Papéis IAM

Neste tópico, descrevemos os papéis do gerenciamento de identidade e acesso (IAM) que é possível usar para configurar o Assured Workloads. Os papéis limitam a capacidade de uma identidade autenticada acessar recursos. Conceda a uma identidade apenas as permissões necessárias para interagir com recursos, APIs ou recursos aplicáveis do Google Cloud.

Para criar um ambiente do Assured Workloads, você precisa receber um dos papéis listados abaixo com esse recurso, além de um papel de controle de acesso do Cloud Billing. Também é necessário ter uma conta de faturamento válida e ativa. Para mais informações, consulte Visão geral do controle de acesso do Faturamento do Cloud.

Funções exigidas

Veja abaixo os papéis mínimos exigidos relacionados ao Assured Workloads. Para saber como conceder, alterar ou revogar o acesso a recursos usando papéis do IAM, consulte Como conceder, alterar e revogar o acesso a recursos.

  • Administrador do Assured Workloads para criar ambientes de carga de trabalho.
  • Administrador da organização do Resource Manager: acesso para administrar todos os recursos que pertencem a uma organização.

Papéis do Assured Workloads

Veja a seguir os papéis do IAM associados ao Assured Workloads e como conceder esses papéis usando a ferramenta de linha de comando gcloud. Para saber como conceder esses papéis no Console do Cloud ou de maneira programática, consulte Como conceder, alterar e revogar o acesso a recursos na documentação do IAM.

Substitua o marcador ORGANIZATION_ID pelo identificador da organização real e example@customer.org pelo endereço de e-mail do usuário. Para recuperar esse código, consulte Como recuperar o ID da sua organização.

roles/assuredworkloads.admin

Para criar cargas de trabalho. Permite acesso de leitura e gravação.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

roles/assuredworkloads.editor

Permite acesso de leitura e gravação.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

roles/assuredworkloads.reader

Para receber e listar cargas de trabalho. Permite acesso somente leitura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Papéis personalizados

Para definir seus próprios papéis contendo os pacotes de permissões que você especificar, use papéis personalizados.

Práticas recomendadas de IAM do Assured Workloads

A proteção adequada dos papéis do IAM para seguir menos privilegiado é uma prática recomendada de segurança do Google Cloud. Esse princípio segue a regra de que os usuários só devem ter acesso aos produtos, serviços e aplicativos exigidos pelo papel. No momento, os usuários não estão impedidos de usar serviços fora do escopo com projetos do Assured Workloads ao implantar produtos e serviços fora do ambiente do Assured Workloads.

A lista de produtos no escopo por regime de conformidade ajuda a orientar os administradores de segurança ao criar papéis personalizados que limitam o acesso do usuário somente a anúncios no produtos de escopo no ambiente do Assured Workloads. Os papéis personalizados podem ajudar a atingir e manter a conformidade em um ambiente do Assured Workloads.