Papéis e permissões do IAM do VMware Engine

Ao adicionar um novo membro ao seu projeto, é possível usar uma política de Identity and Access Management (IAM) para conceder a esse membro um ou mais papéis do IAM. Cada papel do IAM contém permissões que concedem ao membro acesso aos recursos do VMware Engine.

Este documento se concentra nas permissões do IAM relevantes para o VMware Engine e nos papéis do IAM que concedem essas permissões. Para uma descrição detalhada do IAM e dos recursos dele, consulte a Visão geral do gerenciamento de identidade e acesso e Como conceder, alterar e revogar o acesso aos recursos.

Tipos de papel

Para conceder acesso a um recurso, você define nele uma política do Cloud IAM. A política vincula um ou mais membros, como um usuário ou uma conta de serviço, a um ou mais papéis. Cada papel tem uma lista de permissões que permitem que o membro interaja com o recurso.

Existem três tipos de papéis no IAM:

  • Papéis predefinidos fornecem acesso granular a um serviço específico e são gerenciados pelo Google Cloud. Eles destinam-se a oferecer suporte a casos de uso comuns e padrões de controle de acesso.
  • Os papéis personalizados oferecem acesso granular de acordo com uma lista de permissões especificada pelo usuário.
  • Papéis básicos são papéis no nível do projeto que incluem permissões amplas que se aplicam a todos os recursos do Google Cloud. Os papéis básicos incluem os de proprietário, editor e leitor que existiam antes da introdução do IAM.

Recomendamos o uso de um papel predefinido ou um papel personalizado sempre que possível, porque eles incluem permissões mais refinadas que se aplicam somente ao VMware Engine.

Papéis predefinidos

Um papel predefinido contém um conjunto de permissões adequado a uma tarefa específica. Permissões e papéis específicos se aplicam apenas à Google Cloud CLI e à API VMware Engine. Para consultar uma lista abrangente de papéis predefinidos do VMware Engine, acesse a referência de papéis do VMware Engine na documentação do IAM.

Papéis personalizados

Se os papéis predefinidos do VMware Engine não atenderem às suas necessidades, crie um papel personalizado que contenha somente as permissões especificadas. Identifique as tarefas que você precisa executar e adicione as permissões necessárias para cada tarefa ao papel personalizado.

Para consultar uma lista abrangente de permissões do VMware Engine, acesse a Referência de permissões e pesquise o prefixo vmwareengine.

Para mais detalhes sobre a criação de um papel personalizado, consulte Criar e gerenciar papéis personalizados.

Conceder ou revogar o acesso ao VMware Engine

Os papéis se aplicam aos recursos do VMware Engine no nível do projeto. Um papel não pode ser aplicado a uma nuvem privada individual se um projeto contiver várias nuvens privadas.

Permitir acesso

Para adicionar um membro da equipe a um projeto e conceder a ele um papel do VMware Engine, faça o seguinte:

  1. No console do Google Cloud, acesse IAM e administrador > IAM.

    Acessar a página do IAM

  2. Clique em Add.

  3. Insira um endereço de e-mail. É possível adicionar indivíduos, contas de serviço ou Grupos do Google como membros.

  4. Selecione um papel VMware Engine Service Viewer ou VMware Engine Service Admin com base no tipo de acesso que o usuário ou grupo precisa.

  5. Clique em Salvar.

Revogar acesso

Para remover um papel e as permissões correspondentes de um usuário ou grupo, faça o seguinte:

  1. No console do Google Cloud, acesse IAM e administrador > IAM.

    Acessar a página do IAM

  2. Localize o usuário ou o grupo de que você quer revogar o acesso e clique em Editar.

  3. Clique em Excluir para cada papel que quiser revogar.

  4. Clique em Save.

Permissões do VMware Engine

Para consultar uma lista abrangente de permissões do VMware Engine, acesse a Referência de permissões e pesquise o prefixo vmwareengine.

As permissões permitem que os usuários executem ações específicas aos recursos do VMware Engine. Não é possível dar permissões diretamente a usuários. Em vez disso, concede a eles papéis predefinidos ou personalizados, com uma ou mais permissões agrupadas.