Esta página foi traduzida pela API Cloud Translation.

Controle de acesso com o IAM

Nesta página, descrevemos os papéis e as permissões do Infrastructure Manager.

O Infra Manager usa o Identity and Access Management (IAM) para controlar o acesso ao serviço. Para conceder acesso à implantação de recursos com o Infra Manager, atribua os papéis do IAM necessários do Infra Manager à conta de serviço que você usa para chamar o Infra Manager. Para detalhes sobre como conceder permissões a contas de serviço, consulte Gerenciar o acesso a contas de serviço.

Não é necessário ter uma conta de serviço para ver implantações, revisões e políticas do IAM do Gerenciador de infraestrutura. Para acessar o Infra Manager, conceda acesso ao usuário, grupo ou conta de serviço.

Para implantar ou visualizar os Google Cloud recursos definidos na configuração do Terraform, é necessário conceder à conta de serviço permissões específicas para esses recursos. Essas permissões são adicionais às permissões do Infra Manager listadas nesta página. Para uma lista de todos os papéis e as permissões que eles contêm, consulte a Referência dos papéis básicos e predefinidos do Identity and Access Management.

Funções predefinidas do Infra Manager

O IAM oferece papéis predefinidos que concedem acesso a recursos específicos do Google Cloud e impedem o acesso não autorizado a outros recursos.

A tabela a seguir lista os papéis do IAM do Infra Manager e as permissões que eles incluem:

Papel	Descrição	Permissões
Administrador do Infra Manager (`roles/config.admin`)	Para um usuário, controle total dos recursos do Infra Manager	`config.deployments.create` `config.deployments.delete` `config.deployments.deleteState` `config.deployments.get` `config.deployments.getIamPolicy` `config.deployments.getLock` `config.deployments.getState` `config.deployments.list` `config.deployments.lock` `config.deployments.setIamPolicy` `config.deployments.unlock` `config.deployments.update` `config.deployments.updateState` `config.previews.create` `config.previews.delete` `config.previews.get` `config.previews.list` `config.previews.export` `config.previews.upload` `config.locations.get` `config.locations.list` `config.operations.cancel` `config.operations.delete` `config.operations.get` `config.operations.list` `config.resources.get` `config.resources.list` `config.resourcechanges.get` `config.resourcechanges.list` `config.resourcedrifts.get` `config.resourcedrifts.list` `config.revisions.get` `config.revisions.getState` `config.revisions.list` `config.artifacts.import` `config.terraformversions.get` `config.terraformversions.list` `resourcemanager.projects.get` `resourcemanager.projects.list`
Agente de serviço do Infra Manager (`roles/config.agent`)	Conceder acesso a uma conta de serviço para trabalhar com o Infra Manager, incluindo implantações, revisões, geração de registros e arquivos de estado do Terraform.	`storage.buckets.get` `storage.buckets.list` `storage.buckets.create` `storage.buckets.update` `storage.buckets.delete` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.update` `storage.objects.delete` `logging.logEntries.create` `config.deployments.getState` `config.deployments.updateState` `config.deployments.deleteState` `config.deployments.getLock` `config.previews.upload` `config.artifacts.import` `config.revisions.getState` `cloudbuild.connections.list` `cloudbuild.repositories.accessReadToken` `cloudbuild.repositories.list` `cloudquotas.quotas.get` `monitoring.timeSeries.list`
Conta de serviço do Infra Manager (`roles/cloudconfig.serviceAgent`)	Quando você ativa a API Infra Manager, a conta de serviço do Infra Manager é criada automaticamente no projeto e recebe esse papel para os recursos no projeto. A conta de serviço do Infra Manager usa esse papel somente conforme necessário para executar ações ao criar, gerenciar ou excluir implantações e revisões.	`cloudbuild.builds.get` `cloudbuild.builds.list` `cloudbuild.builds.create` `cloudbuild.builds.update` `cloudbuild.workerpools.use` `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `logging.logEntries.create` `logging.logEntries.route` `serviceusage.services.use` `storage.buckets.get` `storage.buckets.list` `storage.buckets.create` `storage.buckets.update` `storage.buckets.delete` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.update` `storage.objects.delete`
Leitor do Infra Manager (`roles/config.viewer`)	Ler implantações, revisões e políticas do IAM.	`config.deployments.get` `config.deployments.getIamPolicy` `config.deployments.list` `config.previews.get` `config.previews.list` `config.locations.get` `config.locations.list` `config.operations.get` `config.operations.list` `config.resources.get` `config.resources.list` `config.revisions.get` `config.revisions.list` `config.terraformversions.get` `config.terraformversions.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

Além dos papéis predefinidos do Infra Manager, os papéis básicos de Leitor e Proprietário também incluem permissões relacionadas ao Infra Manager. No entanto, recomendamos que você conceda papéis predefinidos sempre que possível para obedecer ao princípio de segurança do menor privilégio.

A tabela a seguir lista os papéis básicos e os papéis do IAM do Infra Manager que eles incluem.

Papel	Papéis incluídos
Leitor	`roles/config.viewer`
Proprietário	`roles/config.admin`

Permissões

As permissões que o autor da chamada precisa ter para chamar cada método estão listadas na referência da API REST.

A seguir

Saiba mais sobre IAM.
Saiba mais sobre como usar condições no IAM.
Saiba mais sobre as contas de serviço do Infra Manager.