Opções de controle de acesso

Por padrão, todos os projetos do Console do Google Cloud Platform vêm com um único usuário: o criador original do projeto. Ninguém mais terá acesso ao projeto e aos recursos do Google Cloud Platform até que um usuário seja adicionado como membro da equipe do projeto. Esta página descreve as diferentes maneiras de adicionar novos usuários ao projeto.

Ela também descreve como o Deployment Manager se autentica em outras APIs do Cloud Platform em seu nome para criar recursos.

Antes de começar

Controle de acesso para usuários

Para dar aos usuários acesso ao projeto, de maneira que eles possam criar configurações e implantações, adicione-os como membros da equipe do projeto e conceda-lhes os devidos papéis do gerenciamento de identidade e acesso (IAM). O IAM aceita dois tipos de papéis: predefinido e primitivo.

Para informações sobre como adicionar membros de equipe, leia a documentação referente a como adicionar membros da equipe.

Papéis predefinidos

Os papéis predefinidos concedem um grupo de permissões relacionadas. A tabela a seguir descreve os papéis predefinidos disponíveis para o Deployment Manager.

Papel Inclui as permissões Por tipo de recurso
roles/deploymentmanager.viewer deploymentmanager.deployments.get Implantação
deploymentmanager.manifests.get Manifesto
deploymentmanager.manifests.list Projeto
deploymentmanager.resources.get Recurso
deploymentmanager.resources.list Projeto
deploymentmanager.types.list Projeto
deploymentmanager.operations.get Operações
deploymentmanager.operations.list Projeto
roles/deploymentmanager.editor Todas as permissões de deploymentmanager.viewer, mais:
deploymentmanager.deployments.cancelPreview Implantações
deploymentmanager.deployments.create Projeto
deploymentmanager.deployments.delete Implantações
deploymentmanager.deployments.stop Implantações
deploymentmanager.deployments.update Implantações
roles/deploymentmanager.typeViewer deploymentmanager.types.list Projeto
deploymentmanager.typeProviders.get Provedor de tipos
deploymentmanager.typeProviders.list Projeto
deploymentmanager.compositeTypes.get Tipo composto
deploymentmanager.compositeTypes.list Projeto
roles/deploymentmanager.typeEditor Todas as permissões de deploymentmanager.typeViewer mais:
deploymentmanager.typeProviders.create Projeto
deploymentmanager.typeProviders.delete Provedor de tipos
deploymentmanager.typeProviders.update Provedor de tipos
deploymentmanager.compositeTypes.create Projeto
deploymentmanager.compositeTypes.delete Tipo composto
deploymentmanager.compositeTypes.update Tipo composto

Cada método de API requer uma permissão específica para ser chamado. Use a tabela abaixo para determinar as permissões necessárias para o método de API pretendido.

Método Permissões necessárias Papéis que permitem chamar o método
deployments.cancelPreview deploymentmanager.deployments.cancelPreview
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.delete deploymentmanager.deployments.delete
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.get deploymentmanager.deployments.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
deployments.insert deploymentmanager.deployments.create
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.list deploymentmanager.deployments.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
deployments.patch deploymentmanager.deployments.update
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.stop deploymentmanager.deployments.stop
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
deployments.update deploymentmanager.deployments.update
  • roles/deploymentmanager.editor
  • roles/owner
  • roles/editor
manifests.get deploymentmanager.manifests.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
manifests.list deploymentmanager.manifests.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
resources.get deploymentmanager.resources.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
resources.list deploymentmanager.resources.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/owner
  • roles/editor
  • roles/viewer
types.list deploymentmanager.types.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
compositeTypes.delete deploymentmanager.compositeTypes.delete
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
compositeTypes.get deploymentmanager.compositeTypes.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
compositeTypes.insert deploymentmanager.compositeTypes.create
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
compositeTypes.list deploymentmanager.compositeTypes.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
compositeTypes.patch deploymentmanager.compositeTypes.patch
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
compositeTypes.list deploymentmanager.compositeTypes.update
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.delete deploymentmanager.typeProviders.delete
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.get deploymentmanager.typeProviders.get
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
typeProviders.insert deploymentmanager.typeProviders.create
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.list deploymentmanager.typeProviders.list
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.viewer
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer
typeProviders.patch deploymentmanager.typeProviders.patch
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/owner
  • roles/editor
typeProviders.update deploymentmanager.typeProviders.update
  • roles/deploymentmanager.editor
  • roles/deploymentmanager.typeEditor
  • roles/deploymentmanager.typeViewer
  • roles/owner
  • roles/editor
  • roles/viewer

Papéis primários

Os papéis primitivos do IAM são associados diretamente aos papéis legados de proprietário, editor e visualizador do projeto. Eles dão acesso muito mais amplo a serviços do que os papéis predefinidos. Normalmente, você precisa usar papéis predefinidos sempre que possível. Porém, em alguns casos em que o IAM ainda não seja compatível, convém usar um papel primário para conceder as permissões corretas.

Para saber mais sobre papéis primários, leia a documentação sobre Papéis primários.

Controle de acesso do Deployment Manager

Para criar outros recursos do Google Cloud Platform, o Deployment Manager usa as credenciais da conta de serviço das APIs do Google para fazer a autenticação em outras APIs. A conta de serviço de APIs do Google foi projetada especificamente para a execução de processos internos do Google no seu nome. Ela é identificável pelo e-mail:

[PROJECT_NUMBER]@cloudservices.gserviceaccount.com

A conta de serviço de APIs do Google recebe automaticamente permissões de editor no projeto e está listada na seção sobre IAM do Console do Google Cloud Platform. Essa conta permanece indefinidamente no projeto até ele ser excluído. Como o Deployment Manager e outros serviços, como grupos de instâncias gerenciadas, dependem dessa conta de serviço para criar, excluir e gerenciar recursos, não é recomendável modificar as permissões dela.

A seguir

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Documentação do Cloud Deployment Manager