Ao adicionar um novo membro ao seu projeto, é possível usar uma política de gerenciamento de identidade e acesso (IAM) para conceder a esse membro um ou mais papéis do IAM. Cada papel do IAM contém permissões que concedem ao membro acesso a recursos específicos.
O Compute Engine tem um conjunto de papéis de IAM predefinidos que são descritos nesta página. Também é possível criar papéis personalizados que contenham subconjuntos de permissões mapeadas diretamente para suas necessidades.
Para saber quais permissões são necessárias para cada método, consulte a documentação de referência da API Compute Engine:
Para informações sobre como conceder acesso, consulte as páginas a seguir.
- Para definir políticas do IAM no nível do projeto, consulte Como conceder, alterar e revogar acesso a recursos na documentação do IAM.
- Para definir políticas em recursos específicos do Compute Engine, leia Como conceder acesso a recursos do Compute Engine.
- Para atribuir papéis a uma conta de serviço do Compute Engine, leia Como criar e ativar contas de serviço para instâncias.
O que é IAM?
O Google Cloud oferece o IAM, que permite atribuir acesso granular a recursos específicos da plataforma e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de segurança do menor privilégio (em inglês) para conceder apenas o acesso necessário aos recursos.
O IAM permite controlar quem (identidade) tem qual (papéis) permissão para quais recursos. Basta definir as políticas. As políticas do IAM concedem papéis específicos a um membro do projeto, dando à identidade algumas permissões. Por exemplo, para determinado recurso, como um projeto, é possível atribuir o papel roles/compute.networkAdmin a uma Conta do Google, que então poderá controlar recursos relacionados à rede no projeto, mas não poderá gerenciar outros recursos, como instâncias e discos. Também é possível usar o IAM para gerenciar os papéis legados do console do Google Cloud concedidos aos membros da equipe do projeto.
O papel serviceAccountUser
Quando concedido com
roles/compute.instanceAdmin.v1,
roles/iam.serviceAccountUser atribui aos membros a capacidade de criar e gerenciar instâncias que usam uma conta de serviço. De maneira específica,
conceder roles/iam.serviceAccountUser e roles/compute.instanceAdmin.v1
juntos dá aos membros permissão para:
- criar uma instância executada como conta de serviço;
- anexar um disco permanente a uma instância executada como conta de serviço;
- definir metadados de instância em uma instância executada como conta de serviço;
- usar SSH para se conectar a uma instância executada como conta de serviço;
- reconfigurar uma instância para ser executada como uma conta de serviço.
É possível conceder roles/iam.serviceAccountUser das seguintes maneiras:
Recomendado. Conceda o papel a um membro em uma conta de serviço específica. Com isso, o membro tem acesso à conta de serviço em que é um
iam.serviceAccountUser, mas não pode acessar outras contas de serviço em que não é umiam.serviceAccountUser.Conceda o papel a um membro no nível do projeto. O membro tem acesso a todas as contas de serviço do projeto, incluindo as que forem criadas no futuro.
Saiba mais sobre contas de serviço se não tiver familiaridade com elas.
Permissão do Console do Google Cloud
Para usar o Console do Google Cloud e acessar os recursos do Compute Engine, é preciso ter um papel que contenha a permissão a seguir no projeto:
compute.projects.get
Como se conectar a uma instância como instanceAdmin
Depois de conceder a função roles/compute.instanceAdmin.v1 a um membro do projeto, ele
pode se conectar a instâncias de máquina virtual usando ferramentas padrão do Google
Cloud, como CLI gcloud ou o
SSH do navegador.
Quando um membro usa a CLI gcloud ou o SSH no navegador, as ferramentas geram automaticamente um par de chaves públicas/privadas e adicionam a chave pública aos metadados do projeto. Se o membro não tiver permissões para editar metadados do projeto, a ferramenta adicionará a chave pública do membro aos metadados da instância.
Se o membro tiver um par de chaves existente que queira usar, ele poderá adicionar manualmente a chave pública aos metadados da instância. Saiba mais sobre como adicionar chaves SSH a uma instância.
IAM com contas de serviço
Crie novas contas de serviço personalizadas e conceda papéis de IAM a contas de serviço para limitar o acesso das suas instâncias. Use papéis de IAM com contas de serviço personalizadas para:
- limitar o acesso das instâncias às APIs do Google Cloud usando papéis de IAM granulares;
- dar a cada instância ou conjunto de instâncias uma identidade exclusiva;
- limitar o acesso à sua conta de serviço padrão.
Saiba mais sobre contas de serviço.
Grupos de instâncias gerenciadas e IAM
Os grupos de instâncias gerenciadas (MIGs, na sigla em inglês) são recursos que executam ações em seu nome sem interação direta do usuário. Por exemplo, o MIG pode adicionar e remover VMs do grupo.
