Gerenciar o acesso a projetos, pastas e organizações

Nesta página, descrevemos como conceder, alterar e revogar acesso a projetos, pastas e organizações. Para saber como gerenciar o acesso a outros recursos, consulte estes seguintes guias:

No Identity and Access Management (IAM), o acesso é concedido por meio de políticas de permissão, também conhecidas como políticas do IAM. Uma política de permissão é anexada a um recurso do Google Cloud. Cada política contém uma coleção de vinculações de papéis que associam um ou mais principais, como usuários ou contas de serviço, a um papel do IAM. Essas vinculações de papéis concedem os papéis especificados aos principais no recurso ao qual a política está anexada e em todos os descendentes desse recurso. Para mais informações sobre políticas de permissão, consulte Noções básicas sobre políticas de permissão.

Gerencie o acesso a projetos, pastas e organizações com o console do Google Cloud, a CLI do Google Cloud, a API REST ou as bibliotecas de cliente do Resource Manager.

Antes de começar

Enable the Resource Manager API.
Enable the API
Configure a autenticação.

Select the tab for how you plan to use the samples on this page:
Console

When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
C#

Para usar os exemplos .NET desta página em um ambiente de desenvolvimento local, instale e inicialize o gcloud CLI e e configure o Application Default Credentials com suas credenciais de usuário.
1. Install the Google Cloud CLI.
2. To initialize the gcloud CLI, run the following command:
  
  gcloud init
3. If you're using a local shell, then create local authentication credentials for your user account:
  
  gcloud auth application-default login
  
  You don't need to do this if you're using Cloud Shell.
Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local na documentação de autenticação do Google Cloud.
Java

Para usar os exemplos Java desta página em um ambiente de desenvolvimento local, instale e inicialize o gcloud CLI e e configure o Application Default Credentials com suas credenciais de usuário.
1. Install the Google Cloud CLI.
2. To initialize the gcloud CLI, run the following command:
  
  gcloud init
3. If you're using a local shell, then create local authentication credentials for your user account:
  
  gcloud auth application-default login
  
  You don't need to do this if you're using Cloud Shell.
Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local na documentação de autenticação do Google Cloud.
Python

Para usar os exemplos Python desta página em um ambiente de desenvolvimento local, instale e inicialize o gcloud CLI e e configure o Application Default Credentials com suas credenciais de usuário.
1. Install the Google Cloud CLI.
2. To initialize the gcloud CLI, run the following command:
  
  gcloud init
3. If you're using a local shell, then create local authentication credentials for your user account:
  
  gcloud auth application-default login
  
  You don't need to do this if you're using Cloud Shell.
Para mais informações, consulte Configurar a autenticação para um ambiente de desenvolvimento local na documentação de autenticação do Google Cloud.
REST

Para usar as amostras da API REST nesta página em um ambiente de desenvolvimento local, use as credenciais fornecidas para gcloud CLI.
Para mais informações, consulte Autenticar para usar REST na documentação de autenticação do Google Cloud.

Funções exigidas

Ao criar um projeto, uma pasta ou uma organização, você recebe automaticamente um papel que permite gerenciar o acesso a esse recurso. Para mais informações, consulte Políticas padrão.

Se você não criou um projeto, pasta ou organização, verifique se tem os papéis necessários para gerenciar o acesso a esse recurso.

Para receber as permissões necessárias para gerenciar o acesso a um projeto, uma pasta ou uma organização, peça ao administrador para conceder a você os seguintes papéis do IAM no recurso em que você quer gerenciar o acesso (projeto, pasta ou organização):

Para gerenciar o acesso a um projeto: Administrador do IAM do projeto (roles/resourcemanager.projectIamAdmin)
Para gerenciar o acesso a uma pasta: Administrador de pastas (roles/resourcemanager.folderAdmin)
Para gerenciar o acesso a projetos, pastas e organizações: Administrador da organização (roles/resourcemanager.organizationAdmin)
Para gerenciar o acesso a quase todos os recursos do Google Cloud: Administrador de segurança (roles/iam.securityAdmin)

Esses papéis predefinidos têm as permissões necessárias para gerenciar o acesso a um projeto, uma pasta ou uma organização. Para conferir as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As permissões a seguir são necessárias para gerenciar o acesso a um projeto, uma pasta ou uma organização:

Para gerenciar o acesso aos projetos:
- resourcemanager.projects.getIamPolicy
- resourcemanager.projects.setIamPolicy
Para gerenciar o acesso às pastas:
- resourcemanager.folders.getIamPolicy
- resourcemanager.folders.setIamPolicy
Para gerenciar o acesso a organizações:
- resourcemanager.organizations.getIamPolicy
- resourcemanager.organizations.setIamPolicy

Essas permissões também podem ser concedidas com papéis personalizados ou outros papéis predefinidos.

Ver acesso atual

Veja quem tem acesso ao projeto, à pasta ou à organização usando o Console do Google Cloud, a CLI gcloud, a API REST ou as bibliotecas de cliente do Resource Manager.

Console

No console do Google Cloud, abra a página IAM.

Acesse IAM
Selecione um projeto, pasta ou organização.

O Console do Google Cloud lista todos os principais que receberam papéis no projeto, na pasta ou na organização. Essa lista inclui principais que herdaram papéis no recurso de recursos pai. Para mais informações sobre a herança de políticas, consulte Herança de política e hierarquia de recursos.
Opcional: para visualizar as concessões de papel para agentes de serviço, marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para ver quem tem acesso ao projeto, à pasta ou à organização, consiga a política de permissão para o recurso. Para saber como interpretar políticas de permissão, consulte Noções básicas sobre políticas de permissão.

Observação: a política de permissão de um recurso não mostra os papéis recebidos pela herança de políticas. Para ver os papéis herdados, use o Console do Google Cloud ou siga as instruções em Como visualizar políticas de IAM eficazes.

