Papéis do IAM no Cloud Run

Papéis selecionados

Na tabela a seguir, descrevemos os papéis de gerenciamento de identidade e acesso (IAM) associados ao Cloud Run (totalmente gerenciado) e listamos as permissões contidas em cada papel.

Os papéis podem ser concedidos a usuários em um projeto como um todo ou em serviços individuais. Leia Como gerenciar o acesso usando o IAM para saber mais.

Os papéis se aplicam apenas aos serviços do Cloud Run (totalmente gerenciado). Eles não se aplicam aos mapeamentos do domínio do Cloud Run (totalmente gerenciado). O papel Project > Editor é necessário para criar ou atualizar mapeamentos de domínio.

Role Descrição Permissões
roles/run.admin Pode criar, atualizar e excluir serviços.
Pode receber e definir políticas do IAM.
Requer configuração adicional para implantar serviços.
run.services.get
run.services.list
run.services.create
run.services.update
run.services.delete
run.services.getIamPolicy
run.services.setIamPolicy
run.routes.get
run.routes.list
run.routes.invoke
run.configurations.get
run.configurations.list
run.revisions.get
run.revisions.list
run.locations.get
run.locations.list
roles/run.viewer Pode ver serviços.
Pode receber políticas do IAM.
run.services.get
run.services.list
run.services.getIamPolicy
run.routes.get
run.routes.list
run.configurations.get
run.configurations.list
run.revisions.get
run.revisions.list
run.locations.get
run.locations.list
roles/run.invoker Pode chamar serviços. run.routes.invoke

Para ver uma referência que descreve os papéis do IAM contidos em cada permissão do IAM, consulte Permissões do IAM do Cloud Run.

Papéis personalizados

Para desenvolvedores que queiram definir os próprios papéis com pacotes de permissões especificados por eles, o IAM oferece papéis personalizados.

Se o papel tiver permissões que permitam a um desenvolvedor implantar serviços, execute a configuração adicional abaixo.

Permissões de implantação

Um usuário precisa das seguintes permissões para implantar novos serviços ou revisões do Cloud Run:

Para atribuir o papel de Usuário da conta de serviço do IAM na conta de serviço do ambiente de execução do Cloud Run:

IU do Console

  1. Acesse a página Contas de serviço no Console do Google Cloud:

    Acessar Contas de serviço

  2. Selecione a conta de serviço ambiente de execução (PROJECT_NUMBER-compute@developer.gserviceaccount.com) da tabela.

  3. Clique em Mostrar painel de informações no canto superior direito para mostrar a guia Permissões.

  4. Clique no botão Adicionar membro.

  5. Insira o membro (por exemplo, e-mail ou usuário do grupo) correspondente ao membro a quem você está concedendo o papel de administrador ou desenvolvedor.

  6. Na lista suspensa Selecionar um papel, selecione o papel Contas de serviço > Usuário da conta de serviço.

  7. Clique em Save.

gcloud

  1. Use o comando gcloud iam service-accounts add-iam-policy-binding, substituindo [VALUES_IN_BRACKETS] pelos valores apropriados:
gcloud iam service-accounts add-iam-policy-binding \
  PROJECT_NUMBER-compute@developer.gserviceaccount.com \
  --member="[MEMBER]" \
  --role="roles/iam.serviceAccountUser"

Permissões opcionais para usuários do Cloud Run

As seguintes permissões opcionais podem ser consideradas ao configurar contas com um conjunto mínimo de permissões:

  • monitoring.timeSeries.list para os envolvidos no projeto. Geralmente atribuído por meio do papel roles/monitoring.viewer. Ele permite que o usuário acesse métricas geradas pelo serviço. Mais informações na documentação do Stackdriver para Controle de acesso.
  • logging.logEntries.list para os envolvidos no projeto. Normalmente atribuído por meio do papel roles/logging.viewer. Ela permite que o usuário acesse registros gerados pelo serviço. Para mais informações, acesse o guia de controle de acesso, na documentação do Stackdriver Logging.