Criar um papel personalizado

Nesta página, descrevemos como criar e gerenciar papéis personalizados no Google Distributed Cloud (GDC) isolado por air-gap. Com os papéis personalizados, é possível gerenciar o acesso além dos conjuntos de permissões padrão disponíveis em papéis predefinidos, permitindo configurar permissões para atender aos seus critérios específicos.

As funções personalizadas seguem o princípio de privilégio mínimo e são úteis para conceder o menor acesso necessário para tarefas sensíveis, mitigando riscos de segurança e evitando conflitos de interesse.

Ao criar um papel personalizado, você pode:

  • Defina o escopo do acesso: escolha aplicar permissões em toda a organização, em todos os projetos ou restringir a projetos específicos.
  • Personalizar o acesso granular: selecione uma ou mais permissões já disponíveis em papéis predefinidos para personalizar o acesso a tarefas ou responsabilidades específicas.

Consulte Descrições de papéis predefinidos e Definições de papéis para mais informações.

Antes de começar

O acesso a papéis personalizados é gerenciado nos níveis da organização e do projeto. O acesso a papéis personalizados só pode ser concedido na mesma organização ou projeto em que foi criado.

Para ter as permissões necessárias para criar e gerenciar papéis personalizados, peça ao administrador para conceder a você um dos seguintes papéis:

  • Administrador da organização com função personalizada

    Cria e gerencia funções personalizadas em uma organização ou projeto. Esse papel inclui a capacidade de atualizar, listar, visualizar, desativar e excluir papéis personalizados.

    Os usuários administradores do IAM da organização podem conceder esse papel.

  • Administrador de projetos com função personalizada

    Cria e gerencia funções personalizadas em um projeto. Esse papel inclui a capacidade de atualizar, listar, visualizar, desativar e excluir papéis personalizados.

    Os usuários administradores do IAM do projeto podem conceder esse papel.

Saiba mais sobre como atribuir permissões de função para organizações e projetos.

Criar um papel personalizado

Uma função personalizada é um grupo de permissões que você pode atribuir aos usuários. É possível criar um papel personalizado agrupando permissões de papéis predefinidos. Os papéis personalizados herdam os recursos multizona do IAM dos papéis predefinidos em que são criados.

Crie uma função personalizada usando o console do GDC ou a CLI gdcloud:

Console

  1. Faça login no console do GDC.
  2. No seletor de projetos, selecione a organização ou o projeto em que você quer criar um papel personalizado.
  3. No menu de navegação, clique em Identidade e acesso > Papéis.
  4. Clique em Criar função personalizada.
  5. No campo Título, insira o título da função personalizada.
  6. No campo Descrição, forneça uma descrição da finalidade da função personalizada.

  7. No campo ID, insira o identificador exclusivo da função personalizada.

    Os IDs de papéis personalizados podem ter até 10 caracteres alfanuméricos minúsculos e não podem ser alterados após a criação do papel.

  8. Selecione um Estágio de lançamento.

  9. Selecione o escopo da função personalizada.

    Se você selecionar Organização, a função personalizada será aplicada a todos os recursos da organização. Se você selecionar Projetos, a função personalizada será aplicada a todos os projetos atuais e futuros da organização. Se quiser especificar quais projetos podem acessar a função personalizada, selecione Limitar aos projetos selecionados.

  10. Clique em Adicionar permissões.

  11. Marque a caixa de seleção ao lado de uma ou mais permissões compatíveis que você quer atribuir à função personalizada.

    As permissões disponíveis são limitadas ao escopo selecionado. Se você mudar o escopo depois de adicionar permissões, confirme se todas as permissões atribuídas anteriormente foram redefinidas.

  12. Clique em Salvar.

  13. Clique em Criar.

    O novo papel personalizado aparece na página Papéis.

gdcloud

  1. Verifique se a CLI gdcloud está instalada. Para mais informações, consulte a página Visão geral da CLI gdcloud.

  2. Crie um papel personalizado:

    gdcloud iam roles create ROLE_ID \
  --title=TITLE \
  --description=DESCRIPTION \
  --permissions=PERMISSIONS

    Substitua os seguintes elementos obrigatórios:

    • ROLE_ID: o identificador exclusivo da sua função personalizada. Os IDs de função personalizada podem ter até 10 caracteres alfanuméricos minúsculos e conter hifens e pontos. Os IDs de papéis personalizados não podem ser alterados após a criação do papel.
    • TITLE: um título fácil de usar para a função personalizada.
    • DESCRIPTION: uma descrição da finalidade da função personalizada.
    • PERMISSIONS: uma lista de permissões compatíveis concedidas para o papel personalizado.

    Outra opção é definir o papel personalizado em um arquivo YAML e usar a flag --file:

    gdcloud iam roles create ROLE_ID --file=YAML_FILE_PATH

    Substitua YAML_FILE_PATH pelo caminho para o arquivo YAML que contém as flags obrigatórias e opcionais. Se você usar a flag --file, todas as outras flags, como --title, --description e --permissions, serão ignoradas.

    Consulte gdcloud iam roles create para ver uma lista completa de flags obrigatórias e opcionais, além de exemplos de uso.

