Esta página foi traduzida pela API Cloud Translation.

Autorização e controlo de acesso

A gestão de identidade e de acesso (IAM) é uma ferramenta que lhe permite controlar quem pode fazer o quê no seu Google Cloud ambiente.

O acesso é controlado com autorizações de IAM, que são necessárias para trabalhar com qualquer recurso num ambiente Google Cloud . Quando lhe são concedidas as autorizações para trabalhar com um recurso, tem autorização para aceder a esse recurso. Sem a autorização adequada, não pode aceder aos Google Cloud recursos.

Autorizações e funções

Para trabalhar com um recurso, a sua conta de utilizador tem de ter as autorizações relevantes para aceder a esse recurso.

Normalmente, o administrador da IAM é responsável por controlar o acesso aos recursos. O seu administrador pode conceder-lhe autorizações para aceder a um único recurso ou a todos os recursos num projeto, numa pasta ou numa organização. Os administradores concedem as autorizações relevantes à sua conta de utilizador em conjuntos denominados funções. Desde que a sua conta de utilizador tenha uma função com as autorizações adequadas, pode usar essa função para aceder a Google Cloud recursos.

Geralmente, o fluxo de trabalho para realizar uma ação em qualquer recurso no seu ambienteGoogle Cloud é o seguinte:

Quer realizar uma ação num recurso, por exemplo, carregar um objeto para um contentor do Cloud Storage, mas não tem as autorizações adequadas. Sem as autorizações, não pode realizar a ação.
Pode pedir as autorizações de que precisa ao seu administrador do IAM através do seu sistema de gestão de pedidos preferido ou diretamente a partir da mensagem de erro de autorização na Google Cloud consola.
O administrador do IAM concede uma função que contém as autorizações adequadas à sua conta de utilizador. Já pode realizar a ação.

Usar o IAM como administrador

Normalmente, os administradores são responsáveis por conceder funções aos utilizadores para que possam aceder Google Cloud aos recursos. Os utilizadores são representados por identidades autenticadas conhecidas como principais.

A concessão de funções a um principal num recurso envolve a edição da política de permissão anexada ao recurso. As políticas de autorização indicam que entidades têm acesso ao recurso e que ações podem realizar no recurso. O IAM usa políticas de autorização para determinar se um principal tem as autorizações necessárias para aceder ao recurso. Por conseguinte, para conceder a um principal acesso a um recurso específico, tem de atualizar a política de permissão para o recurso com o principal e as funções que quer conceder.

Os administradores podem conceder funções a responsáveis nos seguintes tipos de recursos:

Projetos, pastas e organizações: estes recursos são os recursos de contentores usados para estruturar a sua hierarquia de recursos. As funções que concede nestes recursos de contentores aplicam-se a todos os recursos específicos do serviço que contêm.
Recursos específicos do serviço: estes recursos são as funcionalidades ou os componentes oferecidos por um serviço. Por exemplo, o Compute Engine tem recursos como instâncias, discos e sub-redes. A atribuição de funções num recurso específico do serviço oferece um controlo de acesso mais detalhado do que a atribuição de funções num recurso de contentor, porque limita o acesso de um utilizador apenas a esse recurso.

Controlo de acesso avançado com IAM

As políticas de permissão são o método mais comum para controlar o acesso a um Google Cloud ambiente com o IAM. No entanto, o IAM também oferece outras opções mais avançadas para o controlo de acesso, incluindo o seguinte:

Tipos de políticas adicionais, como políticas de negação e de limite de acesso principal
Controlos de acesso condicional baseados em atributos
Controlos de acesso temporários, como o gestor de acesso privilegiado (PAM)

Outras formas de controlo de acesso

Embora a IAM seja o método principal de controlo de acesso para o Google Cloud, existem outros serviços Google Cloud que podem afetar o acesso de um utilizador aos recursos.

Seguem-se alguns exemplos de outros serviços que podem afetar o acesso de um utilizador:

Gestor de acesso sensível ao contexto: O Gestor de acesso sensível ao contexto permite-lhe definir um controlo de acesso detalhado baseado em atributos para projetos e recursos no Google Cloud.
Identity-Aware Proxy (IAP): o IAP usa um modelo de controlo de acesso ao nível da aplicação onde estabelece uma camada de autorização central para aplicações acedidas por HTTPS.
Serviço de políticas da organização: A política da organização permite-lhe configurar restrições na hierarquia de recursos para lhe dar um controlo centralizado e programático sobre os recursos da nuvem da sua organização.
VPC Service Controls: Os VPC Service Controls permitem-lhe definir perímetros que ajudam a proteger os Google Cloud recursos e os dados dos Google Cloud serviços que especifica explicitamente.

O que se segue?

Para uma descrição mais detalhada do sistema IAM e do seu funcionamento, consulte a página de vista geral do IAM na documentação do IAM.
Para ver informações sobre mensagens de erro da IAM, consulte o artigo Resolva problemas de mensagens de erro de autorização na documentação da IAM.

Autorização e controlo de acesso Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.