Configurar políticas do IAM

Nesta página, descrevemos como configurar políticas do Identity and Access Management (IAM) que permitem que os membros criem e gerenciem recursos do Certificate Authority Service. Para mais informações sobre o IAM, consulte a Visão geral do IAM.

Políticas gerais do IAM

No serviço de CA, você concede papéis do IAM a usuários ou contas de serviço para criar e gerenciar recursos do serviço de CA. Você pode adicionar essas vinculações de função nos seguintes níveis:

  • No nível do pool de ACs, para gerenciar o acesso a um pool de ACs específico e às ACs nesse pool.
  • nível do projeto ou da organização para conceder acesso a todos os pools de ACs nesse escopo.

As funções são herdadas se concedidas em um nível de recurso mais alto. Por exemplo, um usuário que recebe o papel de auditor (roles/privateca.auditor) no nível do projeto pode acessar todos os recursos do projeto. As políticas do IAM que são definidas em um pool de autoridades certificadoras (ACs) são herdadas por todas as ACs nesse pool.

Não é possível conceder papéis do IAM em certificados e recursos de AC.

Políticas condicionais do IAM

Se você tiver um pool de ACs compartilhado que pode ser usado por vários usuários autorizados a solicitar diferentes tipos de certificados, poderá definir condições de IAM para aplicar o acesso baseado em atributos para realizar determinadas operações em um pool de ACs.

As vinculações de papéis condicionais do IAM permitem conceder acesso aos principais somente se as condições especificadas forem atendidas. Por exemplo, se a função Solicitante de certificado estiver vinculada ao usuário alice@example.com em um pool de AC com a condição de que os SANs do DNS solicitados sejam um subconjunto de ['alice@example.com', 'bob@example.com'], esse usuário poderá solicitar certificados do mesmo pool de AC somente se o SAN solicitado for um desses dois valores permitidos. É possível definir condições nas vinculações do IAM usando expressões da Common Expression Language (CEL). Essas condições podem ajudar a restringir ainda mais o tipo de certificado que um usuário pode solicitar. Para informações sobre o uso de expressões CEL para condições do IAM, consulte Dialetos da linguagem de expressão comum (CEL, na sigla em inglês) para políticas do IAM.

Antes de começar

  • Ative a API.
  • Crie uma AC e um pool de ACs seguindo as instruções em qualquer um dos tutoriais.
  • Leia sobre os papéis do IAM disponíveis para Certificate Authority Service.

Como configurar vinculações de políticas do IAM no nível do projeto

Os cenários a seguir descrevem como conceder aos usuários acesso aos recursos do serviço de CA no nível do projeto.

Como gerenciar recursos

Um administrador do serviço de AC (roles/privateca.admin) tem as permissões para gerenciar todos os recursos do serviço de AC e definir políticas do IAM em pools de ACs e modelos de certificado.

Para atribuir o papel de administrador de serviço da CA (roles/privateca.admin) a um usuário no nível do projeto, siga estas instruções:

Console

  1. No console do Google Cloud, abra a página IAM.

    Acessar o Identity and Access Management

  2. Selecione o projeto.

  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira o endereço de e-mail do principal ou outro identificador.

  5. Na lista Selecionar um papel, selecione Administrador de serviço de CA.

  6. Clique em Salvar.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

Substitua:

  • PROJECT_ID: o identificador exclusivo do projeto.
  • MEMBER: a conta de usuário ou de serviço a que você quer atribuir o papel de administrador de serviço da CA.

A flag --role usa o papel do IAM que você quer atribuir ao membro.

Criação de recursos

Um gerente de operações de serviço de AC (roles/privateca.caManager) pode criar, atualizar e excluir pools e ACs de ACs. Essa função também permite que o autor da chamada revogue certificados emitidos pelas ACs no pool de ACs.

Para atribuir o papel de gerente de operação do serviço de CA (roles/privateca.caManager) a um usuário no nível do projeto, siga estas instruções:

Console

  1. No console do Google Cloud, abra a página IAM.

    Acessar o Identity and Access Management

  2. Selecione o projeto.

  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira o endereço de e-mail do principal ou outro identificador.

  5. Na lista Selecionar um papel, selecione a função Administrador de operação de serviço de CA.

  6. Clique em Salvar.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

Substitua:

  • PROJECT_ID: o identificador exclusivo do projeto.
  • MEMBER: o usuário ou a conta de serviço para quem você quer adicionar o papel do IAM.

A flag --role usa o papel do IAM que você quer atribuir ao membro.

Para mais informações sobre o comando gcloud projects add-iam-policy-binding, consulte gcloud projects add-iam-policy-binding.

Como opção, a criação de uma AC usando uma chave do Cloud KMS também exige que o autor da chamada seja um administrador da chave do Cloud KMS.

O administrador do Cloud KMS (roles/cloudkms.admin) tem acesso completo a todos os recursos do Cloud KMS, exceto às operações de criptografia e descriptografia. Para mais informações sobre os papéis do IAM para o Cloud KMS, consulte Cloud KMS: permissões e papéis.

