Controlo de acesso com a IAM

Esta página explica como conceder e gerir o acesso ao Service Catalog através da gestão de identidade e de acesso (IAM).

Antes de começar

O que é a gestão de identidade e de acesso (IAM)?

Google Cloud oferece gestão de identidade e de acesso (IAM), que lhe permite conceder acesso mais detalhado a Google Cloud recursos específicos e impede o acesso indesejado a outros recursos. O IAM permite-lhe adotar o princípio de segurança do menor privilégio , de modo a conceder apenas o acesso necessário aos seus recursos.

O IAM permite-lhe controlar quem (identidade) tem que (funções) autorizações para que recursos através da definição de políticas de IAM. As políticas de IAM concedem funções específicas a um principal, dando à identidade determinadas autorizações.

Por exemplo, para um determinado recurso, como um projeto, pode atribuir a função roles/compute.networkAdmin a uma Conta Google, e essa conta pode controlar recursos relacionados com a rede no projeto, mas não pode gerir outros recursos, como instâncias e discos.

Funções de IAM do Service Catalog

Com o IAM, todos os métodos de API na API Service Catalog e na API Service Catalog Producer requerem que a identidade que faz o pedido de API tenha as autorizações adequadas para usar o recurso. As autorizações são concedidas através da definição de políticas que concedem funções a um principal, como um utilizador, grupo ou conta de serviço. Além das funções básicas, Proprietário, Editor e Leitor, pode atribuir as funções de catálogo de serviços e produtor do catálogo de serviços descritas nesta página a responsáveis.

As tabelas seguintes indicam as funções de IAM disponíveis para os utilizadores do Service Catalog. As tabelas estão organizadas em diferentes funções.

Administrador organizacional do catálogo

Nome da função Descrição Inclui autorizações
roles/cloudprivatecatalogproducer.orgAdmin

Faz a gestão das definições do catálogo de serviços ao nível da Google Cloud organização. Cria e gere recursos do Service Catalog, como soluções e catálogos.
  • cloudprivatecatalogproducer.settings.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Administrador do catálogo

Nome da função Descrição Inclui autorizações
roles/cloudprivatecatalogproducer.admin

Cria e gere recursos do Service Catalog, como soluções e catálogos.
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Gestor de catálogos

Nome da função Descrição Inclui autorizações
roles/cloudprivatecatalogproducer.manager

Ver soluções e catálogos, e partilhar catálogos com utilizadores do catálogo de serviços.
  • cloudprivatecatalog.targets.get
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.catalogAssociations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Consumidor do catálogo

Nome da função Descrição Inclui autorizações
roles/cloudprivatecatalog.consumer Procura catálogos. Soluções de visualizações e lançamentos. Funciona num recurso de destino, como uma organização, um projeto ou uma pasta. Google Cloud
  • cloudprivatecatalog.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Adicionar utilizadores às funções do IAM do Service Catalog

Os utilizadores, os Grupos Google ou os domínios têm de ter a autorização na organização para adicionar utilizadores às funções do IAM do catálogo de serviços.resourcemanager.organizations.setIamPolicy Pode conceder essa autorização a um utilizador ou a um grupo atribuindo-lhe a função de administrador da organização (roles/resourcemanager.organizationAdmin).

Por exemplo, se a sua organização quiser que os utilizadores com a função de administrador do catálogo também possam adicionar e remover utilizadores e grupos das outras funções de IAM do catálogo de serviços, um administrador da organização pode fazer o seguinte:

  • Crie um Grupo Google para os utilizadores (MyCompanyCatalogAdmins).
  • Atribua ao grupo Google (MyCompanyCatalogAdmins) a função de administrador da organização.
  • Atribua ao grupo Google (MyCompanyCatalogAdmins) a função de administrador do catálogo.

No exemplo, os membros do Grupo Google (MyCompanyCatalogAdmins) podem atribuir utilizadores e grupos a funções IAM na organização porque foi concedida a autorização setIamPolicy ao grupo quando lhe foi atribuída a função de administrador da organização. À medida que novos administradores do catálogo se juntam à organização, adicione-os ao grupo Google (MyCompanyCatalogAdmins) para lhes conceder as funções pretendidas.

Para adicionar um utilizador, um grupo ou um domínio a uma função do IAM do Service Catalog, siga estes passos.

  1. Inicie sessão na Google Cloud consola página de administração e IAM como administrador da organização.
    Aceda à Google Cloud página de administração e IAM da consola
  2. Selecione Catálogo privado do Google Cloud no menu lateral.
  3. Selecione a função a atribuir:
    • Administrador do catálogo
    • Gestor de catálogos
    • Catalog Consumer
  4. Especifique os utilizadores, os grupos ou os domínios a adicionar.

O que se segue?