Quando você usa o Cloud Load Balancing, faz solicitações de API. Cada solicitação de API exige que o principal do gerenciamento de identidade e acesso (IAM) que faz a solicitação tenha a permissão adequada para criar, modificar ou excluir os recursos associados.
No IAM, a permissão para acessar um recurso do Google Cloud não é concedida diretamente ao usuário final. Em vez disso, as permissões são agrupadas em papéis, que são concedidos a principais autenticados. Os principais podem ser dos seguintes tipos: usuário, grupo, conta de serviço ou domínio do Google. Uma política do IAM define e aplica quais papéis são concedidos a quais principais, e essa política é anexada a um recurso.
Nesta página, você encontra uma visão geral dos papéis e permissões relevantes do IAM para o Cloud Load Balancing. Para uma descrição detalhada do IAM, consulte a documentação do IAM.
Papéis e permissões
Para seguir os exemplos dos guias de instruções de balanceamento de carga, os principais precisam criar instâncias, regras de firewall e redes VPC. É possível fornecer as permissões necessárias de uma destas maneiras:
Conceda os papéis predefinidos que estão relacionados ao balanceamento de carga. Veja as permissões específicas incluídas nos papéis predefinidos nas seguintes seções:
- Papel de administrador do Compute Load Balancer
(
roles/compute.loadBalancerAdmin) - Papel de administrador da rede do Compute
(
roles/compute.networkAdmin) - Papel administrador de segurança do Compute
(
roles/compute.securityAdmin) - Papel administrador de instâncias do Compute
(
roles/compute.instanceAdmin)
- Papel de administrador do Compute Load Balancer
(
Crie e conceda papéis personalizados que contenham pelo menos as permissões incluídas nos papéis predefinidos.
Use papéis básicos, transformando os principais em editores ou proprietários de projeto. Sempre que possível, evite usar os papéis básicos; elas concedem um grande número de permissões, o que viola o princípio do menor privilégio.
Latência na mudança de papel
O Cloud Load Balancing armazena em cache as permissões de IAM por cinco minutos. Portanto, pode levar até cinco minutos para que uma alteração de papel entre em vigor.
Como gerenciar o controle de acesso do Cloud Load Balancing usando o IAM
É possível receber e definir políticas do IAM usando o Console do Google Cloud, a API IAM ou a CLI do Google Cloud. Para mais instruções, consulte Como conceder, alterar e revogar acesso.
A seguir
- Saiba mais sobre IAM.
- Conceda papéis do IAM.
- Saiba mais sobre Condições do IAM para regras de encaminhamento.
- Saiba mais sobre restrições da política da organização para o Cloud Load Balancing.