O Inventário de recursos do Cloud usa o gerenciamento de identidade e acesso (IAM) para controle de acesso. Cada método da API do Cloud Asset Inventory exige que o autor da chamada tenha as permissões necessárias.
Papéis
Para receber as permissões necessárias para trabalhar com metadados de recursos, peça ao administrador para conceder a você os seguintes papéis do IAM na organização, pasta ou projeto:
-
Para conferir os metadados do recurso:
-
Leitor de recursos do Cloud (
roles/cloudasset.viewer
) -
Consumidor do Service Usage (
roles/serviceusage.serviceUsageConsumer
)
-
Leitor de recursos do Cloud (
-
Para ver os metadados do recurso e trabalhar com feeds:
-
Proprietário de recursos do Cloud (
roles/cloudasset.owner
) -
Consumidor do Service Usage (
roles/serviceusage.serviceUsageConsumer
)
-
Proprietário de recursos do Cloud (
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Esses papéis predefinidos contêm as permissões necessárias para trabalhar com metadados de recursos. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:
Permissões necessárias
As seguintes permissões são necessárias para trabalhar com metadados do recurso:
-
Para conferir os metadados do recurso:
-
cloudasset.assets.*
-
recommender.cloudAssetInsights.get
-
recommender.cloudAssetInsights.list
-
serviceusage.services.use
-
-
Para conferir os metadados de recursos e trabalhar com feeds:
-
cloudasset.*
-
recommender.cloudAssetInsights.*
-
serviceusage.services.use
-
Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.
Permissões
A tabela a seguir lista as permissões que o autor da chamada precisa ter para chamar cada método de API no Inventário de recursos do Cloud ou para realizar tarefas usando as ferramentas do Google Cloud que usar o Inventário de recursos do Cloud, como o console do Google Cloud ou CLI gcloud.
Os papéis de leitor de recursos do Cloud (roles/cloudasset.viewer
) e de proprietário de recursos do Cloud
(roles/cloudasset.owner
) incluem muitas dessas
permissões. Se o autor da chamada tiver recebido um desses papéis e o
Consumidor do Service Usage (roles/serviceusage.serviceUsageConsumer
), eles
já podem ter as permissões necessárias para usar o Inventário de recursos do Cloud.
RPC
Método | Permissões necessárias |
---|---|
Todas as APIs | |
Todas as chamadas do Inventário de recursos do Cloud |
Todas as chamadas do Cloud Asset Inventory exigem a permissão |
APIs Analysis | |
|
Todas as permissões a seguir:
|
|
cloudasset. |
|
Todas as permissões a seguir:
|
|
Todas as permissões a seguir:
|
APIs Inventory | |
|
Uma das permissões a seguir, dependendo do tipo de conteúdo:
Ao exportar metadados de um tipo de conteúdo |
|
Uma das seguintes permissões, dependendo do tipo de conteúdo:
|
|
Uma das permissões a seguir, dependendo do tipo de conteúdo:
|
APIs de feed | |
|
Você também precisa de uma das seguintes permissões, dependendo do tipo de conteúdo:
|
|
cloudasset. |
|
cloudasset. |
|
cloudasset. |
|
Você também precisa de uma das seguintes permissões, dependendo do tipo de conteúdo:
|
APIs da Pesquisa Google | |
|
cloudasset. |
|
Você também precisa de
|
REST
Método | Permissões necessárias |
---|---|
Todas as APIs | |
Todas as chamadas do Inventário de recursos do Cloud |
Todas as chamadas do Cloud Asset Inventory exigem a permissão |
APIs Analysis | |
|
Todas as permissões a seguir:
|
|
cloudasset. |
|
Todas as permissões a seguir:
|
|
Todas as permissões a seguir:
|
APIs Inventory | |
|
Uma das permissões a seguir, dependendo do tipo de conteúdo:
Ao exportar metadados de um tipo de conteúdo |
|
Uma das seguintes permissões, dependendo do tipo de conteúdo:
|
|
Uma das permissões a seguir, dependendo do tipo de conteúdo:
|
APIs de feed | |
|
