Esta página foi traduzida pela API Cloud Translation.

Controle de acesso com o IAM

Nesta página, descrevemos as opções de controle de acesso disponíveis para a API Cloud Asset.

Visão geral

O Inventário de recursos do Cloud usa o gerenciamento de identidade e acesso (IAM) para controle de acesso.

Na API Cloud Asset, o controle de acesso pode ser configurado para envolvidos no projeto ou no nível da organização. Por exemplo, você pode conceder acesso a todos os recursos do Cloud Asset Inventory dentro de um projeto a um grupo de desenvolvedores.

Para ver uma descrição detalhada do IAM e dos recursos dele, consulte este Guia do desenvolvedor. Consulte especificamente a seção Como gerenciar políticas do IAM.

Cada método da API do Cloud Asset Inventory exige que o autor da chamada tenha as permissões necessárias. Para mais informações, veja Permissões e papéis.

Permissões e papéis

Nesta seção, resumimos as permissões e papéis da API Cloud Asset compatíveis com o IAM.

Permissões necessárias

A tabela a seguir lista as permissões que o autor da chamada precisa ter para chamar cada método na API Cloud Asset ou para executar tarefas usando ferramentas do Google Cloud que usam a API, como o Console do Google Cloud ou a CLI do Google Cloud.

Permissão	Métodos de API
`cloudasset.assets.searchAllResources`	`*.searchAllResources`
`cloudasset.assets.searchAllIamPolicies`	`*.searchAllIamPolicies`
`cloudasset.assets.analyzeIamPolicy`	`*.analyzeIamPolicy`
`cloudasset.assets.analyzeIamPolicy`	`*.analyzeIamPolicyLongrunning`
`cloudasset.assets.analyzeIamPolicy`, `cloudasset.assets.searchAllResources` e `cloudasset.assets.searchAllIamPolicies`	`*.batchGetEffectiveIamPolicies`


`cloudasset.feeds.get`	`*.getFeed`
`cloudasset.feeds.list`	`*.listFeeds`
`cloudasset.feeds.delete`	`*.deleteFeed`
`cloudasset.feeds.create`, `cloudasset.assets.exportResource` ou `cloudasset.assets.exportIamPolicy` com base no `content_type`	`*.createFeed`


`cloudasset.feeds.update`, `cloudasset.assets.exportResource` ou `cloudasset.assets.exportIamPolicy` com base no `content_type`	`*.updateFeed`


`cloudasset.assets.exportResource`, `cloudasset.assets.exportIamPolicy`, `cloudasset.assets.exportOrgPolicy`, `cloudasset.assets.exportOSInventories` ou `cloudasset.assets.exportAccessPolicy` com base no `content_type`	`*.batchGetAssetsHistory`
	`*.exportAssets`
	`*.operations.get`





`cloudasset.assets.listResource`, `cloudasset.assets.listIamPolicy`, `cloudasset.assets.listOrgPolicy`, `cloudasset.assets.listAccessPolicy` ou `cloudasset.assets.listOSInventories` com base no `content_type`	`*.listAssets`
`cloudasset.assets.analyzeMove`	`*.analyzeMove`
`cloudasset.savedqueries.create`	`*.createSavedQuery`
`cloudasset.savedqueries.get`	`*.getSavedQuery`
`cloudasset.savedqueries.list`	`*.listSavedQueries`
`cloudasset.savedqueries.update`	`*.updateSavedQuery`
`cloudasset.savedqueries.delete`	`*.deleteSavedQuery`

Ao usar API *.exportAssets para exportar metadados de recursos de tipos de recursos especificados com RESOURCE ou um tipo de conteúdo não especificado, se o autor da chamada não tiver recebido cloudasset.assets.exportResource, uma alternativa é o autor da chamada ter permissões por tipo de recurso apropriadas para cada tipo de recurso especificado na solicitação.

Papéis

O Inventário de recursos do Cloud tem dois papéis do IAM

Proprietário de recurso do Cloud (roles/cloudasset.owner), que concede acesso total aos metadados do recurso da nuvem. Concede todas as permissões cloudasset.* e recommender.cloudAssetInsights.*.
Leitor de recursos do Cloud (roles/cloudasset.viewer), que concede acesso somente leitura aos metadados do recurso da nuvem. Concede todas as permissões cloudasset.assets.* (não concede permissões cloudasset.feeds.* e cloudasset.savedqueries.*), recommender.cloudAssetInsights.get e recommender.cloudAssetInsights.list.

Escolha o papel apropriado que contém as permissões necessárias para suas necessidades. Em geral, somente o papel de proprietário do recurso do Cloud concede todas as permissões necessárias para chamar a API Cloud Asset e permite o uso total de todos os métodos.

Os papéis básicos incluem as seguintes permissões:

O papel Proprietário (roles/owner) concede todas as permissões cloudasset.*.
O papel de editor (roles/editor) concede as permissões cloudasset.assets.search* e cloudasset.assets.analyzeIamPolicy.
O papel de visualizador (roles/viewer) concede as permissões cloudasset.assets.search* e cloudasset.assets.analyzeIamPolicy.

Recomendamos que você conceda um dos papéis do Cloud Asset em vez de um papel básico, porque os papéis básicos contêm muitas permissões para outros serviços do Google Cloud e podem resultar em um escopo de acesso maior do que o pretendido.

Gerenciar acesso

É possível conceder papéis aos usuários no nível da organização, pasta ou projeto. Saiba mais em Como conceder, alterar e revogar o acesso.

VPC Service Controls

O VPC Service Controls pode ser usado com o Inventário de recursos do Cloud para aumentar a segurança dos recursos. Para saber mais sobre o VPC Service Controls, consulte a visão geral sobre ele.

Para saber mais sobre as limitações do uso do Inventário de recursos do Cloud com o VPC Service Controls, consulte os produtos e limitações com suporte.