Controle de acesso com o IAM

O reCAPTCHA oferece controle de acesso baseado em função (RBAC) com o Identity and Access Management (IAM) e controle de acesso para APIs reCAPTCHA usando o VPC Service Controls.

Controle de acesso baseado em papéis com o IAM

Com o IAM, é possível conceder acesso granular a recursos Google Cloud específicos e impedir o acesso indesejado a outros recursos, como registros e análises.

Esta seção descreve os papéis do IAM para o reCAPTCHA.

Para saber como atribuir papéis do IAM a um usuário ou conta de serviço, leia Como conceder, alterar e revogar acesso a recursos na documentação do IAM.

Papéis e permissões

A tabela a seguir lista os papéis do IAM necessários e as permissões para reCAPTCHA:

Role Permissions

(roles/recaptchaenterprise.admin)

Access to view and modify reCAPTCHA Enterprise keys

monitoring.timeSeries.list

recaptchaenterprise.firewallpolicies.*

  • recaptchaenterprise.firewallpolicies.create
  • recaptchaenterprise.firewallpolicies.delete
  • recaptchaenterprise.firewallpolicies.get
  • recaptchaenterprise.firewallpolicies.list
  • recaptchaenterprise.firewallpolicies.update

recaptchaenterprise.keys.*

  • recaptchaenterprise.keys.create
  • recaptchaenterprise.keys.createTagBinding
  • recaptchaenterprise.keys.delete
  • recaptchaenterprise.keys.deleteTagBinding
  • recaptchaenterprise.keys.get
  • recaptchaenterprise.keys.list
  • recaptchaenterprise.keys.listEffectiveTags
  • recaptchaenterprise.keys.listTagBindings
  • recaptchaenterprise.keys.retrievelegacysecretkey
  • recaptchaenterprise.keys.update

recaptchaenterprise.metrics.get

recaptchaenterprise.projectmetadata.*

  • recaptchaenterprise.projectmetadata.get
  • recaptchaenterprise.projectmetadata.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/recaptchaenterprise.viewer)

Access to view reCAPTCHA Enterprise keys and metrics

monitoring.timeSeries.list

recaptchaenterprise.firewallpolicies.get

recaptchaenterprise.firewallpolicies.list

recaptchaenterprise.keys.get

recaptchaenterprise.keys.list

recaptchaenterprise.keys.listEffectiveTags

recaptchaenterprise.keys.listTagBindings

recaptchaenterprise.metrics.get

recaptchaenterprise.projectmetadata.get

resourcemanager.projects.get

resourcemanager.projects.list

(roles/recaptchaenterprise.agent)

Access to create and annotate reCAPTCHA Enterprise assessments

recaptchaenterprise.assessments.*

  • recaptchaenterprise.assessments.annotate
  • recaptchaenterprise.assessments.create

recaptchaenterprise.firewallpolicies.list

recaptchaenterprise.relatedaccountgroupmemberships.list

recaptchaenterprise.relatedaccountgroups.list

resourcemanager.projects.get

resourcemanager.projects.list

Papéis personalizados

Talvez você precise de papéis personalizados para alguns casos de uso, como requisitos regulamentares. Para criar um papel personalizado que inclua permissões reCAPTCHA, execute a ação apropriada conforme mostrado na tabela a seguir:

Descrição do papel Ação
Papel que concede permissões apenas para a API reCAPTCHA Enterprise Escolha as permissões na seção Permissões da API.
Papel que concede permissões para a API reCAPTCHA Enterprise e o console Escolha os grupos de permissões na seção Papéis e permissões.
Papel que permite criar e anotar avaliações Inclua as permissões do papel roles/recaptchaenterprise.agent na seção Papéis e permissões.

Para mais informações sobre funções personalizadas, consulte Como criar e gerenciar papéis personalizados.

Permissões da API

A tabela a seguir lista as permissões que o chamador deve ter para chamar cada método na API do reCAPTCHA Enterprise, recaptchaenterprise.googleapis.com/v1:

Método (REST/RPC) Permissões exigidas Por tipo de recurso
[recaptchaenterprise.assessments.annotate] / [AnnotateAssessmentRequest] recaptchaenterprise.assessments.annotate projeto
[recaptchaenterprise.assessments.create] / [CreateAssessmentRequest] recaptchaenterprise.assessments.create projeto
[recaptchaenterprise.keys.create] / [CreateKeyRequest] recaptchaenterprise.keys.create projeto
[recaptchaenterprise.keys.delete] / [DeleteKeyRequest] recaptchaenterprise.keys.delete projeto
[recaptchaenterprise.keys.get] / [GetKeyRequest] recaptchaenterprise.keys.get projeto
[recaptchaenterprise.keys.list] / [ListKeysRequest] recaptchaenterprise.keys.list projeto
[recaptchaenterprise.keys.update] / [UpdateKeyRequest] recaptchaenterprise.keys.update projeto

VPC Service Controls

O VPC Service Controls é compatível com o reCAPTCHA para fornecer mais controle de acesso às APIs reCAPTCHA. Para mais informações, consulte Produtos compatíveis e limitações > reCAPTCHA Enterprise.