Controle de acesso

Este documento descreve as opções de controle de acesso do Pub/Sub Lite. O Pub/Sub Lite usa o Identity and Access Management para controle de acesso.

Para conceder a um usuário ou aplicativo acesso aos recursos do Pub/Sub Lite, conceda pelo menos um papel predefinido ou personalizado ao usuário ou à conta de serviço que o aplicativo usa. Os papéis incluem permissões para executar ações específicas em recursos do Pub/Sub Lite.

Papéis predefinidos

A tabela a seguir lista os papéis predefinidos que oferecem acesso aos recursos do Pub/Sub Lite:

Role Nome Descrição Permissões
roles/pubsublite.admin Administrador do Pub/Sub LiteBeta Acesso completo a tópicos e assinaturas do Lite. pubsublite.*
roles/pubsublite.editor Editor do Pub/Sub Lite Beta Modifique tópicos e assinaturas do Lite, publique mensagens nos tópicos do Lite e receba mensagens das assinaturas do Lite. pubsublite.*
roles/pubsublite.publisher Publicador do Pub/Sub Lite Beta Publique mensagens em tópicos do Lite. pubsublite.topics.publish
roles/pubsublite.subscriber Assinante do Pub/Sub LiteBeta Receba mensagens de assinaturas do Lite.
  • pubsublite.subscriptions.getCursor
  • pubsublite.subscriptions.setCursor
  • pubsublite.subscriptions.subscribe
  • pubsublite.topics.getPartitions
  • pubsublite.topics.subscribe
roles/pubsublite.viewer Visualizador do Pub/Sub Lite Beta Veja os tópicos e assinaturas do Lite.
  • pubsublite.subscriptions.get
  • pubsublite.subscriptions.getCursor
  • pubsublite.subscriptions.list
  • pubsublite.topics.get
  • pubsublite.topics.getPartitions
  • pubsublite.topics.list
  • pubsublite.topics.listSubscriptions

Papéis personalizados

Os papéis personalizados podem incluir qualquer permissão especificada por você. É possível criar papéis personalizados que incluam permissões para executar operações administrativas específicas, como atualizar tópicos ou excluir assinaturas do Lite. Para criar papéis personalizados, consulte Como criar e gerenciar papéis personalizados.

A tabela a seguir lista exemplos de papéis personalizados:

Descrição Permissões
Criar e gerenciar tópicos do Lite.
  • pubsublite.topics.create
  • pubsublite.topics.update
  • pubsublite.topics.get
  • pubsublite.topics.getPartitions
  • pubsublite.topics.list
  • pubsublite.topics.listSubscriptions
  • pubsublite.topics.delete
Criar e gerenciar assinaturas do Lite.
  • pubsublite.subscriptions.create
  • pubsublite.topics.subscribe
  • pubsublite.subscriptions.update
  • pubsublite.subscriptions.get
  • pubsublite.subscriptions.list
  • pubsublite.subscriptions.delete
Criar tópicos e assinaturas do Lite.
  • pubsublite.topics.create
  • pubsublite.subscriptions.create
  • pubsublite.topics.subscribe
Modificar tópicos e assinaturas do Lite.
  • pubsublite.topics.update
  • pubsublite.subscriptions.update
Excluir tópicos e assinaturas do Lite.
  • pubsublite.topics.delete
  • pubsublite.subscriptions.delete

Atribuição de papéis

É possível conceder papéis para acessar recursos do Pub/Sub Lite no nível do projeto. Por exemplo, você pode conceder a uma conta de serviço acesso para visualizar qualquer tópico do Lite em um projeto, mas não pode conceder a uma conta de serviço acesso para visualizar apenas um tópico do Lite.

Para conceder um papel em um projeto, use o Console do Cloud ou a ferramenta de linha de comando gcloud.

Console

Para conceder um papel a um usuário, conta de serviço ou outro membro, siga estas etapas:

  1. No Console do Cloud, acesse a página IAM.

    Acessar IAM

  2. Clique em Add.

  3. Digite o endereço de e-mail de um usuário, conta de serviço ou outro membro.

  4. Selecione um papel.

  5. Clique em Save.

gcloud

Para conceder um papel a um usuário, conta de serviço ou outro membro, execute o comando gcloud projects add-iam-policy-binding:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=ROLE_ID

Substitua:

Também é possível receber um arquivo JSON ou YAML com a política atual do IAM, adicionar vários papéis ou membros e atualizar a política. Para ler e gerenciar a política, use a ferramenta de linha de comando gcloud, a API IAM ou o IAM. Para saber detalhes, consulte Como controlar o acesso de maneira programática.

A seguir