*.createSavedQuery |
cloudasset.savedqueries.get |
*.getSavedQuery |
cloudasset.savedqueries.list |
*.listSavedQueries |
cloudasset.savedqueries.update |
*.updateSavedQuery |
cloudasset.savedqueries.delete |
*.deleteSavedQuery |
Ao usar API *.exportAssets
para exportar metadados de recursos de
tipos de
recursos especificados com RESOURCE
ou um tipo de conteúdo não especificado, se o
autor da chamada não tiver recebido cloudasset.assets.exportResource
,
uma alternativa é o autor da chamada ter
permissões por tipo de recurso
apropriadas para cada tipo de recurso especificado na solicitação.
Papéis
O Inventário de recursos do Cloud tem dois papéis do IAM
- Proprietário de recurso do Cloud (
roles/cloudasset.owner
), que concede acesso total aos metadados do recurso da nuvem. Concede todas as permissõescloudasset.*
erecommender.cloudAssetInsights.*
. - Leitor de recursos do Cloud (
roles/cloudasset.viewer
), que concede acesso somente leitura aos metadados do recurso da nuvem. Concede todas as permissõescloudasset.assets.*
(não concede permissõescloudasset.feeds.*
ecloudasset.savedqueries.*
),recommender.cloudAssetInsights.get
erecommender.cloudAssetInsights.list
.
Escolha o papel apropriado que contém as permissões necessárias para suas necessidades. Em geral, somente o papel de proprietário do recurso do Cloud concede todas as permissões necessárias para chamar a API Cloud Asset e permite o uso total de todos os métodos.
Os papéis básicos incluem as seguintes permissões:
- O papel Proprietário (
roles/owner
) concede todas as permissõescloudasset.*
. - O papel de editor (
roles/editor
) concede as permissõescloudasset.assets.search*
ecloudasset.assets.analyzeIamPolicy
. - O papel de visualizador (
roles/viewer
) concede as permissõescloudasset.assets.search*
ecloudasset.assets.analyzeIamPolicy
.
Recomendamos que você conceda um dos papéis do Cloud Asset em vez de um papel básico, porque os papéis básicos contêm muitas permissões para outros serviços do Google Cloud e podem resultar em um escopo de acesso maior do que o pretendido.
Gerenciar acesso
É possível conceder papéis aos usuários no nível da organização, pasta ou projeto. Saiba mais em Como conceder, alterar e revogar o acesso.
VPC Service Controls
O VPC Service Controls pode ser usado com o Inventário de recursos do Cloud para aumentar a segurança dos recursos. Para saber mais sobre o VPC Service Controls, consulte a visão geral sobre ele.
Para saber mais sobre as limitações do uso do Inventário de recursos do Cloud com o VPC Service Controls, consulte os produtos e limitações com suporte.