Opções de controle de acesso

Por padrão, todos os projetos do Console do Google Cloud Platform vêm com um único usuário: o criador original do projeto. Ninguém mais terá acesso ao projeto e aos recursos do Google Cloud Platform até que um usuário seja adicionado como membro da equipe do projeto. Esta página descreve as diferentes maneiras de adicionar novos usuários ao projeto.

Ela também descreve como o Deployment Manager se autentica em outras APIs do Cloud Platform em seu nome para criar recursos.

Antes de começar

Controle de acesso para usuários

Para dar aos usuários acesso ao projeto, de maneira que eles possam criar configurações e implantações, adicione-os como membros da equipe do projeto e conceda-lhes os devidos papéis do gerenciamento de identidade e acesso (IAM).

Para informações sobre como adicionar membros de equipe, leia a documentação referente à adição de membros da equipe.

Papéis do Deployment Manager

Papel Nome Descrição Permissões Menor recurso
roles/deploymentmanager.editor Editor do Deployment Manager Concede as permissões necessárias para criar e gerenciar implantações.
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.deployments.cancelPreview
  • deploymentmanager.deployments.create
  • deploymentmanager.deployments.delete
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.deployments.stop
  • deploymentmanager.deployments.update
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projeto
roles/deploymentmanager.typeEditor Editor de tipo do Deployment Manager Dá acesso de leitura e gravação a todos os recursos de registro de tipo.
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.operations.get
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
Projeto
roles/deploymentmanager.typeViewer Visualizador de tipo do Deployment Manager Dá acesso somente de leitura a todos os recursos do Registro do tipo.
  • deploymentmanager.compositeTypes.get
  • deploymentmanager.compositeTypes.list
  • deploymentmanager.typeProviders.get
  • deploymentmanager.typeProviders.getType
  • deploymentmanager.typeProviders.list
  • deploymentmanager.typeProviders.listTypes
  • deploymentmanager.types.get
  • deploymentmanager.types.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
Projeto
roles/deploymentmanager.viewer Leitor do Deployment Manager Fornece acesso somente leitura a todos os recursos relacionados ao Deployment Manager.
  • deploymentmanager.compositeTypes.get
  • deploymentmanager.compositeTypes.list
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.get
  • deploymentmanager.typeProviders.getType
  • deploymentmanager.typeProviders.list
  • deploymentmanager.typeProviders.listTypes
  • deploymentmanager.types.get
  • deploymentmanager.types.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Projeto

Controle de acesso do Deployment Manager

Para criar outros recursos do Google Cloud Platform, o Deployment Manager usa as credenciais da conta de serviço das APIs do Google para fazer a autenticação em outras APIs. A conta de serviço de APIs do Google foi projetada especificamente para a execução de processos internos do Google no seu nome. Ela é identificável pelo e-mail:

[PROJECT_NUMBER]@cloudservices.gserviceaccount.com

A conta de serviço de APIs do Google recebe automaticamente permissões de editor no projeto e está listada na seção sobre IAM do Console do Google Cloud Platform. Essa conta permanece indefinidamente no projeto até ele ser excluído. Como o Deployment Manager e outros serviços, como grupos de instâncias gerenciadas, dependem dessa conta de serviço para criar, excluir e gerenciar recursos, não é recomendável modificar as permissões dela.

A seguir