Para conseguir a política de permissão do recurso, execute o comando get-iam-policy para o recurso:
```
gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH
```
Forneça os valores a seguir:
- RESOURCE_TYPE: o tipo de recurso do qual você quer ver o acesso. Use um destes valores: projects, resource-manager folders ou organizations.
- RESOURCE_ID: o projeto, a pasta ou o ID da organização do Google Cloud. Os IDs de projeto são alfanuméricos, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
- FORMAT: o formato desejado para a política. Use json ou yaml.
- PATH: o caminho para um novo arquivo de saída para a política.
Por exemplo, o comando a seguir recebe a política do projeto my-project e a salva no diretório inicial em formato JSON:
```
gcloud projects get-iam-policy my-project --format=json > ~/policy.json
```

C#

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.

Para ver quem tem acesso ao projeto, à pasta ou à organização, consiga a política de permissão para o recurso. Para saber como interpretar políticas de permissão, consulte Noções básicas sobre políticas de permissão.

O exemplo a seguir mostra como receber a política de permissão de um projeto. Para saber como conseguir a política de permissão de uma pasta ou organização, consulte a documentação da biblioteca de cliente do Resource Manager para sua linguagem de programação.


using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy GetPolicy(string projectId)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        var policy = service.Projects.GetIamPolicy(new GetIamPolicyRequest(),
            projectId).Execute();
        return policy;
    }
}

Java

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.

import com.google.cloud.resourcemanager.v3.ProjectsClient;
import com.google.iam.admin.v1.ProjectName;
import com.google.iam.v1.GetIamPolicyRequest;
import com.google.iam.v1.Policy;
import java.io.IOException;

public class GetProjectPolicy {
  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace the variables before running the sample.
    // TODO: Replace with your project ID.
    String projectId = "your-project-id";

    getProjectPolicy(projectId);
  }

  // Gets a project's policy.
  public static Policy getProjectPolicy(String projectId) throws IOException {
    // Initialize client that will be used to send requests.
    // This client only needs to be created once, and can be reused for multiple requests.
    try (ProjectsClient projectsClient = ProjectsClient.create()) {
      GetIamPolicyRequest request = GetIamPolicyRequest.newBuilder()
              .setResource(ProjectName.of(projectId).toString())
              .build();
      return projectsClient.getIamPolicy(request);
    }
  }
}

Python

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.

from google.cloud import resourcemanager_v3
from google.iam.v1 import iam_policy_pb2, policy_pb2


def get_project_policy(project_id: str) -> policy_pb2.Policy:
    """
    Get policy for project.

    project_id: ID or number of the Google Cloud project you want to use.
    """

    client = resourcemanager_v3.ProjectsClient()
    request = iam_policy_pb2.GetIamPolicyRequest()
    request.resource = f"projects/{project_id}"

    policy = client.get_iam_policy(request)
    return policy

REST

O método getIamPolicy da API Resource Manager recebe a política de permissão de um projeto, pasta ou organização.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

API_VERSION: a versão da API a ser usada. Para projetos e organizações, use v1. Para pastas, use v2.
RESOURCE_TYPE: o tipo de recurso com a política que você quer gerenciar. Use o valor projects, folders ou organizations.
RESOURCE_ID: seu projeto do Google Cloud, a organização ou o ID da pasta. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
POLICY_VERSION: a versão da política a ser retornada. As solicitações precisam especificar a versão mais recente da política, que é a versão 3 da política. Para saber mais detalhes, consulte Como especificar uma versão da política ao receber uma política.

Método HTTP e URL:

POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy

Corpo JSON da solicitação:

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login, ou usando o Cloud Shell, que faz login automaticamente na CLI gcloud. . É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy"

PowerShell (Windows)

Observação: o comando a seguir pressupõe que você fez login na CLI gcloud com sua conta de usuário executando gcloud init ou gcloud auth login . É possível verificar a conta ativa atual executando gcloud auth list.

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

Copie o corpo da solicitação e abra a página de referência do método. O painel "APIs Explorer" é aberto no lado direito da página. Interaja com essa ferramenta para enviar solicitações. Cole o corpo da solicitação nessa ferramenta, preencha todos os outros campos obrigatórios e clique em Executar.

A resposta contém a política de permissão do projeto. Por exemplo:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:owner@example.com"
      ]
    }
  ]
}

Conceder ou revogar um único papel

Use o Console do Google Cloud e a CLI gcloud para conceder ou revogar rapidamente apenas um papel de um único principal, sem editar a política de permissão do recurso diretamente. Os tipos comuns de principais incluem Contas do Google, contas de serviço, grupos do Google e domínios. Para ver a lista de tipos de principais, consulte Conceitos relacionados à identidade.

Em geral, as alterações na política entram em vigor em até dois minutos. No entanto, em alguns casos, pode levar sete minutos ou mais para que as mudanças sejam propagadas pelo sistema.

Se você precisar de ajuda para identificar o papel predefinido mais apropriado, consulte Escolher papéis predefinidos.

Conceder um único papel

Para conceder um único papel a um principal, faça o seguinte:

Console

No console do Google Cloud, abra a página IAM.

Acesse IAM
Selecione um projeto, pasta ou organização.
Selecione um principal para conceder um papel:
- Para conceder um papel a um principal que já tenha outros papéis no recurso, encontre uma linha contendo o principal e clique em Editar principal nessa linha, e clique em Adicionar outro papel.
  
  Para conceder um papel a um agente de serviço, marque a caixa de seleção Incluir concessões de papel fornecidas pelo Google para ver o endereço de e-mail dele.
  
  Observação: não é possível editar papéis herdados ao gerenciar o acesso a um recurso. Para editar os papéis herdados, acesse o recurso em que o papel foi concedido.
- Para conceder um papel a um principal que ainda não tem papéis no recurso, clique em Conceder acesso e insira o endereço de e-mail do principal ou outro identificador.
Na lista suspensa, selecione um papel a ser concedido. Como prática recomendada de segurança, escolha um papel que inclua apenas as permissões necessárias ao principal.
Opcional: adicione uma condição ao papel.
Clique em Salvar. O principal recebe o papel no recurso.

