Na gestão de identidade e de acesso (IAM), controla o acesso para diretores. Um principal representa uma ou mais identidades que foram autenticadas em Google Cloud.
Use entidades principais nas suas políticas
Para usar diretores nas suas políticas, faça o seguinte:
Configure identidades que Google Cloud podem ser reconhecidas. A configuração de identidades é o processo de criação de identidades que o sistema Google Cloud pode reconhecer. Pode configurar identidades para utilizadores e cargas de trabalho.
Para saber como configurar identidades, consulte o seguinte:
- Para saber como configurar identidades para utilizadores, consulte o artigo Identidades para utilizadores.
- Para saber como configurar identidades para cargas de trabalho, consulte o artigo Identidades para cargas de trabalho.
Determine o identificador principal que vai usar. O identificador principal é a forma como se refere a um principal nas suas políticas. Este identificador pode referir-se a uma única identidade ou a um grupo de identidades.
O formato que usa para o identificador principal depende do seguinte:
- O tipo de principal
- O tipo de política no qual quer incluir o principal
Para ver o formato do identificador principal para cada tipo de principal em cada tipo de política, consulte Identificadores principais.
Depois de saber o formato do identificador, pode determinar o identificador único do principal com base nos atributos do principal, como o endereço de email do principal.
Inclua o identificador do principal na sua política. Adicione o seu principal à política, seguindo o formato da política.
Para saber mais sobre os diferentes tipos de políticas na IAM, consulte o artigo Tipos de políticas.
Suporte para tipos de principais
Cada tipo de política IAM suporta um subconjunto dos tipos de principais que o IAM suporta. Para ver os tipos principais suportados para cada tipo de política, consulte o artigo Identificadores principais.
Tipos de diretores
A tabela seguinte descreve brevemente os diferentes tipos de principais suportados pelo IAM. Para uma descrição detalhada e exemplos de como um tipo principal pode ser apresentado quando usado numa política, clique no nome do tipo principal na tabela.
| Tipo de principal | Descrição | Diretor único ou conjunto de diretores | Gerido pela Google ou federado | Apoio técnico do tipo de política |
|---|---|---|---|---|
| Contas Google | Contas de utilizador que representam um humano que interage com as APIs e os serviços Google. | Capital principal único | Gerido pela Google |
Os seguintes tipos de políticas suportam Contas Google:
Os seguintes tipos de políticas não suportam Contas Google:
|
| Contas de serviço | Uma conta usada por uma carga de trabalho de máquina em vez de uma pessoa. | Capital principal único | Gerido pela Google |
Os seguintes tipos de políticas suportam contas de serviço:
Os seguintes tipos de políticas não suportam contas de serviço:
|
| Grupos Google | Uma coleção nomeada de utilizadores humanos ou de máquinas com Contas Google. |
Conjunto de principais que pode conter o seguinte:
|
Gerido pela Google |
Os seguintes tipos de políticas suportam grupos Google:
Os seguintes tipos de políticas não suportam grupos Google:
|
| Domínios | Uma conta do Google Workspace ou um domínio do Cloud ID que representa um grupo virtual. O grupo pode conter utilizadores humanos e contas de serviço. |
Conjunto de principais que pode conter os seguintes tipos de principais:
|
Gerido pela Google |
Os seguintes tipos de políticas suportam domínios:
|
allAuthenticatedUsers |
Um identificador especial que representa todas as contas de serviço e utilizadores humanos na Internet que foram autenticados com uma Conta Google. |
Conjunto de principais que pode conter os seguintes tipos de principais:
|
Gerido pela Google |
Os seguintes tipos de políticas suportam
Os seguintes tipos de políticas não suportam
|
allUsers |
Um identificador especial que representa qualquer pessoa que esteja na Internet, autenticada e não autenticada. |
Conjunto de principais que pode conter os seguintes tipos de principais:
|
Ambos |
Os seguintes tipos de políticas suportam
Os seguintes tipos de políticas não suportam
|
| Uma única identidade num Workload Identity Pool | Um utilizador humano com uma identidade gerida por um IdP externo e federada através da federação de identidade da força de trabalho. | Capital principal único | Federado |
