Controle de acesso com o IAM

O Google Cloud oferece o Gerenciamento de identidade e acesso (IAM), que permite a concessão de acesso granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Esta página descreve os papéis do Cloud Debugger IAM. Para uma descrição detalhada do IAM, leia a documentação do IAM.

Como atribuir papéis

Para saber como conceder papéis do IAM a um principal (por exemplo, uma Conta do Google ou uma conta de serviço), leia Como conceder, alterar e revogar o acesso na documentação do IAM.

Os papéis do IAM a seguir se aplicam ao Debugger:

Proprietário
Editor
Usuário do Debugger
Agente do Debugger

Permissões necessárias

Com o IAM, todos os métodos do Google Cloud exigem que a conta que faz a solicitação de API tenha as permissões apropriadas para acessar o recurso. Com elas, os membros podem realizar ações específicas nos recursos do Google Cloud.

A tabela a seguir lista as permissões que o autor precisa ter para chamar um método do Debugger:

Método	Permissões necessárias	Por tipo de recurso
REST: `controller.debuggees.register` RPC: `RegisterDebuggeeRequest`	`clouddebugger.debuggees.create`	Projeto
REST: `controller.debuggees.breakpoints.list` RPC: `ListBreakpointsRequest`	`clouddebugger.breakpoints.list`	Projeto
REST: `controller.debuggees.breakpoints.update` RPC: `UpdateActiveBreakpointRequest`	`clouddebugger.breakpoints.update`	Projeto
REST: `debugger.debuggees.list` RPC: `ListDebuggeesRequest`	`clouddebugger.debuggees.list`	Projeto
REST: `debugger.debuggees.breakpoints.delete`	`clouddebugger.breakpoints.delete`	Projeto
REST: `debugger.debuggees.breakpoints.get` RPC: `GetBreakpointRequest`	`clouddebugger.breakpoints.get`	Projeto
REST: `debugger.debuggees.breakpoints.list` RPC: `ListBreakpointsRequest`	`clouddebugger.breakpoints.list`	Projeto
REST: `debugger.debuggees.breakpoints.set` RPC: `SetBreakpointRequest`	`clouddebugger.breakpoints.create`	Projeto

Papéis de IAM do Debugger

Em vez de dar permissões diretamente aos membros, você concede a eles um ou mais papéis em um recurso do Google Cloud, que tem uma ou mais permissões agrupadas dentro deles.

Além dos papéis básicos, proprietário, editor e visualizador, é possível conceder os papéis de IAM do Cloud Debugger a seguir:

Papel	Finalidade	Inclui permissões
Agente do Cloud Debugger `roles/clouddebugger.agent`	Pode registrar o destino de depuração, ler pontos de interrupção ativos e relatar os resultados dos pontos de interrupção. Esse papel geralmente é atribuído à conta de serviço em execução com o agente do Debugger.	`clouddebugger.breakpoints.list`: retorna a lista de todos os pontos de interrupção para o depurado, incluindo os pontos de interrupção inativos. `clouddebugger.breakpoints.listActive`: retorna a lista de todos os pontos de interrupção ativos para o depurado. `clouddebugger.breakpoints.update`: atualiza o ponto de interrupção. `clouddebugger.debuggees.create`: registra o depurado.
Usuário do Cloud Debugger `roles/clouddebugger.user`	Pode criar, ver, listar e excluir pontos de interrupção (instantâneos e logpoints), assim como listar os destinos de depuração (depurados).	`clouddebugger.breakpoints.create`: cria o ponto de interrupção. `clouddebugger.breakpoints.delete`: exclui um ponto de interrupção. `clouddebugger.breakpoints.get`: lê um ponto de interrupção. `clouddebugger.breakpoints.list`: lista pontos de interrupção. `clouddebugger.debuggees.list`: lista destinos de depuração (depurados) acessíveis ao usuário.