Esta página descreve como criar e gerir funções personalizadas no Google Distributed Cloud (GDC) air-gapped. As funções personalizadas permitem-lhe gerir o acesso além dos conjuntos de autorizações padrão disponíveis em funções predefinidas, o que lhe permite configurar autorizações de acordo com os seus critérios específicos.
As funções personalizadas seguem o princípio do menor privilégio e são úteis para conceder o menor acesso necessário para tarefas confidenciais, mitigando os riscos de segurança e evitando conflitos de interesses.
A criação de uma função personalizada permite-lhe:
- Defina o âmbito do acesso: opte por aplicar autorizações em toda a sua organização, em todos os projetos ou restringi-las a projetos específicos.
- Personalize o acesso detalhado: selecione uma ou mais autorizações já disponíveis através de funções predefinidas para personalizar o acesso a tarefas ou responsabilidades específicas.
Consulte as descrições das funções predefinidas e as definições das funções para mais informações.
Antes de começar
O acesso às funções personalizadas é gerido ao nível da organização e do projeto. O acesso de função personalizada só pode ser concedido na mesma organização ou projeto onde foi criado.
Para ter as autorizações necessárias para criar e gerir funções personalizadas, peça ao seu administrador que lhe conceda uma das seguintes funções:
Administrador organizacional de funções personalizadas
Cria e gere funções personalizadas numa organização ou num projeto. Esta função inclui a capacidade de atualizar, listar, ver, desativar e eliminar funções personalizadas.
Os utilizadores administradores do IAM da organização podem conceder esta função.
Administrador do projeto de função personalizada
Cria e gere funções personalizadas num projeto. Esta função inclui a capacidade de atualizar, listar, ver, desativar e eliminar funções personalizadas.
Os utilizadores administradores do IAM do projeto podem conceder esta função.
Saiba mais sobre a atribuição de autorizações de funções para organizações e projetos.
Crie uma função personalizada
Uma função personalizada é um grupo de autorizações que pode atribuir a utilizadores. Pode criar uma nova função personalizada agrupando autorizações de funções predefinidas. As funções personalizadas herdam as capacidades multizona do IAM das funções predefinidas nas quais se baseiam.
Crie uma função personalizada através da consola do GDC ou da CLI gdcloud:
Consola
- Inicie sessão na consola do GDC.
- No seletor de projetos, selecione a organização ou o projeto no qual quer criar uma função personalizada.
- No menu de navegação, clique em Identidade e acesso > Funções.
- Clique em Criar função personalizada.
- No campo Título, introduza o título da função personalizada.
- No campo Descrição, indique uma descrição da finalidade da função personalizada.
No campo ID, introduza o identificador exclusivo da sua função personalizada.
Os IDs de funções personalizadas podem ter até 10 carateres alfanuméricos em minúsculas e não podem ser alterados após a criação da função.
Selecione uma fase de lançamento.
Selecione o âmbito da função personalizada.
Se selecionar Organização, a função personalizada aplica-se a todos os recursos na organização. Se selecionar Projetos, a função personalizada aplica-se a todos os projetos atuais e futuros na organização. Pode selecionar Limitar aos projetos selecionados se quiser especificar que projetos podem aceder à função personalizada.
Clique em Adicionar autorizações.
Selecione a caixa de verificação junto a uma ou mais das autorizações suportadas que quer atribuir à sua função personalizada.
As autorizações disponíveis estão limitadas ao âmbito selecionado. Se alterar o âmbito depois de adicionar autorizações, tem de confirmar que todas as autorizações atribuídas anteriormente são repostas.
Clique em Guardar.
Clique em Criar.
A nova função personalizada é apresentada na página Funções.
gdcloud
- Certifique-se de que tem a CLI gcloud instalada. Para mais informações, consulte a página Vista geral da CLI gdcloud.
Crie uma função personalizada:
gdcloud iam roles create ROLE_ID \ --title=TITLE \ --description=DESCRIPTION \ --permissions=PERMISSIONSSubstitua os seguintes elementos obrigatórios:
ROLE_ID: o identificador exclusivo da sua função personalizada. Os IDs de funções personalizadas podem ter até 10 carateres alfanuméricos minúsculos e podem conter hífenes e pontos finais. Não é possível alterar os IDs das funções personalizadas após a criação das funções.TITLE: um título intuitivo para a função personalizada.DESCRIPTION: uma descrição da finalidade da função personalizada.PERMISSIONS: uma lista de autorizações suportadas concedidas para a função personalizada.
Em alternativa, pode definir a função personalizada num ficheiro YAML e usar a flag
--file:gdcloud iam roles create ROLE_ID --file=YAML_FILE_PATHSubstitua
YAML_FILE_PATHpelo caminho para o ficheiro YAML que contém as flags obrigatórias e opcionais. Se usar a flag--file, todas as outras flags, como--title,--descriptione--permissions, são ignoradas.Consulte gdcloud iam roles create para ver uma lista completa de flags obrigatórias e opcionais, bem como exemplos de utilização.
Faça a gestão de uma função personalizada
É responsável por gerir o ciclo de vida das suas funções personalizadas. Quando a nuvem distribuída adiciona novas autorizações, funcionalidades ou serviços, atualiza as funções predefinidas. As atualizações, como a eliminação de uma função predefinida ou a remoção de autorizações de uma função predefinida, podem tornar as funções personalizadas que dependem dessas autorizações não funcionais. Tem de monitorizar estas atualizações e ajustar manualmente as funções personalizadas afetadas para garantir que continuam a funcionar como esperado.
