Controle de acesso com o IAM
Nesta página, explicamos como conceder e gerenciar o acesso ao catálogo de serviços usando o gerenciamento de identidade e acesso (IAM).
Antes de começar
- O catálogo de serviços precisa estar ativado na organização do Google Cloud.
- Para conceder papéis do IAM ao catálogo de serviços, é necessário ter o papel de
administrador da organização
(
roles/resourcemanager.organizationAdmin
) na organização do Google Cloud.
O que é o gerenciamento de identidade e acesso (IAM)?
O Google Cloud oferece o gerenciamento de identidade e acesso (IAM), que permite a concessão de acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de privilégio mínimo de segurança (em inglês) para conceder apenas o acesso necessário aos recursos.
O IAM permite controlar quem (identidade) tem qual (papéis) permissão para quais recursos. Basta definir as políticas. As políticas do IAM concedem papéis específicos a uma principal, dando à identidade as permissões específicas.
Por exemplo, é possível atribuir o
papel roles/compute.networkAdmin
a uma Conta do Google, e ela poderá
controlar recursos relacionados à rede no projeto, mas não poderá gerenciar outros
recursos, como instâncias e discos.
Papéis do IAM do catálogo de serviços
Com o IAM, todo método de API na API Service Catalog e na API Service Catalog Producer requer que a identidade que faz a solicitação de API tenha as permissões apropriadas para usar o recurso. As permissões são concedidas ao definir políticas que concedem papéis a uma principal, como um usuário, grupo ou conta de serviço. Além dos papéis básicos de Proprietário, Editor e Leitor, é possível atribuir os papéis do catálogo de serviços e do produtor do catálogo de serviços descritos nesta página às principais.
As tabelas a seguir listam os papéis do IAM disponíveis para os usuários do catálogo de serviços. As tabelas são organizadas em diferentes papéis.
Admin. da organização do catálogo
Nome da função | Descrição | Inclui as permissões |
---|---|---|
roles/cloudprivatecatalogproducer.orgAdmin
|
Gerencia as configurações do catálogo de serviços no nível da organização do Google Cloud. Cria e gerencia recursos do catálogo de serviços, como soluções e catálogos. |
|
Administrador de catálogo
Nome da função | Descrição | Inclui as permissões |
---|---|---|
roles/cloudprivatecatalogproducer.admin
|
Cria e gerencia recursos do catálogo de serviços, como soluções e catálogos. |
|
Gerenciador de catálogo
Nome da função | Descrição | Inclui as permissões |
---|---|---|
roles/cloudprivatecatalogproducer.manager |
Exibe soluções e catálogos, além de compartilhar catálogos com usuários do catálogo de serviços. |
|
Consumidor de catálogo
Nome da função | Descrição | Inclui as permissões |
---|---|---|
roles/cloudprivatecatalog.consumer |
Procura catálogos. Visualiza e lança soluções. Opera em um recurso de destino do Google Cloud, como uma organização, um projeto ou uma pasta. |
|
Como adicionar usuários aos papéis de IAM do catálogo de serviços
É necessário que os usuários, Grupos do Google ou domínios tenham a permissão
resourcemanager.organizations.setIamPolicy
na organização para adicionarem usuários aos papéis de IAM do catálogo de serviços. É possível dar essa permissão a usuários ou grupos concedendo a eles o papel de administrador da organização (roles/resourcemanager.organizationAdmin
).
Por exemplo, se a organização quiser que os usuários tenham o papel de administrador do catálogo para poder também adicionar e remover usuários e grupos de outros papéis de IAM do catálogo de serviços, o administrador da organização poderá fazer o seguinte:
- Crie um Grupo do Google para os usuários (
MyCompanyCatalogAdmins
). - Atribua ao Grupo do Google (
MyCompanyCatalogAdmins
) o papel de administrador da organização. - Atribua ao Grupo do Google (
MyCompanyCatalogAdmins
) o papel de administrador do catálogo.
No exemplo, membros do Grupo do Google (MyCompanyCatalogAdmins
)
podem atribuir papéis do IAM a usuários e grupos na organização,
porque o grupo recebeu a permissão setIamPolicy
quando o
papel de Administrador da organização foi concedido. À medida que os novos administradores de
catálogo se juntarem à organização, adicione-os ao Grupo do Google (MyCompanyCatalogAdmins
) para conceder
a eles os papéis desejados.
Para adicionar um usuário, grupo ou domínio a um papel de IAM de catálogo de serviços, siga estas etapas.
- Faça login na página do administrador do IAM & no Console do Google Cloud como um administrador da organização.
Acessar a página do administrador &do IAM no Console do Cloud - Selecione Catálogo Particular do Cloud no menu lateral.
- Selecione o papel a ser atribuído:
- Administrador de catálogo
- Gerenciador de catálogo
- Consumidor de catálogo
- Especifique os usuários, grupos ou domínios a serem adicionados.