Como criar políticas do Cloud IAM

Nesta página, você verá como criar políticas do Cloud Identity and Access Management (Cloud IAM) para autorização no Google Kubernetes Engine (GKE).

Visão geral

Todas as chamadas de API do Google Cloud, GKE e Kubernetes exigem que a conta que está fazendo a solicitação tenha as permissões necessárias. Por padrão, ninguém, exceto você, pode acessar o projeto ou os recursos dele. É possível usar o Cloud IAM para gerenciar quem pode acessar seu projeto e o que eles podem fazer. As permissões do Cloud IAM funcionam junto com o Kubernetes RBAC, que fornece controles de acesso granular para objetos específicos em um cluster ou namespace. O Cloud IAM se concentra mais nas permissões no nível da organização e do projeto do Google Cloud, mas fornece vários papéis predefinidos específicos do GKE.

Para conceder a usuários e contas de serviço acesso ao projeto do Google Cloud, adicione-os como membros da equipe do projeto e atribua papéis a esses membros. Os papéis definem quais recursos do Google Cloud uma conta pode acessar e quais operações eles podem executar.

No GKE, use o Cloud IAM para gerenciar os usuários e contas de serviço que podem acessar e executar operações nos clusters.

Antes de começar

Antes de começar, veja se você realizou as seguintes tarefas:

Defina configurações gcloud padrão usando um dos métodos a seguir:

  • Use gcloud init se você quiser ser orientado sobre como definir padrões.
  • Use gcloud config para definir individualmente a região, a zona e o ID do projeto.

Como usar o gcloud init

  1. Execute gcloud init e siga as instruções:

    gcloud init

    Se você estiver usando SSH em um servidor remoto, utilize a sinalização --console-only para impedir que o comando inicie um navegador:

    gcloud init --console-only
  2. Siga as instruções para autorizar gcloud a usar sua conta do Google Cloud.
  3. Crie uma nova configuração ou selecione uma atual.
  4. Escolha um projeto do Google Cloud.
  5. Escolha uma zona padrão do Compute Engine.

Como usar o gcloud config

  • Defina o ID do projeto padrão:
    gcloud config set project project-id
  • Se você estiver trabalhando com clusters zonais, defina a zona do Compute padrão:
    gcloud config set compute/zone compute-zone
  • Se você estiver trabalhando com clusters regionais, defina a região do Compute padrão:
    gcloud config set compute/region compute-region
  • Atualize gcloud para a versão mais recente:
    gcloud components update

Interação com o Kubernetes RBAC

O sistema de controle de acesso baseado em papéis (RBAC, na sigla em inglês) nativo do Kubernetes também gerencia o acesso ao cluster. O RBAC controla o acesso no nível do cluster e do namespace, enquanto o Cloud IAM funciona no nível do projeto.

O Cloud IAM e o RBAC podem funcionar em conjunto, e uma entidade precisa ter permissões suficientes em qualquer nível para trabalhar com recursos no cluster.

Papéis do Cloud IAM

As seções a seguir descrevem os papéis do Cloud IAM disponíveis no Google Cloud.

Papéis predefinidos do GKE

O Cloud IAM fornece papéis predefinidos que concedem acesso a recursos específicos do Google Cloud e impedem o acesso não autorizado a outros recursos.

O Cloud IAM oferece os seguintes papéis predefinidos para o GKE:

Role Nome Descrição Menor recurso
roles/container.admin Administrador do Kubernetes Engine Concede acesso ao gerenciamento total de clusters e dos respectivos objetos da API Kubernetes. Projeto
roles/container.clusterAdmin Administrador de cluster do Kubernetes Engine Concede acesso ao gerenciamento de clusters. Projeto
roles/container.clusterViewer Leitor de cluster do Kubernetes Engine Acesso somente leitura aos clusters do Kubernetes.
roles/container.developer Desenvolvedor do Kubernetes Engine Concede acesso a objetos da API Kubernetes dentro de clusters. Projeto
roles/container.hostServiceAgentUser User agent de serviço de hospedagem do Kubernetes Engine Acesso de uso do agente de serviço de host do Kubernetes Engine.
roles/container.viewer Leitor do Kubernetes Engine Fornece acesso somente leitura aos recursos do GKE. Projeto

Para saber mais sobre as permissões concedidas por cada papel do Cloud IAM, consulte esta página.

Papéis primários do Cloud IAM

Os papéis primários do Cloud IAM concedem aos usuários acesso global no nível do projeto a todos os recursos do Google Cloud. Para proteger o projeto e os clusters, use papéis predefinidos sempre que possível.

