Papéis selecionados
Na tabela a seguir, descrevemos os papéis de gerenciamento de identidade e acesso (IAM) associados ao Cloud Run (totalmente gerenciado) e listamos as permissões contidas em cada papel.
Os papéis podem ser concedidos a usuários em um projeto como um todo ou em serviços individuais. Leia Como gerenciar o acesso usando o IAM para saber mais.
Os papéis se aplicam apenas aos serviços do Cloud Run (totalmente gerenciado). Eles não se
aplicam aos mapeamentos do domínio do Cloud Run (totalmente gerenciado). O papel Project > Editor
é necessário para criar ou atualizar mapeamentos de domínio.
Role | Descrição | Permissões |
---|---|---|
roles/run.admin |
Pode criar, atualizar e excluir serviços. Pode receber e definir políticas do IAM. Requer configuração adicional para implantar serviços. |
run.services.get run.services.list run.services.create run.services.update run.services.delete run.services.getIamPolicy run.services.setIamPolicy run.routes.get run.routes.list run.routes.invoke run.configurations.get run.configurations.list run.revisions.get run.revisions.list run.locations.get run.locations.list |
roles/run.viewer |
Pode ver serviços. Pode receber políticas do IAM. |
run.services.get run.services.list run.services.getIamPolicy run.routes.get run.routes.list run.configurations.get run.configurations.list run.revisions.get run.revisions.list run.locations.get run.locations.list |
roles/run.invoker |
Pode chamar serviços. | run.routes.invoke |
Para ver uma referência que descreve os papéis do IAM contidos em cada permissão do IAM, consulte Permissões do IAM do Cloud Run.
Papéis personalizados
Para desenvolvedores que queiram definir os próprios papéis com pacotes de permissões especificados por eles, o IAM oferece papéis personalizados.
Se o papel tiver permissões que permitam a um desenvolvedor implantar serviços, execute a configuração adicional abaixo.
Permissões de implantação
Um usuário precisa das seguintes permissões para implantar novos serviços ou revisões do Cloud Run:
run.services.create
erun.services.update
no nível do projeto. Normalmente atribuído por meio do papelroles/run.admin
. Ela pode ser alterada na página de administração de permissões do projeto.iam.serviceAccounts.actAs
para a conta de serviço do ambiente de execução do Cloud Run. Por padrão, ele éPROJECT_NUMBER-compute@developer.gserviceaccount.com
. A permissão geralmente é atribuída por meio do papelroles/iam.serviceAccountUser
.
Para atribuir o papel de Usuário da conta de serviço do IAM na conta de serviço do ambiente de execução do Cloud Run:
IU do Console
Acesse a página Contas de serviço no Console do Google Cloud:
Selecione a conta de serviço ambiente de execução (
PROJECT_NUMBER-compute@developer.gserviceaccount.com
) da tabela.Clique em Mostrar painel de informações no canto superior direito para mostrar a guia Permissões.
Clique no botão Adicionar membro.
Insira o membro (por exemplo, e-mail ou usuário do grupo) correspondente ao membro a quem você está concedendo o papel de administrador ou desenvolvedor.
Na lista suspensa Selecionar um papel, selecione o papel Contas de serviço > Usuário da conta de serviço.
Clique em Save.
gcloud
- Use o comando
gcloud iam service-accounts add-iam-policy-binding
, substituindo[VALUES_IN_BRACKETS]
pelos valores apropriados:
gcloud iam service-accounts add-iam-policy-binding \ PROJECT_NUMBER-compute@developer.gserviceaccount.com \ --member="[MEMBER]" \ --role="roles/iam.serviceAccountUser"
Permissões opcionais para usuários do Cloud Run
As seguintes permissões opcionais podem ser consideradas ao configurar contas com um conjunto mínimo de permissões:
monitoring.timeSeries.list
para os envolvidos no projeto. Geralmente atribuído por meio do papelroles/monitoring.viewer
. Ele permite que o usuário acesse métricas geradas pelo serviço. Mais informações na documentação do Stackdriver para Controle de acesso.logging.logEntries.list
para os envolvidos no projeto. Normalmente atribuído por meio do papelroles/logging.viewer
. Ela permite que o usuário acesse registros gerados pelo serviço. Para mais informações, acesse o guia de controle de acesso, na documentação do Stackdriver Logging.