Todas as operações realizadas pelo Compute Engine como parte do MIG são
realizadas pelo
Agente de serviço do Google APIs
do projeto, que foi um endereço de e-mail como o seguinte:
PROJECT_ID@cloudservices.gserviceaccount.com
Por padrão, o agente de serviço das APIs do Google recebe o papel de editor
(roles/editor) para envolvidos no projeto, o que dá privilégios suficientes para
criar recursos com base na configuração do grupo. Se você estiver personalizando
o acesso ao agente de serviço de APIs do Google, conceda o papel de administrador de instância do Compute (v1) (roles/compute.instanceAdmin.v1)
e, opcionalmente, o papel de usuário da conta de serviço
(roles/iam.serviceAccountUser). O papel de Usuário da conta de serviço é necessário
somente se o MIG criar VMs que possam ser executadas como uma conta de serviço.
O agente de serviço de APIs do Google também é usado por outros processos, incluindo o Deployment Manager.
Ao criar um MIG ou atualizar o modelo de instância, o Compute Engine valida se o agente de serviço de APIs do Google tem o papel e as permissões a seguir:
- Papel de usuário da conta de serviço, importante se você planeja criar instâncias que podem ser executadas como uma conta de serviço
- Permissões para todos os recursos referenciados nos modelos de instância, como imagens, discos, redes VPC e sub-redes.
Papéis predefinidos do IAM do Compute Engine
Com o IAM, todo método de API na API Cloud Engine exige que a identidade que faz a solicitação de API tenha as permissões apropriadas para usar o recurso. As permissões são concedidas pela definição de políticas que concedem papéis a um membro (usuário, grupo ou conta de serviço) do projeto.
Além dos papéis básicos (visualizador, editor, proprietário) e dos papéis personalizados, é possível atribuir os seguintes papéis predefinidos do Compute Engine aos membros do projeto.
Você pode conceder vários papéis a um dos membros do mesmo projeto. Por exemplo, se a equipe de rede também gerencia regras de firewall, é possível conceder roles/compute.networkAdmin e roles/compute.securityAdmin ao grupo do Google da equipe de rede.
Nas tabelas a seguir, descrevemos os papéis predefinidos do IAM do Compute Engine e as permissões contidas em cada um. Cada papel inclui um conjunto de permissões adequado a uma tarefa específica. Por exemplo, os papéis de Administrador da instância concedem permissões para gerenciar instâncias, os papéis relacionados à rede incluem permissões para gerenciar recursos relacionados à rede, e o papel de segurança inclui permissões para gerenciar recursos relacionados à segurança, como firewalls e certificados SSL.
Papel Administrador do Compute
| Detalhes | Permissões |
|---|---|
Administrador do Compute( Controle total de todos os recursos do Compute Engine. Se o usuário estiver gerenciando instâncias de máquina virtual configuradas para serem executadas como uma conta de serviço, também será necessário atribuir o papel Recursos de nível mais baixo em que você pode conceder esse papel:
|
compute.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Usuário de imagens do Compute
| Detalhes | Permissões |
|---|---|
Usuário de imagens do Compute( Permissão para listar e ler imagens sem ter outras permissões na imagem. A concessão desse papel no nível do projeto permite que os usuários listem todas as imagens no projeto e criem recursos, como instâncias e discos permanentes, com base nas imagens do projeto. Recursos de nível mais baixo em que você pode conceder esse papel:
|
compute.images.get compute.images.getFromFamily compute.images.list compute.images.useReadOnly resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Administrador de instâncias do Compute (Beta)
| Detalhes | Permissões |
|---|---|
Administrador da instância do Compute (Beta)( Permissões para criar, modificar e excluir instâncias de máquina virtual. Isso inclui permissões para criar, modificar e excluir discos, além de definir configurações de VM protegida. Se o usuário estiver gerenciando instâncias de máquina virtual configuradas para serem executadas como uma conta de serviço, também será necessário atribuir o papel Por exemplo, se sua empresa tem um funcionário que gerencia grupos de instâncias de máquina virtual, mas não gerencia configurações de rede ou de segurança nem instâncias executadas como contas de serviço, conceda esse papel na organização, na pasta ou no projeto que contém as instâncias ou conceda-o em instâncias individuais. Recursos de nível mais baixo em que você pode conceder esse papel:
|
compute.acceleratorTypes.*
compute. compute. compute.addresses.get compute.addresses.list compute.addresses.use compute.addresses.useInternal compute.autoscalers.*
compute.diskTypes.*
compute.disks.create compute.disks.createSnapshot compute.disks.delete compute.disks.get compute.disks.list compute.disks.resize compute.disks.setLabels compute. compute. compute. compute.disks.update compute.disks.use compute.disks.useReadOnly compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use
compute.
compute.globalOperations.get compute.globalOperations.list compute.images.get compute.images.getFromFamily compute.images.list compute.images.useReadOnly
compute.
compute.instanceGroups.*
compute.instanceTemplates.*
compute.instances.*
compute.licenses.get compute.licenses.list compute.machineImages.*
compute.machineTypes.*
compute.
compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.projects.get
compute.
