Controle de acesso com o IAM

Nesta página, descrevemos os papéis e as permissões do SaaS Runtime.

Para usar o ambiente de execução de SaaS, verifique se você tem as contas de serviço necessárias. Para essas contas de serviço, conceda as permissões necessárias. Para mais detalhes sobre contas de serviço e o ambiente de execução do SaaS, consulte Contas de serviço do ambiente de execução do SaaS. Para detalhes sobre contas de serviço, consulte Visão geral das contas de serviço.

Para implantar ou visualizar os recursos do Google Cloud definidos na configuração do Terraform, é necessário conceder à conta de serviço permissões específicas para esses recursos. Essas permissões são adicionais às necessárias para usar o ambiente de execução de SaaS. Para uma lista de todos os papéis e as permissões que eles contêm, consulte Referência dos papéis básicos e predefinidos do Identity and Access Management.

Não é necessário ter uma conta de serviço para ver implantações, revisões e políticas do IAM do SaaS Runtime.

Funções predefinidas do ambiente de execução de SaaS

O IAM oferece papéis predefinidos que concedem acesso a recursos específicos do Google Cloud e impedem o acesso não autorizado a outros recursos.

A tabela a seguir lista os papéis do IAM do SaaS Runtime e as permissões que eles incluem:

Papel Descrição Permissões
Administrador do ambiente de execução de SaaS (roles/saasservicemgmt.admin) Acesso total a todos os recursos de tempo de execução do SaaS. saasservicemgmt.rollouts.create
saasservicemgmt.rollouts.update
saasservicemgmt.rollouts.delete
saasservicemgmt.rolloutKinds.create
saasservicemgmt.rolloutKinds.update
saasservicemgmt.rolloutKinds.delete
saasservicemgmt.releases.create
saasservicemgmt.releases.update
saasservicemgmt.releases.delete
saasservicemgmt.units.create
saasservicemgmt.units.update
saasservicemgmt.units.delete
saasservicemgmt.unitKinds.create
saasservicemgmt.unitKinds.update
saasservicemgmt.unitKinds.delete
saasservicemgmt.unitOperations.create
saasservicemgmt.unitOperations.update
saasservicemgmt.unitOperations.delete
saasservicemgmt.tenants.create
saasservicemgmt.tenants.update
saasservicemgmt.tenants.delete
saasservicemgmt.saas.create
saasservicemgmt.saas.update
saasservicemgmt.saas.delete
resourcemanager.projects.get
resourcemanager.projects.list
saasservicemgmt.locations.list
saasservicemgmt.locations.get
saasservicemgmt.rollouts.list
saasservicemgmt.rollouts.get
saasservicemgmt.rolloutKinds.list
saasservicemgmt.rolloutKinds.get
saasservicemgmt.releases.list
saasservicemgmt.releases.get
saasservicemgmt.units.list
saasservicemgmt.units.get
saasservicemgmt.unitKinds.list
saasservicemgmt.unitKinds.get
saasservicemgmt.unitOperations.list
saasservicemgmt.unitOperations.get
saasservicemgmt.tenants.list
saasservicemgmt.tenants.get
saasservicemgmt.saas.list
saasservicemgmt.saas.get
Leitor do ambiente de execução de SaaS (roles/saasservicemgmt.viewer) Leia recursos do ambiente de execução de SaaS: versões, lançamentos, rolloutKinds, unidades, unitKinds, unitOperations, saas e locatários. resourcemanager.projects.get
resourcemanager.projects.list
saasservicemgmt.locations.list
saasservicemgmt.locations.get
saasservicemgmt.rollouts.list
saasservicemgmt.rollouts.get
saasservicemgmt.rolloutKinds.list
saasservicemgmt.rolloutKinds.get
saasservicemgmt.releases.list
saasservicemgmt.releases.get
saasservicemgmt.units.list
saasservicemgmt.units.get
saasservicemgmt.unitKinds.list
saasservicemgmt.unitKinds.get
saasservicemgmt.unitOperations.list
saasservicemgmt.unitOperations.get
saasservicemgmt.tenants.list
saasservicemgmt.tenants.get
saasservicemgmt.saas.list
saasservicemgmt.saas.get

Permissões

As permissões que o autor da chamada precisa ter para chamar cada método estão listadas na referência da API REST.

A seguir