Você também precisa de uma das seguintes permissões, dependendo do tipo de conteúdo:
|
|
cloudasset. |
|
cloudasset. |
|
cloudasset. |
|
Você também precisa de uma das seguintes permissões, dependendo do tipo de conteúdo:
|
APIs da Pesquisa Google | |
|
cloudasset. |
|
Você também precisa
|
gcloud
Declaração posicional | Permissões necessárias |
---|---|
Todas as APIs | |
Todas as chamadas do Inventário de recursos do Cloud |
Todas as chamadas do Cloud Asset Inventory exigem a permissão |
APIs Analysis | |
|
Todas as permissões a seguir:
|
|
cloudasset. |
|
Todas as permissões a seguir:
|
|
Todas as permissões a seguir:
|
APIs de inventário | |
|
Uma das seguintes permissões, dependendo do tipo de conteúdo:
Ao exportar metadados de um tipo de conteúdo não especificado ou |
|
Uma das seguintes permissões, dependendo do tipo de conteúdo:
|
|
Uma das seguintes permissões, dependendo do tipo de conteúdo:
|
APIs de feed | |
|
Você também precisa de uma das seguintes permissões, dependendo do tipo de conteúdo:
|
|
cloudasset. |
|
cloudasset. |
|
cloudasset. |
|
Você também precisa de uma das seguintes permissões, dependendo do tipo de conteúdo:
|
APIs da Pesquisa Google | |
|
cloudasset. |
|
Você também precisa de
|
Permissões de exportação para cada tipo de recurso
Conceder a permissão cloudasset.assets.exportResource
a um usuário
para exportar todos os tipos de recursos. Para restringir os tipos de recursos que um usuário pode exportar,
é possível conceder permissões para cada tipo de recurso.
Por exemplo, conceder a um usuário cloudasset.assets.exportComputeDisks
significa que ele
não pode exportar nada, exceto o tipo de recurso compute.googleapis.com/Disk
.
As permissões de exportação de recursos só se aplicam a RESOURCE
e não especificadas
tipos de conteúdo.
Serviço | Tipo de recurso | Permissão de exportação de recursos |
---|---|---|
App Engine |
appengine. |
cloudasset. |
appengine. |
cloudasset. |
|
appengine. |
cloudasset. |
|
BigQuery |
bigquery. |
cloudasset. |
bigquery. |
cloudasset. |
|
Bigtable |
bigtableadmin. |
cloudasset. |
bigtableadmin. |
cloudasset. |
|
bigtableadmin. |
cloudasset. |
|
Cloud Billing |
cloudbilling. |
cloudasset.
|
Cloud DNS |
dns. |
cloudasset. |
dns. |
cloudasset. |
|
Cloud Key Management Service |
cloudkms. |
cloudasset. |
cloudkms. |
cloudasset.
|
|
cloudkms. |
cloudasset. |
|
cloudkms. |
cloudasset. |
|
Cloud OS Config |
osconfig. |
cloudasset. |
Spanner |
spanner. |
cloudasset. |
spanner. |
cloudasset. |
|
spanner. |
cloudasset. |
|
Cloud SQL |
sqladmin. |
cloudasset. |
Cloud Storage |
storage. |
cloudasset. |
Compute Engine |
compute. |
cloudasset. |
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset.
|
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset.
|
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
Dataproc |
dataproc. |
cloudasset. |
dataproc. |
cloudasset. |
|
Google Kubernetes Engine |
container. |
cloudasset. |
container. |
cloudasset. |
|
k8s. |
cloudasset. |
|
k8s. |
cloudasset. |
|
k8s. |
cloudasset. |
|
rbac. |
cloudasset. |
|
rbac. |
cloudasset.
|
|
rbac. |
cloudasset. |
|
rbac. |
cloudasset. |
|
IAM |
iam. |
cloudasset. |
iam. |
cloudasset. |
|
Pub/Sub |
pubsub. |
cloudasset. |
pubsub. |
cloudasset. |
|
Resource Manager |
cloudresourcemanager. |
cloudasset.
|
cloudresourcemanager.
|
cloudasset.
|
|
cloudresourcemanager. |
cloudasset.
|
VPC Service Controls
O VPC Service Controls pode ser usado com o Inventário de recursos do Cloud para aumentar a segurança dos recursos. Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.
Para saber mais sobre as limitações do uso do Inventário de recursos do Cloud com o VPC Service Controls, consulte os produtos e limitações com suporte.