Controle de acesso com o IAM

O reCAPTCHA oferece controle de acesso baseado em função (RBAC) com o Identity and Access Management (IAM) e controle de acesso para APIs reCAPTCHA usando o VPC Service Controls.

Controle de acesso baseado em papéis com o IAM

Com o IAM, é possível conceder acesso granular a recursos Google Cloud específicos e impedir o acesso indesejado a outros recursos, como registros e análises.

Esta seção descreve os papéis do IAM para o reCAPTCHA.

Para saber como atribuir papéis do IAM a um usuário ou conta de serviço, leia Como conceder, alterar e revogar acesso a recursos na documentação do IAM.

Papéis e permissões

A tabela a seguir lista os papéis do IAM necessários e as permissões para reCAPTCHA:

Role Permissions

(roles/recaptchaenterprise.admin)

Access to view and modify reCAPTCHA Enterprise keys

monitoring.timeSeries.list

recaptchaenterprise.firewallpolicies.*

  • recaptchaenterprise.firewallpolicies.create
  • recaptchaenterprise.firewallpolicies.delete
  • recaptchaenterprise.firewallpolicies.get
  • recaptchaenterprise.firewallpolicies.list
  • recaptchaenterprise.firewallpolicies.update

recaptchaenterprise.keys.*

  • recaptchaenterprise.keys.create
  • recaptchaenterprise.keys.createTagBinding
  • recaptchaenterprise.keys.delete
  • recaptchaenterprise.keys.deleteTagBinding
  • recaptchaenterprise.keys.get
  • recaptchaenterprise.keys.list
  • recaptchaenterprise.keys.listEffectiveTags
  • recaptchaenterprise.keys.listTagBindings
  • recaptchaenterprise.keys.retrievelegacysecretkey
  • recaptchaenterprise.keys.update

recaptchaenterprise.metrics.get

recaptchaenterprise.projectmetadata.*

  • recaptchaenterprise.projectmetadata.get
  • recaptchaenterprise.projectmetadata.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/recaptchaenterprise.agent)

Access to create and annotate reCAPTCHA Enterprise assessments

recaptchaenterprise.assessments.*

  • recaptchaenterprise.assessments.annotate
  • recaptchaenterprise.assessments.create

recaptchaenterprise.firewallpolicies.list

recaptchaenterprise.relatedaccountgroupmemberships.list

recaptchaenterprise.relatedaccountgroups.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/recaptchaenterprise.viewer)

Access to view reCAPTCHA Enterprise keys and metrics

monitoring.timeSeries.list

recaptchaenterprise.firewallpolicies.get

recaptchaenterprise.firewallpolicies.list

recaptchaenterprise.keys.get

recaptchaenterprise.keys.list

recaptchaenterprise.keys.listEffectiveTags

recaptchaenterprise.keys.listTagBindings

recaptchaenterprise.metrics.get

recaptchaenterprise.projectmetadata.get

resourcemanager.projects.get

resourcemanager.projects.list

Papéis personalizados

Talvez você precise de papéis personalizados para alguns casos de uso, como requisitos regulamentares. Para criar um papel personalizado que inclua permissões reCAPTCHA, execute a ação apropriada conforme mostrado na tabela a seguir:

Descrição do papel Ação
Papel que concede permissões apenas para a API reCAPTCHA Enterprise Escolha as permissões na seção Permissões da API.
Papel que concede permissões para a API reCAPTCHA Enterprise e o console Escolha os grupos de permissões na seção Papéis e permissões.
Papel que permite criar e anotar avaliações Inclua as permissões do papel roles/recaptchaenterprise.agent na seção Papéis e permissões.

Para mais informações sobre funções personalizadas, consulte Como criar e gerenciar papéis personalizados.

Permissões da API

A tabela a seguir lista as permissões que o chamador deve ter para chamar cada método na API do reCAPTCHA Enterprise, recaptchaenterprise.googleapis.com/v1:

Método (REST/RPC) Permissões exigidas Por tipo de recurso
[recaptchaenterprise.assessments.annotate] / [AnnotateAssessmentRequest] recaptchaenterprise.assessments.annotate projeto
[recaptchaenterprise.assessments.create] / [CreateAssessmentRequest] recaptchaenterprise.assessments.create projeto
[recaptchaenterprise.keys.create] / [CreateKeyRequest] recaptchaenterprise.keys.create projeto
[recaptchaenterprise.keys.delete] / [DeleteKeyRequest] recaptchaenterprise.keys.delete projeto
[recaptchaenterprise.keys.get] / [GetKeyRequest] recaptchaenterprise.keys.get projeto
[recaptchaenterprise.keys.list] / [ListKeysRequest] recaptchaenterprise.keys.list projeto
[recaptchaenterprise.keys.update] / [UpdateKeyRequest] recaptchaenterprise.keys.update projeto

VPC Service Controls

O VPC Service Controls é compatível com o reCAPTCHA para fornecer mais controle de acesso às APIs reCAPTCHA. Para mais informações, consulte Produtos compatíveis e limitações > reCAPTCHA Enterprise.