Controle de acesso com o IAM

Nesta página, descrevemos as opções de controle de acesso disponíveis para a API Cloud Asset.

Visão geral

O Inventário de recursos do Cloud usa o gerenciamento de identidade e acesso (IAM) para controle de acesso.

Na API Cloud Asset, o controle de acesso pode ser configurado para envolvidos no projeto ou no nível da organização. Por exemplo, você pode conceder acesso a todos os recursos do Cloud Asset Inventory dentro de um projeto a um grupo de desenvolvedores.

Para ver uma descrição detalhada do IAM e dos recursos dele, consulte este Guia do desenvolvedor. Consulte especificamente a seção Como gerenciar políticas do IAM.

Cada método da API do Cloud Asset Inventory exige que o autor da chamada tenha as permissões necessárias. Para mais informações, veja Permissões e papéis.

Permissões e papéis

Nesta seção, resumimos as permissões e papéis da API Cloud Asset compatíveis com o IAM.

Permissões necessárias

A tabela a seguir lista as permissões que o autor da chamada precisa ter para chamar cada método na API Cloud Asset ou para executar tarefas usando ferramentas do Google Cloud que usam a API, como o Console do Google Cloud ou o SDK do Cloud.

Permissão Métodos de API
cloudasset.assets.searchAllResources *.searchAllResources
cloudasset.assets.searchAllIamPolicies *.searchAllIamPolicies
cloudasset.assets.analyzeIamPolicy
*.analyzeIamPolicy
*.analyzeIamPolicyLongrunning
cloudasset.feeds.get *.getFeed
cloudasset.feeds.list *.listFeeds
cloudasset.feeds.delete *.deleteFeed
cloudasset.feeds.create,
cloudasset.assets.exportResource ou
cloudasset.assets.exportIamPolicy
com base no content_type
*.createFeed
cloudasset.feeds.update,
cloudasset.assets.exportResource ou
cloudasset.assets.exportIamPolicy
com base no content_type
*.updateFeed
cloudasset.assets.exportResource,
cloudasset.assets.exportIamPolicy,
cloudasset.assets.exportOrgPolicy,
cloudasset.assets.exportOSInventories ou
cloudasset.assets.exportAccessPolicy
com base no content_type
*.batchGetAssetsHistory
*.exportAssets
*.operations.get
cloudasset.assets.analyzeMove *.analyzeMove
cloudasset.savedqueries.create *.createSavedQuery
cloudasset.savedqueries.get *.getSavedQuery
cloudasset.savedqueries.list *.listSavedQueries
cloudasset.savedqueries.update *.updateSavedQuery
cloudasset.savedqueries.delete *.deleteSavedQuery

Ao usar API *.exportAssets para exportar metadados de recursos de tipos de recursos especificados com RESOURCE ou um tipo de conteúdo não especificado, se o autor da chamada não tiver recebido cloudasset.assets.exportResource, uma alternativa é o autor da chamada ter permissões por tipo de recurso apropriadas para cada tipo de recurso especificado na solicitação.

Papéis

O Inventário de recursos do Cloud tem dois papéis do IAM

  • Proprietário de recurso do Cloud (roles/cloudasset.owner), que concede acesso total aos metadados do recurso da nuvem. Concede todas as permissões cloudasset.* e recommender.cloudAssetInsights.*.
  • Leitor de recursos do Cloud (roles/cloudasset.viewer), que concede acesso somente leitura aos metadados do recurso da nuvem. Ela concede todas as permissões cloudasset.assets.* e cloudasset.feeds.* e cloudasset.savedqueries.*, recommender.cloudAssetInsights.get e recommender.cloudAssetInsights.list.

Escolha o papel apropriado que contém as permissões necessárias para suas necessidades. Em geral, somente o papel de proprietário do recurso do Cloud concede todas as permissões necessárias para chamar a API Cloud Asset e permite o uso total de todos os métodos.

Os papéis básicos incluem as seguintes permissões:

  • O papel Proprietário (roles/owner) concede todas as permissões cloudasset.*.
  • O papel de editor (roles/editor) concede as permissões cloudasset.assets.search* e cloudasset.assets.analyzeIamPolicy.
  • O papel de visualizador (roles/viewer) concede as permissões cloudasset.assets.search* e cloudasset.assets.analyzeIamPolicy.

Recomendamos que você conceda um dos papéis do Cloud Asset em vez de um papel básico, porque os papéis básicos contêm muitas permissões para outros serviços do Google Cloud e podem resultar em um escopo de acesso maior do que o pretendido.

Gerenciar acesso

É possível conceder papéis aos usuários no nível da organização, pasta ou projeto. Saiba mais em Como conceder, alterar e revogar o acesso.

VPC Service Controls

O VPC Service Controls pode ser usado com o Inventário de recursos do Cloud para aumentar a segurança dos recursos. Para saber mais sobre o VPC Service Controls, consulte a visão geral sobre ele.

Para saber mais sobre as limitações do uso do Inventário de recursos do Cloud com o VPC Service Controls, consulte os produtos e limitações com suporte.