Controle de acesso com o IAM

Os papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês) definem quanto você pode usar o Serviço gerenciado para a API Microsoft Active Directory (Microsoft AD). Abaixo está uma lista de cada papel do IAM disponível para o Managed Microsoft AD e os métodos disponíveis.

Além disso, as contas de serviços precisam ter a permissão servicemanagement.services.bind para ver e ativar o Managed Microsoft AD. Saiba mais sobre papéis e permissões de gerenciamento de serviço.

Papel Permissões

Administrador de identidades gerenciadas do Google Cloud
(roles/managedidentities.admin)

Acesso total aos domínios de identidades gerenciadas do Google Cloud e recursos relacionados. Para ser concedido no nível do projeto.

  • managedidentities.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de backup de identidades gerenciadas do Google Cloud
(roles/managedidentities.backupAdmin)

Acesso total ao backup de identidades gerenciadas do Google Cloud e recursos relacionados. Para ser concedido para envolvidos no projeto

  • managedidentities.backups*
  • managedidentities.domains.get
  • managedidentities.locations.*
  • managedidentities.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Leitor de backup de identidades gerenciadas do Google Cloud
(roles/managedidentities.backupViewer)

Acesso somente leitura ao backup de identidades gerenciadas do Google Cloud e recursos relacionados.

  • managedidentities.backups.get
  • managedidentities.backups.getIamPolicy
  • managedidentities.backups.list
  • managedidentities.domains.get
  • managedidentities.locations.*
  • managedidentities.operations.get
  • managedidentities.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de domínio das identidades gerenciadas do Google Cloud
(roles/managedidentities.domainAdmin)

Acesso leitura, atualização e exclusão aos domínios de identidades gerenciadas do Google Cloud e recursos relacionados. Para ser concedido no nível do recurso (domínio).

  • managedidentities.backups*
  • managedidentities.domains.attachTrust
  • managedidentities.domains.createTagBinding
  • managedidentities.domains.delete
  • managedidentities.domains.deleteTagBinding
  • managedidentities.domains.detachTrust
  • managedidentities.domains.extendSchema
  • managedidentities.domains.get
  • managedidentities.domains.getIamPolicy
  • managedidentities.domains.listEffectiveTags
  • managedidentities.domains.listTagBindings
  • managedidentities.domains.reconfigureTrust
  • managedidentities.domains.resetpassword
  • managedidentities.domains.restore
  • managedidentities.domains.update
  • managedidentities.domains.updateLDAPSSettings
  • managedidentities.domains.validateTrust
  • managedidentities.locations.*
  • managedidentities.operations.get
  • managedidentities.operations.list
  • managedidentities.sqlintegrações.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Operador do controlador de domínio de identidades gerenciadas do Google Cloud
(roles/managedidentities.domaincontrollerOperator)

Acesso de operador para controladores de domínio gerenciados do AD

  • pubsub.schemas.attach
  • pubsub.schemas.create
  • pubsub.schemas.delete
  • pubsub.schemas.get
  • pubsub.schemas.list
  • pubsub.schemas.validate
  • pubsub.snapshots.create
  • pubsub.snapshots.delete
  • pubsub.snapshots.get
  • pubsub.snapshots.list
  • pubsub.snapshots.seek
  • pubsub.snapshots.update
  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.list
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.detachSubscription
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.topics.publish
  • pubsub.topics.update
  • pubsub.topics.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.get
  • storage.objects.list

Administrador de peering das identidades gerenciadas do Google Cloud
(roles/managedidentities.peeringAdmin)

Acesso total aos domínios de identidades gerenciadas do Google Cloud e recursos relacionados. Para ser concedido para envolvidos no projeto

  • managedidentities.locations.*
  • managedidentities.operations.*
  • managedidentities.peerings.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Leitor de peering de identidades gerenciadas do Google Cloud
(roles/managedidentities.peeringViewer)

Acesso somente leitura ao peering de identidades gerenciadas do Google Cloud e aos recursos relacionados.

  • managedidentities.locations.*
  • managedidentities.operations.get
  • managedidentities.operations.list
  • managedidentities.peerings.get
  • managedidentities.peerings.getIamPolicy
  • managedidentities.peerings.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Leitor de identidades gerenciadas do Google Cloud
(roles/managedidentities.viewer)

Acesso somente leitura aos domínios de identidades gerenciadas do Google Cloud e recursos relacionados.

  • managedidentities.backups.get
  • managedidentities.backups.getIamPolicy
  • managedidentities.backups.list
  • managedidentities.domains.get
  • managedidentities.domains.getIamPolicy
  • managedidentities.domains.list
  • managedidentities.domains.listEffectiveTags
  • managedidentities.domains.listTagBindings
  • managedidentities.locations.*
  • managedidentities.operations.get
  • managedidentities.operations.list
  • managedidentities.peerings.get
  • managedidentities.peerings.getIamPolicy
  • managedidentities.peerings.list
  • managedidentities.sqlintegrações.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para mais informações sobre papéis do IAM, consulte Noções básicas sobre papéis.