Papéis de IAM do Compute Engine

Nesta página, descrevemos os papéis do Gerenciamento de identidade e acesso (IAM) e as permissões contidas em cada papel do IAM do Compute Engine. Quando você adiciona um novo membro ao projeto, é possível atribuir papéis do IAM a ele usando as políticas do IAM.

Para saber como definir políticas no nível do projeto, leia Como conceder, alterar e revogar o acesso aos recursos na documentação do IAM. Para saber como definir políticas em recursos do Compute Engine, leia Como conceder acesso a recursos do Compute Engine. Para saber como atribuir papéis a uma conta de serviço do Compute Engine, leia a documentação Como criar e ativar contas de serviço para instâncias.

Talvez você esteja interessado em uma lista completa de permissões do IAM para métodos individuais da API.

Antes de começar

O que é IAM?

O Google Cloud Platform oferece o gerenciamento de identidade e acesso (IAM), que permite dar acesso mais granular a recursos específicos da plataforma e evitar acesso indesejado a outros recursos. Com o IAM, você pode adotar o princípio de segurança do menor privilégio para conceder apenas o acesso necessário aos recursos.

O IAM permite controlar quem (identidade) tem qual (papéis) permissão para quais recursos. Basta definir as políticas. As políticas do IAM concedem papéis específicos a um membro do projeto, dando à identidade algumas permissões. Por exemplo, você pode atribuir o papel roles/compute.networkAdmin a uma Conta do Google e ela poderá controlar recursos relacionados à rede no projeto, mas não poderá gerenciar outros recursos, como instâncias e discos. Você também pode usar o IAM para gerenciar os papéis legados do Console do GCP concedidos aos membros da equipe do projeto.

Papéis de IAM do Compute Engine

Com o IAM, todo método da API no Compute Engine requer que a identidade autora da solicitação à API tenha as permissões apropriadas para usar o recurso. Conceda as permissões definindo as políticas que atribuem papéis a um usuário, grupo ou conta de serviço como um membro de seu projeto. Além dos papéis legados, proprietário, editor e leitor, você pode atribuir os papéis do Compute Engine a seguir aos membros do seu projeto.

Você pode conceder vários papéis a um dos membros do mesmo projeto. Por exemplo, se a equipe de rede gerenciar as regras de firewall, e não uma equipe de segurança separada, é possível conceder os papéis roles/compute.networkAdmin e roles/compute.securityAdmin ao Grupo do Google da equipe de rede.

A tabela a seguir lista os papéis de IAM disponíveis aos usuários do Compute Engine. Ela é dividida em diferentes papéis. Por exemplo, os dois primeiros concedem permissões para gerenciar instâncias, seguidos por papéis para gerenciar recursos relacionados à rede. Por último, os de segurança atribuem permissões para gerenciar recursos relacionados à segurança, como firewalls e certificados SSL.

Papel de administrador de instâncias

Nome do papel Descrição Permissões
roles/compute.instanceAdmin.v1

Permissões para criar, modificar e excluir instâncias de máquina virtual. Isso inclui permissões para criar, modificar e excluir discos.

Se o usuário gerenciar instâncias de máquina virtual configuradas para serem executadas como uma conta de serviço, será necessário conceder também o papel iam.serviceAccountUser.

Por exemplo, atribua esse papel se há, na sua empresa, alguém que gerencia grupos de instâncias de máquina virtual, mas não gerencia configurações de segurança e rede nem instâncias executadas como contas de serviço.

Se você conceder esse papel a um usuário apenas no nível da instância, o usuário não poderá criar novas instâncias.