compute.regionOperations.get compute.regionOperations.list compute.regions.*
compute.reservations.get compute.reservations.list compute. compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute. compute.targetPools.get compute.targetPools.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Administrador de instâncias do Compute (v1)
| Detalhes | Permissões |
|---|---|
administrador de instâncias do Compute (v1)( Controle total de instâncias, grupos de instâncias, discos, snapshots e imagens do Compute Engine. Acesso de leitura a todos os recursos de rede do Compute Engine. Se você conceder esse papel a um usuário apenas no nível da instância, o usuário não poderá criar novas instâncias. |
compute.acceleratorTypes.*
compute. compute. compute.addresses.get compute.addresses.list compute.addresses.use compute.addresses.useInternal compute.autoscalers.*
compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute.diskTypes.*
compute.disks.*
compute. compute. compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute.globalAddresses.use compute. compute. compute.
compute.
compute.globalOperations.get compute.globalOperations.list compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.*
compute.
compute.instanceGroups.*
compute.instanceTemplates.*
compute.instances.*
compute.instantSnapshots.*
compute. compute.
compute.
compute.
compute.interconnects.get compute.interconnects.list compute.licenseCodes.*
compute.licenses.*
compute.machineImages.*
compute.machineTypes.*
compute.networkAttachments.get compute.
compute.
compute.networks.get compute.networks.list compute.networks.use compute.networks.useExternalIp compute.projects.get compute. compute. compute. compute. compute. compute.regionHealthChecks.get compute.
compute.
compute. compute. compute.regionOperations.get compute.regionOperations.list compute. compute. compute.regionSslPolicies.get compute.regionSslPolicies.list compute. compute. compute. compute. compute. compute. compute. compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regions.*
compute.reservations.get compute.reservations.list compute.resourcePolicies.*
compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.serviceAttachments.get compute. compute.snapshots.*
compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute. compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute. compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute. compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Administrador do balanceador de carga do Compute
| Detalhes | Permissões |
|---|---|
Administrador do balanceador de carga do Compute( Permissões para criar, modificar e excluir balanceadores de carga e associar recursos. Por exemplo, se sua empresa tem uma equipe de balanceamento de carga que gerencia balanceadores de carga, políticas de SSL e outros recursos de balanceamento de carga, e também uma equipe de rede separada que gerencia o restante dos recursos de rede, conceda esse papel ao grupo da equipe de balanceamento de carga. Recursos de nível mais baixo em que você pode conceder esse papel:
|
certificatemanager. certificatemanager. certificatemanager. compute.addresses.*
compute.backendBuckets.*
compute.backendServices.*
compute. compute.disks.listTagBindings compute.forwardingRules.*
compute.globalAddresses.*
compute.
compute.
compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute. compute.images.listTagBindings compute.instanceGroups.*
compute.instances.get compute.instances.list compute. compute. compute.instances.use compute.instances.useReadOnly
compute.
compute.networks.get compute.networks.list compute.networks.use compute.projects.get
compute.
compute.
compute.regionHealthChecks.*
compute.
compute.
compute. compute. compute.
compute.
compute.regionSslPolicies.*
compute.
compute.
compute.
compute.regionUrlMaps.*
compute.securityPolicies.get compute.securityPolicies.list compute.securityPolicies.use compute. compute. compute.sslCertificates.*
compute.sslPolicies.*
compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute.targetGrpcProxies.*
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.urlMaps.*
networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Função do usuário de serviços do balanceador de carga do Compute
| Detalhes | Permissões |
|---|---|
Usuário de serviços do balanceador de carga do Compute( Concede permissões para usar os serviços de um balanceador de carga em outros projetos. |
compute.backendServices.get compute.backendServices.list compute.backendServices.use compute.projects.get compute. compute. compute. resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Administrador de rede do Compute
| Detalhes | Permissões |
|---|---|
Administrador de rede do Compute( Permissões para criar, modificar e excluir recursos de rede, exceto regras de firewall e certificados SSL. O papel de administrador de rede possibilita o acesso somente leitura a regras de firewall, certificados SSL e instâncias para visualizar os respectivos endereços IP temporários. Esse papel não permite que o usuário crie, inicie, pare ou exclua instâncias.
Por exemplo, se sua empresa tem uma equipe de segurança que gerencia firewalls e certificados SSL e uma equipe de rede que gerencia o restante dos recursos de rede, conceda esse papel ao grupo da rede.
Ou, se você tiver uma equipe combinada que gerencia segurança e rede, conceda esse papel e o papel
Recursos de nível mais baixo em que você pode conceder esse papel:
|
compute.acceleratorTypes.*
compute.addresses.*
compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.*
compute.backendServices.*
compute. compute.disks.listTagBindings compute.externalVpnGateways.*
compute.firewallPolicies.get compute.firewallPolicies.list compute.firewallPolicies.use compute.firewalls.get compute.firewalls.list compute.forwardingRules.*
compute.globalAddresses.*
compute.
compute. compute. compute. compute.globalOperations.get compute.globalOperations.list compute. compute. compute. compute. compute. compute.healthChecks.*
compute.httpHealthChecks.*
compute.httpsHealthChecks.*
compute. compute.images.listTagBindings compute. compute. compute. compute. compute.instanceGroups.get compute.instanceGroups.list compute.instanceGroups.update compute.instanceGroups.use compute.instances.get compute. compute. compute. compute.instances.list compute. compute. compute. compute. compute.instances.use compute.instances.useReadOnly
compute.
