Grupos de usuários e papéis do Identity and Access Management recomendados

A tabela a seguir descreve os papéis do Identity and Access Management (IAM) que recomendamos como ponto de partida para executar cargas de trabalho no Google Cloud. Configure seus papéis do IAM para implementar a separação de funções no ambiente e se alinhar ao apetite por risco e à estrutura organizacional.

Ao atribuir esses papéis aos grupos de usuários na sua organização, considere onde é necessário aplicar papéis mais detalhados para atender a casos de uso específicos e requisitos de acesso aos dados. Para ambientes em que dados altamente sensíveis são usados (por exemplo, você está usando dados sensíveis para treinar modelos), consulte Importar dados para um data warehouse seguro do BigQuery para mais informações sobre as funções que podem ser usadas para permitir o acesso aos dados armazenados.

A tabela a seguir descreve as recomendações de função. Aplique recomendações básicas e específicas para casos de uso, conforme necessário.

Serviço Grupo Descrição Papéis IAM

Básica

grp-gcp-org-admin

Esse grupo administra os recursos que pertencem à organização. Atribua esse papel com moderação. Os administradores da organização têm acesso a todos os seus recursos do Google Cloud . Como essa função é altamente privilegiada, considere usar contas individuais em vez de criar um grupo.
  • Administrador da organização (roles/resourcemanager.organizationAdmin)
  • Administrador de pastas (roles/resourcemanager.folderAdmin)
  • roles/resourcemanager.projectCreatorCriador do projeto
  • Usuário da conta de faturamento (roles/billing.user)
  • Administrador de papéis da organização (roles/iam.organizationRoleAdmin)
  • Administrador da política da organização (roles/orgpolicy.policyAdmin)
  • Administrador da Central de segurança (roles/securitycenter.admin)
  • Administrador da conta de suporte (roles/cloudsupport.admin)

Básica

grp-gcp-network-admins

Esse grupo pode criar redes, sub-redes, regras de firewall e dispositivos de rede, como Cloud Router, Cloud VPN e balanceadores de carga na nuvem.
  • Administrador de rede do Compute (roles/compute.networkAdmin)
  • Administrador de VPC compartilhada do Compute (roles/compute.xpnAdmin)
  • Administrador de segurança do Compute (roles/compute.securityAdmin)
  • Leitor de pastas (roles/resourcemanager.folderViewer)

Básica

grp-gcp-billing-admin

Esse grupo configura contas de faturamento e monitora o uso delas.
  • Administrador da conta de faturamento (roles/billing.admin)
  • Criador da conta de faturamento (roles/billing.creator)
  • Leitor da organização (roles/resourcemanager.organizationViewer)

Básica

grp-gcp-security-admins

Esse grupo estabelece e gerencia políticas de segurança para toda a organização, incluindo gerenciamento de acesso e políticas de restrição. Para planejar sua infraestrutura de segurança do Google Cloud , consulte o Blueprint de bases empresariais.
  • Leitor de dados do BigQuery (roles/bigquery.dataViewer)
  • Leitor do Compute (roles/compute.viewer)
  • Administrador de pastas do IAM (roles/resourcemanager.folderIamAdmin)
  • Leitor do Kubernetes Engine (roles/container.viewer)
  • Gravador de configuração de registros (roles/logging.configWriter)
  • Leitor de papel da organização (roles/iam.organizationRoleViewer)
  • Administrador da política da organização (roles/orgpolicy.policyAdmin)
  • Leitor da política da organização (roles/orgpolicy.policyViewer)
  • Visualizador de registros particulares (roles/logging.privateLogViewer)
  • Administrador da Central de segurança (roles/securitycenter.admin)
  • Avaliador de segurança (roles/iam.securityReviewer)

Básica

grp-gcp-billing-viewer

Esse grupo monitora os gastos em projetos. Normalmente, os membros do grupo fazem parte da equipe financeira.
  • Leitor da conta de faturamento (roles/billing.viewer)

Básica

grp-gcp-platform-viewer

Esse grupo analisa as informações de recursos em toda a organização Google Cloud.
  • Visualizador (roles/viewer)

Básica

grp-gcp-security-reviewer

Esse grupo analisa a segurança na nuvem.
  • Avaliador de segurança (roles/iam.securityReviewer)

Básica

grp-gcp-network-viewer

Esse grupo analisa as configurações de rede.
  • Leitor da rede do Compute (roles/compute.networkViewer)

Básica

grp-gcp-audit-viewer

Esse grupo visualiza registros de auditoria.
  • Visualizador de registros particulares (roles/logging.privateLogViewer)
  • Visualizador (roles/viewer)

Básica

grp-gcp-scc-admin

Esse grupo administra o Security Command Center.
  • Administrador da Central de segurança (roles/securitycenter.admin)

Básica

grp-gcp-secrets-admin

Esse grupo gerencia secrets no Secret Manager.
  • Administrador do Secret Manager (roles/secretmanager.admin)

Administradores da Plataforma de Agentes

grp-gcp-vertex-ai-admin

Esse grupo tem acesso total a todos os recursos na Plataforma de Agentes.
  • Administrador da Vertex AI (roles/aiplatform.admin)

Leitores da Agent Platform

grp-gcp-vertex-ai-viewer

Esse grupo vê todos os recursos na Plataforma de Agentes.
  • Leitor da Vertex AI (roles/aiplatform.viewer)

Usuários da Plataforma de Agentes

grp-gcp-vertex-ai-user

Esse grupo usa todos os recursos na Plataforma de Agentes.
  • Usuário da Vertex AI (roles/aiplatform.user)

Administradores do Workbench do Agent Platform

grp-gcp-vertex-ai-notebook-admin

Esse grupo tem acesso total a todos os modelos e ambientes de execução no Agent Platform Workbench.
  • Administrador do ambiente de execução do notebook (roles/aiplatform.notebookRuntimeAdmin)

Usuários do Workbench da plataforma de agentes

grp-gcp-vertex-ai-notebook-user

Esse grupo cria recursos de ambiente de execução usando um modelo e gerencia os recursos criados.
  • Usuário do ambiente de execução do notebook (roles/aiplatform.notebookRuntimeUser)

A seguir