Esta página foi traduzida pela API Cloud Translation.

Crie uma política de acesso com âmbito

Esta página descreve como criar e delegar políticas de acesso com âmbito.

Antes de começar

Leia acerca das políticas com âmbito.
Leia acerca da concessão de acesso aos VPC Service Controls.

Nota: o controlo de acesso para políticas com âmbito é independente dos projetos ou das pastas nos respetivos âmbitos. As autorizações do Gestor de acesso sensível ao contexto concedidas em pastas ou projetos não têm efeito nas políticas com âmbito, uma vez que as autorizações só podem ser concedidas ao nível da organização ou em políticas individuais.
Certifique-se de que o administrador delegado ao qual a política de acesso restrito é delegada tem a autorização cloudasset.assets.searchAllResources na pasta ou no projeto ao qual a política restrita está associada. Esta autorização é necessária para que o administrador delegado pesquise todos os Google Cloud recursos.
Leia sobre a configuração de perímetros de serviço.

Criar uma política de acesso com âmbito

Crie uma política de acesso com âmbito e delegue a administração em pastas e projetos na organização. Depois de criar uma política de acesso com âmbito, não pode alterar o âmbito da política. Para alterar o âmbito de uma política existente, elimine a política e recrie-a com o novo âmbito.

Consola

No menu de navegação da Google Cloud consola, clique em Segurança e, de seguida, clique em VPC Service Controls.

Aceda aos VPC Service Controls
Se lhe for pedido, selecione a sua organização, pasta ou projeto.
Na página VPC Service Controls, selecione a política de acesso que é a principal da política com âmbito. Por exemplo, pode selecionar a default policy política da organização.
Clique em Gerir políticas.
Na página Gerir VPC Service Controls, clique em Criar.
Na página Criar política de acesso, na caixa Nome da política de acesso, introduza um nome para a política de acesso com âmbito.

O nome da política de acesso com âmbito tem um comprimento máximo de 50 carateres, tem de começar com uma letra e só pode conter letras latinas ASCII (a-z, A-Z), números (0-9) ou sublinhados (_). O nome da política de acesso com âmbito é sensível a maiúsculas e minúsculas e tem de ser exclusivo na política de acesso de uma organização.
Para especificar um âmbito para a política de acesso, clique em Âmbitos.
Especifique um projeto ou uma pasta como o âmbito da política de acesso.
- Para selecionar um projeto que quer adicionar ao âmbito da política de acesso, faça o seguinte:
  1. No painel Âmbitos, clique em Adicionar projeto.
  2. Na caixa de diálogo Adicionar projeto, selecione a caixa de verificação desse projeto.
  3. Clique em Concluído. O projeto adicionado aparece na secção Âmbitos.
- Para selecionar uma pasta que quer adicionar ao âmbito da política de acesso, faça o seguinte:
  1. No painel Âmbitos, clique em Adicionar pasta.
  2. Na caixa de diálogo Adicionar pastas, selecione a caixa de verificação dessa pasta.
  3. Clique em Concluído. A pasta adicionada é apresentada na secção Âmbitos.
Para delegar a administração da política de acesso com âmbito, clique em Principais.
Para especificar o principal e a função que quer associar à política de acesso, faça o seguinte:
1. No painel Principais, clique em Adicionar principais.
2. Na caixa de diálogo Adicionar membros, selecione um membro, como um nome de utilizador ou uma conta de serviço.
3. Selecione a função que quer associar ao principal, como funções de editor e de leitura.
4. Clique em Guardar. O principal e a função adicionados aparecem na secção Principais.
Na página Criar política de acesso, clique em Criar política de acesso.

gcloud

Para criar uma política de acesso com âmbito, use o comando gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Onde:

ORGANIZATION_ID é o ID numérico da sua organização.
POLICY_TITLE é um título legível para a sua política. O título da política pode ter um comprimento máximo de 50 carateres, tem de começar com uma letra e só pode conter letras latinas ASCII (a-z, A-Z), números (0-9) ou sublinhados (_). O título da política é sensível a maiúsculas e minúsculas e tem de ser exclusivo na política de acesso de uma organização.
SCOPE é a pasta ou o projeto no qual esta política é aplicável. Só pode especificar uma pasta ou um projeto como âmbito, e o âmbito tem de existir na organização especificada. Se não especificar um âmbito, a política aplica-se a toda a organização.

É apresentada a seguinte saída (em que POLICY_NAME é um identificador numérico exclusivo da política atribuído por Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Para delegar a administração associando um principal e uma função a uma política de acesso com âmbito, use o comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Onde:

POLICY é o ID da política ou o identificador totalmente qualificado da política.
PRINCIPAL é o principal ao qual adicionar a associação. Especifique no seguinte formato: user|group|serviceAccount:email ou domain:domain.
ROLE é o nome da função a atribuir ao principal. O nome da função é o caminho completo de uma função predefinida, como roles/accesscontextmanager.policyEditor, ou o ID da função de uma função personalizada, como organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

Para criar uma política de acesso restrito, faça o seguinte:

Crie um corpo do pedido.
```
{
 "parent": "ORGANIZATION_ID",
 "scope": "SCOPE"
 "title": "POLICY_TITLE"
}
```
Onde:
- ORGANIZATION_ID é o ID numérico da sua organização.
- SCOPE é a pasta ou o projeto no qual esta política é aplicável.
- POLICY_TITLE é um título legível para a sua política. O título da política pode ter um comprimento máximo de 50 carateres, tem de começar com uma letra e só pode conter letras latinas ASCII (a-z, A-Z), números (0-9) ou sublinhados (_). O título da política é sensível a maiúsculas e minúsculas e tem de ser exclusivo na política de acesso de uma organização.

Crie a política de acesso chamando accessPolicies.create.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Corpo da resposta

Se for bem-sucedido, o corpo da resposta da chamada contém um recurso Operation que fornece detalhes sobre a operação POST.

Para delegar a administração da política de acesso restrito, faça o seguinte:

Crie um corpo do pedido.
```
{
 "policy": "IAM_POLICY",
}
```
Onde:
- IAM_POLICY é uma coleção de associações. Uma associação associa um ou mais membros, ou principais, a uma única função. Os principais podem ser contas de utilizador, contas de serviço, grupos Google e domínios. Uma função é uma lista denominada de autorizações. Cada função pode ser uma função predefinida do IAM ou uma função personalizada criada pelo utilizador.

Delegue a política de acesso chamando accessPolicies.setIamPolicy.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Corpo da resposta

Se for bem-sucedido, o corpo da resposta contém uma instância de policy.

O que se segue?

Saiba como gerir os perímetros de serviço existentes.

Crie uma política de acesso com âmbito Mantenha tudo organizado com as coleções Salve e categorize o conteúdo com base nas suas preferências.

Antes de começar

Criar uma política de acesso com âmbito

Consola

gcloud

API

Corpo da resposta

Corpo da resposta

O que se segue?

Crie uma política de acesso com âmbito