Configure políticas IAM

Esta página descreve como configurar políticas de gestão de identidade e de acesso (IAM) que permitem aos membros criar e gerir recursos do serviço de autoridade de certificação. Para mais informações sobre o IAM, consulte o artigo Vista geral do IAM.

Políticas IAM gerais

No serviço de AC, concede funções de IAM a utilizadores ou contas de serviço para criar e gerir recursos do serviço de AC. Pode adicionar estas associações de funções nos seguintes níveis:

  • Nível do conjunto de ACs para gerir o acesso a um conjunto de ACs específico e às ACs nesse conjunto de ACs.
  • Ao nível do projeto ou da organização para conceder acesso a todos os conjuntos de AC nesse âmbito.

As funções são herdadas se forem concedidas a um nível de recurso superior. Por exemplo, um utilizador ao qual é concedida a função de Auditor (roles/privateca.auditor) ao nível do projeto pode ver todos os recursos no projeto. As políticas IAM definidas num conjunto de autoridades de certificação (AC) são herdadas por todas as ACs nesse conjunto de ACs.

Não é possível conceder funções da IAM em certificados e recursos da AC.

Políticas IAM condicionais

Se tiver um conjunto de ACs partilhado que possa ser usado por vários utilizadores autorizados a pedir diferentes tipos de certificados, pode definir condições da IAM para aplicar o acesso baseado em atributos para realizar determinadas operações num conjunto de ACs.

As associações de funções condicionais do IAM permitem-lhe conceder acesso a principais apenas se forem cumpridas as condições especificadas. Por exemplo, se a função Certificate Requester estiver associada ao utilizador alice@example.com num conjunto de ACs com a condição de que os SANs DNS pedidos sejam um subconjunto de ['alice@example.com', 'bob@example.com'], esse utilizador só pode pedir certificados do mesmo conjunto de ACs se o SAN pedido for um desses dois valores permitidos. Pode definir condições em associações do IAM com expressões do Idioma de expressão comum (IEC). Estas condições podem ajudar a restringir ainda mais o tipo de certificados que um utilizador pode pedir. Para obter informações sobre a utilização de expressões CEL para condições de IAM, consulte o dialeto do Idioma de expressão comum (IEC) para políticas de IAM.

Antes de começar

  • Ative a API.
  • Crie uma AC e um conjunto de ACs seguindo as instruções de qualquer um dos inícios rápidos.
  • Leia sobre as funções de IAM disponíveis para o serviço de autoridade de certificação.

Configurar associações de políticas IAM ao nível do projeto

Os cenários seguintes descrevem como pode conceder aos utilizadores acesso a recursos do serviço de AC ao nível do projeto.

Gerir recursos

Um administrador do serviço de AC (roles/privateca.admin) tem as autorizações para gerir todos os recursos do serviço de AC e definir políticas de IAM em conjuntos de ACs e modelos de certificados.

Para atribuir a função de administrador do serviço de AC (roles/privateca.admin) a um utilizador ao nível do projeto, siga estas instruções:

Consola

  1. Na Google Cloud consola, aceda à página IAM.

    Aceda à Gestão de identidade e acesso

  2. Selecione o projeto.

  3. Clique em Conceder acesso.

  4. No campo Novos membros, introduza o endereço de email do membro ou outro identificador.

  5. Na lista Selecionar uma função, selecione a função Administrador do serviço de CA.

  6. Clique em Guardar.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

Substitua o seguinte:

  • PROJECT_ID: o identificador exclusivo do projeto.
  • MEMBER: o utilizador ou a conta de serviço à qual quer atribuir a função de administrador de serviço de AC.

A flag --role recebe a função do IAM que quer atribuir ao membro.

Criar recursos

Um gestor de operações do serviço de AC (roles/privateca.caManager) pode criar, atualizar e eliminar conjuntos de ACs e ACs. Esta função também permite que o autor da chamada revogue certificados emitidos pelas ACs no conjunto de ACs.