Para conceder um papel a um principal a mais de um projeto, pasta ou organização, faça o seguinte:

No Console do Google Cloud, acesse a página Gerenciar recursos.

Acesse "Gerenciar recursos"
Selecione todos os projetos aos quais você quer conceder permissões.
Se o painel de informações não estiver visível, clique em Mostrar painel de informações. Em seguida, clique em Permissões.
Selecione um principal para conceder um papel:
- Para conceder um papel a um principal que já tenha outros papéis, encontre uma linha contendo o principal e clique em Editar principal nessa linha, e clique em Adicionar outro papel.
- Para conceder um papel a um principal que ainda não tem outros papéis, clique em Adicionar principal e, em seguida, insira o endereço de e-mail do principal ou outro identificador.
Na lista suspensa, selecione um papel a ser concedido.
Opcional: adicione uma condição ao papel.
Clique em Salvar. O principal recebe o papel selecionado em cada um dos recursos selecionados.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
O comando add-iam-policy-binding permite que você conceda rapidamente um papel a um principal.

Antes de usar os dados do comando abaixo, faça estas substituições:
- RESOURCE_TYPE: o tipo de recurso ao qual você quer gerenciar o acesso. Use projects, resource-manager folders ou organizations.
- RESOURCE_ID: o projeto, a pasta ou o ID da organização do Google Cloud. Os IDs de projeto são alfanuméricos, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
- PRINCIPAL: um identificador do principal ou membro, que geralmente tem o seguinte formato: PRINCIPAL_TYPE:ID. Por exemplo, user:my-user@example.com. Para conferir uma lista completa dos valores que PRINCIPAL pode ter, consulte a referência de vinculação de políticas.
  
  Para o tipo de principal user, o nome de domínio no identificador precisa ser do Google Workspace ou do Cloud Identity. Para saber como configurar um domínio do Cloud Identity, consulte a Visão geral do Cloud Identity.
- ROLE_NAME: o nome do papel que você quer revogar. Use um dos seguintes formatos:
  - Papéis predefinidos: roles/SERVICE.IDENTIFIER
  - Papéis personalizados para envolvidos no projeto: projects/PROJECT_ID/roles/IDENTIFIER
  - Papéis personalizados no nível da organização: organizations/ORG_ID/roles/IDENTIFIER
  Para uma lista de papéis predefinidos, consulte Noções básicas sobre papéis.
- CONDITION: a condição a ser adicionada à vinculação de papel. Se você não quiser adicionar uma condição, use o valor None. Para mais informações sobre as condições, consulte a visão geral das condições.
Execute o seguinte comando:
Linux, macOS ou Cloud Shell
```
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID \
    --member=PRINCIPAL --role=ROLE_NAME \
    --condition=CONDITION
```
Windows (PowerShell)
```
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID `
    --member=PRINCIPAL --role=ROLE_NAME `
    --condition=CONDITION
```
Windows (cmd.exe)
```
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID ^
    --member=PRINCIPAL --role=ROLE_NAME ^
    --condition=CONDITION
```
A resposta contém a política do IAM atualizada.

Revogar um único papel

Para revogar um único papel de um principal, faça o seguinte:

Console

No console do Google Cloud, abra a página IAM.

Acessar IAM
Selecione um projeto, pasta ou organização.
Encontre a linha que contém o principal cujo acesso você quer revogar. Em seguida, clique em Editar principal nessa linha.

Observação: não é possível editar papéis herdados ao gerenciar o acesso a um recurso. Para editar os papéis herdados, acesse o recurso em que o papel foi concedido.
Clique no botão Excluir do papel que você quer revogar e clique em Salvar.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para revogar um papel de um usuário rapidamente, execute o comando remove-iam-policy-binding:
```
gcloud RESOURCE_TYPE remove-iam-policy-binding RESOURCE_ID 

    --member=PRINCIPAL --role=ROLE_NAME
```
Forneça os valores a seguir:
- RESOURCE_TYPE: o tipo de recurso ao qual você quer gerenciar o acesso. Use projects, resource-manager folders ou organizations.
- RESOURCE_ID: o projeto, a pasta ou o ID da organização do Google Cloud. Os IDs de projeto são alfanuméricos, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
- PRINCIPAL: um identificador do principal ou membro, que geralmente tem o seguinte formato: PRINCIPAL_TYPE:ID. Por exemplo, user:my-user@example.com. Para ver uma lista completa dos valores que PRINCIPAL pode ter, consulte a referência de vinculação de políticas.
  
  Para o tipo de principal user, o nome de domínio no identificador precisa ser do Google Workspace ou do Cloud Identity. Para saber como configurar um domínio do Cloud Identity, consulte a Visão geral do Cloud Identity.
- ROLE_NAME: o nome do papel que você quer revogar. Use um dos seguintes formatos:
  - Papéis predefinidos: roles/SERVICE.IDENTIFIER
  - Papéis personalizados para envolvidos no projeto: projects/PROJECT_ID/roles/IDENTIFIER
  - Papéis personalizados no nível da organização: organizations/ORG_ID/roles/IDENTIFIER
  Para uma lista de papéis predefinidos, consulte Noções básicas sobre papéis.
Por exemplo, para revogar o papel Criador do projeto do usuário my-user@example.com para o projeto my-project:
```
gcloud projects remove-iam-policy-binding my-project 

    --member=user:my-user@example.com --role=roles/resourcemanager.projectCreator
```

Para ajudar a garantir que os papéis necessários não sejam revogados, ative as recomendações de risco de alteração. As recomendações de risco de alteração geram avisos quando você tenta revogar papéis no nível do projeto que o Google Cloud identificou como importantes.

Conceder ou revogar vários papéis usando o console do Google Cloud

É possível usar o console do Google Cloud para conceder e revogar vários papéis para um único principal:

No console do Google Cloud, abra a página IAM.

