Nesta página, descrevemos os limites de acesso a credenciais, que podem ser usados para downscope ou restringir as permissões do Identity and Access Management (IAM) que uma credencial de curta duração pode usar.
É possível usar limites de acesso a credenciais para gerar tokens de acesso do OAuth 2.0 que representam uma conta de serviço, mas com menos permissões que a conta de serviço. Por exemplo, se um dos seus clientes precisar acessar os dados do Cloud Storage que você controla, realize estas ações:
- Crie uma conta de serviço que pode acessar todos os seus buckets do Cloud Storage.
- Gere um token de acesso do OAuth 2.0 para a conta de serviço.
- Aplique um limite de acesso a credenciais que permita acesso apenas ao bucket que contém os dados do cliente.
Como funcionam os limites de acesso a credenciais
Para diminuir o escopo das permissões, defina um limite de acesso a credenciais que especifique quais recursos a credencial de curta duração poderá acessar, assim como um limite máximo nas permissões disponíveis em cada recurso. Crie uma credencial de curta duração e, então, troque-a por uma nova credencial que respeite o limite de acesso a credenciais.
Se você precisar dar aos principais um conjunto diferente de permissões para cada sessão, usar limites de acesso a credenciais pode ser mais eficiente do que criar várias contas de serviço ou conceder um conjunto de papéis diferente para cada conta de serviço.
Componentes de um limite de acesso a credenciais
Um limite de acesso a credenciais é um objeto que contém uma lista de regras de limite de acesso. Cada regra contém as seguintes informações:
- O recurso a que a regra se aplica.
- O limite máximo das permissões disponíveis nesse recurso.
- Opcional: uma condição que restringe ainda mais as permissões. Uma condição inclui
o seguinte:
- Uma expressão de condição avaliada como
trueoufalse. Se ela for avaliada comotrue, o acesso será permitido. Caso contrário, o acesso será negado. - Opcional: um título que identifica a condição.
- Opcional: uma descrição com mais informações sobre a condição.
- Uma expressão de condição avaliada como
Se você aplicar um limite de acesso a credenciais a uma credencial de curta duração, ela só poderá acessar os recursos dentro do limite de acesso a credenciais. Nenhuma permissão está disponível em outros recursos.
Um limite de acesso a credenciais contém até 10 regras de limite de acesso. É possível aplicar apenas um limite de acesso a credenciais a cada credencial de curta duração.
Quando representado como um objeto JSON, um limite de acesso a credenciais contém os seguintes campos:
| Campos | |
|---|---|
accessBoundary |
Um wrapper para o limite de acesso a credenciais. |
accessBoundary.accessBoundaryRules[] |
Uma lista de regras de limite de acesso a ser aplicada a uma credencial de curta duração. |
accessBoundary.accessBoundaryRules[].availablePermissions[] |
Uma lista que define o limite superior das permissões disponíveis para o recurso.
Cada valor é o identificador de um
papel predefinido ou
papel personalizado do IAM com
o prefixo |
accessBoundary.accessBoundaryRules[].availableResource |
O nome completo do recurso do bucket do Cloud Storage a que a regra se aplica. Use o formato
|
accessBoundary.accessBoundaryRules[].availabilityCondition |
Opcional. Uma condição que restringe a disponibilidade de permissões a objetos específicos do Cloud Storage. Use este campo para disponibilizar permissões para objetos específicos em vez de todos os objetos em um intervalo do Cloud Storage. |
accessBoundary.accessBoundaryRules[].availabilityCondition.expression |
Uma expressão de condição que especifica os objetos do Cloud Storage em que as permissões estão disponíveis.
Para saber como se referir a objetos específicos em uma expressão de condição, consulte o atributo
|
accessBoundary.accessBoundaryRules[].availabilityCondition.title |
Opcional. Uma string curta que identifica a finalidade da condição. |
accessBoundary.accessBoundaryRules[].availabilityCondition.description |
Opcional. Detalhes sobre a finalidade da condição. |
Para exemplos no formato JSON, consulte Exemplos de limites de acesso a credenciais nesta página.
Exemplos de limites de acesso a credenciais
Nas seções a seguir, mostramos exemplos de limites de acesso a credenciais para casos de uso comuns. Você usa o limite de acesso a credenciais ao trocar um token de acesso do OAuth 2.0 por um token com escopo diminuído.
