Esta página foi traduzida pela API Cloud Translation.

Papéis e permissões

O Inventário de recursos do Cloud usa o gerenciamento de identidade e acesso (IAM) para controle de acesso. Cada método da API do Cloud Asset Inventory exige que o autor da chamada tenha as permissões necessárias.

Papéis

Para receber as permissões necessárias para trabalhar com metadados de recursos, peça ao administrador para conceder a você os seguintes papéis do IAM na organização, na pasta ou no projeto:

Para ver os metadados do recurso:
- Leitor de recursos do Cloud (roles/cloudasset.viewer)
- Consumidor do Service Usage (roles/serviceusage.serviceUsageConsumer)
Para conferir metadados de recursos e trabalhar com feeds:
- Proprietário de recursos do Cloud (roles/cloudasset.owner)
- Consumidor do Service Usage (roles/serviceusage.serviceUsageConsumer)

Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Esses papéis predefinidos contêm as permissões necessárias para trabalhar com metadados de recursos. Para acessar as permissões exatas necessárias, expanda a seção Permissões necessárias:

Permissões necessárias

As seguintes permissões são necessárias para trabalhar com metadados de recursos:

Para ver os metadados do recurso:
- cloudasset.assets.*
- recommender.cloudAssetInsights.get
- recommender.cloudAssetInsights.list
- serviceusage.services.use
Para conferir metadados de recursos e trabalhar com feeds:
- cloudasset.*
- recommender.cloudAssetInsights.*
- serviceusage.services.use

Essas permissões também podem ser concedidas com funções personalizadas ou outros papéis predefinidos.

Permissões

A tabela a seguir lista as permissões que o autor da chamada precisa ter para chamar cada método na API Inventário de recursos do Cloud ou para executar tarefas usando ferramentas do Google Cloud que usam o Inventário de recursos do Cloud, como o console Google Cloud ou a CLI gcloud.

Os papéis Leitor de recursos do Cloud (roles/cloudasset.viewer) e Proprietário de recursos do Cloud (roles/cloudasset.owner) incluem muitas dessas permissões. Se o usuário tiver recebido um desses papéis e o papel de Consumidor do Service Usage (roles/serviceusage.serviceUsageConsumer), ele já terá as permissões necessárias para usar o Inventário de recursos do Cloud.

RPC

Método	Permissões necessárias
Todas as APIs
Todas as chamadas do Inventário de recursos do Cloud	Todas as chamadas do Inventário de recursos do Cloud exigem a permissão `serviceusage.services.use`.
APIs de análise
`AnalyzeIamPolicy` `AnalyzeIamPolicyLongRunning` `BatchGetEffectiveIamPolicies`	Todas as seguintes permissões: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources` `iam.roles.get` para analisar políticas com papéis personalizados Outras permissões são necessárias para trabalhar com o Google Workspace.
`AnalyzeMove`	`cloudasset.assets.analyzeMove`
`AnalyzeOrgPolicies` `AnalyzeOrgPolicyGovernedContainers`	Todas as seguintes permissões: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`AnalyzeOrgPolicyGovernedAssets`	Todas as seguintes permissões: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
APIs de feed
`CreateFeed`	`cloudasset.feeds.create` Você também precisa de uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`DeleteFeed`	`cloudasset.feeds.delete`
`GetFeed`	`cloudasset.feeds.get`
`ListFeed`	`cloudasset.feeds.list`
`UpdateFeed`	`cloudasset.feeds.update` Você também precisa de uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
APIs de inventário
`BatchGetAssetsHistory` `ExportAssets`	Uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.exportAccessPolicy` Ao usar o tipo de conteúdo `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Ao usar o tipo de conteúdo `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Ao usar o tipo de conteúdo `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Ao usar o tipo de conteúdo `OS_INVENTORY`. `cloudasset.assets.exportResource` Ao usar os tipos de conteúdo `RELATIONSHIP` ou `RESOURCE`. Como limitar o acesso a recursos Ao conceder a permissão `cloudasset.assets.exportResource` a um usuário, ele pode exportar todos os tipos de recursos. Para restringir os tipos de recursos que um usuário pode exportar, conceda permissões para cada tipo de recurso. Por exemplo, é possível conceder a permissão `cloudasset.assets.exportComputeDisks` por si só para permitir que um usuário exporte apenas o tipo de recurso `compute.googleapis.com/Disk`. Essas permissões granulares se aplicam apenas a `RESOURCE` e a tipos de conteúdo não especificados. Confira a lista de permissões granulares do `cloudasset.assets.export*`.
`ListAssets`	Uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` Ao usar os tipos de conteúdo `RELATIONSHIP` ou `RESOURCE`. Como limitar o acesso a recursos Ao conceder a permissão `cloudasset.assets.listResource` a um usuário, ele pode listar todos os tipos de recursos. Para restringir os tipos de recursos que um usuário pode listar, conceda permissões para cada tipo de recurso. Por exemplo, é possível conceder a permissão `cloudasset.assets.listComputeDisks` por si só para permitir que um usuário liste apenas o tipo de recurso `compute.googleapis.com/Disk`. Essas permissões granulares se aplicam apenas a `RESOURCE` e a tipos de conteúdo não especificados. Confira a lista de permissões granulares do `cloudasset.assets.list*`.
`QueryAssets`	Uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` Ao usar os tipos de conteúdo `RELATIONSHIP` ou `RESOURCE`.
APIs da Pesquisa Google
`SearchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`SearchAllResources`	`cloudasset.assets.searchAllResources` Você também precisa de `cloudasset.assets.searchEnrichmentResourceOwners` se estiver pesquisando o enriquecimento do proprietário do recurso.