Para atribuir a função CA Service Operation Manager (roles/privateca.caManager) a um utilizador ao nível do projeto, siga estas instruções:

Consola

  1. Na Google Cloud consola, aceda à página IAM.

    Aceda à Gestão de identidade e acesso

  2. Selecione o projeto.

  3. Clique em Conceder acesso.

  4. No campo Novos membros, introduza o endereço de email do membro ou outro identificador.

  5. Na lista Selecionar uma função, selecione a função Gestor de operações de serviço da CA.

  6. Clique em Guardar.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

Substitua o seguinte:

  • PROJECT_ID: o identificador exclusivo do projeto.
  • MEMBER: o utilizador ou a conta de serviço para a qual quer adicionar a função de IAM.

A flag --role recebe a função do IAM que quer atribuir ao membro.

Para mais informações sobre o comando gcloud projects add-iam-policy-binding, consulte gcloud projects add-iam-policy-binding.

Opcionalmente, a criação de uma AC através de uma chave do Cloud KMS existente também requer que o autor da chamada seja um administrador da chave do Cloud KMS.

O administrador do Cloud KMS (roles/cloudkms.admin) tem acesso completo a todos os recursos do Cloud KMS, exceto às operações de encriptação e desencriptação. Para mais informações sobre as funções da IAM para o Cloud KMS, consulte o artigo Cloud KMS: autorizações e funções.

Para conceder a função de administrador do Cloud KMS (roles/cloudkms.admin) a um utilizador, siga as instruções abaixo:

Consola

  1. Na Google Cloud consola, aceda à página Serviço de gestão de chaves na nuvem.

    Aceda ao Cloud Key Management Service

  2. Em Conjuntos de chaves, clique no conjunto de chaves que contém a chave de assinatura da AC.

  3. Clique na chave que é a chave de assinatura da AC.

  4. Se o painel de informações não estiver visível, clique em Mostrar painel de informações. Em seguida, clique em Autorizações.

  5. Clique em Adicionar responsável.

  6. No campo Novos membros, introduza o endereço de email do membro ou outro identificador.

  7. Na lista Selecionar uma função, selecione a função Administrador do Cloud KMS.

  8. Clique em Guardar.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

Substitua o seguinte:

  • KEY: o identificador exclusivo da chave.
  • KEYRING: o conjunto de chaves que contém a chave. Para mais informações sobre os conjuntos de chaves, consulte o artigo Conjuntos de chaves.
  • MEMBER: o utilizador ou a conta de serviço para a qual quer adicionar a associação de IAM.

A flag --role recebe a função do IAM que quer atribuir ao membro.

Para mais informações sobre o comando gcloud kms keys add-iam-policy-binding, consulte gcloud kms keys add-iam-policy-binding.

Recursos de auditoria

Um auditor do serviço de AC (roles/privateca.auditor) tem acesso de leitura a todos os recursos no serviço de AC. Quando concedido para um conjunto de AC específico, concede acesso de leitura ao conjunto de AC. Se o conjunto de ACs estiver no nível Enterprise, o utilizador com esta função também pode ver os certificados e as LRCs emitidos pelas ACs no conjunto de ACs. Atribua esta função a indivíduos responsáveis pela validação da segurança e das operações do conjunto de ACs.

Para atribuir a função Auditor do serviço de AC (roles/privateca.auditor) a um utilizador ao nível do projeto, siga estas instruções:

Consola

  1. Na Google Cloud consola, aceda à página IAM.

    Aceda à Gestão de identidade e acesso

  2. Selecione o projeto.

  3. Clique em Conceder acesso.

  4. No campo Novos membros, introduza o endereço de email do membro ou outro identificador.

  5. Na lista Selecionar uma função, selecione a função Auditor de serviços da CA.

  6. Clique em Guardar.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

Substitua o seguinte:

  • PROJECT_ID: o identificador exclusivo do projeto.
  • MEMBER: o identificador exclusivo do utilizador ao qual quer atribuir a função de auditor do serviço de AC (roles/privateca.auditor).