Limitar permissões para um bucket
No exemplo a seguir, mostramos um limite de acesso a credenciais simples. Ele se aplica ao
bucket example-bucket do Cloud Storage e define o limite máximo para as permissões
incluídas no papel Leitor de objetos do Storage
(roles/storage.objectViewer):
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket"
}
]
}
}
Limitar permissões para vários buckets
No exemplo a seguir, mostramos um limite de acesso a credenciais que inclui regras para vários buckets:
- O bucket do Cloud Storage
example-bucket-1: para esse bucket, apenas as permissões no papel Leitor de objetos do Storage (roles/storage.objectViewer) estão disponíveis. - O bucket do Cloud Storage
example-bucket-2: para esse bucket, apenas as permissões no papel Criador de objeto do Storage (roles/storage.objectCreator) estão disponíveis.
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-1"
},
{
"availablePermissions": [
"inRole:roles/storage.objectCreator"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-2"
}
]
}
}
Limitar permissões para objetos específicos
Também é possível usar as condições do IAM para especificar
quais objetos do Cloud Storage um principal pode acessar. Por exemplo, adicione uma
condição que disponibilize permissões para objetos com nome que comece
com customer-a:
{ "accessBoundary": { "accessBoundaryRules": [ { "availablePermissions": [ "inRole:roles/storage.objectViewer" ], "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket", "availabilityCondition": { "expression" : "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a')" } } ] } }
Limitar permissões ao listar objetos
Ao listar os objetos em um intervalo do Cloud Storage, você
chama um método em um recurso do bucket, não em um recurso do objeto. Como resultado,
se uma condição for avaliada para uma solicitação de lista e a condição se referir ao
nome do recurso, o nome do recurso identificará o bucket,
não um objeto dentro do bucket. Por exemplo, quando você lista objetos em
example-bucket, o nome do recurso é projects/_/buckets/example-bucket.
Essa convenção de nomenclatura pode causar um comportamento inesperado ao listar objetos.
Por exemplo, suponha que você queira um limite de acesso a credenciais que permita acesso para ver
objetos em example-bucket com o prefixo customer-a/invoices/.
Tente usar a seguinte condição no limite de acesso a credenciais:
Incompleto: condição que verifica apenas o nome do recurso
resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')
Essa condição funciona para ler objetos, mas não para listá-los:
- Quando um principal tenta ler um objeto em
example-bucketcom o prefixocustomer-a/invoices/, a condição é avaliada comotrue. - Quando um principal tenta listar objetos com esse prefixo, a condição
é avaliada como
false. O valor deresource.nameéprojects/_/buckets/example-bucket, que não começa comprojects/_/buckets/example-bucket/objects/customer-a/invoices/.
Para evitar esse problema, além de usar resource.name.startsWith(), sua
condição pode verificar um atributo de API chamado
storage.googleapis.com/objectListPrefix. Esse atributo contém o valor do parâmetro
prefix que foi usado para filtrar a lista de objetos. Como resultado,
é possível escrever uma condição que se refira ao valor do parâmetro prefix.
No exemplo a seguir, mostramos como usar o atributo de API em uma condição. Ele
permite ler e listar objetos em example-bucket com o prefixo
customer-a/invoices/:
Completo: condição que verifica o nome do recurso e o prefixo
resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') ||
api.getAttribute('storage.googleapis.com/objectListPrefix', '')
.startsWith('customer-a/invoices/')
Agora é possível usar essa condição em um limite de acesso a credenciais:
{
"accessBoundary": {
"accessBoundaryRules": [
{
"availablePermissions": [
"inRole:roles/storage.objectViewer"
],
"availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
"availabilityCondition": {
"expression":
"resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') || api.getAttribute('storage.googleapis.com/objectListPrefix', '').startsWith('customer-a/invoices/')"
}
}
]
}
}
A seguir
- Saiba como criar uma credencial de curta duração com escopo reduzido.
- Saiba mais sobre o controle de acesso para Cloud Storage.
- Consulte as permissões em cada papel predefinido.
- Saiba mais sobre papéis personalizados.