Acessar IAM
Selecione um projeto, pasta ou organização.
Selecione o principal com os papéis que você quer modificar:
- Para modificar papéis para um principal que já tem papéis no recurso, encontre a linha que contém o principal, clique em Editar principal nessa linha e clique em Adicionar outro papel.
  
  Para modificar os papéis de um agente de serviço, selecione a caixa de seleção Incluir concessões de papel fornecidas pelo Google para ver o endereço de e-mail dele.
  
  Observação: não é possível editar papéis herdados ao gerenciar o acesso a um recurso. Para editar os papéis herdados, acesse o recurso em que o papel foi concedido.
- Para conceder papéis a um principal que ainda não tem papéis no recurso, clique em Conceder papel e insira o endereço de e-mail do principal ou outro identificador.
Modifique os papéis do principal:
- Para conceder um papel a um principal que ainda não tem papéis no recurso, clique em Selecionar um papel e selecione um papel na lista suspensa.
- Para conceder outro papel ao principal, clique em Adicionar outro papel e selecione um papel na lista suspensa.
- Para substituir um dos papéis do principal por um diferente, clique nesse papel e escolha outro na lista suspensa.
- Para revogar um dos papéis do principal, clique no botão Excluir de cada papel que você quer revogar.
Também é possível adicionar uma condição a um papel, modificar a condição de um papel ou remover a condição de um papel.
Clique em Salvar.

Conceder ou revogar vários papéis de forma programática

Para fazer alterações de acesso em grande escala que envolvem a concessão e revogação de vários papéis para vários principais, use o padrão read-modify-write para atualizar a política de permissão do recurso:

Leia a política de permissão atual chamando getIamPolicy().
edição da política retornada usando um editor de texto ou de forma programática, para adicionar ou remover qualquer principal ou vinculação de papel;
Escreva a política de permissão atualizada chamando setIamPolicy().

Use a CLI gcloud, a API REST ou as bibliotecas de cliente do Resource Manager para atualizar a política.

Em geral, as alterações na política entram em vigor em até dois minutos. No entanto, em alguns casos, pode levar sete minutos ou mais para que as mudanças sejam propagadas pelo sistema.

Acessar a política de permissão atual

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para conseguir a política de permissão do recurso, execute o comando get-iam-policy para o recurso:
```
gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH
```
Forneça os valores a seguir:
- RESOURCE_TYPE: o tipo de recurso para o qual você quer conseguir a política de permissão. Use um dos seguintes valores: projects, resource-manager folders ou organizations.
- RESOURCE_ID: o projeto, a pasta ou o ID da organização do Google Cloud. Os IDs de projeto são alfanuméricos, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
- FORMAT: o formato desejado para a política. Use json ou yaml.
- PATH: o caminho para um novo arquivo de saída para a política de permissão.
Por exemplo, o comando a seguir recebe a política de permissão do projeto my-project e a salva no diretório inicial em formato JSON:
```
gcloud projects get-iam-policy my-project --format json > ~/policy.json
```

C#

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.


using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy GetPolicy(string projectId)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        var policy = service.Projects.GetIamPolicy(new GetIamPolicyRequest(),
            projectId).Execute();
        return policy;
    }
}

Java

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.

import com.google.cloud.resourcemanager.v3.ProjectsClient;
import com.google.iam.admin.v1.ProjectName;
import com.google.iam.v1.GetIamPolicyRequest;
import com.google.iam.v1.Policy;
import java.io.IOException;

public class GetProjectPolicy {
  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace the variables before running the sample.
    // TODO: Replace with your project ID.
    String projectId = "your-project-id";

    getProjectPolicy(projectId);
  }

  // Gets a project's policy.
  public static Policy getProjectPolicy(String projectId) throws IOException {
    // Initialize client that will be used to send requests.
    // This client only needs to be created once, and can be reused for multiple requests.
    try (ProjectsClient projectsClient = ProjectsClient.create()) {
      GetIamPolicyRequest request = GetIamPolicyRequest.newBuilder()
              .setResource(ProjectName.of(projectId).toString())
              .build();
      return projectsClient.getIamPolicy(request);
    }
  }
}

Python

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.

from google.cloud import resourcemanager_v3
from google.iam.v1 import iam_policy_pb2, policy_pb2


def get_project_policy(project_id: str) -> policy_pb2.Policy:
    """
    Get policy for project.

    project_id: ID or number of the Google Cloud project you want to use.
    """

    client = resourcemanager_v3.ProjectsClient()
    request = iam_policy_pb2.GetIamPolicyRequest()
    request.resource = f"projects/{project_id}"

    policy = client.get_iam_policy(request)
    return policy

REST

O método getIamPolicy da API Resource Manager recebe a política de permissão de um projeto, pasta ou organização.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

API_VERSION: a versão da API a ser usada. Para projetos e organizações, use v1. Para pastas, use v2.
RESOURCE_TYPE: o tipo de recurso com a política que você quer gerenciar. Use o valor projects, folders ou organizations.
RESOURCE_ID: seu projeto do Google Cloud, a organização ou o ID da pasta. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
POLICY_VERSION: a versão da política a ser retornada. As solicitações precisam especificar a versão mais recente da política, que é a versão 3 da política. Para saber mais detalhes, consulte Como especificar uma versão da política ao receber uma política.

Método HTTP e URL:

POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy

Corpo JSON da solicitação:

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

A resposta contém a política de permissão do projeto. Por exemplo:

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:owner@example.com"
      ]
    }
  ]
}

Salve a resposta em um arquivo do tipo apropriado (json ou yaml).

Modificar a política de permissão

De maneira programática ou usando um editor de texto, modifique a cópia local da política de permissão do recurso para refletir os papéis que você quer conceder ou revogar.

Para evitar a substituição de outras alterações, não edite nem remova o campo etag da política de permissão. O campo etag identifica o estado atual da política de permissão. Quando você define a política atualizada, o IAM compara o valor etag na solicitação com o etag atual e grava a política somente se os valores corresponderem.