  • compute.acceleratorTypes.get
  • compute.acceleratorTypes.list
  • compute.addresses.get
  • compute.addresses.list
  • compute.addresses.use
  • compute.autoscalers.*
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.clientSslPolicies.get
  • compute.clientSslPolicies.list
  • compute.disks.*
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.globalAddresses.use
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.images.*
  • compute.instanceGroupManagers.*
  • compute.instanceGroups.*
  • compute.instances.*
  • compute.instanceTemplates.*
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.get
  • compute.interconnectLocations.list
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.licenses.*
  • compute.licenseCodes.*
  • compute.machineTypes.get
  • compute.machineTypes.list
  • compute.networkEndpointGroups.*
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.regions.get
  • compute.regions.list
  • compute.routers.get
  • compute.routers.list
  • compute.routes.get
  • compute.routes.list
  • compute.snapshots.*
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.sslPolicies.get
  • compute.sslPolicies.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetTcpProxies.get
  • compute.targetTcpProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.zones.get
  • compute.zones.list
  • compute.projects.get
  • compute.projects.setCommonInstanceMetadata
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Papel de administrador do Compute

Nome do papel Descrição Permissões
roles/compute.admin

Controle total de todos os recursos do Compute Engine.

Se o usuário gerenciar instâncias de máquina virtual configuradas para serem executadas como uma conta de serviço, será necessário conceder também o papel roles/iam.serviceAccountUser.

  • compute.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Papel de usuário de conta de serviço

Nome do papel Descrição Permissões
roles/iam.serviceAccountUser Quando concedido junto com instanceAdmin.v1, esse papel concede acesso para criar VMs, anexar discos e atualizar metadados em instâncias de VM que podem ser executadas como uma conta de serviço.
  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Papel de usuário de imagens

Nome do papel Descrição Permissões
roles/compute.imageUser Permissão para listar e ler imagens sem ter outras permissões de imagem, como criar ou excluir. A concessão desse papel no nível do projeto fornece aos membros a capacidade de listar todas as imagens no projeto e é um pré-requisito para criar recursos, como instâncias e discos permanentes, com base nas imagens do projeto.
  • compute.images.get
  • compute.images.getFromFamily
  • compute.images.list
  • compute.images.useReadOnly
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Papel de leitor de rede

Nome do papel Descrição Permissões
roles/compute.networkViewer

Acesso somente leitura a todos os recursos de rede

Por exemplo: se você tem um software que inspeciona sua configuração de rede, você pode atribuir o papel de networkViewer à conta de serviço do software.

  • compute.addresses.get
  • compute.addresses.list
  • compute.globalAddresses.get
  • compute.globalAddresses.list
  • compute.backendBuckets.get
  • compute.backendBuckets.list
  • compute.backendServices.get
  • compute.backendServices.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.get
  • compute.forwardingRules.list
  • compute.globalForwardingRules.get
  • compute.globalForwardingRules.list
  • compute.healthChecks.get
  • compute.healthChecks.list
  • compute.httpHealthChecks.get
  • compute.httpHealthChecks.list
  • compute.httpsHealthChecks.get
  • compute.httpsHealthChecks.list
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.networks.get
  • compute.networks.list
  • compute.packetMirroringConfigs.get
  • compute.packetMirroringConfigs.list
  • compute.routes.get
  • compute.routes.list
  • compute.routers.get
  • compute.routers.list
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.targetHttpProxies.get
  • compute.targetHttpProxies.list
  • compute.targetHttpsProxies.get
  • compute.targetHttpsProxies.list
  • compute.targetInstances.get
  • compute.targetInstances.list
  • compute.targetPools.get
  • compute.targetPools.list
  • compute.targetSslProxies.get
  • compute.targetSslProxies.list
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.urlMaps.get
  • compute.urlMaps.list
  • compute.vpns.get
  • compute.vpns.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.scopes.get
  • compute.scopes.list
  • compute.regions.get
  • compute.regions.list
  • compute.zones.get
  • compute.zones.list
  • compute.projects.get
  • resourcemanager.projects.get
  • servicemanagement.projectSettings.get

Papel de administrador de rede

Nome do papel Descrição Permissões
roles/compute.networkAdmin

Permissões para criar, modificar e excluir recursos de rede, exceto regras de firewall e certificados SSL. O papel networkAdmin permite acesso somente leitura a regras de firewall, certificados SSL e instâncias (para visualizar endereços IP temporários). O papel não permite que um usuário crie, inicie, pare ou exclua instâncias.

Por exemplo: se sua empresa tem uma equipe de segurança que gerencia firewalls e certificados SSL e uma equipe de rede que gerencia o restante dos recursos de rede, atribua o papel de networkAdmin ao grupo da equipe de rede.

