Nesta página, descrevemos como conceder aos usuários acesso à sua instância do Secure Source Manager usando o Identity and Access Management (IAM). Para mais detalhes sobre o controle de acesso no Secure Source Manager, consulte Controle de acesso com o IAM.
Funções exigidas
Para receber as permissões
necessárias para conceder aos usuários acesso à instância,
peça ao administrador para conceder a você o
papel do IAM de Proprietário da instância do Secure Source Manager (roles/securesourcemanager.instanceOwner)
na instância do Secure Source Manager.
Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.
Também é possível conseguir as permissões necessárias usando papéis personalizados ou outros papéis predefinidos.
Para informações sobre como conceder papéis do Secure Source Manager, consulte Controle de acesso com o IAM.
Conceder acesso a usuários da federação de identidade de colaboradores
Se você usa a federação de identidade de colaboradores para acessar o Secure Source Manager, os principais são representados de maneira diferente. Para saber mais sobre como conceder acesso a principais que representam grupos de identidades, consulte Representar usuários do pool de força de trabalho nas políticas do IAM.
Por exemplo, o comando a seguir concede ao usuário user@example.com o papel
de Leitor de acesso à instância (roles/securesourcemanager.instanceAccessor) no
pool de força de trabalho my-pool na instância my-instance no
projeto my-project na região us-central1:
gcloud source-manager instances add-iam-policy-binding my-instance \
--project=my-project \
--region=us-central1 \
--member=principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/user@example.com \
--role=roles/securesourcemanager.instanceAccessor
É possível conceder acesso a usuários ou grupos no seu pool de identidades de colaboradores com base nos atributos do provedor de identidade (IdP) ou usar a Linguagem de expressão comum (CEL) para mapear seus atributos OIDC para atributos personalizados e definir uma estratégia de autorização na sua política do IAM. Para mais informações sobre mapeamentos de atributos, leia Mapeamentos de atributos.
Conceder acesso à instância no console do Google Cloud
No console do Google Cloud , acesse a página IAM.
Clique em Conceder acesso.
No campo Novos participantes, insira o endereço de e-mail do usuário ou grupo a quem você quer conceder acesso.
Selecione um papel na lista Selecionar um papel.
- Para conceder acesso somente leitura à instância, selecione
Accessor da instância do Secure Source Manager
(
roles/securesourcemanager.instanceAccessor). Esse papel concede acesso à instância, mas não permissões de visualização do repositório. - Para conceder acesso somente leitura aos repositórios, selecione Leitor de repositórios do Secure Source Manager (
roles/securesourcemanager.repoReader). Os usuários também precisam do papel de Acessador de instâncias para acessar os repositórios pela interface da Web do Secure Source Manager. - Para permitir a criação e modificação de repositórios, selecione
Criador de repositórios de instâncias do Secure Source Manager
(
roles/securesourcemanager.instanceRepositoryCreator). - Para conceder acesso administrativo total à instância, selecione Proprietário da instância do Secure Source Manager (
roles/securesourcemanager.instanceOwner).
- Para conceder acesso somente leitura à instância, selecione
Accessor da instância do Secure Source Manager
(
Clique em Salvar.
Conceder acesso a um único usuário
Para conceder acesso a um único usuário à instância, use o seguinte comando da Google Cloud CLI:
gcloud source-manager instances add-iam-policy-binding INSTANCE_ID \
--project=PROJECT_ID \
--region=REGION \
--member=PRINCIPAL_IDENTIFIER \
--role=roles/securesourcemanager.instanceAccessor
Substitua:
INSTANCE_IDcom o ID da instância.PROJECT_IDcom o ID ou número do projeto da instância.REGIONcom a região em que a instância está localizada. Consulte a documentação de locais para conferir as regiões disponíveis do Secure Source Manager.PRINCIPAL_IDENTIFIERcom o identificador do principal a quem você quer conceder o papel.Por exemplo, para conceder a função a um único usuário com o endereço de e-mail dele, formate o identificador principal como
user:EMAIL, em que EMAIL é o endereço de e-mail do usuário.Para mais informações sobre identificadores principais compatíveis, consulte Identificadores principais.
Por exemplo, o comando a seguir concede ao usuário trusted-user1@gmail.com
o papel roles/securesourcemanager.instanceAccessor na instância
my-instance, no projeto my-project na região us-central.
gcloud source-manager instances add-iam-policy-binding INSTANCE_ID \
--project=my-project \
--region=us-central1 \
--member=user:trusted-user1@gmail.com \
--role=roles/securesourcemanager.instanceAccessor
Conceder acesso a vários usuários
Para conceder acesso a vários usuários, recomendamos criar um grupo do Google que inclua todos os usuários em potencial, como todos os desenvolvedores.
Em seguida, conceda ao grupo um ou mais dos seguintes papéis:
- Accessor de instância (
roles/securesourcemanager.instanceAccessor): confira a instância. - Criador de repositório de instância (
roles/securesourcemanager.instanceRepositoryCreator): cria e modifica repositórios. - Proprietário da instância (
roles/securesourcemanager.instanceOwner): gerenciamento completo da instância.
Para instruções sobre como conceder papéis a um grupo, consulte Conceder acesso a várias entidades na documentação do IAM.
A seguir
- Conceda acesso ao repositório para os usuários.
- Saiba mais sobre o controle de acesso com o IAM.
- Crie um repositório.
- Conceda e revogue papéis do IAM.