Controle o acesso com a IAM

Quando cria um Google Cloud projeto, é o único utilizador no projeto. Por predefinição, nenhum outro utilizador tem acesso ao seu projeto nem aos respetivos recursos. A gestão de identidade e de acesso (IAM) gere o acesso a Google Cloud recursos, como clusters. As autorizações são atribuídas a principais do IAM.

O IAM permite-lhe conceder funções a principais. Uma função é um conjunto de autorizações e, quando concedida a um principal, controla o acesso a um ou mais Google Cloud recursos. Pode usar os seguintes tipos de funções:

  • As funções básicas oferecem permissões gerais limitadas a proprietário, editor e leitor.
  • As funções predefinidas oferecem um acesso mais detalhado do que as funções básicas e abordam muitos exemplos de utilização comuns.
  • As funções personalizadas permitem-lhe criar combinações únicas de autorizações.

Um principal pode ser qualquer uma das seguintes opções:

  • Conta de utilizador
  • Conta de serviço
  • Grupo Google do Google Workspace
  • Domínio do Google Workspace
  • Domínio do Cloud ID

Tipos de políticas de IAM

O IAM suporta os seguintes tipos de políticas:

  • Políticas de permissão: concedem funções a principais. Para ver detalhes, consulte a Política de permissão.
  • Políticas de recusa: impedem que os principais usem autorizações de IAM específicas, independentemente das funções que lhes são concedidas. Para ver detalhes, consulte as políticas de recusa.

Use políticas de recusa para restringir a execução de ações específicas por parte de determinados responsáveis no seu projeto, pasta ou organização, mesmo que uma política de autorização do IAM conceda a esses responsáveis uma função que contenha as autorizações relevantes.

Funções predefinidas

O IAM fornece funções predefinidas para conceder acesso detalhado a recursos Google Cloud específicos e impedir o acesso indesejado a outros recursos. Google Cloud cria e mantém estas funções e atualiza automaticamente as respetivas autorizações conforme necessário, por exemplo, quando o Google Cloud Observability adiciona novas funcionalidades.

As funções predefinidas para o Google Cloud Observability contêm autorizações para funcionalidades que abrangem várias áreas de produtos. Por este motivo, pode ver algumas autorizações, como observability.scopes.get, incluídas nas funções predefinidas para essas áreas de produtos. Por exemplo, a função Logs Viewer (roles/logging.viewer) inclui a autorização observability.scopes.get, além de muitas autorizações específicas do registo.

A tabela seguinte apresenta as funções predefinidas para o Google Cloud Observability. Para cada função, a tabela apresenta o título da função, a descrição, as autorizações contidas e o tipo de recurso de nível mais baixo onde as funções podem ser concedidas. Pode conceder as funções predefinidas ao Google Cloud nível do projeto ou, na maioria dos casos, a qualquer tipo superior na hierarquia de recursos.

Para obter uma lista de todas as autorizações individuais contidas numa função, consulte o artigo Obter os metadados da função.

Funções de observabilidade

Role Permissions

(roles/observability.admin)

Full access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.buckets.create
  • observability.buckets.delete
  • observability.buckets.get
  • observability.buckets.list
  • observability.buckets.undelete
  • observability.buckets.update
  • observability.datasets.create
  • observability.datasets.delete
  • observability.datasets.get
  • observability.datasets.list
  • observability.datasets.undelete
  • observability.datasets.update
  • observability.links.create
  • observability.links.delete
  • observability.links.get
  • observability.links.list
  • observability.links.update
  • observability.operations.cancel
  • observability.operations.delete
  • observability.operations.get
  • observability.operations.list
  • observability.scopes.get
  • observability.scopes.update
  • observability.traceScopes.create
  • observability.traceScopes.delete
  • observability.traceScopes.get
  • observability.traceScopes.list
  • observability.traceScopes.update
  • observability.views.access
  • observability.views.create
  • observability.views.delete
  • observability.views.get
  • observability.views.list
  • observability.views.update

(roles/observability.analyticsUser)

Grants permissions to use Cloud Observability Analytics.

logging.queries.getShared

logging.queries.listShared

logging.queries.usePrivate

observability.analyticsViews.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update

observability.buckets.get

observability.buckets.list

observability.datasets.get

observability.datasets.list

observability.links.get

observability.links.list

observability.operations.get

observability.operations.list

observability.scopes.get

observability.traceScopes.get

observability.traceScopes.list

observability.views.get

observability.views.list

(roles/observability.editor)

Edit access to Observability resources.

observability.analyticsViews.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update

observability.buckets.create

observability.buckets.get

observability.buckets.list

observability.buckets.update

observability.datasets.create

observability.datasets.get

observability.datasets.list

observability.datasets.update

observability.links.*

  • observability.links.create
  • observability.links.delete
  • observability.links.get
  • observability.links.list
  • observability.links.update

observability.operations.*

  • observability.operations.cancel
  • observability.operations.delete
  • observability.operations.get
  • observability.operations.list

observability.scopes.*

  • observability.scopes.get
  • observability.scopes.update

observability.traceScopes.*

  • observability.traceScopes.create
  • observability.traceScopes.delete
  • observability.traceScopes.get
  • observability.traceScopes.list
  • observability.traceScopes.update

observability.views.create

observability.views.delete

observability.views.get

observability.views.list

observability.views.update

(roles/observability.scopesEditor)

Grants permission to view and edit Observability, Logging, Trace, and Monitoring scopes

logging.logScopes.*

  • logging.logScopes.create
  • logging.logScopes.delete
  • logging.logScopes.get
  • logging.logScopes.list
  • logging.logScopes.update

monitoring.metricsScopes.link

observability.scopes.*

  • observability.scopes.get
  • observability.scopes.update

observability.traceScopes.*

  • observability.traceScopes.create
  • observability.traceScopes.delete
  • observability.traceScopes.get
  • observability.traceScopes.list
  • observability.traceScopes.update

(roles/observability.serviceAgent)

Grants Observability service account the ability to list, create and link datasets in the consumer project.

bigquery.datasets.create

bigquery.datasets.get

bigquery.datasets.link

(roles/observability.viewAccessor)

Read only access to data defined by an Observability View.

observability.views.access

(roles/observability.viewer)

Read only access to Observability resources.

observability.analyticsViews.get

observability.analyticsViews.list

observability.buckets.get

observability.buckets.list

observability.datasets.get

observability.datasets.list

observability.links.get

observability.links.list

observability.operations.get

observability.operations.list

observability.scopes.get

observability.traceScopes.get

observability.traceScopes.list

observability.views.get

observability.views.list

Funções da API Telemetry

Role Permissions

(roles/telemetry.metricsWriter)

Access to write metrics.

telemetry.metrics.write

(roles/telemetry.serviceLogsWriter)

Allows an onboarded service to write log data to a destination.

telemetry.consumers.writeLogs

(roles/telemetry.serviceMetricsWriter)

Allows an onboarded service to write metrics data to a destination.

telemetry.consumers.writeMetrics

(roles/telemetry.serviceTelemetryWriter)

Allows an onboarded service to write all telemetry data to a destination.

telemetry.consumers.*

  • telemetry.consumers.writeLogs
  • telemetry.consumers.writeMetrics
  • telemetry.consumers.writeTraces

(roles/telemetry.serviceTracesWriter)

Allows an onboarded service to write trace data to a destination.

telemetry.consumers.writeTraces

(roles/telemetry.tracesWriter)

Access to write trace spans.

telemetry.traces.write

(roles/telemetry.writer)

Full access to write all telemetry data.

telemetry.metrics.write

telemetry.traces.write

O que se segue?