Os seguintes tipos de políticas suportam uma única identidade num Workforce Identity Pool:
|
| Um conjunto de diretores num Workforce Identity Pool | Um conjunto de utilizadores humanos com identidades geridas por um IdP externo e federadas através da federação de identidade da força de trabalho. | Conjunto de principais que contém identidades da força de trabalho. | Federado |
Os seguintes tipos de políticas suportam um conjunto de responsáveis num grupo do Workforce Identity:
|
| Um único principal num Workload Identity Pool | Uma carga de trabalho (ou um utilizador da máquina) com uma identidade gerida por um IdP externo e federada através da federação de identidade da carga de trabalho. | Capital principal único | Federado |
Os seguintes tipos de políticas suportam um único principal num Workload Identity Pool:
|
| Um conjunto de responsáveis num Workload Identity Pool | Um conjunto de cargas de trabalho (ou utilizadores de máquinas) com identidades geridas por um IdP externo e federadas através da federação de identidade da carga de trabalho. | Conjunto de principais que contém identidades de carga de trabalho | Federado |
Os seguintes tipos de políticas suportam um conjunto de responsáveis num Workload Identity Pool:
|
| Um conjunto de pods do Google Kubernetes Engine | Uma carga de trabalho (ou um utilizador da máquina) executada e federada através do GKE. | Conjunto de principais que pode conter uma ou mais identidades de cargas de trabalho federadas | Federado |
Os seguintes tipos de políticas suportam pods do GKE:
Os seguintes tipos de políticas não suportam pods do GKE:
|
| Conjuntos de principais do Resource Manager | Um conjunto de utilizadores humanos ou de máquinas associados a Google Cloud recursos, como projetos, pastas e organizações. |
Conjunto de principais que pode conter os seguintes tipos de principais:
|
Ambos |
Os seguintes tipos de políticas suportam conjuntos de principais do Resource Manager:
Os seguintes tipos de políticas não suportam conjuntos de principais do Resource Manager:
|
As secções seguintes descrevem estes tipos principais mais detalhadamente.
Contas do Google
Uma Conta Google representa um programador, um administrador ou qualquer outra pessoa que interage com o Google Play Console através de uma conta criada com a Google. Google Cloud Qualquer endereço de email associado a uma Conta Google, também denominado conta de utilizador gerida, pode ser usado como um principal. Isto inclui gmail.com
endereços de email e endereços de email com outros domínios.
Os exemplos seguintes mostram como pode identificar uma Conta Google em diferentes tipos de políticas:
- Políticas de permissão:
user:alex@example.com - Políticas de recusa:
principal://goog/subject/alex@example.com
Para saber mais sobre os formatos de identificadores principais, consulte o artigo Identificadores principais.
Nas suas políticas de permissão e recusa, os alias de email associados a uma Conta Google ou a uma conta de utilizador gerida são automaticamente substituídos pelo endereço de email principal. Isto significa que a política apresenta o endereço de email principal do utilizador quando concede acesso a um alias de email.
Para mais informações sobre a configuração de Contas Google, consulte o artigo sobre as contas do Cloud ID ou Google Workspace.
Contas de serviço
Uma conta de serviço é uma conta para uma aplicação ou uma carga de trabalho de computação, em vez de um utilizador final individual. Quando executa código alojado no Google Cloud, especifica uma conta de serviço a usar como identidade para a sua aplicação. Pode criar quantas contas de serviço forem necessárias para representar os diferentes componentes lógicos da sua aplicação.
Os exemplos seguintes mostram como pode identificar uma conta de serviço em diferentes tipos de políticas:
- Políticas de permissão:
serviceAccount:my-service-account@my-project.iam.gserviceaccount.com - Políticas de recusa:
principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com
Para saber mais sobre os formatos de identificadores principais, consulte o artigo Identificadores principais.
Para mais informações sobre contas de serviço, consulte o artigo Vista geral das contas de serviço.