compute.
compute.
compute.interconnects.*
compute.machineTypes.*
compute.networkAttachments.*
compute. compute. compute. compute.networks.*
compute.packetMirrorings.get compute.packetMirrorings.list compute.projects.get compute. compute. compute. compute. compute.
compute.
compute. compute. compute.
compute.
compute.regionHealthChecks.*
compute. compute. compute.
compute.
compute.regionOperations.get compute.regionOperations.list compute. compute. compute. compute. compute. compute.regionSslPolicies.*
compute.
compute.
compute.
compute.regionUrlMaps.*
compute.regions.*
compute.routers.*
compute.routes.*
compute.securityPolicies.get compute.securityPolicies.list compute.securityPolicies.use compute.serviceAttachments.*
compute. compute. compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.*
compute.subnetworks.*
compute.targetGrpcProxies.*
compute.targetHttpProxies.*
compute.targetHttpsProxies.*
compute.targetInstances.*
compute.targetPools.*
compute.targetSslProxies.*
compute.targetTcpProxies.*
compute.targetVpnGateways.*
compute.urlMaps.*
compute.vpnGateways.*
compute.vpnTunnels.*
compute.zoneOperations.get compute.zoneOperations.list compute.zones.*
networkconnectivity.
networkconnectivity.
networkconnectivity.
networkconnectivity.
networksecurity.*
networkservices.*
resourcemanager.projects.get resourcemanager.projects.list servicedirectory. servicedirectory. servicedirectory. servicedirectory. servicenetworking. servicenetworking. servicenetworking. servicenetworking. servicenetworking. servicenetworking. servicenetworking. servicenetworking.services.get servicenetworking. serviceusage.quotas.get serviceusage.services.get serviceusage.services.list trafficdirector.*
|
Papel Usuário de rede do Compute
| Detalhes | Permissões |
|---|---|
Usuário da rede do Compute( Dá acesso a uma rede VPC compartilhada Depois de concedido, os proprietários do serviço poderão usar as redes e sub-redes VPC que pertencem ao projeto host. Por exemplo, um usuário da rede pode criar uma instância de VM que pertence a uma rede do projeto host, mas não consegue excluir nem criar novas redes nele. Recursos de nível mais baixo em que você pode conceder esse papel:
|
compute. compute. compute.addresses.get compute.addresses.list compute.addresses.useInternal compute. compute. compute. compute.firewalls.get compute.firewalls.list compute. compute.
compute.
compute.
compute.interconnects.get compute.interconnects.list compute.interconnects.use compute.networkAttachments.get compute. compute.networks.access compute.networks.get compute. compute. compute.networks.list compute. compute.networks.use compute.networks.useExternalIp compute.projects.get compute.regions.*
compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.serviceAttachments.get compute. compute.subnetworks.get compute.subnetworks.list compute.subnetworks.use compute. compute.targetVpnGateways.get compute.targetVpnGateways.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnGateways.use compute.vpnTunnels.get compute.vpnTunnels.list compute.zones.*
networkconnectivity. networkconnectivity.
networkconnectivity.
networkconnectivity. networkconnectivity. networkconnectivity. networkconnectivity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity.locations.*
networksecurity.operations.get networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity.urlLists.get networksecurity.urlLists.list networksecurity.urlLists.use networkservices. networkservices. networkservices. networkservices. networkservices. networkservices. networkservices.gateways.get networkservices.gateways.list networkservices.gateways.use networkservices.grpcRoutes.get networkservices. networkservices.grpcRoutes.use networkservices. networkservices. networkservices. networkservices.httpRoutes.get networkservices. networkservices.httpRoutes.use networkservices. networkservices. networkservices. networkservices.locations.*
networkservices.meshes.get networkservices.meshes.list networkservices.meshes.use networkservices.operations.get networkservices. networkservices. networkservices. networkservices.tcpRoutes.get networkservices.tcpRoutes.list networkservices.tcpRoutes.use networkservices.tlsRoutes.get networkservices.tlsRoutes.list networkservices.tlsRoutes.use resourcemanager.projects.get resourcemanager.projects.list servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Leitor de rede do Compute
| Detalhes | Permissões |
|---|---|
Leitor da rede do Compute( Acesso somente de leitura a todos os recursos de rede Por exemplo, se você tiver um software que inspecione sua configuração de rede, poderá conceder esse papel à conta de serviço desse software. Recursos de nível mais baixo em que você pode conceder esse papel:
|
compute.acceleratorTypes.*
compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute.backendBuckets.list compute.backendServices.get compute.backendServices.list compute. compute.disks.listTagBindings compute. compute. compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute. compute. compute. compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute. compute.images.listTagBindings compute. compute. compute.instanceGroups.get compute.instanceGroups.list compute.instances.get compute. compute. compute. compute.instances.list compute. compute. compute. compute. compute.