  • compute.addresses.*
  • compute.globalAddresses.*
  • compute.backendBuckets.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.backendServices.*
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.forwardingRules.*
  • compute.globalForwardingRules.*
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.interconnectAttachments.*
  • compute.interconnectLocations.*
  • compute.interconnects.*
  • compute.networks.*
  • compute.packetMirrorings.get
  • compute.packetMirrorings.list
  • compute.packetMirrorings.use
  • compute.routes.*
  • compute.routers.*
  • compute.sslCertificates.get
  • compute.sslCertificates.list
  • compute.clientSslPolicies.*
  • compute.sslPolicies.*
  • compute.subnetworks.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.targetVpnGateways.*
  • compute.urlMaps.*
  • compute.instances.get
  • compute.instances.getGuestAttributes
  • compute.instances.getSerialPortOutput
  • compute.instances.list
  • compute.instances.listReferrers
  • compute.instances.use
  • compute.instanceGroups.get
  • compute.instanceGroups.list
  • compute.instanceGroups.use
  • compute.instanceGroups.update
  • compute.instanceGroupManagers.get
  • compute.instanceGroupManagers.list
  • compute.instanceGroupManagers.use
  • compute.instanceGroupManagers.update
  • compute.vpns.*
  • compute.vpnTunnels.*
  • compute.scopes.get
  • compute.scopes.list
  • compute.regions.get
  • compute.regions.list
  • compute.zones.get
  • compute.zones.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Papel de administração de segurança

Nome do papel Descrição Permissões
roles/compute.securityAdmin

Permissões para criar, modificar e excluir regras de firewall e certificados SSL.

Por exemplo: se a empresa tiver uma equipe de segurança que gerencia firewalls e certificados SSL e uma equipe de rede que gerencia o restante dos recursos de rede, atribua o papel de securityAdmin ao grupo da equipe de segurança.

  • compute.firewalls.*
  • compute.packetMirrorings.*
  • compute.sslCertificates.*
  • compute.clientSslPolicies.*
  • compute.securityPolicies.*
  • compute.sslPolicies.*
  • compute.instances.setShieldedVmIntegrityPolicy
  • compute.instances.updateSecurity
  • compute.instances.updateShieldedVmConfig
  • compute.networks.get
  • compute.networks.list
  • compute.networks.updatePolicy
  • compute.routes.get
  • compute.routes.list
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.updatePolicy
  • compute.scopes.get
  • compute.scopes.list
  • compute.regions.get
  • compute.regions.list
  • compute.zones.get
  • compute.zones.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Papel de leitor do Compute

Nome do papel Descrição Permissões
roles/compute.viewer

Acesso somente leitura para receber e listar recursos do Compute Engine, sem poder ler os dados armazenados neles.

Por exemplo, uma conta com esse papel poderia inventariar todos os discos em um projeto, mas não conseguiria ler nenhum dos dados nesses discos.

  • compute.*.get
  • compute.*.getIamPolicy
  • compute.*.list
  • compute.forwardingRules.externalGet
  • compute.images.getFromFamily
  • compute.instances.getGuestAttributes
  • compute.instances.getSerialPortOutput
  • compute.instances.listReferrers
  • compute.networks.listIpOwners
  • compute.networks.listUsableSubnets
  • compute.sslPolicies.listAvailableFeatures
  • compute.subnetworks.listIpOwners
  • compute.urlMaps.validate
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Papel de administrador de armazenamento

Nome do papel Descrição Permissões
roles/compute.storageAdmin

Permissões para criar, modificar e excluir discos, imagens e instantâneos.

Por exemplo, se sua empresa tiver alguém que gerencia imagens de projeto e você não quiser que eles tenham o papel de editor no projeto, conceda a essa conta o papel storageAdmin no nível do projeto.

  • compute.disks.*
  • compute.diskTypes.get
  • compute.diskTypes.list
  • compute.images.*
  • compute.licenses.*
  • compute.licenseCodes.*
  • compute.snapshots.*
  • compute.scopes.get
  • compute.scopes.list
  • compute.regions.get
  • compute.regions.list
  • compute.zones.get
  • compute.zones.list
  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.regionOperations.get
  • compute.regionOperations.list
  • compute.zoneOperations.get
  • compute.zoneOperations.list
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Papel de administrador de VPC compartilhada

Nome do papel Descrição Permissões
roles/compute.xpnAdmin

Permissões para administrar a VPC compartilhada: especificar os projetos host da VPC compartilhada e associar os projetos de serviço da VPC compartilhada à rede do projeto host.

