Diretores do IAM

Na gestão de identidade e de acesso (IAM), controla o acesso para diretores. Um principal representa uma ou mais identidades que foram autenticadas em Google Cloud.

Use entidades principais nas suas políticas

Para usar principais nas suas políticas, faça o seguinte:

  1. Configure identidades que Google Cloud podem ser reconhecidas. A configuração de identidades é o processo de criação de identidades que o sistema Google Cloud pode reconhecer. Pode configurar identidades para utilizadores e cargas de trabalho.

    Para saber como configurar identidades, consulte o seguinte:

  2. Determine o identificador principal que vai usar. O identificador principal é a forma como se refere a um principal nas suas políticas. Este identificador pode referir-se a uma única identidade ou a um grupo de identidades.

    O formato que usa para o identificador principal depende do seguinte:

    • O tipo de principal
    • O tipo de política no qual quer incluir o principal

    Para ver o formato do identificador principal para cada tipo de principal em cada tipo de política, consulte Identificadores principais.

    Depois de saber o formato do identificador, pode determinar o identificador único do principal com base nos atributos do principal, como o endereço de email do principal.

  3. Inclua o identificador do principal na sua política. Adicione o seu principal à política, seguindo o formato da política.

    Para saber mais sobre os diferentes tipos de políticas na IAM, consulte o artigo Tipos de políticas.

Suporte para tipos de principais

Cada tipo de política IAM suporta um subconjunto dos tipos de principais que o IAM suporta. Para ver os tipos principais suportados para cada tipo de política, consulte o artigo Identificadores principais.

Tipos de diretores

O IAM suporta os seguintes tipos de responsáveis:

As secções seguintes descrevem estes tipos principais mais detalhadamente.

Contas do Google

Uma Conta Google representa um programador, um administrador ou qualquer outra pessoa que interage com o Google Play Console através de uma conta criada com a Google. Google Cloud Qualquer endereço de email associado a uma Conta Google, também denominado conta de utilizador gerida, pode ser usado como um principal. Isto inclui gmail.com endereços de email e endereços de email com outros domínios.

Para mais informações sobre a configuração de Contas Google, consulte o artigo sobre as contas do Cloud ID ou Google Workspace.

Contas de serviço

Uma conta de serviço é uma conta para uma aplicação ou uma carga de trabalho de computação, em vez de um utilizador final individual. Quando executa código alojado no Google Cloud, especifica uma conta de serviço a usar como identidade para a sua aplicação. Pode criar quantas contas de serviço forem necessárias para representar os diferentes componentes lógicos da sua aplicação.

Para mais informações sobre contas de serviço, consulte o artigo Vista geral das contas de serviço.

Grupos do Google

Um grupo Google é uma coleção de Contas Google com um nome. Todos os Grupos Google têm um endereço de email exclusivo associado ao grupo. Pode encontrar o endereço de email associado a um grupo Google clicando em Acerca de na página inicial de qualquer grupo Google. Para mais informações sobre os Grupos do Google, consulte a página inicial dos Grupos do Google.

Os grupos Google são uma forma conveniente de aplicar controlos de acesso a uma coleção de diretores. Pode conceder e alterar os controlos de acesso para um grupo inteiro de uma só vez, em vez de conceder ou alterar os controlos de acesso um de cada vez para os principais individuais. Também pode adicionar ou remover responsáveis de um grupo Google em vez de atualizar uma política de autorização para adicionar ou remover responsáveis.

Os grupos Google não têm credenciais de início de sessão e não pode usar os grupos Google para estabelecer a identidade para fazer um pedido de acesso a um recurso.

Para saber mais sobre a utilização de grupos para controlo de acesso, consulte o artigo Práticas recomendadas para usar grupos Google.

Contas do Google Workspace

Uma conta do Google Workspace representa um grupo virtual de todas as Contas Google que contém. As contas do Google Workspace estão associadas ao nome do domínio da Internet da sua organização, como example.com. Quando cria uma Conta Google para um novo utilizador, como username@example.com, essa Conta Google é adicionada ao grupo virtual da sua conta do Google Workspace.

Tal como os Grupos Google, as contas do Google Workspace não podem ser usadas para estabelecer a identidade, mas permitem uma gestão de autorizações conveniente.

Domínios do Cloud ID

Um domínio do Cloud ID é semelhante a uma conta do Google Workspace, porque representa um grupo virtual de todas as Contas Google numa organização. No entanto, os utilizadores do domínio do Cloud ID não têm acesso às aplicações e funcionalidades do Google Workspace. Para mais informações, consulte o artigo Acerca do Cloud Identity.

allAuthenticatedUsers

O valor allAuthenticatedUsers é um identificador especial que representa todas as contas de serviço e todos os utilizadores na Internet que se autenticaram com uma Conta Google. Este identificador inclui contas que não estão associadas a uma conta do Google Workspace ou a um domínio do Cloud ID, como contas pessoais do Gmail. Os utilizadores não autenticados, como visitantes anónimos, não são incluídos.

Este tipo de principal não inclui identidades federadas, que são geridas por fornecedores de identidade (IdPs) externos. Se usar a federação de identidade da força de trabalho ou a federação de identidade de cargas de trabalho, não use allAuthenticatedUsers. Em alternativa, use uma das seguintes opções:

Alguns tipos de recursos não suportam este tipo de principal.

allUsers

O valor allUsers é um identificador especial que representa qualquer pessoa na Internet, incluindo utilizadores autenticados e não autenticados.

Alguns tipos de recursos não suportam este tipo de principal.

Identidades federadas num Workforce Identity Pool

Uma identidade federada num pool de identidades da força de trabalho é uma identidade de utilizador que é gerida por um IdP externo e federada através da federação de identidade da força de trabalho. Pode usar uma identidade específica num grupo de identidades da força de trabalho ou usar determinados atributos para especificar um grupo de identidades de utilizadores num grupo de identidades da força de trabalho.

Identidades federadas num Workload Identity Pool

Uma identidade federada num Workload Identity Pool é uma identidade de carga de trabalho gerida por um IdP externo e federada através da federação de identidade da carga de trabalho. Pode usar uma identidade de carga de trabalho específica num Workload Identity Pool ou usar determinados atributos para especificar um grupo de identidades de carga de trabalho num Workload Identity Pool.

Pods do GKE

As cargas de trabalho executadas no GKE usam a federação de identidades da carga de trabalho para o GKE para aceder aos serviços Google Cloud . Para mais informações sobre os identificadores principais dos pods do GKE, consulte o artigo Faça referência a recursos do Kubernetes em políticas do IAM.

Conjuntos de principais do Resource Manager

Cada recurso do Resource Manager (projetos, pastas e organizações) está associado a um conjunto de principais. Quando cria associações de políticas de limites de acesso principais, pode usar o conjunto de principais para um recurso do Resource Manager para referenciar todos os principais associados a esse recurso.

Os conjuntos de principais para recursos do Resource Manager contêm os seguintes principais:

  • Conjunto de principais do projeto: todas as contas de serviço e Workload Identity Pools no projeto especificado.
  • Conjunto principal da pasta: todas as contas de serviço e todos os Workload Identity Pools em qualquer projeto na pasta especificada.

  • Conjunto de diretor da organização: contém as seguintes identidades:

    • Todas as identidades em todos os domínios associados ao seu ID de cliente do Google Workspace
    • Todos os Workload Identity Pools na sua organização
    • Todas as contas de serviço e Workload Identity Pools em qualquer projeto na organização

O que se segue?