Para conceder o papel de administrador do Cloud KMS (roles/cloudkms.admin) a um usuário, siga estas instruções:

Console

  1. No console do Google Cloud, acesse a página Serviço de gerenciamento de chaves do Cloud.

    Acesse o Cloud Key Management Service

  2. Em Key rings, clique no keyring que contém a chave de assinatura da AC.

  3. Clique na chave de assinatura da AC.

  4. Se o painel de informações não estiver visível, clique em Mostrar painel de informações. Em seguida, clique em Permissões.

  5. Clique em adicionar conta principal.

  6. No campo Novos principais, insira o endereço de e-mail do principal ou outro identificador.

  7. Na lista Selecionar uma função, selecione Administrador do Cloud KMS.

  8. Clique em Salvar.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

Substitua:

  • KEY: o identificador exclusivo da chave.
  • KEYRING: o keyring que contém a chave. Para mais informações sobre chaveiros, consulte Chaveiros.
  • MEMBER: a conta de usuário ou de serviço para a qual você quer adicionar a vinculação do IAM.

A flag --role usa o papel do IAM que você quer atribuir ao membro.

Para mais informações sobre o comando gcloud kms keys add-iam-policy-binding, consulte gcloud kms keys add-iam-policy-binding.

Recursos de auditoria

Um auditor de serviço de CA (roles/privateca.auditor) tem acesso de leitura a todos os recursos no serviço de CA. Quando concedido a um pool de AC específico, ele concede acesso de leitura ao pool de AC. Se o pool de ACs estiver no nível Enterprise, o usuário com essa função também poderá visualizar certificados e CRLs emitidos pelas ACs no pool de ACs. Atribua essa função a pessoas responsáveis por validar a segurança e as operações do pool de ACs.

Para atribuir o papel de Auditor de serviço da CA (roles/privateca.auditor) a um usuário no nível do projeto, siga estas instruções:

Console

  1. No console do Google Cloud, abra a página IAM.

    Acessar o Identity and Access Management

  2. Selecione o projeto.

  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, insira o endereço de e-mail do principal ou outro identificador.

  5. Na lista Selecionar um papel, selecione Auditor de serviço de CA.

  6. Clique em Salvar.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

Substitua:

  • PROJECT_ID: o identificador exclusivo do projeto.
  • MEMBER: o identificador exclusivo do usuário a quem você quer atribuir o papel de auditor de serviço do CA (roles/privateca.auditor).

A flag --role usa o papel do IAM que você quer atribuir ao membro.

Como configurar vinculações de políticas do IAM no nível do recurso

Esta seção descreve como configurar vinculações de políticas do IAM para um recurso específico no serviço de CA.

Como gerenciar pools de CA

É possível conceder o papel de administrador do serviço de AC (roles/privateca.admin) no nível do recurso para gerenciar um modelo de certificado ou pool de AC específico.

Console

  1. No console do Google Cloud, acesse a página Certificate Authority Service.

    Acesse Certificate Authority Service

  2. Clique na guia Gerenciador de pools de AC e selecione o pool de AC para o qual você quer conceder permissões.

  3. Se o painel de informações não estiver visível, clique em Mostrar painel de informações. Em seguida, clique em Permissões.

  4. Clique em adicionar conta principal.

  5. No campo Novos principais, insira o endereço de e-mail do principal ou outro identificador.

  6. Na lista Selecionar um papel, selecione Administrador de serviço de CA.

  7. Clique em Salvar. O principal recebe o papel selecionado no recurso do pool de ACs.

gcloud

Para definir a política do IAM, execute o seguinte comando:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

Substitua:

  • POOL_ID: o identificador exclusivo do pool de ACs em que você quer definir a política do IAM.
  • LOCATION: o local do pool de ACs. Para conferir a lista completa de locais, consulte Locais.
  • MEMBER: a conta de usuário ou de serviço a que você quer atribuir o papel do IAM.

A flag --role usa o papel do IAM que você quer atribuir ao membro.

Para mais informações sobre o comando gcloud privateca pools add-iam-policy-binding, consulte gcloud privateca pools add-iam-policy-binding.

Siga as mesmas etapas para conceder o papel de Administrador de serviço da AC em um modelo de certificado.

Também é possível conceder o papel de gerente de operação de serviço de CA (roles/privateca.caManager) em um pool de CA específico. Essa função permite que o autor da chamada revogue certificados emitidos por ACs nesse pool.

Console

  1. No console do Google Cloud, acesse a página Certificate Authority Service.

    Acesse Certificate Authority Service

  2. Clique na guia Gerenciador de pools de AC e selecione o pool de AC para o qual você quer conceder permissões.

  3. Se o painel de informações não estiver visível, clique em Mostrar painel de informações. Em seguida, clique em Permissões.