compute.
compute.
compute.interconnects.get compute.interconnects.list compute.machineTypes.*
compute.networkAttachments.get compute. compute.networks.get compute. compute. compute.networks.list compute. compute.packetMirrorings.get compute.packetMirrorings.list compute.projects.get compute. compute. compute. compute. compute.regionHealthChecks.get compute. compute. compute. compute. compute. compute.regionSslPolicies.get compute.regionSslPolicies.list compute. compute. compute. compute. compute. compute. compute. compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regions.*
compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.serviceAttachments.get compute. compute. compute. compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute. compute.subnetworks.get compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute. compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zones.*
networkconnectivity. networkconnectivity.
networkconnectivity.
networkconnectivity. networkconnectivity. networkconnectivity. networkconnectivity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity.locations.*
networksecurity.operations.get networksecurity. networksecurity. networksecurity. networksecurity. networksecurity. networksecurity.urlLists.get networksecurity.urlLists.list networkservices. networkservices. networkservices. networkservices. networkservices.gateways.get networkservices.gateways.list networkservices.grpcRoutes.get networkservices. networkservices. networkservices. networkservices.httpRoutes.get networkservices. networkservices. networkservices. networkservices.locations.*
networkservices.meshes.get networkservices.meshes.list networkservices.operations.get networkservices. networkservices. networkservices. networkservices.tcpRoutes.get networkservices.tcpRoutes.list networkservices.tlsRoutes.get networkservices.tlsRoutes.list resourcemanager.projects.get resourcemanager.projects.list servicenetworking.services.get serviceusage.quotas.get serviceusage.services.get serviceusage.services.list trafficdirector.*
|
Papel Administrador da política de firewall da organização do Compute
| Detalhes | Permissões |
|---|---|
Administrador de políticas de firewall da organização no Compute Engine( Controle total de políticas de firewall da organização no Compute Engine. |
compute. compute. compute. compute.firewallPolicies.get compute. compute.firewallPolicies.list compute.firewallPolicies.move compute. compute. compute.firewallPolicies.use compute.globalOperations.get compute. compute.globalOperations.list compute. compute.projects.get
compute.
compute.regionOperations.get compute. compute.regionOperations.list compute. resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Usuário da política de firewall da organização do Compute
| Detalhes | Permissões |
|---|---|
Usuário de políticas de firewall da organização no Compute Engine( Ver ou usar políticas de firewall no Compute Engine para associar à organização ou às pastas. |
compute.firewallPolicies.get compute.firewallPolicies.list compute.firewallPolicies.use compute.globalOperations.get compute. compute.globalOperations.list compute.projects.get compute. compute. compute. compute.regionOperations.get compute. compute.regionOperations.list resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Administrador da política de segurança da organização do Compute
| Detalhes | Permissões |
|---|---|
Administrador da política de segurança da organização do Compute( Controle total das políticas de segurança da organização do Compute Engine. |
compute.firewallPolicies.*
compute.globalOperations.get compute. compute.globalOperations.list compute. compute.projects.get compute. compute. compute. compute. compute.securityPolicies.get compute. compute.securityPolicies.list compute.securityPolicies.move compute. compute. compute. compute.securityPolicies.use resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Usuário da política de segurança da organização do Compute
| Detalhes | Permissões |
|---|---|
Computar usuário da política de segurança da organização( Ver ou usar políticas de segurança do Compute Engine para associar à organização ou às pastas. |
compute. compute.firewallPolicies.get compute.firewallPolicies.list compute. compute.firewallPolicies.use compute.globalOperations.get compute. compute.globalOperations.list compute. compute.projects.get compute. compute.securityPolicies.get compute.securityPolicies.list compute. compute.securityPolicies.use resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Administrador de recursos da organização do Compute
| Detalhes | Permissões |
|---|---|
Administrador de recursos de organização de computação( Controle total das associações de políticas de firewall no Compute Engine para a organização ou pastas. |
compute.globalOperations.get compute. compute.globalOperations.list compute. compute. compute. compute. compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Login de administrador no SO do Compute
| Detalhes | Permissões |
|---|---|
Login de administrador no SO do Compute( Acesso para fazer login em uma instância do Compute Engine como usuário administrador. Recursos de nível mais baixo em que você pode conceder esse papel:
|
compute. compute.disks.listTagBindings compute. compute.images.listTagBindings compute.instances.get compute.instances.list compute. compute. compute.instances.osAdminLogin compute.instances.osLogin compute.projects.get compute. compute. resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Login no SO do Compute
| Detalhes | Permissões |
|---|---|
Login do SO do Compute( Acesso com login na instância do Compute Engine como um usuário padrão. Recursos de nível mais baixo em que você pode conceder esse papel:
|
compute. compute.disks.listTagBindings compute. compute.images.listTagBindings compute.instances.get compute.instances.list compute. compute. compute.instances.osLogin compute.projects.get compute. compute. resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Usuário externo de login no SO do Compute
| Detalhes | Permissões |
|---|---|
Usuário externo do login do SO do Compute( Disponível apenas no nível da organização. Acesso para um usuário externo configurar informações de login no SO associadas a esta organização. Este papel não concede acesso a instâncias. Os usuários externos precisam receber um dos papéis de login do SO necessários para permitir o acesso a instâncias que usam o SSH. Recursos de nível mais baixo em que você pode conceder esse papel:
|
compute. |
Papel Administrador do espelhamento de pacotes do Compute
| Detalhes | Permissões |
|---|---|
Administrador de espelhamento de pacotes do Compute( Especifica os recursos a serem espelhados. |
compute. compute.networks.mirror compute.projects.get compute.subnetworks.mirror resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Cálculo do espelhamento de pacotes do Compute
| Detalhes | Permissões |
|---|---|
Usuário de espelhamento de pacotes do Compute( Usa os espelhamentos de pacotes do Compute Engine. |
compute.packetMirrorings.*
compute.projects.get resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Administrador de IP público do Compute
| Detalhes | Permissões |
|---|---|
Administração de computação de IP público( Controle total do gerenciamento de endereços IP públicos no Compute Engine. |
compute.addresses.*
compute.globalAddresses.*
compute.
