Controlo de acesso com a IAM

Esta página descreve as funções e as autorizações do Infrastructure Manager.

O Infra Manager usa a gestão de identidade e de acesso (IAM) para controlar o acesso ao serviço. Para conceder acesso à implementação de recursos com o Infra Manager, atribua as funções do IAM do Infra Manager necessárias à conta de serviço que usa para chamar o Infra Manager. Para ver detalhes sobre como conceder autorizações a contas de serviço, consulte o artigo Faça a gestão do acesso a contas de serviço.

Não é necessária uma conta de serviço para ver implementações, revisões e políticas de IAM do Infra Manager. Para ver o Infra Manager, conceda acesso ao utilizador, grupo ou conta de serviço.

Para implementar ou ver os Google Cloud recursos definidos na configuração do Terraform, tem de conceder autorizações à conta de serviço específicas destes recursos. Estas autorizações são adicionais às autorizações do Infra Manager indicadas nesta página. Para ver uma lista de todas as funções e as autorizações que contêm, consulte a referência de funções básicas e predefinidas da gestão de identidades e acessos.

Funções de gestor de infraestrutura predefinidas

O IAM fornece funções predefinidas que concedem acesso a Google Cloud recursos específicos e impedem o acesso não autorizado a outros recursos.

A tabela seguinte indica as funções de IAM do Infra Manager e as autorizações que incluem:

Função	Descrição	Autorizações
Administrador do Infra Manager (`roles/config.admin`)	Para um utilizador, controlo total dos recursos do Infra Manager	`config.deployments.create` `config.deployments.delete` `config.deployments.deleteState` `config.deployments.get` `config.deployments.getIamPolicy` `config.deployments.getLock` `config.deployments.getState` `config.deployments.list` `config.deployments.lock` `config.deployments.setIamPolicy` `config.deployments.unlock` `config.deployments.update` `config.deployments.updateState` `config.automigrationconfig.get` `config.automigrationconfig.update` `config.previews.create` `config.previews.delete` `config.previews.get` `config.previews.list` `config.previews.export` `config.previews.upload` `config.locations.get` `config.locations.list` `config.operations.cancel` `config.operations.delete` `config.operations.get` `config.operations.list` `config.resources.get` `config.resources.list` `config.resourcechanges.get` `config.resourcechanges.list` `config.resourcedrifts.get` `config.resourcedrifts.list` `config.revisions.get` `config.revisions.getState` `config.revisions.list` `config.artifacts.import` `config.terraformversions.get` `config.terraformversions.list` `resourcemanager.projects.get` `resourcemanager.projects.list`
Agente do serviço do Infra Manager (`roles/config.agent`)	Conceder acesso a uma conta de serviço para trabalhar com o Infra Manager, incluindo implementações, revisões, registo e ficheiros de estado do Terraform.	`storage.buckets.get` `storage.buckets.list` `storage.buckets.create` `storage.buckets.update` `storage.buckets.delete` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.update` `storage.objects.delete` `logging.logEntries.create` `config.deployments.getState` `config.deployments.updateState` `config.deployments.deleteState` `config.deployments.getLock` `config.previews.upload` `config.artifacts.import` `config.revisions.getState` `cloudbuild.connections.list` `cloudbuild.repositories.accessReadToken` `cloudbuild.repositories.list` `cloudquotas.quotas.get` `monitoring.timeSeries.list`
Conta de serviço do Infra Manager (`roles/cloudconfig.serviceAgent`)	Quando ativa a API Infra Manager, a conta de serviço do Infra Manager é criada automaticamente no projeto e recebe esta função para os recursos no projeto. A conta de serviço do Infra Manager usa esta função apenas conforme necessário para realizar ações ao criar, gerir ou eliminar implementações e revisões.	`cloudbuild.builds.get` `cloudbuild.builds.list` `cloudbuild.builds.create` `cloudbuild.builds.update` `cloudbuild.workerpools.use` `iam.serviceAccounts.actAs` `iam.serviceAccounts.getAccessToken` `logging.logEntries.create` `logging.logEntries.route` `serviceusage.services.use` `storage.buckets.get` `storage.buckets.list` `storage.buckets.create` `storage.buckets.update` `storage.buckets.delete` `storage.objects.get` `storage.objects.list` `storage.objects.create` `storage.objects.update` `storage.objects.delete`
Leitor do Infra Manager (`roles/config.viewer`)	Ler implementações, revisões e políticas de IAM.	`config.deployments.get` `config.deployments.getIamPolicy` `config.deployments.list` `config.previews.get` `config.previews.list` `config.locations.get` `config.locations.list` `config.operations.get` `config.operations.list` `config.resources.get` `config.resources.list` `config.revisions.get` `config.revisions.list` `config.terraformversions.get` `config.terraformversions.list` `resourcemanager.projects.get` `resourcemanager.projects.list`

Além das funções predefinidas de gestor de infraestrutura, as funções de leitor e proprietário básicas também incluem autorizações relacionadas com o gestor de infraestrutura. No entanto, recomendamos que conceda funções predefinidas sempre que possível para agir em conformidade com o princípio de segurança do menor privilégio.

A tabela seguinte apresenta as funções básicas e as funções IAM do Infra Manager que incluem.

Função	Inclui a função
Leitor	`roles/config.viewer`
Proprietário	`roles/config.admin`

Autorizações

As autorizações que o autor da chamada tem de ter para chamar cada método estão listadas na referência da API REST.

O que se segue?

Saiba mais sobre a IAM.
Saiba mais sobre a utilização de condições no IAM
Saiba mais acerca das contas de serviço do Infra Manager.

Controlo de acesso com a IAM Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Funções de gestor de infraestrutura predefinidas

Autorizações

O que se segue?

Controlo de acesso com a IAM