Papéis IAM
Nesta página, descrevemos os papéis do Identity and Access Management (IAM) que podem ser usados para configurar o Assured Workloads. Os papéis limitam a capacidade de um principal acessar recursos. Conceda a um principal apenas as permissões necessárias para interagem com as APIs, os recursos ou as funcionalidades aplicáveis do Google Cloud.
Para criar uma pasta do Assured Workloads, você precisa receber um dos papéis listados abaixo com esse recurso, além de um papel de controle de acesso do Cloud Billing. Também é necessário ter uma conta de faturamento válida e ativa. Para mais informações, consulte Visão geral do controle de acesso do Cloud Billing.
Funções exigidas
Veja abaixo os papéis mínimos exigidos relacionados ao Assured Workloads. Para saber como conceder, alterar ou revogar o acesso a recursos usando papéis do IAM, consulte Como conceder, alterar e revogar o acesso a recursos.
- Administrador do Assured Workloads (
roles/assuredworkloads.admin
): Para criar e excluir pastas do Assured Workloads. - Leitor da organização do Gerenciador de recursos (
roles/resourcemanager.organizationViewer
): acesso para visualizar todos os recursos que pertencem a uma organização.
Papéis do Assured Workloads
Confira a seguir os papéis do IAM associados ao Assured Workloads e como conceder esses papéis usando a Google Cloud CLI. Para saber como conceder esses papéis no console do Google Cloud ou de maneira programática, consulte Como conceder, alterar e revogar o acesso a recursos na documentação do IAM.
Substitua o marcador ORGANIZATION_ID pelo identificador da organização
real e example@customer.org
pelo endereço de e-mail do usuário. Para recuperar
o ID da sua organização, consulte
Como recuperar o ID da sua organização.
roles/assuredworkloads.admin
Para criar e excluir pastas do Assured Workloads. Permite leitura e gravação acesso.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.admin"
roles/assuredworkloads.editor
Permite acesso de leitura e gravação.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.editor"
roles/assuredworkloads.reader
Para receber e listar pastas do Assured Workloads. Permite acesso somente leitura.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.reader"
Papéis personalizados
Para definir seus próprios papéis contendo os pacotes de permissões que você especificar, use papéis personalizados.
Práticas recomendadas de IAM do Assured Workloads
Proteger adequadamente os papéis do IAM a serem seguidos O privilégio mínimo é uma proteção de segurança prática recomendada. Esse princípio segue a regra de que os usuários só devem ter acesso aos produtos, serviços e aplicativos exigidos pelo papel. Usuários que não têm restrições de uso de serviços fora do escopo com Projetos do Assured Workloads ao implantar produtos e serviços fora de de uma pasta do Assured Workloads.
A lista de produtos no escopo por pacote de controle ajuda a orientar os administradores de segurança ao criar papéis personalizados que limitam o acesso do usuário somente a produtos no escopo na pasta Assured Workloads. Os papéis personalizados podem ajudar a atingir e manter a conformidade em uma pasta do Assured Workloads.