compute.
compute.
resourcemanager.projects.get resourcemanager.projects.list |
Papel Administrador de segurança do Compute
| Detalhes | Permissões |
|---|---|
Administrador de segurança do Compute( Permissões para criar, modificar e excluir regras de firewall e certificados SSL, além de definir configurações de VM protegida. Por exemplo, se sua empresa tem uma equipe de segurança que gerencia firewalls e certificados SSL e uma equipe de rede que gerencia o restante dos recursos de rede, conceda esse papel ao grupo da equipe de segurança. Recursos de nível mais baixo em que você pode conceder esse papel:
|
compute.backendBuckets.list compute.backendServices.list compute.firewallPolicies.*
compute.firewalls.*
compute.globalOperations.get compute.globalOperations.list compute. compute.instances.list compute. compute. compute. compute. compute. compute.networks.get compute. compute. compute.networks.list compute.networks.updatePolicy compute.packetMirrorings.*
compute.projects.get compute.
compute.
compute.regionOperations.get compute.regionOperations.list
compute.
compute.
compute.regionSslPolicies.*
compute.regions.*
compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.securityPolicies.*
compute.sslCertificates.*
compute.sslPolicies.*
compute.subnetworks.get compute.subnetworks.list compute.targetInstances.list compute.targetPools.list compute.zoneOperations.get compute.zoneOperations.list compute.zones.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Leitor de locatário individual do Compute
| Detalhes | Permissões |
|---|---|
Leitor de locatário individual do Compute( Permissões para visualizar grupos de nó de locatário individual |
compute.nodeGroups.get compute. compute.nodeGroups.list compute.nodeTemplates.get compute. compute.nodeTemplates.list compute.nodeTypes.*
|
Papel Administrador de armazenamento do Compute
| Detalhes | Permissões |
|---|---|
Administrador do Compute Storage( Permissões para criar, modificar e excluir discos, imagens e snapshots. Por exemplo, se sua empresa tem uma pessoa que gerencia imagens de projetos e você não quer que ela tenha o papel de editor no projeto, conceda esse papel à conta do projeto. Recursos de nível mais baixo em que você pode conceder esse papel:
|
compute.diskTypes.*
compute.disks.*
compute.globalOperations.get compute.globalOperations.list compute.images.*
compute.instantSnapshots.*
compute.licenseCodes.*
compute.licenses.*
compute.projects.get compute.regionOperations.get compute.regionOperations.list compute.regions.*
compute.resourcePolicies.*
compute.snapshots.*
compute.zoneOperations.get compute.zoneOperations.list compute.zones.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel de leitor do Compute
| Detalhes | Permissões |
|---|---|
Leitor do Compute( Acesso somente leitura para receber e listar recursos do Compute Engine, sem poder ler os dados armazenados neles. Por exemplo, uma conta com esse papel pode inventariar todos os discos em um projeto, mas não consegue ler nenhum dos dados neles. Recursos de nível mais baixo em que você pode conceder esse papel:
|
compute.acceleratorTypes.*
compute.addresses.get compute.addresses.list compute.autoscalers.get compute.autoscalers.list compute.backendBuckets.get compute. compute.backendBuckets.list compute.backendServices.get compute. compute.backendServices.list compute.commitments.get compute.commitments.list compute.diskTypes.*
compute.disks.get compute.disks.getIamPolicy compute.disks.list compute. compute.disks.listTagBindings compute. compute. compute.firewallPolicies.get compute. compute.firewallPolicies.list compute.firewalls.get compute.firewalls.list compute.forwardingRules.get compute.forwardingRules.list compute.globalAddresses.get compute.globalAddresses.list compute. compute. compute. compute. compute. compute.globalOperations.get compute. compute.globalOperations.list compute. compute. compute.healthChecks.get compute.healthChecks.list compute.httpHealthChecks.get compute.httpHealthChecks.list compute.httpsHealthChecks.get compute.httpsHealthChecks.list compute.images.get compute.images.getFromFamily compute.images.getIamPolicy compute.images.list compute. compute.images.listTagBindings compute. compute. compute.instanceGroups.get compute.instanceGroups.list compute.instanceTemplates.get compute. compute.instanceTemplates.list compute.instances.get compute. compute. compute.instances.getIamPolicy compute. compute. compute. compute. compute.instances.list compute. compute. compute. compute.instantSnapshots.get compute. compute.instantSnapshots.list compute. compute.
