Opções de controle de acesso

Por padrão, todos os projetos do Console do Google Cloud Platform vêm com um único usuário: o criador original do projeto. Ninguém mais terá acesso ao projeto e aos recursos do Google Cloud Platform até que um usuário seja adicionado como membro da equipe do projeto. Esta página descreve as diferentes maneiras de adicionar novos usuários ao projeto.

Ela também descreve como o Deployment Manager se autentica em outras APIs do Cloud Platform em seu nome para criar recursos.

Antes de começar

Controle de acesso para usuários

Para dar aos usuários acesso ao projeto, de maneira que eles possam criar configurações e implantações, adicione-os como membros da equipe do projeto e conceda-lhes os devidos papéis do gerenciamento de identidade e acesso (IAM). O IAM aceita dois tipos de papéis: predefinido e primitivo.

Para informações sobre como adicionar membros de equipe, leia a documentação referente à adição de membros da equipe.

Papéis predefinidos

Os papéis predefinidos concedem um grupo de permissões relacionadas. A tabela a seguir descreve os papéis predefinidos disponíveis para o Deployment Manager.

Papel Inclui as permissões Para o tipo de recurso
roles/deploymentmanager.viewer deploymentmanager.deployments.get Implantação
deploymentmanager.manifests.get Manifesto
deploymentmanager.manifests.list Projeto
deploymentmanager.resources.get Recurso
deploymentmanager.resources.list Projeto
deploymentmanager.types.list Projeto
deploymentmanager.operations.get Operações
deploymentmanager.operations.list Projeto
roles/deploymentmanager.editor Todas as permissões de deploymentmanager.viewer mais:
deploymentmanager.deployments.cancelPreview Implantações
deploymentmanager.deployments.create Projeto
deploymentmanager.deployments.delete Implantações
deploymentmanager.deployments.stop Implantações
deploymentmanager.deployments.update Implantações
roles/deploymentmanager.typeViewer deploymentmanager.types.list Projeto
deploymentmanager.typeProviders.get Provedor de tipos
deploymentmanager.typeProviders.list Projeto
deploymentmanager.compositeTypes.get Tipo composto
deploymentmanager.compositeTypes.list Projeto
roles/deploymentmanager.typeEditor Todas as permissões de deploymentmanager.typeViewer mais:
deploymentmanager.typeProviders.create Projeto
deploymentmanager.typeProviders.delete Provedor de tipos
deploymentmanager.typeProviders.update Provedor de tipos
deploymentmanager.compositeTypes.create Projeto
deploymentmanager.compositeTypes.delete Tipo composto
deploymentmanager.compositeTypes.update Tipo composto

Cada método de API requer uma permissão específica para ser chamado. Use a tabela abaixo para determinar quais permissões são necessárias para o método de API pretendido.

Método Permissões necessárias Papéis que permitem chamar o método
deployments.cancelPreview deploymentmanager.deployments.cancelPreview
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.delete deploymentmanager.deployments.delete
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.get deploymentmanager.deployments.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
deployments.insert deploymentmanager.deployments.create
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.list deploymentmanager.deployments.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
deployments.patch deploymentmanager.deployments.update
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.stop deploymentmanager.deployments.stop
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.update deploymentmanager.deployments.update
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
manifests.get deploymentmanager.manifests.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
manifests.list deploymentmanager.manifests.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
resources.get deploymentmanager.resources.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
resources.list deploymentmanager.resources.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
types.list deploymentmanager.types.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
compositeTypes.delete deploymentmanager.compositeTypes.delete
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
compositeTypes.get deploymentmanager.compositeTypes.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
compositeTypes.insert deploymentmanager.compositeTypes.create
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
compositeTypes.list deploymentmanager.compositeTypes.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
compositeTypes.patch deploymentmanager.compositeTypes.patch
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
compositeTypes.list deploymentmanager.compositeTypes.update
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.delete deploymentmanager.typeProviders.delete
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.get deploymentmanager.typeProviders.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
typeProviders.insert deploymentmanager.typeProviders.create
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.list deploymentmanager.typeProviders.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
typeProviders.patch deploymentmanager.typeProviders.patch
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.update deploymentmanager.typeProviders.update
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer

Papéis primitivos

Os papéis primitivos do IAM são associados diretamente aos papéis legados de proprietário, editor e visualizador do projeto. Eles dão acesso muito mais amplo a serviços do que os papéis predefinidos. Normalmente, você precisa usar papéis predefinidos sempre que possível. Porém, em alguns casos em que o IAM ainda não seja compatível, convém usar um papel primitivo para conceder as permissões corretas.

Para saber mais sobre papéis primitivos, leia a documentação referente a Papéis primitivos.

Controle de acesso do Deployment Manager

Para criar outros recursos do Google Cloud Platform, o Deployment Manager usa as credenciais da conta de serviço das APIs do Google para se autenticar em outras APIs. Essa conta foi projetada especificamente para executar processos internos do Google em seu nome. Ela é identificável pelo e-mail:

[PROJECT_NUMBER]@cloudservices.gserviceaccount.com

A conta de serviço das APIs do Google recebe automaticamente permissões de editor no projeto e está listada na seção sobre IAM do Console do Google Cloud Platform. Essa conta permanece indefinidamente no projeto até ele ser excluído. Visto que o Deployment Manager e outros serviços como grupos de instâncias gerenciadas contam com essa conta de serviço para criar, excluir e gerenciar recursos, não é recomendável modificar as permissões dela.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Cloud Deployment Manager