Princípios do IAM

No Identity and Access Management (IAM), você controla o acesso para princípios. Um principal representa uma ou mais identidades que foram autenticadas em Google Cloud.

Usar princípios nas suas políticas

Para usar os principais participantes nas suas políticas, faça o seguinte:

  1. Configure identidades que o Google Cloud pode reconhecer. Configurar identidades é o processo de criar identidades que Google Cloud podem ser reconhecidas. É possível configurar identidades para usuários e cargas de trabalho.

    Para saber como configurar identidades, consulte:

  2. Determine o identificador principal que você vai usar. O identificador principal é como você se refere a um principal nas suas políticas. Esse identificador pode se referir a uma única identidade ou a um grupo de identidades.

    O formato usado para o identificador principal depende do seguinte:

    • O tipo de principal
    • O tipo de política em que você quer incluir o principal

    Para conferir o formato do identificador principal de cada tipo de participante em cada tipo de política, consulte Identificadores de participantes.

    Depois de saber o formato do identificador, é possível determinar o identificador exclusivo do principal com base nos atributos dele, como o endereço de e-mail.

  3. Inclua o identificador do principal na sua política. Adicione o principal à política, seguindo o formato dela.

    Para saber mais sobre os diferentes tipos de políticas no IAM, consulte Tipos de políticas.

Suporte a tipos principais

Cada tipo de política do IAM oferece suporte a um subconjunto dos principais tipos com os quais o IAM é compatível. Para conferir os tipos de participantes aceitos para cada tipo de política, consulte Identificadores de participantes.

Tipos de principais

O IAM oferece suporte aos seguintes tipos de principais:

As seções a seguir descrevem esses tipos principais em mais detalhes.

Contas do Google

Uma Conta do Google representa um desenvolvedor, um administrador ou qualquer outra pessoa que interaja com o Google Cloud usando uma conta criada com o Google. Qualquer endereço de e-mail associado a uma Conta do Google, também chamada de conta de usuário gerenciada, pode ser usado como principal. Isso inclui endereços de e-mail gmail.com e endereços de e-mail com outros domínios.

Para mais informações sobre como configurar contas do Google, consulte Contas do Cloud Identity ou do Google Workspace.

Contas de serviço

Uma conta de serviço é uma conta para uma carga de trabalho de aplicativo ou computação em vez de um usuário final individual. Ao executar um código hospedado no Google Cloud, especifique uma conta de serviço para usar como a identidade do aplicativo. Para representar os diferentes componentes lógicos do aplicativo, crie quantas contas de serviço forem necessárias.

Para mais informações sobre contas de serviço, consulte Visão geral das contas de serviço.

Grupos do Google

Um Grupo do Google é uma coleção nomeada de Contas do Google. Todo Grupo do Google tem um endereço de e-mail exclusivo associado a ele. Para encontrar o endereço de e-mail associado a um Grupo do Google, clique em Sobre na página inicial de qualquer Grupo do Google. Consulte a página inicial dos Grupos do Google para mais informações.

Os Grupos do Google são um modo prático de aplicar controles de acesso a uma coleção de princípios. Você pode conceder e mudar controles de acesso para um grupo inteiro de uma só vez, em vez de conceder ou mudar controles de acesso um por um para cada autoridade. Também é possível adicionar e remover principais de um Grupo do Google com facilidade, em vez de atualizar uma política de permissão para adicionar ou remover principais.

Os grupos do Google não têm credenciais de login, e não é possível usá-los a fim de estabelecer uma identidade para fazer uma solicitação de acesso a um recurso.

Para saber mais sobre o uso de grupos para o controle de acesso, consulte Práticas recomendadas para usar grupos do Google.

Contas do Google Workspace

Uma conta do Google Workspace representa um grupo virtual de todas as Contas do Google que ela contém. As contas do Google Workspace são associadas ao nome de domínio da Internet de sua organização, como example.com. Quando você cria uma Conta do Google para um novo usuário, como username@example.com, ela é adicionada ao grupo virtual da sua conta do Google Workspace.

De maneira semelhante ao que ocorre nos grupos do Google, as contas do Google Workspace não são usados para estabelecer identidade, mas ativam o gerenciamento conveniente de permissões.

Domínios do Cloud Identity

Um domínio do Cloud Identity é semelhante à conta do Google Workspace, porque ele representa um grupo virtual de todas as Contas do Google em uma organização. Entretanto, os usuários de domínio do Cloud Identity não têm acesso aos aplicativos e recursos do Google Workspace. Para mais informações, consulte Sobre o Cloud Identity.

allAuthenticatedUsers

O valor allAuthenticatedUsers é um identificador especial que representa todas as contas de serviço e todos os usuários na Internet que se autenticaram com uma Conta do Google. Esse identificador inclui contas que não estão conectadas a uma conta do Google Workspace ou do Cloud Identity, como contas pessoais do Gmail. Os usuários que não forem autenticados, como os visitantes anônimos, não serão incluídos.

Esse tipo principal não inclui identidades federadas, que são gerenciadas por provedores de identidade externos (IdPs). Se você usar a federação de identidade de colaboradores ou a federação de identidade da carga de trabalho, não use allAuthenticatedUsers. Use uma das seguintes opções:

Alguns tipos de recursos não são compatíveis com esse tipo principal.

allUsers

O valor allUsers é um identificador especial que representa qualquer pessoa que esteja na Internet, incluindo usuários autenticados e não autenticados.

Alguns tipos de recursos não são compatíveis com esse tipo principal.

As identidades federadas em um pool de Identidades de colaboradores

Uma identidade federada em um pool de identidade de colaboradores é uma identidade de usuário gerenciada por um IdP externo e federada usando a Federação de identidade de colaboradores. É possível usar uma identidade específica em um pool de identidades de colaboradores ou usar determinados atributos para especificar um grupo de identidades de usuário em um pool de identidades de colaboradores.

Identidades federadas em um pool de Identidade da carga de trabalho.

Uma identidade federada em um pool de identidade da carga de trabalho é uma identidade da carga de trabalho gerenciada por um IdP externo e federada usando a federação de identidade da carga de trabalho. É possível usar uma identidade da carga de trabalho específica em um pool de identidades da carga de trabalho ou usar determinados atributos para especificar um grupo de identidades da carga de trabalho em um pool de identidades da carga de trabalho.

Pods do GKE

As cargas de trabalho executadas no GKE usam a Federação de Identidade da Carga de Trabalho para GKE para acessar Google Cloud serviços. Para mais informações sobre identificadores principais para pods do GKE, consulte Referenciar recursos do Kubernetes em políticas do IAM.

Conjuntos principais do Resource Manager

Cada recurso do Resource Manager (projetos, pastas e organizações) é associado a um conjunto de principais usuários. Ao criar vinculações de políticas de limite de acesso de principal, use o conjunto de principais de um recurso do Resource Manager para referenciar todos os principais associados a esse recurso.

Os conjuntos de principais para recursos do Resource Manager contêm os seguintes principais:

  • Conjunto principal do projeto: todas as contas de serviço e pools de identidades de carga de trabalho no projeto especificado.
  • Conjunto principal de pastas: todas as contas de serviço e todos os pools de identidade de carga de trabalho em qualquer projeto na pasta especificada.

  • Conjunto principal da organização: contém as seguintes identidades:

    • Todas as identidades em todos os domínios associados ao seu ID de cliente do Google Workspace
    • Todos os pools de identidade de força de trabalho na sua organização
    • Todas as contas de serviço e pools de identidade de carga de trabalho em qualquer projeto da organização

A seguir