  4. Clique em adicionar conta principal.

  5. No campo Novos principais, insira o endereço de e-mail do principal ou outro identificador.

  6. Na lista Selecionar um papel, selecione Administrador de operação de serviço de CA.

  7. Clique em Salvar. O principal recebe o papel selecionado no recurso do pool de ACs ao qual a AC pertence.

gcloud

Para conceder o papel a um pool de AC específico, execute o seguinte comando gcloud:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

Substitua:

  • POOL_ID: o identificador exclusivo do pool de ACs.
  • LOCATION: o local do pool de ACs. Para conferir a lista completa de locais, consulte Locais.
  • MEMBER: o identificador exclusivo do usuário a quem você quer atribuir o papel de gerente de operação de serviço do CA (roles/privateca.caManager).

A flag --role usa o papel do IAM que você quer atribuir ao membro.

Para mais informações sobre o comando gcloud privateca pools add-iam-policy-binding, consulte gcloud privateca pools add-iam-policy-binding.

Como criar certificados

Conceda a função de gerente de certificado de serviço de CA (roles/privateca.certificateManager) aos usuários para que eles enviem solicitações de emissão de certificados a um pool de ACs. Esse papel também concede acesso de leitura aos recursos do serviço de CA. Para permitir apenas a criação de certificados sem acesso de leitura, conceda a função "Requerente do certificado de serviço de CA" (roles/privateca.certificateRequester). Para mais informações sobre os papéis do IAM para o serviço de CA, consulte Controle de acesso com o IAM.

Para conceder ao usuário acesso para criar certificados para uma AC específica, siga as instruções abaixo.

Console

  1. No console do Google Cloud, acesse a página Certificate Authority Service.

    Acesse Certificate Authority Service

  2. Clique em Gerenciador de pools de AC e selecione o pool de AC para o qual você quer conceder permissões.

  3. Se o painel de informações não estiver visível, clique em Mostrar painel de informações. Em seguida, clique em Permissões.

  4. Clique em adicionar conta principal.

  5. No campo Novos principais, insira o endereço de e-mail do principal ou outro identificador.

  6. Na lista Selecionar um papel, selecione Administrador de certificado de serviço de AC.

  7. Clique em Salvar. O principal recebe o papel selecionado no recurso do pool de ACs ao qual a AC pertence.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

Substitua:

  • POOL_ID: o identificador exclusivo do pool de ACs.
  • LOCATION: o local do pool de ACs. Para conferir a lista completa de locais, consulte Locais.
  • MEMBER: o identificador exclusivo do usuário a quem você quer atribuir o papel de gerente de certificado de serviço de CA (roles/privateca.certificateManager).

A flag --role usa o papel do IAM que você quer atribuir ao membro.

Como adicionar vinculações de política do IAM a um modelo de certificado

Para adicionar uma política do IAM a um modelo de certificado específico, siga estas instruções:

Console

  1. No console do Google Cloud, acesse a página Certificate Authority Service.

    Acesse Certificate Authority Service

  2. Clique na guia Gerenciador de modelos e selecione o modelo de certificado para o qual você quer conceder permissões.

  3. Se o painel de informações não estiver visível, clique em Mostrar painel de informações. Em seguida, clique em Permissões.

  4. Clique em adicionar conta principal.

  5. No campo Novos principais, insira o endereço de e-mail do principal ou outro identificador.

  6. Selecione um papel a ser concedido na lista suspensa Selecionar um papel.

  7. Clique em Salvar.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Substitua:

  • LOCATION: o local do modelo de certificado. Para conferir a lista completa de locais, consulte Locais.
  • MEMBER: a conta de serviço ou de usuário para a qual você quer adicionar a vinculação de política do IAM.
  • ROLE: o papel que você quer conceder ao membro.

Para mais informações sobre o comando gcloud privateca templates add-iam-policy-binding, consulte gcloud privateca templates add-iam-policy-binding.

Para mais informações sobre como modificar o papel do IAM de um usuário, consulte Como conceder acesso.

Como remover vinculações da política do IAM

É possível remover uma vinculação de política do IAM usando o comando remove-iam-policy-binding da Google Cloud CLI.

Para remover uma política do IAM em um pool de CA específico, use o comando gcloud a seguir:

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Substitua:

  • LOCATION: o local do pool de ACs. Para conferir a lista completa de locais, consulte Locais.
  • MEMBER: a conta de serviço ou de usuário para a qual você quer remover a vinculação de política do IAM.
  • ROLE: o papel que você quer remover do membro.

Para mais informações sobre o comando gcloud privateca pools remove-iam-policy-binding, consulte gcloud privateca pools remove-iam-policy-binding.

Para remover uma política do IAM em um modelo de certificado específico, use o seguinte comando gcloud:

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Substitua:

  • LOCATION: o local do modelo de certificado. Para conferir a lista completa de locais, consulte Locais.
  • MEMBER: a conta de serviço ou de usuário para a qual você quer remover a vinculação de política do IAM.
  • ROLE: o papel que você quer remover do membro.

Para mais informações sobre o comando gcloud privateca templates remove-iam-policy-binding, consulte gcloud privateca templates remove-iam-policy-binding.

Para mais informações sobre como remover o papel do IAM de um usuário, consulte Revogar o acesso.

A seguir