Para saber mais sobre eles, consulte Papéis primários na documentação do Cloud IAM.

Papel usuário da conta de serviço

O papel usuário da conta de serviço concede a uma conta de usuário do Google Cloud permissão para realizar ações como uma conta de serviço.

  • A concessão do papel iam.serviceAccountUser a um usuário de um projeto fornece a ele todos os papéis atribuídos a todas as contas de serviço no projeto, incluindo as que forem criadas no futuro.

  • Conceder o papel iam.serviceAccountUser a um usuário de uma conta de serviço específica fornece a ele todos os papéis atribuídos a essa conta de serviço.

Esse papel inclui as seguintes permissões:

  • iam.serviceAccounts.actAs
  • iam.serviceAccounts.get
  • iam.serviceAccounts.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para mais informações sobre o papel ServiceAccountUser, consulte esta seção na documentação do Cloud IAM.

O comando a seguir mostra a sintaxe para conceder o papel de usuário da conta de serviço:

gcloud iam service-accounts add-iam-policy-binding \
      [SA_NAME]@[PROJECT_ID].iam.gserviceaccount.com \
      --member=user:[USER] \
      --role=roles/iam.serviceAccountUser

Papel usuário do agente de serviço de host

O papel de usuário do agente de serviço de host é usado apenas em clusters de VPC compartilhada. Esse papel inclui as seguintes permissões:

  • compute.firewalls.get
  • container.hostServiceAgent.*

Papéis personalizados

Se os papéis pré-definidos não atenderem às suas necessidades, crie papéis personalizados com permissões definidas por você.

Para saber como criar e atribuir papéis personalizados, consulte Como criar e gerenciar papéis personalizados.

Como visualizar as permissões concedidas pelos papéis do Cloud IAM

É possível visualizar as permissões concedidas por cada papel usando a ferramenta de linha de comando gcloud ou o Console do Cloud.

gcloud

Para ver as permissões concedidas por um papel específico, execute o comando a seguir. [ROLE] é qualquer papel do Cloud IAM. Os papéis do GKE são prefixados com roles/container.:

    gcloud iam roles describe roles/[ROLE]
    

Exemplo:

gcloud iam roles describe roles/container.admin

Console

Para visualizar as permissões concedidas por um papel específico, faça o seguinte:

  1. Acesse a seção Papéis na página Cloud IAM do Console do Cloud.

    Acesse a página do Cloud IAM

  2. No campo Filtrar tabela, insira "GKE"

  3. Selecione o papel desejado.

Como gerenciar papéis do Cloud IAM

Para saber como gerenciar papéis e permissões do Cloud IAM de usuários humanos, consulte Como conceder, alterar e revogar o acesso de membros do projeto na documentação do Cloud IAM.

Para contas de serviço, consulte Como conceder papéis a contas de serviço.

Exemplos

Veja alguns exemplos de como o Cloud IAM funciona com o GKE:

  • Um novo funcionário entrou em uma empresa. Ele precisa ser adicionado ao projeto do Google Cloud, mas só precisam visualizar os clusters do projeto e outros recursos do Google Cloud. O proprietário do projeto atribui a ele o papel de visualizador do Compute para envolvidos no projeto. Esse papel fornece acesso somente leitura para ver e listar nós, que são recursos do Compute Engine.
  • O funcionário está trabalhando em operações e é necessário atualizar um cluster usando gcloud ou o Console do Google Cloud. Essa operação requer a permissão container.clusters.update. Portanto, o proprietário do projeto atribui a ele o papel de administrador de cluster do Kubernetes Engine. O funcionário agora tem as permissões que são concedidas pelos papéis de visualizador do Compute e administrador de cluster do Kubernetes Engine.
  • O funcionário precisa investigar por que um Deployment está tendo problemas. É necessário executar kubectl get pods para ver os pods em execução no cluster. O funcionário já tem o papel de visualizador do Compute, mas ele não é suficiente para listar pods. O funcionário precisa do papel de visualizador do Kubernetes Engine.
  • O funcionário precisa criar um novo cluster. O proprietário do projeto concede ao funcionário o papel de usuário da conta de serviço [PROJECT_NUMBER]-compute@developer.gserviceaccount.com, assim a conta do funcionário pode acessar a conta de serviço padrão do Compute Engine. Ela tem o papel de editor, que inclui um grande conjunto de permissões.

A seguir