Pode editar, desativar ou eliminar uma função personalizada. No entanto, não pode editar, desativar nem eliminar uma função predefinida.
Veja uma lista de funções
Veja uma lista de funções predefinidas e personalizadas disponíveis através da consola GDC ou da CLI gdcloud:
Consola
- Inicie sessão na consola do GDC.
- No seletor de projetos, selecione a organização ou o projeto no qual quer ver as funções.
No menu de navegação, clique em Identidade e acesso > Funções.
É apresentada uma lista de funções predefinidas e personalizadas disponíveis.
gdcloud
- Certifique-se de que tem a CLI gcloud instalada. Para mais informações, consulte a página Vista geral da CLI gdcloud.
Listar funções:
gdcloud iam roles list ROLE_TYPE \ --project=PROJECTSubstitua os seguintes elementos:
ROLE_TYPE:predefined,customouall.PROJECT: o espaço de nomes do projeto onde quer ver as funções. Se o sinalizador--projectnão for especificado, são apresentadas as funções ao nível da organização.
Consulte o comando gdcloud iam roles list para ver mais informações e exemplos de utilização.
Edite uma função personalizada
Edite uma função personalizada através da consola do GDC ou da CLI gdcloud:
Consola
- Inicie sessão na consola do GDC.
- No seletor de projetos, selecione a organização ou o projeto no qual quer editar uma função personalizada.
- No menu de navegação, clique em Identidade e acesso > Funções.
- Na lista de funções, selecione a função personalizada que quer editar.
- Na página de detalhes da função personalizada, clique em Editar.
- Edite os detalhes da função personalizada, como o título, a descrição, o ID ou a fase de lançamento.
- Opcionalmente, adicione ou remova autorizações atribuídas.
- Clique em Adicionar autorizações para selecionar na lista de autorizações disponíveis.
- Para remover uma autorização atribuída, selecione a caixa de verificação junto à autorização que quer remover e clique em Remover.
Clique em Guardar.
É apresentada uma mensagem a confirmar as alterações guardadas.
gdcloud
- Certifique-se de que tem a CLI gcloud instalada. Para mais informações, consulte a página Vista geral da CLI gdcloud.
Para editar uma função personalizada:
gdcloud iam roles update ROLE_ID \ --title=TITLE \ --description=DESCRIPTION \ --permissions=PERMISSIONSSubstitua os seguintes elementos obrigatórios:
ROLE_ID: o identificador exclusivo da sua função personalizada.TITLE: um título intuitivo para a função personalizada.DESCRIPTION: uma descrição da finalidade da função personalizada.PERMISSIONS: uma lista de autorizações suportadas concedidas para a função personalizada.
Em alternativa, pode atualizar a função personalizada no respetivo ficheiro YAML e usar a flag
--file:gdcloud iam roles update ROLE_ID --file=YAML_FILE_PATHSubstitua
YAML_FILE_PATHpelo caminho para o ficheiro YAML que contém as flags obrigatórias e opcionais atualizadas. Se usar a flag--file, todas as outras flags, como--title,--descriptione--permissions, são ignoradas.Consulte gdcloud iam roles update para ver uma lista completa de flags obrigatórias e opcionais, bem como exemplos de utilização.
Desative uma função personalizada
As funções personalizadas desativadas permanecem na sua lista de funções e ainda podem ser atribuídas a utilizadores. No entanto, a função não tem efeito. Pode reativar a função personalizada em qualquer altura.
Desative uma função personalizada através da consola do GDC ou da CLI gdcloud:
Consola
- Inicie sessão na consola do GDC.
- No seletor de projetos, selecione a organização ou o projeto no qual quer desativar uma função personalizada.
- No menu de navegação, clique em Identidade e acesso > Funções.
- Na lista de funções, selecione a função personalizada que quer desativar.
- Na página de detalhes da função personalizada, clique em Desativar.
gdcloud
- Certifique-se de que tem a CLI gcloud instalada. Para mais informações, consulte a página Vista geral da CLI gdcloud.
Para desativar uma função personalizada:
gdcloud iam roles update ROLE_ID --stage=DISABLEDSubstitua o seguinte elemento obrigatório:
ROLE_ID: o identificador exclusivo da sua função personalizada.
Consulte o artigo gdcloud iam roles update para mais informações.
Elimine uma função personalizada
A eliminação de uma função personalizada só é suportada através da CLI gdcloud. As funções eliminadas são removidas permanentemente do sistema. No entanto, pode criar uma nova função com o mesmo nome.
Elimine uma função personalizada através da CLI gdcloud:
- Certifique-se de que tem a CLI gcloud instalada. Para mais informações, consulte a página Vista geral da CLI gdcloud.
Elimine uma função personalizada:
gdcloud iam roles delete ROLE_ID --project=PROJECTSubstitua o seguinte:
ROLE_ID: o identificador exclusivo da sua função personalizada.PROJECT: o espaço de nomes do projeto onde quer eliminar a função personalizada. Se a flag--projectnão for especificada, a função ao nível da organização é eliminada.
Consulte o artigo gdcloud iam roles delete para ver mais informações e exemplos de utilização.