Esta página foi traduzida pela API Cloud Translation.

Controle de acesso com o IAM

Esta página descreve os papéis e as permissões do Gerenciador de infraestrutura.

O Infra Manager usa o gerenciamento de identidade e acesso (IAM) para controlar o acesso ao serviço. Para conceder acesso para implantar recursos com o Infra Manager, atribua as funções do IAM necessárias do Infra Manager à conta de serviço usada para chamar o Infra Manager. Para saber como conceder permissões a contas de serviço, consulte Gerenciar o acesso a contas de serviço.

Não é necessário ter uma conta de serviço para acessar implantações, revisões e políticas do IAM do Infra Manager. Para acessar o Infra Manager, conceda acesso ao usuário, grupo ou conta de serviço.

Para implantar ou visualizar os recursos Google Cloud definidos na configuração do Terraform, é necessário conceder as permissões da conta de serviço específicas para esses recursos. Essas permissões são adicionais às permissões do Infra Manager listadas nesta página. Para conferir uma lista de todos os papéis e as permissões que eles contêm, consulte a referência de papéis básicos e predefinidos do Identity and Access Management.

Papéis predefinidos do Infra Manager

O IAM oferece papéis predefinidos que concedem acesso a recursos Google Cloud específicos e impedem o acesso não autorizado a outros recursos.

A tabela a seguir lista os papéis do IAM do Infra Manager e as permissões que eles incluem:

Papel	Descrição	Permissões
Administrador do Infra Manager (`roles/config.admin`)	Para um usuário, controle total dos recursos do Infra Manager	`config.deployments.create` `config.deployments.delete` `config.deployments.get` `config.deployments.getIamPolicy` `config.deployments.list` `config.deployments.setIamPolicy` `config.deployments.update` `config.previews.create` `config.previews.delete` `config.previews.get` `config.previews.list` `config.previews.export` `config.previews.upload` `config.locations.get` `config.locations.list` `config.operations.cancel` `config.operations.delete` `config.operations.get` `config.operations.list` `config.resources.get` `config.resources.list` `config.revisions.get` `config.revisions.list` `config.artifacts.import` `config.terraformversions.get` `config.terraformversions.listt` `resourcemanager.projects.get` `resourcemanager.projects.list`
Agente de serviço do Infra Manager (`roles/config.agent`)	Forneça acesso a uma conta de serviço para trabalhar com o Infra Manager, incluindo implantações, revisões, geração de registros e arquivos de estado do Terraform.	`storage.buckets.get` `storage.buckets.list` `storage.buckets.create` `storage.buckets.update` `storage.buckets.delete` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.update` `storage.objects.delete` `logging.logEntries.create` `config.deployments.getState` `config.deployments.updateState` `config.deployments.deleteState` `config.deployments.getLock` `config.previews.upload` `config.artifacts.import` `config.revisions.getState` `cloudbuild.connections.list` `cloudbuild.repositories.accessReadToken` `cloudbuild.repositories.list`
Conta de serviço do Infra Manager (`roles/cloudconfig.serviceAgent`)	Quando você ativa a API Infra Manager, a conta de serviço do Infra Manager é criada automaticamente no projeto e recebe esse papel para os recursos no projeto. A conta de serviço do Infra Manager usa esse papel somente conforme necessário para realizar ações ao criar, gerenciar ou excluir implantações e revisões.	`cloudbuild.builds.get` `cloudbuild.builds.list` `cloudbuild.builds.create` `cloudbuild.builds.update` `cloudbuild.workerpools.use` `storage.buckets.get` `storage.buckets.list` `storage.buckets.create` `storage.buckets.update` `storage.buckets.delete` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.update` `storage.objects.delete`
Leitor do Infra Manager (`roles/config.viewer`)	Ler implantações, revisões e políticas do IAM.	`config.deployments.get` `config.deployments.getIamPolicy` `config.deployments.list` `config.previews.get` `config.previews.list` `config.locations.get` `config.locations.list` `config.operations.get` `config.operations.list` `config.resources.get` `config.resources.list` `config.revisions.get` `config.revisions.list` `config.terraformversions.get` `config.terraformversions.listt` `resourcemanager.projects.get` `resourcemanager.projects.list`

Além dos papéis predefinidos do Infra Manager, os papéis de leitor e proprietário básicos também incluem permissões relacionadas ao Infra Manager. No entanto, recomendamos que você conceda papéis predefinidos sempre que possível para obedecer ao princípio de segurança do menor privilégio.

A tabela a seguir lista os papéis básicos e os papéis do IAM do Infra Manager que eles incluem.

Papel	Papéis incluídos
Leitor	`roles/config.viewer`
Proprietário	`roles/config.admin`

Permissões

As permissões que o autor da chamada precisa ter para chamar cada método estão listadas na referência da API REST.

A seguir

Saiba mais sobre IAM.
Saiba mais sobre como usar condições no IAM.
Saiba mais sobre as contas de serviço do Infra Manager.