Controle de acesso com o IAM

Nesta página, descrevemos as opções de controle de acesso disponíveis no Cloud Scheduler.

Visão geral

O Cloud Scheduler usa o Identity and Access Management (IAM) para controle de acesso.

Para uma introdução sobre o IAM e os recursos dele, consulte a visão geral do IAM. Para saber como conceder e revogar o acesso, consulte Gerenciar o acesso a projetos, pastas e organizações.

Para ver listas das permissões e dos papéis com os quais o Cloud Scheduler é compatível, consulte as seções a seguir.

Ative a API Cloud Scheduler

Para visualizar e atribuir papéis do IAM ao Cloud Scheduler, é necessário ativar a API Cloud Scheduler para o projeto. Não será possível ver os papéis do Cloud Scheduler no Google Cloud console até que você ative a API.

Funções necessárias para ativar APIs

Para ativar as APIs, é necessário ter o papel do IAM de administrador de uso do serviço (roles/serviceusage.serviceUsageAdmin), que contém a permissão serviceusage.services.enable. Saiba como conceder papéis.

Ativar a API

Papéis predefinidos

A tabela abaixo mostra os papéis de IAM do Cloud Scheduler com uma lista correspondente de todas as permissões que cada papel inclui.

Os papéis predefinidos abordam os casos de uso mais comuns. Se seu caso de uso não estiver coberto pelas funções predefinidas, você pode criar uma função personalizada do IAM.

Papéis do Cloud Scheduler

Role Permissions

(roles/cloudscheduler.admin)

Full access to jobs and executions.

Note that a Cloud Scheduler Admin (or any custom role with the permission cloudscheduler.jobs.create) can create jobs that publish to any Pub/Sub topics within the project.

appengine.applications.get

cloudscheduler.*

  • cloudscheduler.jobs.create
  • cloudscheduler.jobs.delete
  • cloudscheduler.jobs.enable
  • cloudscheduler.jobs.fullView
  • cloudscheduler.jobs.get
  • cloudscheduler.jobs.list
  • cloudscheduler.jobs.pause
  • cloudscheduler.jobs.run
  • cloudscheduler.jobs.update
  • cloudscheduler.locations.get
  • cloudscheduler.locations.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.consumerpolicy.analyze

serviceusage.consumerpolicy.get

serviceusage.effectivepolicy.get

serviceusage.groups.*

  • serviceusage.groups.list
  • serviceusage.groups.listExpandedMembers
  • serviceusage.groups.listMembers

serviceusage.services.get

serviceusage.services.list

serviceusage.values.test

(roles/cloudscheduler.viewer)

Get and list access to jobs, executions, and locations.

appengine.applications.get

cloudscheduler.jobs.fullView

cloudscheduler.jobs.get

cloudscheduler.jobs.list

cloudscheduler.locations.*

  • cloudscheduler.locations.get
  • cloudscheduler.locations.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.consumerpolicy.analyze

serviceusage.consumerpolicy.get

serviceusage.effectivepolicy.get

serviceusage.groups.*

  • serviceusage.groups.list
  • serviceusage.groups.listExpandedMembers
  • serviceusage.groups.listMembers

serviceusage.services.get

serviceusage.services.list

serviceusage.values.test

(roles/cloudscheduler.jobRunner)

Access to run jobs.

appengine.applications.get

cloudscheduler.jobs.fullView

cloudscheduler.jobs.run

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.consumerpolicy.analyze

serviceusage.consumerpolicy.get

serviceusage.effectivepolicy.get

serviceusage.groups.*

  • serviceusage.groups.list
  • serviceusage.groups.listExpandedMembers
  • serviceusage.groups.listMembers

serviceusage.services.get

serviceusage.services.list

serviceusage.values.test

Service agent roles

Service agent roles should only be granted to service agents.

Role Permissions

(roles/cloudscheduler.serviceAgent)

Grants Cloud Scheduler Service Account access to manage resources.

iam.serviceAccounts.getAccessToken

iam.serviceAccounts.getOpenIdToken

logging.logEntries.create

logging.logEntries.route

pubsub.topics.publish

Gerenciamento do IAM para envolvidos no projeto

No nível do projeto, é possível conceder, alterar e revogar papéis do IAM usando o Google Cloud console, a API IAM ou a Google Cloud CLI. Para mais instruções, consulte Gerenciar o acesso a projetos, pastas e organizações.