Esta página foi traduzida pela API Cloud Translation.

Controle de acesso com o IAM

Esta página descreve os papéis e as permissões do Gerenciador de infraestrutura.

O Infra Manager usa o gerenciamento de identidade e acesso (IAM) para controlar o acesso ao serviço. Para conceder acesso para implantar recursos com o Infra Manager, atribua as funções do IAM necessárias do Infra Manager à conta de serviço que você usa para chamar o Infra Manager. Para saber como conceder permissões a contas de serviço, consulte Gerenciar o acesso a contas de serviço.

Não é necessário ter uma conta de serviço para acessar implantações, revisões e políticas do IAM do Infra Manager. Para acessar o Infra Manager, conceda acesso ao usuário, grupo ou conta de serviço.

Para implantar ou acessar os recursos do Google Cloud definidos na configuração do Terraform, é necessário conceder as permissões da conta de serviço específicas a esses recursos. Essas permissões são adicionais às permissões do Infra Manager listadas nesta página. Para conferir uma lista de todos os papéis e as permissões que eles contêm, consulte a referência de papéis básicos e predefinidos do Identity and Access Management.

Papéis predefinidos do Infra Manager

O IAM oferece papéis predefinidos que concedem acesso a recursos específicos do Google Cloud e impedem o acesso não autorizado a outros recursos.

A tabela a seguir lista os papéis do IAM do Infra Manager e as permissões que eles incluem:

Papel	Descrição	Permissões
Administrador do Infra Manager (`roles/config.admin`)	Para um usuário, controle total dos recursos do Infra Manager	`config.deployments.create` `config.deployments.delete` `config.deployments.get` `config.deployments.getIamPolicy` `config.deployments.list` `config.deployments.setIamPolicy` `config.deployments.update` `config.previews.create` `config.previews.delete` `config.previews.get` `config.previews.list` `config.previews.export` `config.previews.upload` `config.locations.get` `config.locations.list` `config.operations.cancel` `config.operations.delete` `config.operations.get` `config.operations.list` `config.resources.get` `config.resources.list` `config.revisions.get` `config.revisions.list` `config.artifacts.import` `config.terraformversions.get` `config.terraformversions.listt` `resourcemanager.projects.get` `resourcemanager.projects.list`
Agente de serviço do Infra Manager (`roles/config.agent`)	Forneça acesso a uma conta de serviço para trabalhar com o Infra Manager, incluindo implantações, revisões, geração de registros e arquivos de estado do Terraform.	`storage.buckets.get` `storage.buckets.list` `storage.buckets.create` `storage.buckets.update` `storage.buckets.delete` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.update` `storage.objects.delete` `logging.logEntries.create` `config.deployments.getState` `config.deployments.updateState` `config.deployments.deleteState` `config.deployments.getLock` `config.previews.upload` `config.artifacts.import` `config.revisions.getState` `cloudbuild.connections.list` `cloudbuild.repositories.accessReadToken` `cloudbuild.repositories.list`
Conta de serviço do Infra Manager (`roles/cloudconfig.serviceAgent`)	Quando você ativa a API Infra Manager, a conta de serviço do Infra Manager é criada automaticamente no projeto e recebe esse papel para os recursos no projeto. A conta de serviço do Infra Manager usa esse papel somente conforme necessário para realizar ações ao criar, gerenciar ou excluir implantações e revisões.	`cloudbuild.builds.get` `cloudbuild.builds.list` `cloudbuild.builds.create` `cloudbuild.builds.update` `cloudbuild.workerpools.use` `storage.buckets.get` `storage.buckets.list` `storage.buckets.create` `storage.buckets.update` `storage.buckets.delete` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.update` `storage.objects.delete`
Leitor do Infra Manager (`roles/config.viewer`)	Ler implantações, revisões e políticas do IAM.	`config.deployments.get` `config.deployments.getIamPolicy` `config.deployments.list` `config.previews.get` `config.previews.list` `config.locations.get` `config.locations.list` `config.operations.get` `config.operations.list` `config.resources.get` `config.resources.list` `config.revisions.get` `config.revisions.list` `config.terraformversions.get` `config.terraformversions.listt` `resourcemanager.projects.get` `resourcemanager.projects.list`

Além dos papéis predefinidos do Infra Manager, os papéis de leitor e proprietário básicos também incluem permissões relacionadas ao Infra Manager. No entanto, recomendamos que você conceda papéis predefinidos sempre que possível para obedecer ao princípio de segurança do menor privilégio.

A tabela a seguir lista os papéis básicos e os papéis do IAM do Infra Manager que eles incluem.

Papel	Papéis incluídos
Leitor	`roles/config.viewer`
Proprietário	`roles/config.admin`

Permissões

As permissões que o autor da chamada precisa ter para chamar cada método estão listadas na referência da API REST.

A seguir

Saiba mais sobre IAM.
Saiba mais sobre como usar condições no IAM.
Saiba mais sobre as contas de serviço do Infra Manager.