Esta página foi traduzida pela API Cloud Translation.

Papéis IAM

Nesta página, descrevemos os papéis do Identity and Access Management (IAM) que você pode usar para configurar o Assured Workloads. Os papéis limitam a capacidade de um principal acessar recursos. Conceda a um principal apenas as permissões necessárias para interagir com recursos, atributos ou APIs do Google Cloud aplicáveis.

Para criar uma pasta do Assured Workloads, é necessário receber um dos papéis listados abaixo com essa capacidade, além de uma e a função de controle de acesso. Também é necessário ter uma conta de faturamento válida e ativa. Para mais informações, consulte Visão geral do controle de acesso do Faturamento do Cloud.

Funções exigidas

Veja abaixo os papéis mínimos exigidos relacionados ao Assured Workloads. Para saber como conceder, alterar ou revogar o acesso a recursos usando papéis do IAM, consulte Como conceder, alterar e revogar o acesso a recursos.

Administrador do Assured Workloads (roles/assuredworkloads.admin): Para criar e excluir pastas do Assured Workloads.
Leitor da organização do Gerenciador de recursos (roles/resourcemanager.organizationViewer): acesso para visualizar todos os recursos que pertencem a uma organização.

Papéis do Assured Workloads

Confira a seguir os papéis do IAM associados ao Assured Workloads e como conceder esses papéis usando a Google Cloud CLI. Para saber como conceder esses papéis na console do Google Cloud ou, de maneira programática, consulte Como conceder, alterar e revogar acesso a recursos na documentação do IAM.

Substitua o marcador ORGANIZATION_ID pela organização. identificador e example@customer.org pelo endereço de e-mail do usuário. Para recuperar o ID da organização, consulte Como recuperar o ID da organização.

`roles/assuredworkloads.admin`

Para criar e excluir pastas do Assured Workloads. Permite acesso de leitura e gravação.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Permite acesso de leitura e gravação.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Para receber e listar pastas do Assured Workloads. Permite acesso somente leitura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Papéis personalizados

Para definir seus próprios papéis contendo os pacotes de permissões que você especificar, use papéis personalizados.

Práticas recomendadas de IAM do Assured Workloads

A proteção adequada dos papéis do IAM para seguir o privilégio mínimo é uma prática recomendada de segurança do Google Cloud. Esse princípio segue a regra de que os usuários só devem ter acesso aos produtos, serviços e aplicativos exigidos pelo papel. No momento, os usuários não estão impedidos de usar serviços fora do escopo com projetos do Assured Workloads ao implantar produtos e serviços fora de uma pasta do Assured Workloads.

A lista de produtos no escopo por pacote de controle ajuda a orientar os administradores de segurança ao criar papéis personalizados que limitam o acesso do usuário somente a produtos no escopo na pasta Assured Workloads. Os papéis personalizados podem ajudar a atingir e manter a conformidade em uma pasta do Assured Workloads.