No caso do Google Cloud Platform, recomendamos que o administrador da VPC compartilhada seja o proprietário do projeto host da VPC compartilhada. O administrador da VPC compartilhada é responsável por conceder o papel compute.networkUser aos proprietários do serviço, e o proprietário do projeto host da VPC compartilhada controla o próprio projeto. Gerenciar o projeto é mais fácil quando um único administrador (indivíduo ou grupo) pode ocupar os dois papéis.

  • compute.globalOperations.get
  • compute.globalOperations.list
  • compute.organizations.administerXpn
  • compute.organizations.enableXpnHost
  • compute.organizations.disableXpnHost
  • compute.organizations.enableXpnResource
  • compute.organizations.disableXpnResource
  • compute.projects.get
  • compute.subnetworks.getIamPolicy
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.projects.getIamPolicy

Papel de usuário de rede

Nome do papel Descrição Permissões
roles/compute.networkUser Permissões para usar uma rede VPC compartilhada. Especificamente, conceda esse papel aos proprietários de serviços que precisam criar recursos na rede VPC compartilhada do projeto host.
  • compute.addresses.get
  • compute.addresses.list
  • compute.firewalls.get
  • compute.firewalls.list
  • compute.interconnectAttachments.get
  • compute.interconnectAttachments.list
  • compute.interconnectLocations.get
  • compute.interconnectLocations.list
  • compute.interconnects.get
  • compute.interconnects.list
  • compute.interconnects.use
  • compute.networks.get
  • compute.networks.list
  • compute.networks.listIpOwners
  • compute.networks.listUsableSubnets
  • compute.networks.use
  • compute.networks.useExternalIp
  • compute.routes.get
  • compute.routes.list
  • compute.routers.get
  • compute.routers.list
  • compute.subnetworks.list
  • compute.subnetworks.listIpOwners
  • compute.subnetworks.get
  • compute.subnetworks.use
  • compute.subnetworks.useExternalIp
  • compute.targetVpnGateways.get
  • compute.targetVpnGateways.list
  • compute.vpns.get
  • compute.vpns.list
  • compute.vpnTunnels.get
  • compute.vpnTunnels.list
  • compute.scopes.get
  • compute.scopes.list
  • compute.regions.get
  • compute.regions.list
  • compute.zones.get
  • compute.zones.list
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.quotas.get

Papel de login de administrador no sistema operacional

Nome do papel Descrição Permissões
roles/compute.osAdminLogin

Acesso com login na instância do Compute Engine como um usuário administrador.

  • compute.instances.get
  • compute.instances.list
  • compute.instances.osAdminLogin
  • compute.instances.osLogin
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Papel de login do sistema operacional

Nome do papel Descrição Permissões
roles/compute.osLogin

Acesso com login na instância do Compute Engine como um usuário padrão (não administrador).

  • compute.instances.get
  • compute.instances.list
  • compute.instances.osLogin
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list

Papel de usuário externo de login no sistema operacional

Nome do papel Descrição Permissões
roles/compute.osLoginExternalUser

Disponível apenas no nível da organização.

Acesso para um usuário externo configurar informações do login do SO associadas a esta organização. Este papel não concede acesso a instâncias. Os usuários externos precisam receber um dos papéis de login do IAM do SO necessários para permitir o acesso a instâncias que usam o SSH.

  • compute.oslogin.updateExternalUser

Papel de administrador do balanceador de carga

Nome do papel Descrição Permissões
roles/compute.loadBalancerAdmin

Controle total dos recursos do Compute Engine relacionados ao balanceador de carga.

