Papéis e permissões

OGoogle Cloud oferece o Identity and Access Management (IAM) para que você conceda acesso mais granular a recursos específicos do Google Cloud e impeça o acesso a outros recursos. Nesta página, descrevemos os papéis e as permissões das extensões de serviço.

Com o IAM, é possível adotar o princípio de segurança de privilégio mínimo para conceder apenas o acesso necessário aos recursos.

Os papéis são coleções de permissões do IAM. Para disponibilizar as permissões aos principais, incluindo usuários, grupos e contas de serviço, conceda papéis a eles. É possível controlar quem tem quais permissões em que recursos definindo políticas do IAM. As políticas de IAM atribuem funções específicas às entidades principais, concedendo-lhes assim certas permissões.

Para informações detalhadas sobre papéis do IAM, consulte Papéis e permissões.

Permissões e papéis predefinidos para extensões de serviço

As extensões de serviço aceitam permissões do IAM no nível do projeto.

A tabela a seguir lista os papéis do IAM das extensões de serviço e as permissões que cada papel inclui.

Papéis	Permissões
Administrador de extensões de serviço (roles/networkservices.serviceExtensionsAdmin) Permissões para criar, atualizar, listar, visualizar e excluir extensões.	networkservices.authzExtensions.create networkservices.authzExtensions.delete networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.authzExtensions.update networkservices.authzExtensions.use networkservices.lbEdgeExtensions.create networkservices.lbEdgeExtensions.delete networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbEdgeExtensions.update networkservices.lbRouteExtensions.create networkservices.lbRouteExtensions.delete networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbRouteExtensions.update networkservices.lbTrafficExtensions.create networkservices.lbTrafficExtensions.delete networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.lbTrafficExtensions.update networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmActions.create networkservices.wasmActions.delete networkservices.wasmPlugins.get networkservices.wasmPlugins.list networkservices.wasmPlugins.create networkservices.wasmPlugins.update networkservices.wasmPlugins.delete networkservices.wasmPlugins.use
Leitor de extensões de serviço (roles/networkservices.serviceExtensionsViewer) Permissões para listar e visualizar extensões.	networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmPlugins.get networkservices.wasmPlugins.list

A tabela a seguir lista os papéis do IAM necessários para outros serviços e as permissões que cada papel inclui.

Papéis	Permissões
Administrador do balanceador de carga do Compute (roles/compute.loadBalancerAdmin) Permissões para atualizar regras de encaminhamento. Obrigatório ao criar e atualizar extensões anexadas a regras de encaminhamento.	compute.forwardingRules.update compute.globalForwardingRules.update
Usuário dos serviços do balanceador de carga do Compute (roles/compute.loadBalancerServiceUser) Permissões para usar serviços de back-end. Obrigatório ao criar e atualizar extensões que usam serviços de back-end como serviços de extensão.	compute.backendServices.use compute.regionBackendBuckets.use

Gerenciar o controle de acesso

Para definir os controles de acesso no nível do projeto, siga estas etapas:

1. No console do Google Cloud , acesse a página IAM.

   Acessar IAM

2. Selecione o projeto.

3. Clique em Adicionar.

4. Em Novos principais, digite o endereço de e-mail de um novo principal.

5. Selecione a função necessária.

6. Clique em Salvar.

7. Verifique se o principal está listado com o papel concedido.

Identificar as permissões em uma função

Para determinar se uma ou mais permissões estão incluídas em um papel, use um dos seguintes métodos:

• A referência de pesquisa de permissões do IAM
• O comando gcloud iam roles describe
• O método roles.get() na API IAM

A seguir

• Consulte a Visão geral das extensões de serviço.
• Saiba como preparar o código do plug-in para criar plug-ins.
• Saiba como criar um plug-in.
• Saiba como gerenciar plug-ins.