Para editar os papéis que uma política de permissão concede, é necessário editar as vinculações de papéis na política de permissão. As vinculações de papéis têm o seguinte formato:

{
  "role": "ROLE_NAME",
  "members": [
    "PRINCIPAL_1",
    "PRINCIPAL_2",
    ...
    "PRINCIPAL_N"
  ],
  "conditions:" {
    CONDITIONS
  }
}

Os marcadores têm os seguintes valores:

ROLE_NAME: o nome do papel que você quer conceder. Use um dos seguintes formatos:
- Papéis predefinidos: roles/SERVICE.IDENTIFIER
- Papéis personalizados para envolvidos no projeto: projects/PROJECT_ID/roles/IDENTIFIER
- Papéis personalizados no nível da organização: organizations/ORG_ID/roles/IDENTIFIER
Para uma lista de papéis predefinidos, consulte Noções básicas sobre papéis.
PRINCIPAL_1, PRINCIPAL_2, ...PRINCIPAL_N: identificadores dos principais a que você quer conceder o papel.

Os identificadores dos principais geralmente têm o seguinte formato: PRINCIPAL-TYPE:ID. Por exemplo, user:my-user@example.com. Para ver uma lista completa dos valores que PRINCIPAL pode ter, consulte a referência de vinculação de políticas.

Para o tipo de principal user, o nome de domínio no identificador precisa ser do Google Workspace ou do Cloud Identity. Para saber como configurar um domínio do Cloud Identity, consulte a Visão geral do Cloud Identity.
CONDITIONS: opcional. Todas as condições que especificam quando o acesso será concedido.

Conceder um papel

Para conceder papéis aos principais, modifique as vinculações de papéis na política. Para saber quais papéis é possível conceder, consulte Noções básicas sobre papéis ou Ver papéis atribuíveis para o recurso. Se você precisar de ajuda para identificar os papéis predefinidos mais apropriados, consulte Escolher papéis predefinidos.

Se preferir, use condições para conceder papéis somente quando determinados requisitos forem atendidos.

Para conceder um papel que já está incluído na política, adicione o principal a uma vinculação de papel:

gcloud

Edite a política retornada adicionando o principal a uma vinculação de papel existente. Essa mudança só entrará em vigor quando você definir a política de permissão atualizada.

Por exemplo, imagine que a política retornada contenha a seguinte vinculação de papel, que concede o papel Avaliador de segurança (roles/iam.securityReviewer) a kai@example.com:

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com"
  ]
}

Para conceder esse mesmo papel a raha@example.com, adicione raha@example.com à vinculação de papel existente:

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

C#

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.


using System.Linq;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy AddMember(Policy policy, string role, string member)
    {
        var binding = policy.Bindings.First(x => x.Role == role);
        binding.Members.Add(member);
        return policy;
    }
}

Go

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.

import (
	"fmt"
	"io"

	"google.golang.org/api/iam/v1"
)

// addMember adds a member to a role binding.
func addMember(w io.Writer, policy *iam.Policy, role, member string) {
	for _, binding := range policy.Bindings {
		if binding.Role != role {
			continue
		}
		for _, m := range binding.Members {
			if m != member {
				continue
			}
			fmt.Fprintf(w, "Role %q found. Member already exists.\n", role)
			return
		}
		binding.Members = append(binding.Members, member)
		fmt.Fprintf(w, "Role %q found. Member added.\n", role)
		return
	}
	fmt.Fprintf(w, "Role %q not found. Member not added.\n", role)
}

Java

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.

import com.google.iam.v1.Binding;
import com.google.iam.v1.Policy;
import java.util.ArrayList;
import java.util.List;

public class AddMember {
  public static void main(String[] args) {
    // TODO(developer): Replace the variables before running the sample.
    // TODO: Replace with your policy, GetPolicy.getPolicy(projectId, serviceAccount).
    Policy policy = Policy.newBuilder().build();
    // TODO: Replace with your role.
    String role = "roles/existing-role";
    // TODO: Replace with your member.
    String member = "user:member-to-add@example.com";

    addMember(policy, role, member);
  }

  // Adds a member to a pre-existing role.
  public static Policy addMember(Policy policy, String role, String member) {
    List<Binding> newBindingsList = new ArrayList<>();

    for (Binding b : policy.getBindingsList()) {
      if (b.getRole().equals(role)) {
        newBindingsList.add(b.toBuilder().addMembers(member).build());
      } else {
        newBindingsList.add(b);
      }
    }

    // Update the policy to add the member.
    Policy updatedPolicy = policy.toBuilder()
            .clearBindings()
            .addAllBindings(newBindingsList)
            .build();

    System.out.println("Added member: " + updatedPolicy.getBindingsList());

    return updatedPolicy;
  }
}

Python

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.

from google.iam.v1 import policy_pb2
from snippets.get_policy import get_project_policy
from snippets.set_policy import set_project_policy


def modify_policy_add_member(
    project_id: str, role: str, member: str
) -> policy_pb2.Policy:
    """
    Add a member to certain role in project policy.

    project_id: ID or number of the Google Cloud project you want to use.
    role: role to which member need to be added.
    member: The principals requesting access.

    Possible format for member:
        * user:{emailid}
        * serviceAccount:{emailid}
        * group:{emailid}
        * deleted:user:{emailid}?uid={uniqueid}
        * deleted:serviceAccount:{emailid}?uid={uniqueid}
        * deleted:group:{emailid}?uid={uniqueid}
        * domain:{domain}
    """
    policy = get_project_policy(project_id)

    for bind in policy.bindings:
        if bind.role == role:
            bind.members.append(member)
            break

    return set_project_policy(project_id, policy)

REST

Edite a política retornada adicionando o principal a uma vinculação de papel existente. Essa mudança só entrará em vigor quando você definir a política de permissão atualizada.

Por exemplo, imagine que a política retornada contenha a seguinte vinculação de papel, que concede o papel Avaliador de segurança (roles/iam.securityReviewer) a kai@example.com:

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com"
  ]
}

Para conceder esse mesmo papel a raha@example.com, adicione raha@example.com à vinculação de papel existente:

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

Para conceder um papel que ainda não está incluído na política, adicione uma nova vinculação de papel:

gcloud

Edite a política retornada adicionando uma nova vinculação de papel que conceda o papel ao principal. Essa mudança só entrará em vigor quando você definir a política de permissão atualizada.