REST

Método	Permissões necessárias
Todas as APIs
Todas as chamadas do Inventário de recursos do Cloud	Todas as chamadas do Inventário de recursos do Cloud exigem a permissão `serviceusage.services.use`.
APIs de análise
`analyzeIamPolicy` `analyzeIamPolicyLongRunning` `effectiveIamPolicies.batchGet`	Todas as seguintes permissões: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources` `iam.roles.get` para analisar políticas com papéis personalizados Outras permissões são necessárias para trabalhar com o Google Workspace.
`analyzeMove`	`cloudasset.assets.analyzeMove`
`analyzeOrgPolicies` `analyzeOrgPolicyGovernedContainers`	Todas as seguintes permissões: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyzeOrgPolicyGovernedAssets`	Todas as seguintes permissões: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
APIs de feed
`feeds.create`	`cloudasset.feeds.create` Você também precisa de uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds.delete`	`cloudasset.feeds.delete`
`feeds.get`	`cloudasset.feeds.get`
`feeds.list`	`cloudasset.feeds.list`
`feeds.patch`	`cloudasset.feeds.update` Você também precisa de uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
APIs de inventário
`batchGetAssetsHistory` `exportAssets`	Uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.exportAccessPolicy` Ao usar o tipo de conteúdo `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Ao usar o tipo de conteúdo `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Ao usar o tipo de conteúdo `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Ao usar o tipo de conteúdo `OS_INVENTORY`. `cloudasset.assets.exportResource` Ao usar os tipos de conteúdo `RELATIONSHIP` ou `RESOURCE`. Como limitar o acesso a recursos Ao conceder a permissão `cloudasset.assets.exportResource` a um usuário, ele pode exportar todos os tipos de recursos. Para restringir os tipos de recursos que um usuário pode exportar, conceda permissões para cada tipo de recurso. Por exemplo, é possível conceder a permissão `cloudasset.assets.exportComputeDisks` por si só para permitir que um usuário exporte apenas o tipo de recurso `compute.googleapis.com/Disk`. Essas permissões granulares se aplicam apenas a `RESOURCE` e a tipos de conteúdo não especificados. Confira a lista de permissões granulares do `cloudasset.assets.export*`.
`assets.list`	Uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` Ao usar os tipos de conteúdo `RELATIONSHIP` ou `RESOURCE`. Como limitar o acesso a recursos Ao conceder a permissão `cloudasset.assets.listResource` a um usuário, ele pode listar todos os tipos de recursos. Para restringir os tipos de recursos que um usuário pode listar, conceda permissões para cada tipo de recurso. Por exemplo, é possível conceder a permissão `cloudasset.assets.listComputeDisks` por si só para permitir que um usuário liste apenas o tipo de recurso `compute.googleapis.com/Disk`. Essas permissões granulares se aplicam apenas a `RESOURCE` e a tipos de conteúdo não especificados. Confira a lista de permissões granulares do `cloudasset.assets.list*`.
`queryAssets`	Uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` Ao usar os tipos de conteúdo `RELATIONSHIP` ou `RESOURCE`.
APIs da Pesquisa Google
`searchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`searchAllResources`	`cloudasset.assets.searchAllResources` Você também precisa de `cloudasset.assets.searchEnrichmentResourceOwners` se estiver pesquisando o enriquecimento do proprietário do recurso.

