Esta página foi traduzida pela API Cloud Translation.

Controle de acesso com o IAM

Nesta página, descrevemos as opções de controle de acesso disponíveis para a API Cloud Asset.

Informações gerais

O Inventário de recursos do Cloud usa o Identity and Access Management (IAM) para controle de acesso.

Na API Cloud Asset, o controle de acesso pode ser configurado para envolvidos no projeto ou no nível da organização. Por exemplo, é possível conceder acesso a todos os recursos do Inventário de recursos do Cloud em um projeto a um grupo de desenvolvedores.

Para uma descrição detalhada do IAM e dos recursos dele, consulte a documentação do IAM. Consulte a seção Gerenciar o acesso a projetos, pastas e organizações.

Permissões e papéis

Cada método da API do Cloud Asset Inventory exige que o autor da chamada tenha as permissões necessárias. Nesta seção, resumimos as permissões e os papéis da API Cloud Asset compatíveis com o IAM.

Permissões necessárias

A tabela a seguir lista as permissões que o autor da chamada precisa ter para chamar cada método de API na API Cloud Asset ou para executar tarefas usando as ferramentas do Google Cloud que usam a API, como o console do Google Cloud ou a Google Cloud CLI.

Permissão	Métodos da API
`cloudasset.assets.searchAllResources`	`*.searchAllResources`
`cloudasset.assets.searchAllIamPolicies`	`*.searchAllIamPolicies`
`cloudasset.assets.analyzeIamPolicy`, `cloudasset.assets.searchAllResources` e `cloudasset.assets.searchAllIamPolicies`	`*.analyzeIamPolicy`
	`*.analyzeIamPolicyLongrunning`
	`*.batchGetEffectiveIamPolicies`
`cloudasset.assets.analyzeOrgPolicy` e `cloudasset.assets.searchAllResources`	`*.analyzeOrgPolicies`
	`*.analyzeOrgPolicyGovernedContainers`
`cloudasset.assets.analyzeOrgPolicy`, `cloudasset.assets.searchAllResources` e `cloudasset.assets.searchAllIamPolicies`	`*.analyzeOrgPolicyGovernedAssets`
`cloudasset.feeds.get`	`*.getFeed`
`cloudasset.feeds.list`	`*.listFeeds`
`cloudasset.feeds.delete`	`*.deleteFeed`
`cloudasset.feeds.create`, `cloudasset.assets.exportResource` ou `cloudasset.assets.exportIamPolicy` com base no `content_type`	`*.createFeed`


`cloudasset.feeds.update`, `cloudasset.assets.exportResource` ou `cloudasset.assets.exportIamPolicy` com base no `content_type`	`*.updateFeed`


`cloudasset.assets.exportResource`, `cloudasset.assets.exportIamPolicy`, `cloudasset.assets.exportOrgPolicy`, `cloudasset.assets.exportOSInventories` ou `cloudasset.assets.exportAccessPolicy` com base no `content_type`	`*.batchGetAssetsHistory`
	`*.exportAssets`
	`*.operations.get`





`cloudasset.assets.listResource`, `cloudasset.assets.listIamPolicy`, `cloudasset.assets.listOrgPolicy`, `cloudasset.assets.listAccessPolicy` ou `cloudasset.assets.listOSInventories` com base no `content_type`	`*.listAssets`
`cloudasset.assets.analyzeMove`	`*.analyzeMove`
`cloudasset.savedqueries.create`	`*.createSavedQuery`
`cloudasset.savedqueries.get`	`*.getSavedQuery`
`cloudasset.savedqueries.list`	`*.listSavedQueries`
`cloudasset.savedqueries.update`	`*.updateSavedQuery`
`cloudasset.savedqueries.delete`	`*.deleteSavedQuery`

Ao usar API *.exportAssets para exportar metadados de recursos de tipos de recursos especificados com RESOURCE ou um tipo de conteúdo não especificado, se o autor da chamada não tiver recebido cloudasset.assets.exportResource, uma alternativa é o autor da chamada ter permissões por tipo de recurso apropriadas para cada tipo de recurso especificado na solicitação.

Papéis

O Inventário de recursos do Cloud tem dois papéis do IAM

Proprietário de recurso do Cloud (roles/cloudasset.owner), que concede acesso total aos metadados do recurso da nuvem. Concede todas as permissões cloudasset.* e recommender.cloudAssetInsights.*.
Leitor de recursos do Cloud (roles/cloudasset.viewer), que concede acesso somente leitura aos metadados do recurso da nuvem. Ele concede todas as permissões cloudasset.assets.* (não concede as permissões cloudasset.feeds.* e cloudasset.savedqueries.*), recommender.cloudAssetInsights.get e recommender.cloudAssetInsights.list.

Escolha o papel apropriado que contém as permissões necessárias para suas necessidades. Em geral, somente o papel de proprietário do recurso do Cloud concede todas as permissões necessárias para chamar a API Cloud Asset e permite o uso total de todos os métodos.

Os papéis básicos incluem as seguintes permissões:

O papel Proprietário (roles/owner) concede todas as permissões cloudasset.*.
O papel de editor (roles/editor) concede as permissões cloudasset.assets.search* e cloudasset.assets.analyzeIamPolicy.
O papel de visualizador (roles/viewer) concede as permissões cloudasset.assets.search* e cloudasset.assets.analyzeIamPolicy.

Recomendamos conceder um dos papéis do Cloud Asset em vez de um papel básico, porque eles contêm muitas permissões para outros serviços do Google Cloud e podem resultar na concessão de um escopo de acesso maior do que o pretendido.

É possível conceder papéis aos usuários no nível da organização, pasta ou projeto. Consulte Gerenciar o acesso a projetos, pastas e organizações para mais informações.

VPC Service Controls

O VPC Service Controls pode ser usado com o Inventário de recursos do Cloud para aumentar a segurança dos recursos. Para saber mais sobre o VPC Service Controls, consulte a visão geral.

Para saber mais sobre as limitações no uso do Inventário de recursos do Cloud com o VPC Service Controls, consulte limitações e produtos compatíveis.