Por exemplo, para conceder o papel de Administrador do Compute Storage (roles/compute.storageAdmin) a raha@example.com, adicione a seguinte vinculação de papel à matriz bindings da política:

{
  "role": "roles/compute.storageAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

C#

Para saber como instalar e usar a biblioteca de cliente do IAM, consulte Bibliotecas de cliente do IAM. Para mais informações, consulte a documentação de referência da API C# do IAM.

Para autenticar no IAM, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.


using System.Collections.Generic;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy AddBinding(Policy policy, string role, string member)
    {
        var binding = new Binding
        {
            Role = role,
            Members = new List<string> { member }
        };
        policy.Bindings.Add(binding);
        return policy;
    }
}

Java

Para saber como instalar e usar a biblioteca de cliente do IAM, consulte Bibliotecas de cliente do IAM. Para mais informações, consulte a documentação de referência da API Java do IAM.

Para autenticar no IAM, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.


import com.google.iam.v1.Binding;
import com.google.iam.v1.Policy;
import java.util.Collections;
import java.util.List;

public class AddBinding {
  public static void main(String[] args) {
    // TODO(developer): Replace the variables before running the sample.
    // TODO: Replace with your policy: GetPolicy.getPolicy(projectId, serviceAccount).
    Policy policy = Policy.newBuilder().build();
    // TODO: Replace with your role.
    String role = "roles/role-to-add";
    // TODO: Replace with your members.
    List<String> members = Collections.singletonList("user:member-to-add@example.com");

    addBinding(policy, role, members);
  }

  // Adds a member to a role.
  public static Policy addBinding(Policy policy, String role, List<String> members) {
    Binding binding = Binding.newBuilder()
            .setRole(role)
            .addAllMembers(members)
            .build();

    // Update bindings for the policy.
    Policy updatedPolicy = policy.toBuilder().addBindings(binding).build();

    System.out.println("Added binding: " + updatedPolicy.getBindingsList());

    return updatedPolicy;
  }
}

Python

Para saber como instalar e usar a biblioteca de cliente do IAM, consulte Bibliotecas de cliente do IAM. Para mais informações, consulte a documentação de referência da API Python do IAM.

Para autenticar no IAM, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.

def modify_policy_add_role(policy: dict, role: str, member: str) -> dict:
    """Adds a new role binding to a policy."""

    binding = {"role": role, "members": [member]}
    policy["bindings"].append(binding)
    print(policy)
    return policy

REST

Edite a política retornada adicionando uma nova vinculação de papel que conceda o papel ao principal. Essa mudança só entrará em vigor quando você definir a política de permissão atualizada.

{
  "role": "roles/compute.storageAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

Você só pode conceder papéis relacionados a serviços de API ativados. Se um serviço, como o Compute Engine, não estiver ativo, você não poderá atribuir papéis exclusivamente relacionados ao Compute Engine. Para mais informações, consulte Ativar e desativar APIs.

Há algumas restrições exclusivas ao conceder permissões em projetos, especialmente o papel (roles/owner) Proprietário. Consulte a documentação de referência de projects.setIamPolicy() para mais informações.

Revogar um papel

Para revogar um papel, remova o principal da vinculação de papel. Se não houver outros principais na vinculação de papel, remova a vinculação inteira.

gcloud

Revogue um papel editando a política JSON ou YAML retornada pelo comando get-iam-policy. Essa mudança só entrará em vigor quando você definir a política de permissão atualizada.

Para revogar um papel de um principal, exclua o principal ou a vinculação da matriz bindings da política de permissão.

C#

Para saber como instalar e usar a biblioteca de cliente do IAM, consulte Bibliotecas de cliente do IAM. Para mais informações, consulte a documentação de referência da API C# do IAM.

Para autenticar no IAM, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.


using System.Linq;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy RemoveMember(Policy policy, string role, string member)
    {
        try
        {
            var binding = policy.Bindings.First(x => x.Role == role);
            if (binding.Members.Count != 0 && binding.Members.Contains(member))
            {
                binding.Members.Remove(member);
            }
            if (binding.Members.Count == 0)
            {
                policy.Bindings.Remove(binding);
            }
            return policy;
        }
        catch (System.InvalidOperationException e)
        {
            System.Diagnostics.Debug.WriteLine("Role does not exist in policy: \n" + e.ToString());
            return policy;
        }
    }
}

Go

Para saber como instalar e usar a biblioteca de cliente do IAM, consulte Bibliotecas de cliente do IAM. Para mais informações, consulte a documentação de referência da API Go do IAM.

Para autenticar no IAM, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.

import (
	"fmt"
	"io"

	"google.golang.org/api/iam/v1"
)

// removeMember removes a member from a role binding.
func removeMember(w io.Writer, policy *iam.Policy, role, member string) {
	bindings := policy.Bindings
	bindingIndex, memberIndex := -1, -1
	for bIdx := range bindings {
		if bindings[bIdx].Role != role {
			continue
		}
		bindingIndex = bIdx
		for mIdx := range bindings[bindingIndex].Members {
			if bindings[bindingIndex].Members[mIdx] != member {
				continue
			}
			memberIndex = mIdx
			break
		}
	}
	if bindingIndex == -1 {
		fmt.Fprintf(w, "Role %q not found. Member not removed.\n", role)
		return
	}
	if memberIndex == -1 {
		fmt.Fprintf(w, "Role %q found. Member not found.\n", role)
		return
	}

	members := removeIdx(bindings[bindingIndex].Members, memberIndex)
	bindings[bindingIndex].Members = members
	if len(members) == 0 {
		bindings = removeIdx(bindings, bindingIndex)
		policy.Bindings = bindings
	}
	fmt.Fprintf(w, "Role %q found. Member removed.\n", role)
}

// removeIdx removes arr[idx] from arr.
func removeIdx[T any](arr []T, idx int) []T {
	return append(arr[:idx], arr[idx+1:]...)
}

Java

Para saber como instalar e usar a biblioteca de cliente do IAM, consulte Bibliotecas de cliente do IAM. Para mais informações, consulte a documentação de referência da API Java do IAM.

