Esta página foi traduzida pela API Cloud Translation.

Autorização e controle de acesso

O Identity and Access Management (IAM) é uma ferramenta que permite controlar quem pode fazer o quê no seu ambiente do Google Cloud .

O acesso é controlado com permissões do IAM, que são necessárias para trabalhar com qualquer recurso em um ambiente Google Cloud . Quando você recebe permissões para trabalhar com um recurso, tem autorização para acessar esse recurso. Sem a autorização adequada, não é possível acessar os recursos do Google Cloud.

Permissões e papéis

Para trabalhar com um recurso, sua conta de usuário precisa ter as permissões relevantes para acessar esse recurso.

Normalmente, o administrador do IAM é responsável por controlar o acesso aos recursos. Seu administrador pode conceder permissões para acessar um único recurso ou todos os recursos em um projeto, pasta ou organização. Os administradores concedem as permissões relevantes à sua conta de usuário em pacotes chamados funções. Desde que sua conta de usuário tenha uma função com as permissões adequadas, você pode usar essa função para acessar recursos do Google Cloud .

Em geral, o fluxo de trabalho para realizar uma ação em qualquer recurso no seu ambienteGoogle Cloud é assim:

Você quer realizar uma ação em um recurso, por exemplo, fazer upload de um objeto para um bucket do Cloud Storage, mas não tem as permissões adequadas. Sem as permissões, não é possível realizar a ação.
Você pode pedir as permissões necessárias ao administrador do IAM pelo sistema de gerenciamento de solicitações preferido ou diretamente pela mensagem de erro de permissão no console do Google Cloud .
O administrador do IAM concede uma função que contém as permissões adequadas à sua conta de usuário. Agora você pode realizar a ação.

Como usar o IAM como administrador

Normalmente, os administradores são responsáveis por conceder papéis aos usuários para que eles possam acessar recursos do Google Cloud . Os usuários são representados por identidades autenticadas conhecidas como principais.

Para conceder papéis a um principal em um recurso, é necessário editar a política de permissão anexada a ele. As políticas de permissão listam quais principais têm acesso ao recurso e quais ações podem ser realizadas nele. O IAM usa políticas de permissão para determinar se um principal tem as permissões necessárias para acessar o recurso. Portanto, para conceder a um principal acesso a um recurso específico, atualize a política de permissão do recurso com o principal e as funções que você quer conceder.

Os administradores podem conceder papéis a usuários principais nos seguintes tipos de recursos:

Projetos, pastas e organizações: esses recursos são os contêineres usados para estruturar sua hierarquia de recursos. Os papéis concedidos nesses recursos de contêiner se aplicam a todos os recursos específicos do serviço que eles contêm.
Recursos específicos do serviço: são os recursos ou componentes oferecidos por um serviço. Por exemplo, o Compute Engine tem recursos como instâncias, discos e sub-redes. A concessão de papéis em um recurso específico do serviço oferece um controle de acesso mais granular do que a concessão de papéis em um recurso de contêiner, porque limita o acesso de um usuário apenas a esse recurso.

Controle de acesso avançado com o IAM

As políticas de permissão são o método mais comum para controlar o acesso a um ambienteGoogle Cloud com o IAM. No entanto, o IAM também oferece outras opções mais avançadas de controle de acesso, incluindo:

Outros tipos de políticas, como as de negação e de limite de acesso principal
Controles de acesso condicionais baseados em atributos
Controles de acesso temporário, como o Privileged Access Manager (PAM)

Outras formas de controle de acesso

Embora o IAM seja o principal método de controle de acesso para o Google Cloud, há outros serviços do Google Cloud que podem afetar o acesso de um usuário aos recursos.

Confira alguns exemplos de outros serviços que podem afetar o acesso de um usuário:

Access Context Manager: permite definir um controle de acesso refinado e baseado em atributos para projetos e recursos em Google Cloud.
Identity-Aware Proxy (IAP): o IAP usa um modelo de controle de acesso no nível do aplicativo em que você estabelece uma camada de autorização central para aplicativos acessados por HTTPS.
Serviço de políticas da organização: com as políticas da organização, é possível configurar restrições em toda a hierarquia de recursos para ter controle centralizado e programático sobre os recursos de nuvem da organização.
VPC Service Controls: Com o VPC Service Controls, é possível definir perímetros que ajudam a proteger os recursos e dados do Google Cloud Google Cloud serviços que você especifica explicitamente.

A seguir

Para uma descrição mais detalhada do sistema do IAM e como ele funciona, consulte a página de visão geral do IAM na documentação do IAM.
Para informações sobre mensagens de erro do IAM, consulte Resolver problemas de mensagens de erro de permissão na documentação do IAM.

Autorização e controle de acesso Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.