Este documento descreve as opções de controle de acesso do Pub/Sub Lite. O Pub/Sub Lite usa o Identity and Access Management para controle de acesso.
Para conceder a um usuário ou aplicativo acesso aos recursos do Pub/Sub Lite, conceda pelo menos um papel predefinido ou personalizado ao usuário ou à conta de serviço que o aplicativo usa. Os papéis incluem permissões para executar ações específicas em recursos do Pub/Sub Lite.
Papéis predefinidos
A tabela a seguir lista os papéis predefinidos que oferecem acesso aos recursos do Pub/Sub Lite:
Role | Título | Descrição | Permissões | |
---|---|---|---|---|
roles/ |
Administrador do Pub/Sub Lite | Acesso completo a tópicos e assinaturas do Lite. |
pubsublite.*
|
|
roles/ |
Editor do Pub/Sub Lite | Modifique tópicos e assinaturas do Lite, publique mensagens nos tópicos do Lite e receba mensagens das assinaturas do Lite. |
pubsublite.*
|
|
roles/ |
Publicador do Pub/Sub Lite | Publique mensagens em tópicos do Lite. |
pubsublite.topics.getPartitions pubsublite.topics.publish pubsublite.locations.openKafkaStream |
|
roles/ |
Assinante do Pub/Sub Lite | Receba mensagens de assinaturas do Lite. |
|
|
roles/ |
Leitor do Pub/Sub Lite | Veja os tópicos e assinaturas do Lite. |
|
Papéis personalizados
Os papéis personalizados podem incluir qualquer permissão especificada por você. É possível criar papéis personalizados que incluam permissões para executar operações administrativas específicas, como atualizar tópicos ou excluir assinaturas do Lite. Para criar papéis personalizados, consulte Como criar e gerenciar papéis personalizados.
A tabela a seguir lista exemplos de papéis personalizados:
Descrição | Permissões |
---|---|
Criar e gerenciar reservas do Lite. |
|
Criar e gerenciar tópicos do Lite. |
|
Criar e gerenciar assinaturas do Lite. |
|
Criar tópicos e assinaturas do Lite. |
|
Modificar tópicos e assinaturas do Lite. |
|
Excluir tópicos e assinaturas do Lite. |
|
Atribuição de papéis
É possível conceder papéis para acessar recursos do Pub/Sub Lite no nível do projeto. Por exemplo, você pode conceder a uma conta de serviço acesso para visualizar qualquer tópico do Lite em um projeto, mas não pode conceder a uma conta de serviço acesso para visualizar apenas um tópico do Lite.
Para conceder um papel em um projeto, use o console do Google Cloud ou a Google Cloud CLI.
Console
Para conceder um papel a um usuário, conta de serviço ou outro membro, siga estas etapas:
- No console do Google Cloud, abra a página IAM.
Clique em Add.
Digite o endereço de e-mail de um usuário, conta de serviço ou outro membro.
Selecione um papel.
Clique em Save.
gcloud
Para conceder um papel a um usuário, conta de serviço ou outro membro,
execute o comando
gcloud projects
add-iam-policy-binding
:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=MEMBER \ --role=ROLE_ID
Substitua:
- MEMBER: um identificador do
membro, como
serviceAccount:test123@example.domain.com
. - ROLE_ID: o nome do papel predefinido ou personalizado.
Também é possível receber um arquivo JSON ou YAML com a política atual do IAM, adicionar vários papéis ou membros e atualizar a política. Para ler e gerenciar a política, use a Google Cloud CLI, a API IAM ou o IAM. Para saber detalhes, consulte Como controlar o acesso de maneira programática.
A seguir
- Tenha uma visão geral do IAM.
- Consulte os métodos de autenticação compatíveis com o Pub/Sub Lite.
- Saiba mais sobre como gerenciar o acesso a recursos.