Para autenticar no IAM, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.

import com.google.iam.v1.Binding;
import com.google.iam.v1.Policy;
import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

public class RemoveMember {
  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace the variables before running the sample.
    // TODO: Replace with your policy, GetPolicy.getPolicy(projectId, serviceAccount).
    Policy policy = Policy.newBuilder().build();
    // TODO: Replace with your role.
    String role = "roles/existing-role";
    // TODO: Replace with your member.
    String member = "user:member-to-add@example.com";

    removeMember(policy, role, member);
  }

  // Removes member from a role; removes binding if binding contains no members.
  public static Policy removeMember(Policy policy, String role, String member) {
    // Creating new builder with all values copied from origin policy
    Policy.Builder policyBuilder = policy.toBuilder();

    // Getting binding with suitable role.
    Binding binding = null;
    for (Binding b : policy.getBindingsList()) {
      if (b.getRole().equals(role)) {
        binding = b;
        break;
      }
    }

    if (binding != null && binding.getMembersList().contains(member)) {
      List<String> newMemberList = new ArrayList<>(binding.getMembersList());
      // Removing member from a role
      newMemberList.remove(member);

      System.out.println("Member " + member + " removed from " + role);

      // Adding all remaining members to create new binding
      Binding newBinding = binding.toBuilder()
              .clearMembers()
              .addAllMembers(newMemberList)
              .build();

      List<Binding> newBindingList = new ArrayList<>(policyBuilder.getBindingsList());

      // Removing old binding to replace with new one
      newBindingList.remove(binding);

      // If binding has no more members, binding will not be added
      if (!newBinding.getMembersList().isEmpty()) {
        newBindingList.add(newBinding);
      }

      // Update the policy to remove the member.
      policyBuilder.clearBindings()
              .addAllBindings(newBindingList);
    }

    Policy updatedPolicy = policyBuilder.build();

    System.out.println("Exising members: " + updatedPolicy.getBindingsList());

    return updatedPolicy;
  }
}

Python

Para saber como instalar e usar a biblioteca de cliente do IAM, consulte Bibliotecas de cliente do IAM. Para mais informações, consulte a documentação de referência da API Python do IAM.

Para autenticar no IAM, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.

from google.iam.v1 import policy_pb2
from snippets.get_policy import get_project_policy
from snippets.set_policy import set_project_policy


def modify_policy_remove_member(
    project_id: str, role: str, member: str
) -> policy_pb2.Policy:
    """
    Remove a member from certain role in project policy.

    project_id: ID or number of the Google Cloud project you want to use.
    role: role to which member need to be added.
    member: The principals requesting access.

    Possible format for member:
        * user:{emailid}
        * serviceAccount:{emailid}
        * group:{emailid}
        * deleted:user:{emailid}?uid={uniqueid}
        * deleted:serviceAccount:{emailid}?uid={uniqueid}
        * deleted:group:{emailid}?uid={uniqueid}
        * domain:{domain}
    """
    policy = get_project_policy(project_id)

    for bind in policy.bindings:
        if bind.role == role:
            if member in bind.members:
                bind.members.remove(member)
            break

    return set_project_policy(project_id, policy, False)

REST

Revogue um papel editando a política JSON ou YAML retornada pelo comando get-iam-policy. Essa mudança só entrará em vigor quando você definir a política de permissão atualizada.

Para revogar um papel de um principal, exclua o principal ou a vinculação da matriz bindings da política de permissão.

Definir a política de permissão

Depois de modificar a política de permissão para conceder e revogar papéis, chame setIamPolicy() para atualizar aa política.

gcloud

In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Para definir a política de permissão para o recurso, execute o comando set-iam-policy para o recurso:
```
gcloud RESOURCE_TYPE set-iam-policy RESOURCE_ID PATH
```
Forneça os valores a seguir:
- RESOURCE_TYPE: o tipo de recurso para o qual você quer definir a política de permissão. Use um dos seguintes valores: projects, resource-manager folders ou organizations.
- RESOURCE_ID: o projeto, a pasta ou o ID da organização do Google Cloud. Os IDs de projeto são alfanuméricos, como my-project. Os IDs de pastas e organizações são numéricos, como 123456789012.
- PATH: o caminho para um arquivo que contém a nova política de permissão.
A resposta contém a política de permissão atualizada.

Por exemplo, o comando a seguir define a política de permissão armazenada em policy.json como a política de permissão do projeto my-project:
```
gcloud projects set-iam-policy my-project ~/policy.json
```

C#


using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy SetPolicy(string projectId, Policy policy)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        return service.Projects.SetIamPolicy(new SetIamPolicyRequest
        {
            Policy = policy
        }, projectId).Execute();
    }
}

Java

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.

O exemplo a seguir mostra como definir a política de permissão para um projeto. Para saber como definir a política de permissão de uma pasta ou organização, consulte a documentação da biblioteca de cliente do Resource Manager para sua linguagem de programação.

import com.google.cloud.resourcemanager.v3.ProjectsClient;
import com.google.iam.admin.v1.ProjectName;
import com.google.iam.v1.Policy;
import com.google.iam.v1.SetIamPolicyRequest;
import com.google.protobuf.FieldMask;
import java.io.IOException;
import java.util.Arrays;
import java.util.List;

public class SetProjectPolicy {
  public static void main(String[] args) throws IOException {
    // TODO(developer): Replace the variables before running the sample.
    // TODO: Replace with your project ID.
    String projectId = "your-project-id";
    // TODO: Replace with your policy, GetPolicy.getPolicy(projectId, serviceAccount).
    Policy policy = Policy.newBuilder().build();

    setProjectPolicy(policy, projectId);
  }

  // Sets a project's policy.
  public static Policy setProjectPolicy(Policy policy, String projectId)
          throws IOException {

