Esta página oferece orientações sobre qual tipo de papel (predefinido, personalizado ou básico) você deve usar para controlar o acesso aos recursos do Google Cloud .
A seguir, resumimos nossas recomendações para escolher qual tipo de função usar:
- Recomendamos que você priorize o uso de papéis predefinidos porque eles são gerenciados pelo Google e oferecem um equilíbrio entre segurança e conveniência.
- Se você precisar de uma função que siga de perto o princípio de privilégio mínimo e não encontrar uma função predefinida que atenda aos seus requisitos de segurança, use funções personalizadas.
- Não use papéis básicos, a menos que não haja alternativa ou que você esteja usando em um ambiente de teste.
Quando usar papéis predefinidos
Em geral, recomendamos que você use papéis predefinidos em vez de papéis básicos ou personalizados. Os papéis predefinidos oferecem acesso granular aGoogle Cloud recursos específicos, são mantidos pelo Google e atualizados automaticamente quando novas permissões, recursos ou serviços são adicionados aoGoogle Cloud.
No entanto, há casos em que é recomendável usar funções básicas ou personalizadas. As seções a seguir descrevem esses casos.
Quando usar papéis personalizados
Ao contrário dos papéis predefinidos, os personalizados não são mantidos pelo Google. Isso significa que, quando o Google Cloud adicionar novas permissões, recursos ou serviços, seus papéis personalizados não serão atualizados automaticamente. Por isso, recomendamos conceder os papéis predefinidos mais limitados que atendam às suas necessidades.
No entanto, pode ser apropriado criar e conceder papéis personalizados nos seguintes casos:
- Um principal precisa de uma permissão, mas cada papel predefinido que inclui essa permissão também inclui permissões que o principal não precisa e não deve ter.
- Use recomendações de papel para substituir concessões de papel excessivamente permissivas por concessões de papel mais apropriadas. Em alguns casos, é possível que você receba uma recomendação para criar um papel personalizado.
Ao usar papéis personalizados, esteja ciente dos seguintes limites:
- Os papéis personalizados podem ter até 3.000 permissões.
- O tamanho total máximo do título, da descrição e dos nomes de permissão de um papel personalizado é de 64 KB.
Há limites para o número de funções personalizadas que você pode criar:
- É possível criar até 300 papéis personalizados no nível da organização.
- É possível criar até 300 papéis personalizados no nível do projeto em cada projeto na sua organização.
Quando usar papéis básicos
Os papéis básicos incluem milhares de permissões em todos os serviços do Google Cloud . Em ambientes de produção, não conceda papéis básicos, a menos que não haja uma alternativa. Em vez disso, conceda os papéis predefinidos mais limitados ou papéis personalizados que atendam às suas necessidades.
Se você precisar substituir um papel básico, use recomendações de papel para determinar quais papéis conceder. Também é possível usar o Simulador de política para garantir que a mudança de função não afete o acesso do principal.
Talvez seja apropriado conceder papéis básicos quando você quiser conceder permissões mais amplas a um projeto. Isso geralmente é necessário em ambientes de desenvolvimento ou teste.
A seguir
- Saiba como encontrar os papéis predefinidos certos.
- Saiba como criar papéis personalizados.
- Aprenda mais sobre os papéis básicos.