Controle de acesso

Os papéis de gerenciamento de identidade e acesso (IAM) determinam como usar a API Secret Manager. Veja abaixo uma lista de cada papel do IAM disponível para o Gerenciador de secrets e os recursos concedidos a ele.

Papel Nome Descrição Permissões Menor recurso
roles/secretmanager.admin Administrador do Gerenciador de secrets Acesso completo para administrar os recursos do Gerenciador de secrets.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.*
Secret
roles/secretmanager.secretAccessor Assessor de secret do Gerenciador de secrets Permite o acesso ao payload de secrets.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.versions.access
Secret
roles/secretmanager.secretVersionAdder Adicionador de versões de secret do Gerenciador de secrets Permite adicionar versões a secrets atuais.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.versions.add
Secret
roles/secretmanager.secretVersionManager Gerenciador de versões de secret do Gerenciador de secrets Permite acessar e gerenciar versões de secrets atuais.
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.versions.add
  • secretmanager.versions.destroy
  • secretmanager.versions.disable
  • secretmanager.versions.enable
  • secretmanager.versions.get
  • secretmanager.versions.list
Secret
roles/secretmanager.viewer Visualizador do Gerenciador de secrets Permite visualizar metadados de todos os recursos do Gerenciador de secrets
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • secretmanager.locations.*
  • secretmanager.secrets.get
  • secretmanager.secrets.getIamPolicy
  • secretmanager.secrets.list
  • secretmanager.versions.get
  • secretmanager.versions.list
Secret

Princípios de menor privilégio

Ao seguir o princípio de privilégio mínimo, você concede o nível mínimo de acesso a recursos necessários para executar uma determinada tarefa. Por exemplo, se um membro precisar acessar um único secret, não conceda a ele acesso a outros secrets ou a todos os secrets do projeto ou da organização. Se um membro só precisar ler um secret, não conceda a ele a capacidade de modificá-lo.

Use o IAM para conceder papéis e permissões do IAM no nível do secret, projeto, pasta ou organização do Google Cloud. Sempre aplique permissões no nível mais baixo na hierarquia de recursos.

Esta tabela mostra os recursos efetivos de uma conta de serviço com base no nível da hierarquia de recursos em que o papel de acessador de recursos do Secret Manager (roles/secretmanager.secretAccessor) é concedido.

Hierarquia de recursos Capacidade
Secret Acessar somente este secret
Projeto Acessar todos os secrets no projeto
Pasta Acessar todos os secrets em todos os projetos na pasta
Organização Acessar todos os secrets em todos os projetos na organização

Se um membro só precisar acessar o valor de um único secret, não conceda a ele o acesso a todos os secrets. Por exemplo, é possível conceder a uma conta de serviço o papel de "Acessador de secret do Secret Manager" (roles/secretmanager.secretAccessor) em um único secret.

Se um membro só precisar gerenciar um único secret, não conceda a esse membro a capacidade de gerenciar todos os secrets. Por exemplo, é possível conceder a uma conta de serviço o papel de administrador de secret (roles/secretmanager.admin) em um único secret.

Condições do IAM

As condições do IAM permitem definir e aplicar o controle de acesso condicional e baseado em atributos para alguns recursos do Google Cloud, incluindo os recursos do Secret Manager.

No Secret Manager, é possível impor o acesso condicional com base nos seguintes atributos:

  • Atributos de data/hora: use para definir o acesso expirável, programado ou de duração limitada aos recursos do Secret Manager. Por exemplo, é possível permitir que um usuário acesse um secret até uma data especificada.
  • Atributos de recurso: use para configurar o acesso condicional com base em nome, tipo de recurso ou atributos de serviço de recurso. No Secret Manager, use atributos de secrets e versões de secrets para configurar o acesso condicional. Por exemplo, é possível permitir que um usuário gerencie versões de secret somente em secrets que comecem com um prefixo específico ou permitam que um usuário acesse apenas uma versão específica do secret.

Para mais informações sobre as condições do IAM, consulte a Visão geral das condições.

A seguir