compute.
compute.
compute.interconnects.get compute.interconnects.list compute.licenseCodes.get compute. compute.licenseCodes.list compute.licenses.get compute.licenses.getIamPolicy compute.licenses.list compute.machineImages.get compute. compute.machineImages.list compute.machineTypes.*
compute. compute. compute. compute.networkAttachments.get compute. compute. compute. compute. compute. compute. compute.networks.get compute. compute. compute.networks.list compute. compute.nodeGroups.get compute. compute.nodeGroups.list compute.nodeTemplates.get compute. compute.nodeTemplates.list compute.nodeTypes.*
compute. compute.packetMirrorings.get compute.packetMirrorings.list compute.projects.get compute. compute. compute. compute. compute. compute. compute. compute. compute. compute. compute. compute. compute.regionHealthChecks.get compute. compute. compute. compute. compute. compute.regionOperations.get compute. compute.regionOperations.list compute. compute. compute. compute. compute.regionSslPolicies.get compute.regionSslPolicies.list compute. compute. compute. compute. compute. compute. compute. compute.regionUrlMaps.get compute.regionUrlMaps.list compute.regionUrlMaps.validate compute.regions.*
compute.reservations.get compute.reservations.list compute.resourcePolicies.get compute. compute.resourcePolicies.list compute.routers.get compute.routers.list compute.routes.get compute.routes.list compute.securityPolicies.get compute. compute.securityPolicies.list compute.serviceAttachments.get compute. compute. compute.snapshots.get compute.snapshots.getIamPolicy compute.snapshots.list compute. compute. compute.sslCertificates.get compute.sslCertificates.list compute.sslPolicies.get compute.sslPolicies.list compute. compute.subnetworks.get compute. compute.subnetworks.list compute.targetGrpcProxies.get compute.targetGrpcProxies.list compute.targetHttpProxies.get compute.targetHttpProxies.list compute.targetHttpsProxies.get compute. compute.targetInstances.get compute.targetInstances.list compute.targetPools.get compute.targetPools.list compute.targetSslProxies.get compute.targetSslProxies.list compute.targetTcpProxies.get compute.targetTcpProxies.list compute.targetVpnGateways.get compute.targetVpnGateways.list compute.urlMaps.get compute.urlMaps.list compute.urlMaps.validate compute.vpnGateways.get compute.vpnGateways.list compute.vpnTunnels.get compute.vpnTunnels.list compute.zoneOperations.get compute. compute.zoneOperations.list compute.zones.*
resourcemanager.projects.get resourcemanager.projects.list serviceusage.quotas.get serviceusage.services.get serviceusage.services.list |
Papel Administrador de VPC compartilhada do Compute
| Detalhes | Permissões |
|---|---|
Administrador de VPC compartilhada do Compute( Permissões para administrar projetos host de VPC compartilhada, especificamente ativando os projetos host e associando os projetos do serviço de VPC compartilhada à rede do projeto host. No nível da organização, esse papel só pode ser concedido por um administrador da organização.
No Google Cloud, é recomendável que o administrador da VPC compartilhada seja o proprietário do projeto host da VPC compartilhada. O administrador da VPC compartilhada é responsável por conceder o papel Usuário de rede do Compute ( Recursos de nível mais baixo em que você pode conceder esse papel:
|
compute.globalOperations.get compute.globalOperations.list compute. compute. compute. compute. compute. compute.projects.get compute. compute. resourcemanager. resourcemanager.projects.get resourcemanager. resourcemanager.projects.list |
Papel Administrador da GuestPolicy
| Detalhes | Permissões |
|---|---|
Administrador do GuestPolicy Beta( Acesso completo do administrador ao GuestPolicies |
osconfig.guestPolicies.*
resourcemanager.projects.get resourcemanager.projects.list |
Papel Editor do GuestPolicy
| Detalhes | Permissões |
|---|---|
Editor do GuestPolicy Beta( Editor de recursos do GuestPolicy |
osconfig.guestPolicies.get osconfig.guestPolicies.list osconfig.guestPolicies.update resourcemanager.projects.get resourcemanager.projects.list |
Papel Leitor do GuestPolicy
| Detalhes | Permissões |
|---|---|
Visualizador do GuestPolicy Beta( Visualizador de recursos do GuestPolicy |
osconfig.guestPolicies.get osconfig.guestPolicies.list resourcemanager.projects.get resourcemanager.projects.list |
Papel de visualizador de InstanceOSPoliciesCompliance
| Detalhes | Permissões |
|---|---|
Leitor de InstanceOSPoliciesCompliance Beta( Visualizador de conformidade das políticas do SO de instâncias de VM |
osconfig.
