Controle de acesso com o IAM

Nesta página, explicamos como conceder e gerenciar o acesso ao catálogo de serviços usando o gerenciamento de identidade e acesso (IAM).

Antes de começar

O que é o gerenciamento de identidade e acesso (IAM)?

O Google Cloud oferece o gerenciamento de identidade e acesso (IAM), que permite a concessão de acesso mais granular a recursos específicos do Google Cloud e impede o acesso indesejado a outros recursos. Com o IAM, é possível adotar o princípio de privilégio mínimo de segurança (em inglês) para conceder apenas o acesso necessário aos recursos.

O IAM permite controlar quem (identidade) tem qual (papéis) permissão para quais recursos. Basta definir as políticas. As políticas do IAM concedem papéis específicos a uma principal, dando à identidade as permissões específicas.

Por exemplo, é possível atribuir o papel roles/compute.networkAdmin a uma Conta do Google, e ela poderá controlar recursos relacionados à rede no projeto, mas não poderá gerenciar outros recursos, como instâncias e discos.

Papéis do IAM do catálogo de serviços

Com o IAM, todo método de API na API Service Catalog e na API Service Catalog Producer requer que a identidade que faz a solicitação de API tenha as permissões apropriadas para usar o recurso. As permissões são concedidas ao definir políticas que concedem papéis a uma principal, como um usuário, grupo ou conta de serviço. Além dos papéis básicos de Proprietário, Editor e Leitor, é possível atribuir os papéis do catálogo de serviços e do produtor do catálogo de serviços descritos nesta página às principais.

As tabelas a seguir listam os papéis do IAM disponíveis para os usuários do catálogo de serviços. As tabelas são organizadas em diferentes papéis.

Admin. da organização do catálogo

Nome da função Descrição Inclui as permissões
roles/cloudprivatecatalogproducer.orgAdmin

Gerencia as configurações do catálogo de serviços no nível da organização do Google Cloud. Cria e gerencia recursos do catálogo de serviços, como soluções e catálogos.
  • cloudprivatecatalogproducer.settings.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Administrador de catálogo

Nome da função Descrição Inclui as permissões
roles/cloudprivatecatalogproducer.admin

Cria e gerencia recursos do catálogo de serviços, como soluções e catálogos.
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Gerenciador de catálogo

Nome da função Descrição Inclui as permissões
roles/cloudprivatecatalogproducer.manager

Exibe soluções e catálogos, além de compartilhar catálogos com usuários do catálogo de serviços.
  • cloudprivatecatalog.targets.get
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.catalogAssociations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Consumidor de catálogo

Nome da função Descrição Inclui as permissões
roles/cloudprivatecatalog.consumer Procura catálogos. Visualiza e lança soluções. Opera em um recurso de destino do Google Cloud, como uma organização, um projeto ou uma pasta.
  • cloudprivatecatalog.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Como adicionar usuários aos papéis de IAM do catálogo de serviços

É necessário que os usuários, Grupos do Google ou domínios tenham a permissão resourcemanager.organizations.setIamPolicy na organização para adicionarem usuários aos papéis de IAM do catálogo de serviços. É possível dar essa permissão a usuários ou grupos concedendo a eles o papel de administrador da organização (roles/resourcemanager.organizationAdmin).

Por exemplo, se a organização quiser que os usuários tenham o papel de administrador do catálogo para poder também adicionar e remover usuários e grupos de outros papéis de IAM do catálogo de serviços, o administrador da organização poderá fazer o seguinte:

  • Crie um Grupo do Google para os usuários (MyCompanyCatalogAdmins).
  • Atribua ao Grupo do Google (MyCompanyCatalogAdmins) o papel de administrador da organização.
  • Atribua ao Grupo do Google (MyCompanyCatalogAdmins) o papel de administrador do catálogo.

No exemplo, membros do Grupo do Google (MyCompanyCatalogAdmins) podem atribuir papéis do IAM a usuários e grupos na organização, porque o grupo recebeu a permissão setIamPolicy quando o papel de Administrador da organização foi concedido. À medida que os novos administradores de catálogo se juntarem à organização, adicione-os ao Grupo do Google (MyCompanyCatalogAdmins) para conceder a eles os papéis desejados.

Para adicionar um usuário, grupo ou domínio a um papel de IAM de catálogo de serviços, siga estas etapas.

  1. Faça login na página do administrador do IAM & no Console do Google Cloud como um administrador da organização.
    Acessar a página do administrador &do IAM no Console do Cloud
  2. Selecione Catálogo Particular do Cloud no menu lateral.
  3. Selecione o papel a ser atribuído:
    • Administrador de catálogo
    • Gerenciador de catálogo
    • Consumidor de catálogo
  4. Especifique os usuários, grupos ou domínios a serem adicionados.

A seguir