O gerenciamento de identidade e acesso (IAM) oferece vários tipos de políticas para ajudar você a controlar quais recursos os principais podem acessar. Esta página ajuda você a entender as diferenças entre o uso e o gerenciamento desses tipos de política.
Tipos de políticas do IAM
O IAM oferece os seguintes tipos de políticas:
- Permitir políticas
- Políticas de negação
- Políticas de limite de acesso principal (PAB)
A tabela a seguir resume as diferenças entre esses tipos de política:
| Política | Função da política | API usada para gerenciar a política | Relação entre políticas e metas | Método de anexação de políticas ao destino | Recurso pai da política |
|---|---|---|---|---|---|
| Permitir políticas | Conceder acesso a recursos para os principais | A API do recurso para o qual você quer gerenciar políticas de permissão |
Relação de um para um Cada política de permissão é anexada a um recurso, e cada recurso só pode ter uma política de permissão. |
Especifique o recurso ao criar a política | Igual ao recurso ao qual a política de permissão está anexada |
| Políticas de negação | Garantir que os principais não possam usar permissões específicas | A API IAM v2 |
Relação de um para muitos Cada política de negação é anexada a um recurso. Cada recurso pode ter até 500 políticas de negação. |
Especificar o recurso ao criar a política de negação | Igual ao recurso ao qual a política de negação está anexada |
| Políticas de PAB | Restringir os recursos que um principal pode acessar | A API IAM v3 |
Relação de muitos para muitos Cada política de PAB pode ser anexada a um número ilimitado de conjuntos principais. Cada conjunto principal pode ter até 10 políticas de PAB vinculadas a ele |
Criar uma vinculação de política que anexa a política PAB a um conjunto de principais | A organização |
As seções a seguir fornecem detalhes sobre cada tipo de política.
Políticas para conceder acesso a diretores
Para conceder acesso a recursos aos principais, use as políticas de permissão do IAM.
As políticas de permissão permitem conceder acesso a recursos no Google Cloud. As políticas de permissão são compostas por vinculações de papéis e metadados. As vinculações de papel especificam quais principais precisam ter um determinado papel no recurso.
As políticas de permissão são sempre anexadas a um único recurso. Depois de anexar uma política de permissão a um recurso, ela é herdada pelos descendentes desse recurso.
Para criar e aplicar uma política de permissão, identifique um recurso que aceita políticas de
permissão e use o método
setIamPolicy desse recurso para criar a política de permissão. Todos os principais na política de permissão
recebem os papéis especificados no recurso e em todos os
descendentes dele. Cada recurso pode ter apenas uma política de permissão anexada.
Para mais informações sobre políticas de permissão, consulte Noções básicas sobre políticas de permissão.
Políticas para negar acesso a diretores
Para negar o acesso de membros aos recursos, use as políticas de negação do IAM. As políticas de negação do IAM estão disponíveis na API IAM v2.
As políticas de negação, como as de permissão, são sempre anexadas a um único recurso. É possível anexar uma política de negação a um projeto, uma pasta ou uma organização. Esse projeto, pasta ou organização também atua como pai da política na hierarquia de recursos. Depois de anexar uma política de negação a um recurso, ela é herdada pelos descendentes desse recurso.
Para criar e aplicar políticas de negação, use a API IAM v2. Ao criar uma política de negação, você especifica o recurso a que ela está anexada. Todos os principais na política de negação não podem usar as permissões especificadas para acessar esse recurso e qualquer um dos descendentes dele. Cada recurso pode ter até 500 políticas de negação anexadas.
Para mais informações sobre políticas de negação, consulte Políticas de negação.
Políticas para restringir os recursos que um principal pode acessar
Para restringir os recursos que um principal pode acessar, use uma política de limite de acesso principal. As políticas de limite de acesso principal estão disponíveis na API IAM v3.
Para criar e aplicar uma política de limite de acesso principal, crie uma política de limite de acesso principal e, em seguida, crie uma vinculação de política para conectar essa política a um conjunto principal.
As políticas de limite de acesso principal são sempre filhas da sua organização. As vinculações de políticas para políticas de limite de acesso principal são filhos do projeto, da pasta ou da organização mais próxima do principal definido referenciado na vinculação de políticas.
Cada vinculação de política associa uma política de limite de acesso principal a um conjunto de principais. Uma política de limite de acesso principal pode ser vinculada a qualquer número de conjuntos de principais. Cada conjunto principal pode ter até 10 políticas de limite de acesso principal vinculadas a ele. Quando uma política de limite de acesso de principal é excluída, todas as vinculações de políticas relacionadas a ela também são excluídas.
Para mais informações sobre as políticas de limite de acesso principal, consulte Políticas de limite de acesso principal.
Avaliação da política
Quando um principal tenta acessar um recurso, o IAM avalia todas as políticas de permissão, negação e limite de acesso principal relevantes para saber se o principal tem permissão para acessar o recurso. Se alguma dessas políticas indicar que o principal não pode acessar o recurso, o IAM vai impedir o acesso.
Na realidade, o IAM avalia todos os tipos de política simultaneamente e, em seguida, compila os resultados para determinar se o principal pode acessar o recurso. No entanto, pode ser útil pensar que essa avaliação de política ocorre nas seguintes etapas:
-
O IAM verifica todas as políticas de limite de acesso principal relevantes para saber se o principal está qualificado para acessar o recurso. Uma política de limite de acesso principal é relevante se as seguintes condições forem verdadeiras:
- A política está vinculada a um conjunto de principais que inclui o principal
- A política de limite de acesso principal bloqueia a permissão que o principal está tentando usar. As permissões que uma política de limite de acesso principal bloqueia dependem da versão da política de limite de acesso principal. Você especifica a versão da política ao criar a política de limite de acesso principal. Para mais informações, consulte Versões da política de limite de acesso principal.
Depois de verificar as políticas de limite de acesso principal relevantes, o IAM faz uma das seguintes ações:
- Se as políticas de limite de acesso principal relevantes não incluírem o recurso que o principal está tentando acessar, o IAM vai impedir que ele acesse o recurso.
- Se as políticas de limite de acesso principal relevantes incluírem o recurso que o principal está tentando acessar, o IAM vai prosseguir para a próxima etapa.
- Se não houver políticas de limite de acesso principal relevantes ou se o IAM não puder avaliar as políticas de limite de acesso principal relevantes, ele vai passar para a próxima etapa.
-
O IAM verifica todas as políticas de negação relevantes para ver se a permissão da conta principal foi negada. As políticas de negação relevantes são as políticas de negação anexadas ao recurso, bem como quaisquer políticas de negação herdadas.
- Se qualquer uma dessas políticas de negação impedir que o principal use uma permissão necessária, o IAM impedirá o acesso ao recurso.
- Se nenhuma política de negação impedir que o principal use uma permissão necessária, o IAM prosseguirá para a próxima etapa.
-
O IAM verifica todas as políticas de permissão relevantes para ver se o principal tem as permissões necessárias. As políticas de permissão relevantes são as anexadas ao recurso, bem como quaisquer políticas de permissão herdadas.
- Se o principal não tiver as permissões necessárias, o IAM impedirá o acesso.
- Se o principal tiver as permissões necessárias, o IAM permitirá que elas acessem o recurso.
O diagrama a seguir mostra esse fluxo de avaliação da política:
A seguir
- Saiba mais sobre as políticas de permissão.
- Saiba mais sobre as políticas de negação
- Saiba mais sobre as políticas de limite de acesso principal.