Papéis e permissões do IAM do VMware Engine

O Google Cloud VMware Engine tem um conjunto específico de papéis de gerenciamento de identidade e acesso (IAM, na sigla em inglês). Cada papel contém um conjunto de permissões.

Ao adicionar um novo membro ao seu projeto, é possível usar uma política de IAM para dar a esse membro um ou mais papéis de IAM. Cada papel do IAM contém permissões que concedem ao membro acesso aos recursos do VMware Engine.

Como gerenciar o acesso ao VMware Engine

Neste guia, descrevemos como gerenciar o acesso ao VMware Engine usando o princípio de privilégio mínimo concedendo acesso a recursos pai específicos, como um projeto do Google Cloud ou uma organização. É possível conceder acesso a um projeto definindo uma política de IAM no recurso. A política vincula um ou mais membros, como um usuário ou uma conta de serviço, a um ou mais papéis. Cada papel tem uma lista de permissões que permitem que o membro interaja com o recurso.

Existem três tipos de papéis no IAM:

  • Papéis básicos, que incluem os de proprietário, editor e visualizador que existiam antes da introdução do IAM.
  • Os papéis predefinidos fornecem acesso granular a um serviço específico e são gerenciados pelo Google Cloud. Os papéis predefinidos são projetados para oferecer suporte a casos de uso comuns e a padrões de controle de acesso.
  • Papéis personalizados dão acesso granular de acordo com uma lista de permissões especificada pelo usuário.

Permissões do VMware Engine

A tabela a seguir lista as permissões e descrições do VMware Engine:

Permissão Descrição
vmwareengine.googleapis.com/services.view Acesso de leitura ao portal e aos recursos do VMware Engine.*
vmwareengine.googleapis.com/services.use Acesso de administrador ao portal e aos recursos do VMware Engine

*Um papel com essa permissão também pode visualizar as credenciais de login do vCenter e do NSX-T.

Papéis do VMware Engine

A tabela a seguir lista os papéis e as descrições do VMware Engine:

Papel Descrição
VMware Engine Service Viewer Acesso de leitura ao portal e aos recursos do VMware Engine.*
VMware Engine Service Admin Acesso de administrador ao portal e aos recursos do VMware Engine

*Um papel com essa permissão também pode visualizar as credenciais de login do vCenter e do NSX-T.

Papéis básicos para projetos

Por padrão, a concessão de acesso a um projeto do Google Cloud também concede acesso a nuvens privadas do VMware Engine. Qualquer usuário com o papel Owner no projeto pode conceder, revogar ou alterar qualquer papel do projeto.

Papel básico Recursos
Viewer Pode ver o console do VMware Engine, as nuvens particulares e todos os recursos. Este papel inclui o papel VMware Engine Service Viewer
Editor Os mesmos recursos que Viewer, além destes:
  • Pode criar, atualizar e excluir todos os recursos, incluindo todos os recursos de rede e endereços IP externos. O papel Editor também pode criar e adicionar uma nuvem privada e adicionar ou remover nós de uma nuvem privada. Este papel inclui o papel VMware Engine Service Admin.
Owner Igual a Editor

Conceder ou revogar o acesso ao VMware Engine

Você concede acesso ao portal VMware Engine usando papéis, que são aplicados aos recursos do VMware Engine no nível do projeto. Um papel não pode ser aplicado a uma nuvem privada individual se um projeto contiver várias nuvens privadas.

Conceder acesso

Para adicionar um membro da equipe a um projeto e conceder a ele um papel do VMware Engine, faça o seguinte:

  1. No console do Google Cloud, abra a página IAM.

    Acessar a página do IAM

  2. Clique em Selecionar um projeto e em Abrir.

  3. Clique em Adicionar.

  4. Insira um endereço de e-mail. É possível adicionar indivíduos, contas de serviço ou Grupos do Google como membros.

  5. Selecione um papel VMware Engine Service Viewer ou VMware Engine Service Admin com base no tipo de acesso que o usuário ou grupo precisa. Os papéis dão aos membros um nível específico de permissão.

    Para uma melhor segurança disponível, é recomendável conceder a cada usuário ou grupo o mínimo de privilégio necessário. Os membros com o papel Owner proprietário podem gerenciar todos os aspectos dos recursos do VMware Engine.

  6. Clique em Save.

Como revogar o acesso

Para revogar o acesso do VMware Engine a um usuário ou grupo, faça o seguinte:

  1. No console do Google Cloud, abra a página IAM.

    Acessar a página do IAM

  2. Clique em Selecionar um projeto e em Abrir.

  3. Localize o usuário ou o grupo de que você quer revogar o acesso e clique em Editar.

  4. Para cada papel que você quer revogar, clique em Excluir e, em seguida, clique em Salvar.