Tipos de políticas do IAM

O Identity and Access Management (IAM) oferece vários tipos de políticas para ajudar você a controlar quais recursos os principais podem acessar. Nesta página, você entenderá as diferenças entre o uso e o gerenciamento desses tipos de política.

Tipos de políticas do IAM

O IAM oferece os seguintes tipos de políticas:

  • Permitir políticas
  • Políticas de negação
  • Políticas de limite de acesso principal (PAB)

A tabela a seguir resume as diferenças entre esses tipos de política:

Política Função da política API usada para gerenciar a política Relação entre políticas e metas Método de anexação de políticas ao destino Recurso pai da política
Permitir políticas Conceder acesso a recursos para os principais A API do recurso que você quer gerenciar políticas de permissão

Relação de um para um

Cada política de permissão é anexada a um recurso, e cada recurso só pode ter uma política de permissão.

Especifique o recurso ao criar a política Igual ao recurso ao qual a política de permissão está anexada
Políticas de negação Garantir que os principais não possam usar permissões específicas A API IAM v2

Relação de um para muitos

Cada política de negação é anexada a um recurso. Cada recurso pode ter até 500 políticas de negação.

Especificar o recurso ao criar a política de negação Igual ao recurso ao qual a política de negação está anexada
Políticas de PAB Restringir os recursos que um principal pode acessar A API IAM v3

Relação de muitos para muitos

Cada política de PAB pode ser anexada a um número ilimitado de conjuntos principais. Cada conjunto principal pode ter até 10 políticas de PAB vinculadas a ele

Criar uma vinculação de política que anexa a política PAB a um conjunto de principais A organização

As seções a seguir fornecem detalhes sobre cada tipo de política.

Políticas para conceder acesso a principais

Para conceder acesso a recursos aos principais, use as políticas de permissão do IAM.

As políticas de permissão permitem conceder acesso a recursos no Google Cloud. As políticas de permissão são compostas por vinculações de papéis e metadados. As vinculações de papel especificam quais principais precisam ter um determinado papel no recurso.

As políticas de permissão são sempre anexadas a um único recurso. Depois de anexar uma política de permissão a um recurso, ela é herdada pelos descendentes desse recurso.

Para criar e aplicar uma política de permissão, identifique um recurso que aceita políticas de permissão e use o método setIamPolicy desse recurso para criar a política de permissão. Todos os principais na política de permissão recebem os papéis especificados no recurso e em todos os descendentes dele. Cada recurso pode ter apenas uma política de permissão anexada.

Para mais informações sobre políticas de permissão, consulte Noções básicas sobre políticas de permissão.

Políticas para negar acesso a principais

Para negar o acesso de membros aos recursos, use as políticas de negação do IAM. As políticas de negação do IAM estão disponíveis na API IAM v2.

As políticas de negação, como as de permissão, são sempre anexadas a um único recurso. É possível anexar uma política de negação a um projeto, uma pasta ou uma organização. Esse projeto, pasta ou organização também atua como pai da política na hierarquia de recursos. Depois de anexar uma política de negação a um recurso, ela é herdada pelos descendentes desse recurso.

Para criar e aplicar políticas de negação, use a API IAM v2. Ao criar uma política de negação, você especifica o recurso a que ela está anexada. Todos os principais na política de negação não podem usar as permissões especificadas para acessar esse recurso e qualquer um dos descendentes dele. Cada recurso pode ter até 500 políticas de negação anexadas.

Para mais informações sobre políticas de negação, consulte Políticas de negação.

Políticas para restringir os recursos que um principal pode acessar

Para restringir os recursos que um principal pode acessar, use uma política de limite de acesso de principal. As políticas de limite de acesso de principal estão disponíveis na API IAM v3.

Para criar e aplicar uma política de limite de acesso de principal, crie uma política de limite de acesso de principal e, em seguida, crie uma vinculação de política para conectar essa política a um conjunto de principais.

As políticas de limite de acesso de principal são sempre filhas da sua organização. As vinculações de políticas para políticas de limite de acesso de principal são filhos do projeto, da pasta ou da organização mais próxima do principal definido referenciado na vinculação de políticas.

Cada vinculação de política associa uma política de limite de acesso de principal a um conjunto de principais. Uma política de limite de acesso de principal pode ser vinculada a qualquer número de conjuntos de principais. Cada conjunto de principais pode ter até 10 políticas de limite de acesso principal vinculadas a ele. Quando uma política de limite de acesso de principal é excluída, todas as vinculações de políticas relacionadas a ela também são excluídas.

Para mais informações sobre as políticas de limite de acesso de principal, consulte Políticas de limite de acesso de principal.

Avaliação da política

Quando um principal tenta acessar um recurso, o IAM avalia todas as políticas de permissão, negação e limite de acesso de principal relevantes para saber se o principal tem permissão para acessar o recurso. Se alguma dessas políticas indicar que o principal não pode acessar o recurso, o IAM vai impedir o acesso.

Na realidade, o IAM avalia todos os tipos de política simultaneamente e, em seguida, compila os resultados para determinar se o principal pode acessar o recurso. No entanto, pode ser útil pensar que essa avaliação de política ocorre nas seguintes etapas:

  1. O IAM verifica todas as políticas de limite de acesso do principal relevantes para saber se o principal está qualificado para acessar o recurso. Uma política de limite de acesso de principal é relevante se as seguintes condições forem verdadeiras:

    • A política está vinculada a um conjunto de principais que inclui o principal
    • A política de limite de acesso de principal bloqueia a permissão que o principal está tentando usar. As permissões que uma política de limite de acesso de principal bloqueia dependem da versão da política de limite de acesso principal. Você especifica a versão da política ao criar a política de limite de acesso de principal. Para mais informações, consulte Versões da política de limite de acesso de principal.

    Depois de verificar as políticas de limite de acesso de principal relevantes, o IAM faz uma das seguintes ações:

    • Se as políticas de limite de acesso de principal relevantes não incluírem o recurso que o principal está tentando acessar, o IAM vai impedir que ele acesse o recurso.
    • Se as políticas de limite de acesso de principal relevantes incluírem o recurso que o principal está tentando acessar, o IAM vai prosseguir para a próxima etapa.
    • Se não houver políticas de limite de acesso de principal relevantes ou se o IAM não puder avaliar as políticas de limite de acesso de principal relevantes, ele vai passar para a próxima etapa.
  2. O IAM verifica todas as políticas de negação relevantes para ver se a permissão da conta principal foi negada. As políticas de negação relevantes são as políticas de negação anexadas ao recurso, bem como quaisquer políticas de negação herdadas.

    • Se qualquer uma dessas políticas de negação impedir que o principal use uma permissão necessária, o IAM impedirá o acesso ao recurso.
    • Se nenhuma política de negação impedir que o principal use uma permissão necessária, o IAM prosseguirá para a próxima etapa.
  3. O IAM verifica todas as políticas de permissão relevantes para ver se o principal tem as permissões necessárias. As políticas de permissão relevantes são as anexadas ao recurso, bem como quaisquer políticas de permissão herdadas.

    • Se o principal não tiver as permissões necessárias, o IAM impedirá o acesso.
    • Se o principal tiver as permissões necessárias, o IAM permitirá que elas acessem o recurso.

O diagrama a seguir mostra esse fluxo de avaliação da política:

Fluxo de avaliação da política do IAM

Fluxo de avaliação da política do IAM

A seguir