Controle de acesso

Nesta página, explicamos como conceder e gerenciar o acesso ao Catálogo Particular usando o gerenciamento de identidade e acesso (IAM).

Antes de começar

O que é o gerenciamento de identidade e acesso (IAM)?

O Google Cloud oferece o gerenciamento de identidade e acesso (IAM), que permite a concessão de acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de privilégio mínimo de segurança (em inglês) para conceder apenas o acesso necessário aos recursos.

O IAM permite controlar quem (identidade) tem qual (papéis) permissão para quais recursos. Basta definir as políticas. As políticas do IAM concedem papéis específicos a um membro do projeto, dando à identidade algumas permissões.

Por exemplo, é possível atribuir o papel roles/compute.networkAdmin a uma Conta do Google, e ela poderá controlar recursos relacionados à rede no projeto, mas não poderá gerenciar outros recursos, como instâncias e discos.

Papéis do IAM no Catálogo Particular

Com o IAM, todo método de API na API Private Catalog e na API Private Catalog Producer requer que a identidade que faz a solicitação de API tenha as permissões apropriadas para usar o recurso. Conceda as permissões definindo as políticas que atribuem papéis a um usuário, grupo ou conta de serviço como um membro de seu projeto. Além dos papéis básicos de proprietário, editor e visualizador, é possível atribuir aos membros do seu projeto os papéis do Catálogo Particular e de produtor do Catálogo Particular descritos nesta página.

As tabelas a seguir listam os papéis do IAM disponíveis para os usuários do Catálogo Particular. As tabelas são organizadas em diferentes papéis.

Admin. da organização do catálogo

Nome da função Descrição Inclui as permissões
roles/cloudprivatecatalogproducer.orgAdmin

Permissões para gerenciar as configurações do Catálogo Particular no nível da organização.

  • cloudprivatecatalogproducer.settings.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Administrador de catálogo

Nome da função Descrição Inclui as permissões
roles/cloudprivatecatalogproducer.admin

Permissões para controlar todos os recursos de produtor e consumidor do Catálogo Particular.

  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Gerenciador de catálogo

Nome da função Descrição Inclui as permissões
roles/cloudprivatecatalogproducer.manager

Permissões para gerenciar associações com o Private Catalog Producer e segmentar recursos.

  • cloudprivatecatalog.targets.get
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.catalogAssociations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Consumidor de catálogo

Nome da função Descrição Inclui as permissões
roles/cloudprivatecatalog.consumer Permissões para procurar catálogos em um contexto de recurso de destino.
  • cloudprivatecatalog.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Como adicionar usuários aos papéis de IAM do Catálogo Particular

Os usuários, grupos do Google ou domínios precisam ter a permissão resourcemanager.organizations.setIamPolicy na organização para adicionar os usuários aos papéis de IAM do Catálogo Particular. É possível dar essa permissão a usuários ou grupos concedendo a eles o papel de administrador da organização (roles/resourcemanager.organizationAdmin).

Por exemplo, se sua organização quiser que os usuários tenham o papel de administrador do catálogo para poder também adicionar e remover usuários e grupos de outros papéis de IAM do Catálogo Particular, o administrador da organização poderá fazer o seguinte:

  • Crie um Grupo do Google para os usuários (MyCompanyCatalogAdmins).
  • Atribua ao Grupo do Google (MyCompanyCatalogAdmins) o papel de administrador da organização.
  • Atribua ao Grupo do Google (MyCompanyCatalogAdmins) o papel de administrador do catálogo.

No exemplo, membros do Grupo do Google (MyCompanyCatalogAdmins) podem atribuir papéis do IAM a usuários e grupos na organização, porque o grupo recebeu a permissão setIamPolicy quando o papel de Administrador da organização foi concedido. À medida que os novos administradores de catálogo se juntarem à organização, adicione-os ao Grupo do Google (MyCompanyCatalogAdmins) para conceder a eles os papéis desejados.

Para adicionar um usuário, grupo ou domínio a um papel de IAM de Catálogo Particular, siga estas etapas.

  1. Faça login na página de administração e IAM do Console do Google Cloud como um administrador da organização.
    Acessar a página de administração e IAM do Console do Cloud
  2. Selecione Catálogo Particular do Cloud no menu lateral.
  3. Selecione o papel a ser atribuído:
    • Administrador de catálogo
    • Gerenciador de catálogo
    • Consumidor de catálogo
  4. Especifique os usuários, grupos ou domínios a serem adicionados.

A seguir