Esta página descreve as identidades integradas para recursos, que permitem conceder papéis a recursos nas suas políticas de permissão do IAM.
Identidades integradas
Alguns recursos têm identidades integradas. Essas identidades permitem que os recursos atuem como principais. Como resultado, os recursos com identidades integradas podem fazer o seguinte:
- Ter papéis do IAM concedidos usando o identificador principal do recurso
- Acessar outros recursos sem usar agentes de serviço
Por exemplo, considere os parâmetros do Gerenciador de parâmetros, que têm identidades
incorporadas. Às vezes, os parâmetros precisam de acesso ao Secret Manager para
funcionar corretamente. Para permitir que um parâmetro acesse o Secret Manager, use
o identificador dele para conceder o papel de Acessador de secrets do Secret Manager
(roles/secretmanager.secretAccessor). Em seguida, o parâmetro poderá acessar
os secrets do Secret Manager em seu nome.
Para uma lista de recursos com identidades integradas, consulte Recursos com identidades integradas.
Não é possível usar a identidade integrada de um recurso para autenticar cargas de trabalho gerenciadas pelo cliente, como cargas de trabalho executadas em instâncias do Compute Engine. Se você precisar autenticar uma carga de trabalho, use um dos métodos descritos em Métodos de autenticação no Google.
Conceder papéis a recursos com identidades integradas
Se um recurso tiver uma identidade integrada, será possível conceder papéis a ele incluindo o identificador principal dele nas políticas de permissão. Para saber qual formato usar para cada identificador principal de recurso, consulte Identificadores principais para recursos únicos.
O IAM também oferece identificadores para conjuntos de recursos com identidades integradas que compartilham determinadas características, como tipo ou ancestral. É possível usar esses identificadores nas políticas de permissão para conceder o mesmo papel a vários recursos. Para conferir os formatos aceitos, consulte Identificadores principais para conjuntos de recursos.