  • compute.addresses.*
  • compute.globalAddresses.*
  • compute.backendBuckets.*
  • compute.backendServices.*
  • compute.regionBackendServices.*
  • compute.forwardingRules.*
  • compute.globalForwardingRules.*
  • compute.healthChecks.*
  • compute.httpHealthChecks.*
  • compute.httpsHealthChecks.*
  • compute.instanceGroups.*
  • compute.instances.get
  • compute.instances.list
  • compute.instances.use
  • compute.instances.useReadOnly
  • compute.networks.get
  • compute.networks.list
  • compute.networks.use
  • compute.sslCertificates.*
  • compute.securityPolicies.get
  • compute.securityPolicies.list
  • compute.securityPolicies.use
  • compute.subnetworks.get
  • compute.subnetworks.list
  • compute.subnetworks.use
  • compute.sslPolicies.*
  • compute.targetHttpProxies.*
  • compute.targetHttpsProxies.*
  • compute.targetInstances.*
  • compute.targetPools.*
  • compute.targetSslProxies.*
  • compute.targetTcpProxies.*
  • compute.urlMaps.*
  • compute.projects.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • servicemanagement.projectSettings.get
  • serviceusage.services.get
  • serviceusage.services.list
  • serviceusage.quotas.get

O papel serviceAccountUser

Quando concedido com roles/compute.instanceAdmin.v1, roles/iam.serviceAccountUser fornece aos membros a capacidade de criar e gerenciar instâncias que usam uma conta de serviço. Especificamente, conceder roles/iam.serviceAccountUser e roles/compute.instanceAdmin.v1 juntos dá aos membros permissão para:

  • criar uma instância executada como conta de serviço;
  • anexar um disco permanente a uma instância executada como conta de serviço;
  • definir metadados de instância em uma instância executada como conta de serviço;
  • usar SSH para se conectar a uma instância executada como conta de serviço;
  • reconfigurar uma instância para executar como uma conta de serviço.

É possível conceder roles/iam.serviceAccountUser de duas maneiras:

  • [Recomendado] Conceda o papel a um membro em uma conta de serviço específica. Com isso, o membro tem acesso à conta de serviço em que é um iam.serviceAccountUser, mas não pode acessar outras contas de serviço em que não é um iam.serviceAccountUser.

  • Conceda o papel a um membro no nível do projeto. O membro tem acesso a todas as contas de serviço do projeto, incluindo as que forem criadas no futuro.

Saiba mais sobre contas de serviço se não estiver familiarizado com elas.

Como se conectar a uma instância como instanceAdmin

Depois que um membro do projeto recebe o papel roles/compute.instanceAdmin.v1, ele pode se conectar às instâncias de máquina virtual usando as ferramentas padrão do Google Cloud Platform, como gcloud ou SSH do navegador.

Quando um membro usa a ferramenta de linha de comando gcloud ou SSH do navegador, as ferramentas geram automaticamente um par de chaves pública/privada e adicionam a chave pública aos metadados do projeto. Se o membro não tiver permissões para editar metadados do projeto, a ferramenta adicionará a chave pública do membro aos metadados da instância.

Se o membro tiver um par de chaves existente que quer usar, poderá adicionar manualmente a chave pública aos metadados da instância. Saiba mais sobre como adicionar e remover chaves SSH de uma instância.

IAM com contas de serviço

Crie novas contas de serviço personalizadas e conceda papéis de IAM a contas de serviço para limitar o acesso das suas instâncias. Use papéis de IAM com contas de serviço personalizadas para:

  • limitar o acesso das suas instâncias às APIs do Cloud Platform usando papéis de IAM granulares;
  • dar a cada instância ou conjunto de instâncias uma identidade única;
  • limitar o acesso à sua conta de serviço padrão.

Saiba mais sobre contas de serviço.

Grupos de instâncias gerenciadas e IAM

Grupos de instâncias gerenciadas, especialmente quando configurados para serem escalonados automaticamente, são recursos que executam ações em seu nome sem interação direta com o usuário. Os grupos de instâncias gerenciadas usam uma identidade de conta de serviço para criar, excluir e gerenciar instâncias em um grupo. Para mais informações, leia a documentação de grupos de instâncias gerenciadas e IAM.

Operações incompatíveis

Não é possível conceder acesso para executar atualizações graduais em grupos de instâncias usando papéis de IAM.

Para conceder permissão para executar essas operações, use os papéis mais abrangentes: proprietário, editor ou leitor.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Compute Engine