Controle de acesso com o IAM

Nesta página, descrevemos os papéis e as permissões do Infrastructure Manager.

O Infra Manager usa o Identity and Access Management (IAM) para controlar o acesso ao serviço. Para conceder acesso à implantação de recursos com o Infra Manager, atribua os papéis do IAM necessários do Infra Manager à conta de serviço usada para chamar o Infra Manager. Para detalhes sobre como conceder permissões a contas de serviço, consulte Gerenciar o acesso a contas de serviço.

Não é necessário ter uma conta de serviço para ver implantações, revisões e políticas do IAM do Gerenciador de infraestrutura. Para acessar o Infra Manager, conceda acesso ao usuário, grupo ou conta de serviço.

Para implantar ou visualizar os Google Cloud recursos definidos na configuração do Terraform, é necessário conceder à conta de serviço permissões específicas para esses recursos. Essas permissões são adicionais às permissões do Infra Manager listadas nesta página. Para uma lista de todos os papéis e as permissões que eles contêm, consulte a Referência dos papéis básicos e predefinidos do Identity and Access Management.

Funções predefinidas do Infra Manager

O IAM oferece papéis predefinidos que concedem acesso a recursos específicos do Google Cloud e impedem o acesso não autorizado a outros recursos.

A tabela a seguir lista os papéis do IAM do Infra Manager e as permissões que eles incluem:

Papel	Descrição	Permissões
Administrador do Infra Manager (roles/config.admin)	Para um usuário, controle total dos recursos do Infra Manager	config.deployments.create config.deployments.delete config.deployments.get config.deployments.getIamPolicy config.deployments.list config.deployments.setIamPolicy config.deployments.update config.previews.create config.previews.delete config.previews.get config.previews.list config.previews.export config.previews.upload config.locations.get config.locations.list config.operations.cancel config.operations.delete config.operations.get config.operations.list config.resources.get config.resources.list config.resourcechanges.get config.resourcechanges.list config.resourcedrifts.get config.resourcedrifts.list config.revisions.get config.revisions.list config.artifacts.import config.terraformversions.get config.terraformversions.list resourcemanager.projects.get resourcemanager.projects.list
Agente de serviço do Infra Manager (roles/config.agent)	Conceder acesso a uma conta de serviço para trabalhar com o Infra Manager, incluindo implantações, revisões, geração de registros e arquivos de estado do Terraform.	storage.buckets.get storage.buckets.list storage.buckets.create storage.buckets.update storage.buckets.delete storage.objects.get storage.objects.list storage.objects.create storage.objects.update storage.objects.delete logging.logEntries.create config.deployments.getState config.deployments.updateState config.deployments.deleteState config.deployments.getLock config.previews.upload config.artifacts.import config.revisions.getState cloudbuild.connections.list cloudbuild.repositories.accessReadToken cloudbuild.repositories.list
Conta de serviço do Infra Manager (roles/cloudconfig.serviceAgent)	Quando você ativa a API Infra Manager, a conta de serviço do Infra Manager é criada automaticamente no projeto e recebe esse papel para os recursos no projeto. A conta de serviço do Infra Manager usa esse papel somente conforme necessário para executar ações ao criar, gerenciar ou excluir implantações e revisões.	cloudbuild.builds.get cloudbuild.builds.list cloudbuild.builds.create cloudbuild.builds.update cloudbuild.workerpools.use storage.buckets.get storage.buckets.list storage.buckets.create storage.buckets.update storage.buckets.delete storage.objects.get storage.objects.list storage.objects.create storage.objects.update storage.objects.delete
Leitor do Infra Manager (roles/config.viewer)	Ler implantações, revisões e políticas do IAM.	config.deployments.get config.deployments.getIamPolicy config.deployments.list config.previews.get config.previews.list config.locations.get config.locations.list config.operations.get config.operations.list config.resources.get config.resources.list config.revisions.get config.revisions.list config.terraformversions.get config.terraformversions.list resourcemanager.projects.get resourcemanager.projects.list

Além dos papéis predefinidos do Infra Manager, os papéis básicos de Leitor e Proprietário também incluem permissões relacionadas ao Infra Manager. No entanto, recomendamos que você conceda papéis predefinidos sempre que possível para obedecer ao princípio de segurança do menor privilégio.

A tabela a seguir lista os papéis básicos e os papéis do IAM do Infra Manager que eles incluem.

Papel	Papéis incluídos
Leitor	roles/config.viewer
Proprietário	roles/config.admin

Permissões

As permissões que o autor da chamada precisa ter para chamar cada método estão listadas na referência da API REST.

A seguir

• Saiba mais sobre IAM.
• Saiba mais sobre como usar condições no IAM.
• Saiba mais sobre as contas de serviço do Infra Manager.