gcloud

Declaração de posicionamento	Permissões necessárias
Todas as APIs
Todas as chamadas do Inventário de recursos do Cloud	Todas as chamadas do Inventário de recursos do Cloud exigem a permissão `serviceusage.services.use`.
APIs de análise
`analyze-iam-policy` `analyze-iam-policy-longrunning` `get-effective-iam-policy`	Todas as seguintes permissões: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources` `iam.roles.get` para analisar políticas com papéis personalizados Outras permissões são necessárias para trabalhar com o Google Workspace.
`analyze-move`	`cloudasset.assets.analyzeMove`
`analyze-org-policies` `analyze-org-policy-governed-containers`	Todas as seguintes permissões: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyze-org-policy-governed-assets`	Todas as seguintes permissões: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
APIs de feed
`feeds create`	`cloudasset.feeds.create` Você também precisa de uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds delete`	`cloudasset.feeds.delete`
`feeds describe`	`cloudasset.feeds.get`
`feeds list`	`cloudasset.feeds.list`
`feeds update`	`cloudasset.feeds.update` Você também precisa de uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
APIs de inventário
`export` `get-history`	Uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.exportAccessPolicy` Ao usar o tipo de conteúdo `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Ao usar o tipo de conteúdo `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Ao usar o tipo de conteúdo `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Ao usar o tipo de conteúdo `OS_INVENTORY`. `cloudasset.assets.exportResource` Ao usar os tipos de conteúdo `RELATIONSHIP` ou `RESOURCE`. Como limitar o acesso a recursos Ao conceder a permissão `cloudasset.assets.exportResource` a um usuário, ele pode exportar todos os tipos de recursos. Para restringir os tipos de recursos que um usuário pode exportar, conceda permissões para cada tipo de recurso. Por exemplo, é possível conceder a permissão `cloudasset.assets.exportComputeDisks` por si só para permitir que um usuário exporte apenas o tipo de recurso `compute.googleapis.com/Disk`. Essas permissões granulares se aplicam apenas a `RESOURCE` e a tipos de conteúdo não especificados. Confira a lista de permissões granulares do `cloudasset.assets.export*`.
`list`	Uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` Ao usar os tipos de conteúdo `RELATIONSHIP` ou `RESOURCE`. Como limitar o acesso a recursos Ao conceder a permissão `cloudasset.assets.listResource` a um usuário, ele pode listar todos os tipos de recursos. Para restringir os tipos de recursos que um usuário pode listar, conceda permissões para cada tipo de recurso. Por exemplo, é possível conceder a permissão `cloudasset.assets.listComputeDisks` por si só para permitir que um usuário liste apenas o tipo de recurso `compute.googleapis.com/Disk`. Essas permissões granulares se aplicam apenas a `RESOURCE` e a tipos de conteúdo não especificados. Confira a lista de permissões granulares do `cloudasset.assets.list*`.
`query`	Uma das seguintes permissões, dependendo do tipo de conteúdo: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` Ao usar os tipos de conteúdo `RELATIONSHIP` ou `RESOURCE`.
APIs da Pesquisa Google
`search-all-iam-policies`	`cloudasset.assets.searchAllIamPolicies`
`search-all-resources`	`cloudasset.assets.searchAllResources` Você também precisa de `cloudasset.assets.searchEnrichmentResourceOwners` se estiver pesquisando o enriquecimento do proprietário do recurso.

Console

O console do Google Cloud usa a API SearchAllResources para solicitar dados. Para usar o Inventário de recursos do Cloud no console Google Cloud , conceda as seguintes permissões:

cloudasset.assets.searchAllResources
serviceusage.services.use

## VPC Service Controls

O VPC Service Controls pode ser usado com o Inventário de recursos do Cloud para aumentar a segurança dos recursos. Para saber mais sobre o VPC Service Controls, consulte a Visão geral do VPC Service Controls.

Para saber mais sobre as limitações do uso do Inventário de recursos do Cloud com o VPC Service Controls, consulte os produtos e limitações com suporte.

Papéis e permissões Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Papéis

Permissões necessárias

Permissões

RPC

Como limitar o acesso a recursos

Como limitar o acesso a recursos

REST

Como limitar o acesso a recursos

Como limitar o acesso a recursos

gcloud

Como limitar o acesso a recursos

Como limitar o acesso a recursos

Console

Papéis e permissões