Controle de acesso

Nesta página, explicamos como conceder e gerenciar o acesso ao Catálogo Particular usando o gerenciamento de identidade e acesso (IAM).

Antes de começar

O que é o gerenciamento de identidade e acesso (IAM)?

O Google Cloud oferece o gerenciamento de identidade e acesso (IAM), que permite a concessão de acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de privilégio mínimo de segurança (em inglês) para conceder apenas o acesso necessário aos recursos.

O IAM permite controlar quem (identidade) tem qual (papéis) permissão para quais recursos. Basta definir as políticas. As políticas do IAM concedem papéis específicos a um principal, dando à identidade determinadas permissões.

Por exemplo, é possível atribuir o papel roles/compute.networkAdmin a uma Conta do Google, e ela poderá controlar recursos relacionados à rede no projeto, mas não poderá gerenciar outros recursos, como instâncias e discos.

Papéis do IAM no Catálogo Particular

Com o IAM, todo método de API na API Private Catalog e na API Private Catalog Producer requer que a identidade que faz a solicitação de API tenha as permissões apropriadas para usar o recurso. As permissões são concedidas por meio da definição de políticas que concedem papéis a um principal, como um usuário, grupo ou conta de serviço. Além dos papéis básicos de Proprietário, Editor e Leitor, é possível atribuir os papéis Catálogo Particular e Produtor de catálogo particular descritos nesta página aos principais.

As tabelas a seguir listam os papéis do IAM disponíveis para os usuários do Catálogo Particular. As tabelas são organizadas em diferentes papéis.

Admin. da organização do catálogo

Nome da função Descrição Inclui as permissões
roles/cloudprivatecatalogproducer.orgAdmin

Gerencia as configurações do Catálogo Particular no nível da organização do Google Cloud. Cria e gerencia recursos do Catálogo Particular, como soluções e catálogos.

  • cloudprivatecatalogproducer.settings.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Administrador de catálogo

Nome da função Descrição Inclui as permissões
roles/cloudprivatecatalogproducer.admin

Cria e gerencia recursos do Catálogo Particular, como soluções e catálogos.

  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Gerenciador de catálogo

Nome da função Descrição Inclui as permissões
roles/cloudprivatecatalogproducer.manager

Exibe soluções e catálogos e compartilha catálogos com usuários do Catálogo Particular.

  • cloudprivatecatalog.targets.get
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.catalogAssociations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Consumidor de catálogo

Nome da função Descrição Inclui as permissões
roles/cloudprivatecatalog.consumer Procura catálogos. Visualizações e lançamentos de soluções. opera em um recurso de destino do Google Cloud, como uma organização, um projeto ou uma pasta.
  • cloudprivatecatalog.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Como adicionar usuários aos papéis de IAM do Catálogo Particular

Os usuários, grupos do Google ou domínios precisam ter a permissão resourcemanager.organizations.setIamPolicy na organização para adicionar os usuários aos papéis de IAM do Catálogo Particular. É possível dar essa permissão a usuários ou grupos concedendo a eles o papel de administrador da organização (roles/resourcemanager.organizationAdmin).

Por exemplo, se sua organização quiser que os usuários tenham o papel de administrador do catálogo para poder também adicionar e remover usuários e grupos de outros papéis de IAM do Catálogo Particular, o administrador da organização poderá fazer o seguinte:

  • Crie um Grupo do Google para os usuários (MyCompanyCatalogAdmins).
  • Atribua ao Grupo do Google (MyCompanyCatalogAdmins) o papel de administrador da organização.
  • Atribua ao Grupo do Google (MyCompanyCatalogAdmins) o papel de administrador do catálogo.

No exemplo, membros do Grupo do Google (MyCompanyCatalogAdmins) podem atribuir papéis do IAM a usuários e grupos na organização, porque o grupo recebeu a permissão setIamPolicy quando o papel de Administrador da organização foi concedido. À medida que os novos administradores de catálogo se juntarem à organização, adicione-os ao Grupo do Google (MyCompanyCatalogAdmins) para conceder a eles os papéis desejados.

Para adicionar um usuário, grupo ou domínio a um papel de IAM de Catálogo Particular, siga estas etapas.

  1. Faça login na página de administração e IAM do Console do Google Cloud como um administrador da organização.
    Acessar a página de administração e IAM do Console do Cloud
  2. Selecione Catálogo Particular do Cloud no menu lateral.
  3. Selecione o papel a ser atribuído:
    • Administrador de catálogo
    • Gerenciador de catálogo
    • Consumidor de catálogo
  4. Especifique os usuários, grupos ou domínios a serem adicionados.

A seguir