A flag --role recebe a função do IAM que quer atribuir ao membro.

Configurar associações de políticas IAM ao nível do recurso

Esta secção descreve como pode configurar associações de políticas IAM para um recurso específico no serviço de AC.

Gerir grupos de ACs

Pode conceder a função de administrador do serviço de AC (roles/privateca.admin) ao nível do recurso para gerir um conjunto de ACs ou um modelo de certificado específico.

Consola

  1. Na Google Cloud consola, aceda à página Serviço de autoridade de certificação.

    Aceda ao serviço de autoridade de certificação

  2. Clique no separador Gestor do conjunto de ACs e, de seguida, selecione o conjunto de ACs para o qual quer conceder autorizações.

  3. Se o painel de informações não estiver visível, clique em Mostrar painel de informações. Em seguida, clique em Autorizações.

  4. Clique em Adicionar responsável.

  5. No campo Novos membros, introduza o endereço de email do membro ou outro identificador.

  6. Na lista Selecionar uma função, selecione a função Administrador do serviço de CA.

  7. Clique em Guardar. Ao principal é concedida a função selecionada no recurso do conjunto de CA.

gcloud

Para definir a política de IAM, execute o seguinte comando:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

Substitua o seguinte:

  • POOL_ID: o identificador exclusivo do conjunto de ACs para o qual quer definir a política de IAM.
  • LOCATION: a localização do grupo de ACs. Para ver a lista completa de localizações, consulte Localizações.
  • MEMBER: o utilizador ou a conta de serviço à qual quer atribuir a função do IAM.

A flag --role recebe a função do IAM que quer atribuir ao membro.

Para mais informações sobre o comando gcloud privateca pools add-iam-policy-binding, consulte gcloud privateca pools add-iam-policy-binding.

Siga os mesmos passos para conceder a função Administrador do serviço de AC num modelo de certificado.

Também pode conceder a função de gestor de operações do serviço de AC (roles/privateca.caManager) a um conjunto de AC específico. Esta função permite que o autor da chamada revogue certificados emitidos por ACs nesse conjunto de ACs.

Consola

  1. Na Google Cloud consola, aceda à página Serviço de autoridade de certificação.

    Aceda ao serviço de autoridade de certificação

  2. Clique no separador Gestor do conjunto de ACs e, de seguida, selecione o conjunto de ACs para o qual quer conceder autorizações.

  3. Se o painel de informações não estiver visível, clique em Mostrar painel de informações. Em seguida, clique em Autorizações.

  4. Clique em Adicionar responsável.

  5. No campo Novos membros, introduza o endereço de email do membro ou outro identificador.

  6. Na lista Selecionar uma função, selecione a função Gestor de operações de serviço da CA.

  7. Clique em Guardar. O principal recebe a função selecionada no recurso do conjunto de ACs ao qual a AC pertence.

gcloud

Para conceder a função a um conjunto de AC específico, execute o seguinte comando gcloud:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

Substitua o seguinte:

  • POOL_ID: o identificador exclusivo do conjunto de ACs.
  • LOCATION: a localização do grupo de ACs. Para ver a lista completa de localizações, consulte Localizações.
  • MEMBER: o identificador exclusivo do utilizador ao qual quer atribuir a função de gestor de operações do serviço de AC (roles/privateca.caManager).

A flag --role recebe a função do IAM que quer atribuir ao membro.

Para mais informações sobre o comando gcloud privateca pools add-iam-policy-binding, consulte gcloud privateca pools add-iam-policy-binding.

Criar certificados

Conceda a função Gestor de certificados do serviço de AC (roles/privateca.certificateManager) aos utilizadores para lhes permitir enviar pedidos de emissão de certificados para um conjunto de ACs. Esta função também concede acesso de leitura aos recursos do serviço de AC. Para permitir apenas a criação de certificados sem acesso de leitura, conceda a função Pedido de certificado do serviço de AC (roles/privateca.certificateRequester). Para mais informações acerca das funções de IAM para o serviço de CA, consulte o artigo Controlo de acesso com a IAM.