    // Initialize client that will be used to send requests.
    // This client only needs to be created once, and can be reused for multiple requests.
    try (ProjectsClient projectsClient = ProjectsClient.create()) {
      List<String> paths = Arrays.asList("bindings", "etag");
      SetIamPolicyRequest request = SetIamPolicyRequest.newBuilder()
              .setResource(ProjectName.of(projectId).toString())
              .setPolicy(policy)
              // A FieldMask specifying which fields of the policy to modify. Only
              // the fields in the mask will be modified. If no mask is provided, the
              // following default mask is used:
              // `paths: "bindings, etag"`
              .setUpdateMask(FieldMask.newBuilder().addAllPaths(paths).build())
              .build();

      return projectsClient.setIamPolicy(request);
    }
  }
}

Python

Para autenticar no Resource Manager, configure o Application Default Credentials. Para mais informações, consulte Antes de começar.

Para saber como instalar e usar a biblioteca de cliente do Resource Manager, consulte Bibliotecas de cliente do Resource Manager.

from google.cloud import resourcemanager_v3
from google.iam.v1 import iam_policy_pb2, policy_pb2


def set_project_policy(
    project_id: str, policy: policy_pb2.Policy, merge: bool = True
) -> policy_pb2.Policy:
    """
    Set policy for project. Pay attention that previous state will be completely rewritten.
    If you want to update only part of the policy follow the approach read->modify->write.
    For more details about policies check out https://cloud.google.com/iam/docs/policies

    project_id: ID or number of the Google Cloud project you want to use.
    policy: Policy which has to be set.
    merge: The strategy to be used forming the request. CopyFrom is clearing both mutable and immutable fields,
    when MergeFrom is replacing only immutable fields and extending mutable.
    https://googleapis.dev/python/protobuf/latest/google/protobuf/message.html#google.protobuf.message.Message.CopyFrom
    """
    client = resourcemanager_v3.ProjectsClient()

    request = iam_policy_pb2.GetIamPolicyRequest()
    request.resource = f"projects/{project_id}"
    current_policy = client.get_iam_policy(request)

    # Etag should as fresh as possible to lower chance of collisions
    policy.ClearField("etag")
    if merge:
        current_policy.MergeFrom(policy)
    else:
        current_policy.CopyFrom(policy)

    request = iam_policy_pb2.SetIamPolicyRequest()
    request.resource = f"projects/{project_id}"

    # request.etag field also will be merged which means you are secured from collision,
    # but it means that request may fail and you need to leverage exponential retries approach
    # to be sure policy has been updated.
    request.policy.CopyFrom(current_policy)

    policy = client.set_iam_policy(request)
    return policy

REST

O método setIamPolicy da API Resource Manager define a política na solicitação como a nova política de permissão para o projeto, a pasta ou a organização.

Antes de usar os dados da solicitação abaixo, faça as substituições a seguir:

API_VERSION: a versão da API a ser usada. Para projetos e organizações, use v1. Para pastas, use v2.
RESOURCE_TYPE: o tipo de recurso com a política que você quer gerenciar. Use o valor projects, folders ou organizations.
RESOURCE_ID: seu projeto do Google Cloud, a organização ou o ID da pasta. Os IDs do projeto são strings alfanuméricas, como my-project. Os códigos de pastas e organizações são numéricos, como 123456789012.
POLICY: uma representação JSON da política que você quer definir. Para mais informações sobre o formato de uma política, consulte a referência da política.

Método HTTP e URL:

POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy

Corpo JSON da solicitação:

{
  "policy": POLICY
}

Para enviar a solicitação, expanda uma destas opções:

curl (Linux, macOS ou Cloud Shell)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy"

PowerShell (Windows)

Salve o corpo da solicitação em um arquivo com o nome request.json e execute o comando a seguir:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy" | Select-Object -Expand Content

APIs Explorer (navegador)

A resposta contém a política de permissão atualizada.

A seguir

Saiba como gerenciar o acesso a contas de serviço.
Conheça as etapas gerais para gerenciar o acesso a outros recursos.
Saiba como escolher os papéis predefinidos mais apropriados.
Use o Solucionador de problemas de políticas para entender por que um usuário tem ou não acesso a um recurso ou permissão para chamar uma API.
Descubra como visualizar os papéis que podem ser atribuídos em um recurso específico.
Aprenda a tornar o acesso de um principal condicional com as vinculações de papéis condicionais.
Explore maneiras de proteger seus aplicativos com o Identity-Aware Proxy.

Faça um teste

Se você começou a usar o Google Cloud agora, crie uma conta para avaliar o desempenho dos nossos produtos em situações reais. Clientes novos também recebem US$ 300 em créditos para executar, testar e implantar cargas de trabalho.

Comece a usar gratuitamente

Gerenciar o acesso a projetos, pastas e organizações

Antes de começar

Console

gcloud

C#

Java

Python

REST

Funções exigidas

Permissões necessárias

Ver acesso atual

Console

gcloud

C#

Java

Python

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

APIs Explorer (navegador)

Conceder ou revogar um único papel

Conceder um único papel

Console

gcloud

Linux, macOS ou Cloud Shell

Windows (PowerShell)

Windows (cmd.exe)

Revogar um único papel

Console

gcloud

Conceder ou revogar vários papéis usando o console do Google Cloud

Conceder ou revogar vários papéis de forma programática

Acessar a política de permissão atual

gcloud

C#

Java

Python

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

APIs Explorer (navegador)

Modificar a política de permissão

Conceder um papel

gcloud

C#

Go

Java

Python

REST

gcloud

C#

Java

Python

REST

Revogar um papel

gcloud

C#

Go

Java

Python

REST

Definir a política de permissão

gcloud

C#

Java

Python

REST

curl (Linux, macOS ou Cloud Shell)

PowerShell (Windows)

APIs Explorer (navegador)

A seguir

Faça um teste