Papéis do IAM

Nesta página, descrevemos os papéis do Identity and Access Management (IAM) que podem ser usados para configurar o Assured Workloads. Os papéis limitam a capacidade de um principal de acessar recursos. Conceda ao principal apenas as permissões necessárias para interagir com as APIs, os recursos ou as funcionalidades aplicáveis do Google Cloud.

Para criar uma pasta do Assured Workloads, é necessário receber um dos papéis listados abaixo com essa capacidade, bem como um papel de controle de acesso do Cloud Billing. Também é necessário ter uma conta de faturamento válida e ativa. Para mais informações, consulte Visão geral do controle de acesso do Cloud Billing.

Funções exigidas

Veja abaixo os papéis mínimos exigidos relacionados ao Assured Workloads. Para saber como conceder, alterar ou revogar o acesso a recursos usando papéis do IAM, consulte Como conceder, alterar e revogar o acesso a recursos.

Administrador do Assured Workloads (roles/assuredworkloads.admin): para criar e excluir pastas do Assured Workloads.
Leitor da organização do Gerenciador de recursos (roles/resourcemanager.organizationViewer): acesso para visualizar todos os recursos que pertencem a uma organização.

Papéis do Assured Workloads

Confira a seguir os papéis do IAM associados ao Assured Workloads e como conceder esses papéis usando a Google Cloud CLI. Para saber como conceder esses papéis no Console do Google Cloud ou programaticamente, consulte Como conceder, alterar e revogar acesso a recursos na documentação do IAM.

Substitua o marcador ORGANIZATION_ID pelo identificador da organização e example@customer.org pelo endereço de e-mail do usuário. Para recuperar o ID da organização, consulte Como recuperar o ID da organização.

`roles/assuredworkloads.admin`

Para criar e excluir pastas do Assured Workloads. Permite acesso de leitura e gravação.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Permite acesso de leitura e gravação.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Para receber e listar pastas do Assured Workloads. Permite acesso somente leitura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

papéis personalizados

Para definir seus próprios papéis contendo os pacotes de permissões que você especificar, use papéis personalizados.

Práticas recomendadas de IAM do Assured Workloads

Proteger adequadamente os papéis do IAM para seguir o privilégio mínimo é uma prática recomendada de segurança do Google Cloud. Esse princípio segue a regra de que os usuários só podem ter acesso aos produtos, serviços e aplicativos exigidos pelo respectivo papel. No momento, os usuários não estão restritos ao uso de serviços fora do escopo com projetos do Assured Workloads ao implantar produtos e serviços fora de uma pasta do Assured Workloads.

A lista de produtos no escopo por pacote de controle ajuda a orientar os administradores de segurança durante a criação de papéis personalizados que limitam o acesso do usuário apenas a produtos no escopo na pasta do Assured Workloads. Com os papéis personalizados, é possível receber e manter a conformidade em uma pasta do Assured Workloads.