Controle de acesso com o IAM

Esta página descreve os papéis e as permissões do Infrastructure Manager.

O Infra Manager usa o gerenciamento de identidade e acesso (IAM) para controlar o acesso ao serviço. Para conceder acesso à implantação de recursos com o Infra Manager, atribua os papéis do IAM necessários do Infra Manager à conta de serviço que você usa para chamar o Infra Manager. Para mais detalhes sobre como conceder permissões a contas de serviço, consulte Gerenciar o acesso a contas de serviço.

Não é necessário ter uma conta de serviço para visualizar implantações, revisões e políticas do IAM do Infra Manager. Para visualizar o Infra Manager, conceda acesso ao usuário, grupo ou conta de serviço.

Para implantar ou visualizar os Google Cloud recursos definidos na configuração do Terraform, é necessário conceder permissões de conta de serviço que são específicas para esses recursos. Essas permissões são adicionais às permissões do Infra Manager listadas nesta página. Para uma lista de todos os papéis e as permissões que eles contêm, consulte Referência dos papéis básicos e predefinidos do Identity and Access Management.

Papéis predefinidos do Infra Manager

O IAM fornece papéis predefinidos que concedem acesso a recursos específicos Google Cloud e impedem o acesso não autorizado a outros recursos.

A tabela a seguir lista os papéis do IAM do Infra Manager e as permissões que eles incluem:

Papel Descrição Permissões
Administrador do Infra Manager (roles/config.admin) Para um usuário, controle total dos recursos do Infra Manager config.deployments.create
config.deployments.delete
config.deployments.deleteState
config.deployments.get
config.deployments.getIamPolicy
config.deployments.getLock
config.deployments.getState
config.deployments.list
config.deployments.lock
config.deployments.setIamPolicy
config.deploymentgroups.create
config.deploymentgroups.update
config.deploymentgroups.delete
config.deploymentgroups.get
config.deploymentgroups.list
config.deploymentgroups.provision
config.deploymentgroups.deprovision
config.deploymentgrouprevisions.get
config.deploymentgrouprevisions.list
config.deployments.unlock
config.deployments.update
config.deployments.updateState
config.automigrationconfig.get
config.automigrationconfig.update
config.previews.create
config.previews.delete
config.previews.get
config.previews.list
config.previews.export
config.previews.upload
config.locations.get
config.locations.list
config.operations.cancel
config.operations.delete
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.resourcechanges.get
config.resourcechanges.list
config.resourcedrifts.get
config.resourcedrifts.list
config.revisions.get
config.revisions.getState
config.revisions.list
config.artifacts.import
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list
Agente de serviço do Infra Manager (roles/config.agent) Conceda acesso a uma conta de serviço para trabalhar com o Infra Manager, incluindo implantações, revisões, registros e arquivos de estado do Terraform. storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
logging.logEntries.create
config.deployments.getState
config.deployments.updateState
config.deployments.deleteState
config.deployments.getLock
config.previews.upload
config.artifacts.import
config.revisions.getState
cloudbuild.connections.list
cloudbuild.repositories.accessReadToken
cloudbuild.repositories.list
cloudquotas.quotas.get
monitoring.timeSeries.list
Conta de serviço do Infra Manager (roles/cloudconfig.serviceAgent) Quando você ativa a API Infra Manager, a conta de serviço do Infra Manager é criada automaticamente no projeto e recebe esse papel para os recursos no projeto. A conta de serviço do Infra Manager usa esse papel somente conforme necessário para executar ações ao criar, gerenciar ou excluir implantações e revisões. cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update
cloudbuild.workerpools.use
iam.serviceAccounts.actAs
iam.serviceAccounts.getAccessToken
logging.logEntries.create
logging.logEntries.route
serviceusage.services.use
storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
Leitor do Infra Manager (roles/config.viewer) Ler implantações, revisões e políticas do IAM. config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.deploymentgroups.get
config.deploymentgroups.list
config.deploymentgrouprevisions.get
config.deploymentgrouprevisions.list
config.previews.get
config.previews.list
config.locations.get
config.locations.list
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list

Além dos papéis predefinidos do Infra Manager, os papéis básicos de Leitor e Proprietário também incluem permissões relacionadas ao Infra Manager. No entanto, recomendamos que você conceda papéis predefinidos sempre que possível para obedecer ao princípio de privilégio mínimo.

A tabela a seguir lista os papéis básicos e os papéis do IAM do Infra Manager que eles incluem.

Papel Papéis incluídos
Leitor roles/config.viewer
Proprietário roles/config.admin

Permissões

As permissões que o autor da chamada precisa ter para chamar cada método estão listadas na referência da API REST.

A seguir