Para conceder ao utilizador acesso à criação de certificados para uma AC específica, siga estas instruções.

Consola

  1. Na Google Cloud consola, aceda à página Serviço de autoridade de certificação.

    Aceda ao serviço de autoridade de certificação

  2. Clique em Gestor do conjunto de ACs e, de seguida, selecione o conjunto de ACs para o qual quer conceder autorizações.

  3. Se o painel de informações não estiver visível, clique em Mostrar painel de informações. Em seguida, clique em Autorizações.

  4. Clique em Adicionar responsável.

  5. No campo Novos membros, introduza o endereço de email do membro ou outro identificador.

  6. Na lista Selecionar uma função, selecione a função Gestor de certificados do serviço de AC.

  7. Clique em Guardar. O principal recebe a função selecionada no recurso do conjunto de ACs ao qual a AC pertence.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

Substitua o seguinte:

  • POOL_ID: o identificador exclusivo do conjunto de ACs.
  • LOCATION: a localização do grupo de ACs. Para ver a lista completa de localizações, consulte Localizações.
  • MEMBER: o identificador exclusivo do utilizador ao qual quer atribuir a função de Gestor de certificados do serviço de AC (roles/privateca.certificateManager).

A flag --role recebe a função do IAM que quer atribuir ao membro.

Adicionar associações de políticas IAM a um modelo de certificado

Para adicionar uma política de IAM a um modelo de certificado específico, siga estas instruções:

Consola

  1. Na Google Cloud consola, aceda à página Serviço de autoridade de certificação.

    Aceda ao serviço de autoridade de certificação

  2. Clique no separador Gestor de modelos e, de seguida, selecione o modelo de certificado para o qual quer conceder autorizações.

  3. Se o painel de informações não estiver visível, clique em Mostrar painel de informações. Em seguida, clique em Autorizações.

  4. Clique em Adicionar responsável.

  5. No campo Novos membros, introduza o endereço de email do membro ou outro identificador.

  6. Selecione uma função a conceder na lista pendente Selecionar uma função.

  7. Clique em Guardar.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Substitua o seguinte:

  • LOCATION: a localização do modelo de certificado. Para ver a lista completa de localizações, consulte Localizações.
  • MEMBER: o utilizador ou a conta de serviço para a qual quer adicionar a associação da política de IAM.
  • ROLE: a função que quer conceder ao membro.

Para mais informações sobre o comando gcloud privateca templates add-iam-policy-binding, consulte o artigo gcloud privateca templates add-iam-policy-binding.

Para mais informações sobre como modificar a função de IAM de um utilizador, consulte o artigo Conceder acesso.

Remover associações de políticas IAM

Pode remover uma associação de política de IAM existente através do comando remove-iam-policy-binding da CLI do Google Cloud.

Para remover uma política de IAM num conjunto de ACs específico, use o seguinte comando gcloud:

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Substitua o seguinte:

  • LOCATION: a localização do grupo de ACs. Para ver a lista completa de localizações, consulte Localizações.
  • MEMBER: o utilizador ou a conta de serviço para os quais quer remover a associação da política de IAM.
  • ROLE: a função que quer remover para o membro.

Para mais informações sobre o comando gcloud privateca pools remove-iam-policy-binding, consulte gcloud privateca pools remove-iam-policy-binding.

Para remover uma política de IAM num modelo de certificado específico, use o seguinte comando gcloud:

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Substitua o seguinte:

  • LOCATION: a localização do modelo de certificado. Para ver a lista completa de localizações, consulte Localizações.
  • MEMBER: o utilizador ou a conta de serviço para os quais quer remover a associação da política de IAM.
  • ROLE: a função que quer remover para o membro.

Para mais informações sobre o comando gcloud privateca templates remove-iam-policy-binding, consulte gcloud privateca templates remove-iam-policy-binding.

Para mais informações sobre como remover a função de IAM de um utilizador, consulte o artigo Revogar acesso.

O que se segue?