resourcemanager.projects.get resourcemanager.projects.list |
Papel de leitor de inventário do SO
| Detalhes | Permissões |
|---|---|
Visualizador de inventário do SO( Visualizador de inventários do SO |
osconfig.inventories.*
resourcemanager.projects.get resourcemanager.projects.list |
Papel de administrador de OSPolicyAssignment
| Detalhes | Permissões |
|---|---|
Administrador do OSPolicyAssignment( Acesso total de administrador a atribuições de políticas do SO |
osconfig.osPolicyAssignments.*
resourcemanager.projects.get resourcemanager.projects.list |
Papel de editor de OSPolicyAssignment
| Detalhes | Permissões |
|---|---|
Editor do OSPolicyAssignment( Editor de atribuições de políticas do SO |
osconfig. osconfig. osconfig. resourcemanager.projects.get resourcemanager.projects.list |
Papel Visualizador do OSPolicyAssignmentReport
| Detalhes | Permissões |
|---|---|
Visualizador do OSPolicyAssignmentReport( Visualizador de relatórios de atribuição de políticas de SO para instâncias de VM |
osconfig.
resourcemanager.projects.get resourcemanager.projects.list |
Papel de leitor de OSPolicyAssignment
| Detalhes | Permissões |
|---|---|
Visualizador do OSPolicyAssignment( Visualizador de atribuições de políticas do SO |
osconfig. osconfig. resourcemanager.projects.get resourcemanager.projects.list |
Papel Administrador do PatchDeployment
| Detalhes | Permissões |
|---|---|
Administrador de PatchDeployment( Acesso total de administrador ao PatchDeployments |
osconfig.patchDeployments.*
resourcemanager.projects.get resourcemanager.projects.list |
Papel Leitor do PatchDeployment
| Detalhes | Permissões |
|---|---|
Visualizador do PatchDeployment( Leitor de recursos do PatchDeployment |
osconfig.patchDeployments.get osconfig.patchDeployments.list resourcemanager.projects.get resourcemanager.projects.list |
Papel Executor do job de patch
| Detalhes | Permissões |
|---|---|
Executor do job de patch( Acesso para executar jobs de patch. |
osconfig.patchJobs.*
resourcemanager.projects.get resourcemanager.projects.list |
Papel Leitor do job de patch
| Detalhes | Permissões |
|---|---|
Leitor de jobs de patch( Recebe e lista jobs de patch. |
osconfig.patchJobs.get osconfig.patchJobs.list resourcemanager.projects.get resourcemanager.projects.list |
Papel do leitor do VulnerabilityReport do SO
| Detalhes | Permissões |
|---|---|
Visualizador de VulnerabilityReport do SO( Leitor de VulnerabilityReports do SO |
osconfig.
resourcemanager.projects.get resourcemanager.projects.list |
DNS Administrator role
| Details | Permissions |
|---|---|
DNS Administrator( Provides read-write access to all Cloud DNS resources. Lowest-level resources where you can grant this role:
|
|
DNS Peer role
| Details | Permissions |
|---|---|
DNS Peer( Access to target networks with DNS peering zones |
|
DNS Reader role
| Details | Permissions |
|---|---|
DNS Reader( Provides read-only access to all Cloud DNS resources. Lowest-level resources where you can grant this role:
|
|
Service Account Admin role
| Details | Permissions |
|---|---|
Service Account Admin( Create and manage service accounts. Lowest-level resources where you can grant this role:
|
|
Create Service Accounts role
| Details | Permissions |
|---|---|
Create Service Accounts( Access to create service accounts. |
|
Delete Service Accounts role
| Details | Permissions |
|---|---|
Delete Service Accounts( Access to delete service accounts. |
|
Service Account Key Admin role
| Details | Permissions |
|---|---|
Service Account Key Admin( Create and manage (and rotate) service account keys. Lowest-level resources where you can grant this role:
|
|
Service Account OpenID Connect Identity Token Creator role
| Details | Permissions |
|---|---|
Service Account OpenID Connect Identity Token Creator( Create OpenID Connect (OIDC) identity tokens |
|
Service Account Token Creator role
| Details | Permissions |
|---|---|
Service Account Token Creator( Impersonate service accounts (create OAuth2 access tokens, sign blobs or JWTs, etc). Lowest-level resources where you can grant this role:
|
|
Service Account User role
| Details | Permissions |
|---|---|
Service Account User( Run operations as the service account. Lowest-level resources where you can grant this role:
|
|
View Service Accounts role
| Details | Permissions |
|---|---|
View Service Accounts( Read access to service accounts, metadata, and keys. |
|
Workload Identity User role
| Details | Permissions |
|---|---|
Workload Identity User( Impersonate service accounts from federated workloads. |
|
A seguir
- Saiba mais sobre IAM.
- Aprenda a criar e gerenciar papéis personalizados de IAM.
- Atribua papéis do IAM aos usuários do projeto.
- Conceda papéis do IAM a recursos específicos do Compute Engine.
- Conceda papéis do IAM a contas de serviço.