Controlar o acesso com o IAM

Quando você cria um projeto Google Cloud , é o único usuário no projeto. Por padrão, nenhum outro usuário tem acesso ao seu projeto ou recursos dele. O Identity and Access Management (IAM) gerencia Google Cloud recursos, como clusters. As permissões são atribuídas aos participantes do IAM.

O IAM permite conceder papéis aos principais. Um papel é um conjunto de permissões e, quando concedido a um participante, controla o acesso a um ou mais Google Cloud recursos. Você pode usar os seguintes tipos de papéis:

  • Papéis básicos fornecem permissões gerais limitadas a Proprietário, Editor e Leitor.
  • Papéis predefinidos: fornecem acesso mais restrito do que papéis básicos e abordam muitos casos de uso comuns.
  • Papéis personalizados permitem que você crie combinações exclusivas de permissões.

Um principal pode ser qualquer um destes:

  • Conta de usuário
  • Conta de serviço
  • Grupos do Google do Google Workspace
  • Domínio do Google Workspace
  • Domínio do Cloud Identity

Tipos de políticas do IAM

O IAM aceita os seguintes tipos de políticas:

  • Permitir políticas: atribua papéis aos principais. Para detalhes, consulte a Política de permissão.
  • Políticas de negação: impedem que os principais usem permissões específicas do IAM, independentemente dos papéis atribuídos a eles. Para mais detalhes, consulte as Políticas de negação.

Use as políticas de negação para impedir que principais específicos executem ações específicas no projeto, pasta ou organização, mesmo que uma política de permissão do IAM conceda a esses principais um papel que contenha as permissões relevantes.

Papéis predefinidos

O IAM fornece papéis predefinidos para conceder acesso granular a recursos específicos do Google Cloud e impedir o acesso indesejado a outros recursos.O Google Cloud cria e mantém esses papéis e atualiza automaticamente as permissões conforme necessário, como quando a Observabilidade do Google Cloud adiciona novos recursos.

Os papéis predefinidos da Observability do Google Cloud contêm permissões para recursos que abrangem várias áreas de produto. Por esse motivo, algumas permissões, como observability.scopes.get, podem aparecer em papéis predefinidos para essas áreas de produto. Por exemplo, o papel de leitor de registros (roles/logging.viewer) inclui a permissão observability.scopes.get, além de muitas permissões específicas de registro.

A tabela a seguir lista os papéis predefinidos para a Observability do Google Cloud. Para cada função, a tabela mostra o título, a descrição, as permissões contidas e o tipo de recurso de menor nível em que as funções podem ser concedidas. É possível conceder os papéis predefinidos no nível do projeto do Google Cloud ou, na maioria dos casos, qualquer tipo acima na hierarquia de recursos.

Para conferir uma lista de todas as permissões individuais contidas em um papel, consulte Como receber os metadados do papel.

Role Permissions

(roles/observability.admin)

Full access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.scopes.get
  • observability.scopes.update

(roles/observability.analyticsUser)

Grants permissions to use Cloud Observability Analytics.

observability.analyticsViews.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update

observability.scopes.get

(roles/observability.editor)

Edit access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.scopes.get
  • observability.scopes.update

(roles/observability.viewer)

Read only access to Observability resources.

observability.analyticsViews.get

observability.analyticsViews.list

observability.scopes.get

A seguir