Grupos do Google
Um grupo Google é uma coleção de Contas Google com um nome. Todos os Grupos Google têm um endereço de email exclusivo associado ao grupo. Pode encontrar o endereço de email associado a um grupo Google clicando em Acerca de na página inicial de qualquer grupo Google. Para mais informações sobre os Grupos do Google, consulte a página inicial dos Grupos do Google.
Os grupos Google são uma forma conveniente de aplicar controlos de acesso a uma coleção de diretores. Pode conceder e alterar os controlos de acesso para um grupo inteiro de uma só vez, em vez de conceder ou alterar os controlos de acesso um de cada vez para os principais individuais. Também pode adicionar ou remover responsáveis de um grupo Google em vez de atualizar uma política de autorização para adicionar ou remover responsáveis.
Os grupos Google não têm credenciais de início de sessão e não pode usar os grupos Google para estabelecer a identidade para fazer um pedido de acesso a um recurso.
Os exemplos seguintes mostram como pode identificar um grupo Google em diferentes tipos de políticas:
- Políticas de permissão:
group:my-group@example.com - Políticas de recusa:
principalSet://goog/group/my-group@example.com
Para saber mais sobre os formatos de identificadores principais, consulte o artigo Identificadores principais.
Para saber mais sobre a utilização de grupos para controlo de acesso, consulte o artigo Práticas recomendadas para usar grupos Google.
Domínios
Os domínios podem existir como contas do Google Workspace ou domínios do Cloud ID. São fundamentalmente iguais porque representam um grupo virtual de todas as Contas Google que contêm. A única diferença é que os utilizadores do domínio do Cloud ID não têm acesso às aplicações e funcionalidades do Google Workspace.
As contas do Google Workspace e os domínios do Cloud ID estão associados ao nome do domínio da Internet da sua organização, como example.com.
Quando cria uma Conta Google para um novo utilizador, como username@example.com, essa Conta Google é adicionada ao grupo virtual da sua conta do Google Workspace ou domínio do Cloud Identity.
Tal como os Grupos Google, não é possível usar domínios para estabelecer a identidade, mas permitem uma gestão de autorizações conveniente.
Os exemplos seguintes mostram como pode identificar um domínio em diferentes tipos de políticas:
- Políticas de permissão:
domain:example.com - Políticas de recusa:
principalSet://goog/cloudIdentityCustomerId/C01Abc35 - Políticas de limite de acesso principal:
//iam.googleapis.com/locations/global/workspace/C01Abc35
Para saber mais sobre os formatos de identificadores principais, consulte o artigo Identificadores principais.
Para mais informações sobre o Cloud ID, consulte o artigo Acerca do Cloud ID.
Nas políticas de permissão e recusa, os domínios secundários são substituídos automaticamente pelo domínio principal. Isto significa que a política apresenta o domínio principal quando concede acesso a um domínio secundário.
allAuthenticatedUsers
O valor allAuthenticatedUsers é um identificador especial que representa todas as contas de serviço e todos os utilizadores na Internet que se autenticaram com uma Conta Google. Este identificador inclui contas que não estão associadas a uma conta do Google Workspace ou a um domínio do Cloud ID, como contas pessoais do Gmail. Os utilizadores não autenticados, como visitantes anónimos, não são incluídos.
Este tipo de principal não inclui identidades federadas, que são geridas por fornecedores de identidade (IdPs) externos. Se usar a federação de identidade da força de trabalho ou a federação de identidade de cargas de trabalho, não use allAuthenticatedUsers. Em alternativa, use uma das seguintes opções:
- Para incluir utilizadores de todos os IdPs, use
allUsers. - Para incluir utilizadores de IdPs externos específicos, use o identificador para todas as identidades num grupo do Workforce Identity ou todas as identidades num grupo do Workload Identity.
Alguns tipos de recursos não suportam este tipo de principal.
allUsers
O valor allUsers é um identificador especial que representa qualquer pessoa na Internet, incluindo utilizadores autenticados e não autenticados.
Alguns tipos de recursos não suportam este tipo de principal.
