Os nomes de alguns pacotes de controlos do Assured Workloads foram alterados. Para obter informações sobre a alteração de nome, consulte o artigo Controle o aviso de mudança do nome do pacote.

Esta página foi traduzida pela API Cloud Translation.

Funções de IAM

Esta página descreve as funções da gestão de identidade e de acesso (IAM) que pode usar para configurar o Assured Workloads. As funções limitam a capacidade de um principal de aceder a recursos. Conceda apenas a um principal as autorizações de que precisa para interagir com as Google Cloud APIs, as funcionalidades ou os recursos aplicáveis.

Para poder criar uma pasta do Assured Workloads, tem de lhe ser atribuída uma das funções indicadas abaixo com essa capacidade, bem como uma função de controlo de acesso da Cloud Billing. Também tem de ter uma conta de faturação ativa e válida. Para mais informações, consulte o artigo Vista geral do controlo de acesso da Cloud Billing.

Funções necessárias

Seguem-se as funções mínimas necessárias relacionadas com o Assured Workloads. Para saber como conceder, alterar ou revogar o acesso a recursos através de funções do IAM, consulte o artigo Conceder, alterar e revogar o acesso a recursos.

Administrador do Assured Workloads (roles/assuredworkloads.admin): para criar e eliminar pastas do Assured Workloads.
Visitante da organização do Resource Manager (roles/resourcemanager.organizationViewer): acesso para ver todos os recursos pertencentes a uma organização.

Funções do Assured Workloads

Seguem-se as funções IAM associadas ao Assured Workloads e como conceder estas funções através da CLI Google Cloud. Para saber como conceder estas funções na Google Cloud consola ou programaticamente, consulte o artigo Conceder, alterar e revogar o acesso a recursos na documentação da IAM.

Substitua o marcador de posição ORGANIZATION_ID pelo identificador da organização real e example@customer.org pelo endereço de email do utilizador. Para obter o ID da sua organização, consulte o artigo Obtenção do ID da organização.

`roles/assuredworkloads.admin`

Para criar e eliminar pastas do Assured Workloads. Permite o acesso de leitura/escrita.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Permite o acesso de leitura/escrita.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Para obter e apresentar pastas do Assured Workloads. Permite o acesso só de leitura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Funções personalizadas

Se quiser definir as suas próprias funções para conter conjuntos de autorizações que especificar, use funções personalizadas.

Práticas recomendadas de IAM do Assured Workloads

Proteger corretamente as funções da IAM para seguir o privilégio mínimo é uma prática recomendada de Google Cloud segurança. Este princípio segue a regra de que os utilizadores só devem ter acesso aos produtos, serviços e aplicações exigidos pela sua função. Atualmente, os utilizadores não estão restritos à utilização de serviços fora do âmbito com projetos do Assured Workloads quando implementam produtos e serviços fora de uma pasta do Assured Workloads.

A lista de produtos no âmbito por pacote de controlos ajuda a orientar os administradores de segurança quando criam funções personalizadas que limitam o acesso dos utilizadores apenas a produtos no âmbito na pasta Assured Workloads. As funções personalizadas podem ajudar a apoiar a obtenção e a manutenção da conformidade numa pasta do Assured Workloads.