Este documento descreve as opções de controle de acesso do Pub/Sub Lite. O Pub/Sub Lite usa o Identity and Access Management para controle de acesso.
Para conceder a um usuário ou aplicativo acesso aos recursos do Pub/Sub Lite, conceda pelo menos um papel predefinido ou personalizado ao usuário ou à conta de serviço que o aplicativo usa. Os papéis incluem permissões para executar ações específicas em recursos do Pub/Sub Lite.
Papéis predefinidos
A tabela a seguir lista os papéis predefinidos que oferecem acesso aos recursos do Pub/Sub Lite:
Papel | Nome | Descrição | Permissões | |
---|---|---|---|---|
roles/ |
Administrador do Pub/Sub Lite | Acesso total a tópicos e assinaturas do Lite. |
pubsublite.*
|
|
roles/ |
Editor do Pub/Sub Lite | Modificar tópicos e assinaturas do Lite, publicar mensagens em tópicos do Lite e receber mensagens de assinaturas do Lite. |
pubsublite.*
|
|
roles/ |
Publicador do Pub/Sub Lite | Publique mensagens em tópicos do Lite. |
pubsublite.topics.getPartitions pubsublite.topics.publish pubsublite.locations.openKafkaStream |
|
roles/ |
Assinante do Pub/Sub Lite | Receba mensagens de assinaturas do Lite. |
|
|
roles/ |
Leitor do Pub/Sub Lite | Conferir tópicos e assinaturas do Lite. |
|
papéis personalizados
Os papéis personalizados podem incluir qualquer permissão especificada por você. É possível criar papéis personalizados que incluam permissões para executar operações administrativas específicas, como atualizar tópicos ou excluir assinaturas do Lite. Para criar papéis personalizados, consulte Como criar e gerenciar papéis personalizados.
A tabela a seguir lista exemplos de papéis personalizados:
Descrição | Permissões |
---|---|
Criar e gerenciar reservas do Lite. |
|
Criar e gerenciar tópicos do Lite. |
|
Criar e gerenciar assinaturas do Lite. |
|
Criar tópicos e assinaturas do Lite. |
|
Modificar tópicos e assinaturas do Lite. |
|
Excluir tópicos e assinaturas do Lite. |
|
Atribuição de papéis
É possível conceder papéis para acessar recursos do Pub/Sub Lite no nível do projeto. Por exemplo, é possível conceder a uma conta de serviço acesso para visualizar qualquer tópico do Lite em um projeto, mas não para visualizar um único tópico do Lite.
Para conceder um papel em um projeto, use o console do Google Cloud ou a Google Cloud CLI.
Console
Para conceder um papel a um usuário, conta de serviço ou outro membro, siga estas etapas:
- No console do Google Cloud, abra a página IAM.
Clique em Add.
Digite o endereço de e-mail de um usuário, conta de serviço ou outro membro.
Selecione um papel.
Clique em Salvar.
gcloud
Para conceder um papel a um usuário, conta de serviço ou outro membro,
execute o comando
gcloud projects
add-iam-policy-binding
:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=MEMBER \ --role=ROLE_ID
Substitua:
- MEMBER: um identificador do
membro, como
serviceAccount:test123@example.domain.com
. - ROLE_ID: o nome do papel predefinido ou personalizado
Também é possível receber um arquivo JSON ou YAML com a política atual do IAM, adicionar vários papéis ou membros e atualizar a política. Para ler e gerenciar a política, use a Google Cloud CLI, a API IAM ou o IAM. Para mais detalhes, consulte Como controlar o acesso de maneira programática.
A seguir
- Tenha uma visão geral do IAM.
- Consulte os métodos de autenticação compatíveis com o Pub/Sub Lite.
- Saiba mais sobre como gerenciar o acesso a recursos.