Controle de acesso

O Google Cloud Platform (GCP) oferece gerenciamento de identidade e acesso (IAM), que permite conceder acesso com granularidade a recursos específicos e impede o acesso indesejado a outros recursos. Esta página descreve os papéis do Cloud Debugger IAM. Para ver a descrição detalhada do Cloud IAM, leia a documentação IAM.

Como atribuir papéis

Para saber como conceder papéis do IAM a um membro (por exemplo, uma conta do Google ou uma conta de serviço), leia Como conceder, alterar e revogar acesso a membros do projeto na documentação do IAM.

Os papéis do IAM a seguir se aplicam ao Debugger:

Permissões exigidas

Com o Cloud IAM, todos os métodos do GCP exigem que a conta solicitante da API tenha as permissões necessárias para acessar o recurso. Com elas, os membros podem realizar ações específicas nos recursos do Google Cloud.

A tabela a seguir lista as permissões que o solicitante precisa ter para chamar um método do Debugger:

Método Permissões necessárias Por tipo de recurso
REST: controller.debuggees.register
RPC: RegisterDebuggeeRequest
clouddebugger.debuggees.create Projeto
REST: controller.debuggees.breakpoints.list
RPC: ListBreakpointsRequest
clouddebugger.breakpoints.list Projeto
REST: controller.debuggees.breakpoints.update
RPC: UpdateActiveBreakpointRequest
clouddebugger.breakpoints.update Projeto
REST: debugger.debuggees.list
RPC: ListDebuggeesRequest
clouddebugger.debuggees.list Projeto
REST: debugger.debuggees.breakpoints.delete clouddebugger.breakpoints.delete Projeto
REST: debugger.debuggees.breakpoints.get
RPC: GetBreakpointRequest
clouddebugger.breakpoints.get Projeto
REST: debugger.debuggees.breakpoints.list
RPC: ListBreakpointsRequest
clouddebugger.breakpoints.list Projeto
REST: debugger.debuggees.breakpoints.set
RPC: SetBreakpointRequest
clouddebugger.breakpoints.create Projeto

Papéis de IAM do Debugger

Em vez de dar permissões diretamente aos membros, você concede a eles um ou mais papéis em um recurso do GCP, que tem uma ou mais permissões agrupadas dentro deles.

Além dos papéis primários, proprietário, editor e visualizador, é possível conceder os papéis de IAM do Cloud Debugger a seguir:

Role Finalidade Inclui permissões
Agente do Cloud Debugger
roles/clouddebugger.agent
Pode registrar o destino de depuração, ler pontos de interrupção ativos e relatar os resultados dos pontos de interrupção. Esse papel geralmente é atribuído à conta de serviço em execução com o agente do Debugger.
  • clouddebugger.breakpoints.list: retorna a lista de todos os pontos de interrupção para o depurado, incluindo pontos de interrupção inativos.
  • clouddebugger.breakpoints.listActive: retorna a lista de todos os pontos de interrupção ativos para o depurado.
  • clouddebugger.breakpoints.update: atualiza o ponto de interrupção.
  • clouddebugger.debuggees.create: registra o depurado.
Usuário do Cloud Debugger
roles/clouddebugger.user

Pode criar, ver, listar e excluir pontos de interrupção (snapshots e logpoints), assim como listar os destinos de depuração (depurados).

  • clouddebugger.breakpoints.create: cria o ponto de interrupção.
  • clouddebugger.breakpoints.delete: exclui um ponto de interrupção.
  • clouddebugger.breakpoints.get: lê um ponto de interrupção.
  • clouddebugger.breakpoints.list: lista pontos de interrupção.
  • clouddebugger.debuggees.list: lista destinos de depuração (depurados) acessíveis ao usuário.