Os exemplos seguintes mostram o aspeto do identificador allUsers em diferentes tipos de políticas:
- Permitir políticas em tipos de recursos suportados:
allUsers - Políticas de recusa:
principalSet://goog/public:all
Para saber mais sobre os formatos de identificadores principais, consulte o artigo Identificadores principais.
Identidades federadas num Workforce Identity Pool
Um Workforce Identity Pool é um conjunto de identidades de utilizadores gerido por um IdP externo e federado através da federação de identidade da força de trabalho. Pode fazer referência a diretores nestes conjuntos das seguintes formas:
- Uma única identidade num Workload Identity Pool
- Todas as identidades da força de trabalho num grupo especificado
- Todas as identidades da força de trabalho com um valor de atributo específico
- Todas as identidades num Workload Identity Pool
Os exemplos seguintes mostram como pode identificar pools de identidades de força de trabalho federada em diferentes tipos de políticas:
- Um único principal nas políticas de permissão:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - Um conjunto de diretores nas políticas de recusa:
principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com - Políticas de limite de acesso principal:
//iam.googleapis.com/locations/global/workforcePools/example-workforce-pool
Para saber mais sobre os formatos de identificadores principais, consulte o artigo Identificadores principais.
Identidades federadas num Workload Identity Pool
Um Workload Identity Pool é um conjunto de identidades de carga de trabalho gerido por um IdP externo e federado através da federação de identidades de cargas de trabalho. Pode fazer referência a diretores nestes conjuntos das seguintes formas:
- Uma única identidade num Workload Identity Pool
- Todas as identidades de carga de trabalho num grupo especificado
- Todas as identidades de carga de trabalho com um valor de atributo específico
- Todas as identidades num Workload Identity Pool
Os exemplos seguintes mostram como pode identificar pools de identidades de carga de trabalho federada em diferentes tipos de políticas:
- Um único principal nas políticas de permissão:
principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com - Um grupo de responsáveis em políticas de recusa:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com - Políticas de limite de acesso principal:
//iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/example-workload-pool
Para saber mais sobre os formatos de identificadores principais, consulte o artigo Identificadores principais.
Pods do GKE
As cargas de trabalho executadas no GKE usam a federação de identidades da carga de trabalho para o GKE para aceder aos serviços Google Cloud . Para mais informações sobre os identificadores principais dos pods do GKE, consulte o artigo Faça referência a recursos do Kubernetes em políticas do IAM.
O exemplo seguinte mostra como pode identificar todos os pods do GKE num cluster específico numa política de autorização:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/123456789012.svc.id.goog/kubernetes.cluster/https://container.googleapis.com/v1/projects/123456789012/locations/global/clusters/example-gke-cluster
Para saber mais sobre os formatos de identificadores principais, consulte o artigo Identificadores principais.
Conjuntos de principais do Resource Manager
Cada recurso do Resource Manager (projetos, pastas e organizações) está associado a um conjunto de principais. Quando cria associações de políticas de limites de acesso principais, pode usar o conjunto de principais para um recurso do Resource Manager para referenciar todos os principais associados a esse recurso.
Os conjuntos de principais para recursos do Resource Manager contêm os seguintes principais:
- Conjunto de principais do projeto: todas as contas de serviço e Workload Identity Pools no projeto especificado.
- Conjunto principal da pasta: todas as contas de serviço e todos os Workload Identity Pools em qualquer projeto na pasta especificada.
Conjunto de diretor da organização: contém as seguintes identidades:
- Todas as identidades em todos os domínios associados ao seu ID de cliente do Google Workspace
- Todos os Workload Identity Pools na sua organização
- Todas as contas de serviço e Workload Identity Pools em qualquer projeto na organização
O exemplo seguinte mostra como pode identificar o conjunto de principais de um projeto numa política de limite de acesso principal para o conjunto de principais de um projeto:
//cloudresourcemanager.googleapis.com/projects/example-project
Para saber mais sobre os formatos de identificadores principais, consulte o artigo Identificadores principais.
O que se segue?
- Saiba mais sobre os tipos de políticas suportados pelo IAM
- Conceda uma função a um principal num projeto, numa pasta ou numa organização do Resource Manager