Gerenciar uma função personalizada

Você é responsável por gerenciar o ciclo de vida das suas funções personalizadas. Quando o Distributed Cloud adiciona novas permissões, recursos ou serviços, ele atualiza os papéis predefinidos. Atualizações como excluir um papel predefinido ou remover permissões de um papel predefinido podem tornar não funcionais os papéis personalizados que dependem dessas permissões. É preciso monitorar essas atualizações e ajustar manualmente os papéis personalizados afetados para garantir que eles continuem funcionando conforme o esperado.

É possível editar, desativar ou excluir uma função personalizada, mas não é possível fazer isso com uma função predefinida.

Ver uma lista de papéis

Confira uma lista de papéis predefinidos e personalizados disponíveis usando o console do GDC ou a CLI gdcloud:

Console

  1. Faça login no console do GDC.
  2. No seletor de projetos, selecione a organização ou o projeto em que você quer ver os papéis.

  3. No menu de navegação, clique em Identidade e acesso > Papéis.

    Uma lista de funções predefinidas e personalizadas disponíveis aparece.

gdcloud

  1. Verifique se a CLI gdcloud está instalada. Para mais informações, consulte a página Visão geral da CLI gdcloud.

  2. Listar papéis:

    gdcloud iam roles list ROLE_TYPE \
  --project=PROJECT

    Substitua os seguintes elementos:

    • ROLE_TYPE: predefined, custom ou all.
    • PROJECT: o namespace do projeto em que você quer ver as funções. Se a flag --project não for especificada, os papéis no escopo da organização serão listados.

    Consulte gdcloud iam roles list para mais informações e exemplos de uso.

Editar uma função personalizada

Edite uma função personalizada usando o console do GDC ou a CLI gdcloud:

Console

  1. Faça login no console do GDC.
  2. No seletor de projetos, selecione a organização ou o projeto em que você quer editar um papel personalizado.
  3. No menu de navegação, clique em Identidade e acesso > Papéis.
  4. Na lista de papéis, selecione o papel personalizado que você quer editar.
  5. Na página de detalhes da função personalizada, clique em Editar.
  6. Edite os detalhes do papel personalizado, como título, descrição, ID ou estágio de lançamento.
  7. Se quiser, adicione ou remova permissões atribuídas.
    1. Clique em Adicionar permissões para selecionar na lista de permissões disponíveis.
    2. Para remover uma permissão atribuída, marque a caixa de seleção ao lado da permissão que você quer remover e clique em Remover.

  8. Clique em Salvar.

    Uma mensagem aparece confirmando as mudanças salvas.

gdcloud

  1. Verifique se a CLI gdcloud está instalada. Para mais informações, consulte a página Visão geral da CLI gdcloud.

  2. Para editar uma função personalizada:

    gdcloud iam roles update ROLE_ID \
  --title=TITLE \
  --description=DESCRIPTION \
  --permissions=PERMISSIONS

    Substitua os seguintes elementos obrigatórios:

    • ROLE_ID: o identificador exclusivo da sua função personalizada.
    • TITLE: um título fácil de usar para a função personalizada.
    • DESCRIPTION: uma descrição da finalidade da função personalizada.
    • PERMISSIONS: uma lista de permissões compatíveis concedidas para o papel personalizado.

    Como alternativa, atualize o papel personalizado no arquivo YAML e use a flag --file:

    gdcloud iam roles update ROLE_ID --file=YAML_FILE_PATH

    Substitua YAML_FILE_PATH pelo caminho para o arquivo YAML que contém as flags obrigatórias e opcionais atualizadas. Se você usar a flag --file, todas as outras flags, como --title, --description e --permissions, serão ignoradas.

    Consulte gdcloud iam roles update para ver uma lista completa de flags obrigatórias e opcionais, além de exemplos de uso.

desativar um papel personalizado

As funções personalizadas desativadas permanecem na lista de funções e ainda podem ser atribuídas a usuários, mas não têm efeito. É possível reativar a função personalizada a qualquer momento.

Desative um papel personalizado usando o console do GDC ou a CLI gdcloud:

Console

  1. Faça login no console do GDC.
  2. No seletor de projeto, selecione a organização ou o projeto em que você quer desativar um papel personalizado.
  3. No menu de navegação, clique em Identidade e acesso > Papéis.
  4. Na lista de papéis, selecione o papel personalizado que você quer desativar.
  5. Na página de detalhes da função personalizada, clique em Desativar.

gdcloud

  1. Verifique se a CLI gdcloud está instalada. Para mais informações, consulte a página Visão geral da CLI gdcloud.

  2. Desativar um papel personalizado:

    gdcloud iam roles update ROLE_ID --stage=DISABLED

    Substitua o seguinte elemento obrigatório:

    • ROLE_ID: o identificador exclusivo da sua função personalizada.

    Consulte gdcloud iam roles update para mais informações.

excluir um papel personalizado

A exclusão de um papel personalizado só é compatível com a CLI gdcloud. Os papéis excluídos são removidos permanentemente do sistema, mas é possível criar um novo com o mesmo nome.

Exclua um papel personalizado usando a CLI gdcloud:

  1. Verifique se a CLI gdcloud está instalada. Para mais informações, consulte a página Visão geral da CLI gdcloud.

  2. Excluir uma função personalizada:

    gdcloud iam roles delete ROLE_ID --project=PROJECT

    Substitua:

    • ROLE_ID: o identificador exclusivo da sua função personalizada.
    • PROJECT: o namespace do projeto em que você quer excluir a função personalizada. Se a flag --project não for especificada, a função no escopo da organização será excluída.

    Consulte gdcloud iam roles delete para mais informações e exemplos de uso.