Criar uma política de acesso com escopo

Nesta página, você verá como criar e delegar políticas de acesso com escopo.

Antes de começar

  • Leia sobre as políticas com escopo.

  • Saiba mais sobre como conceder acesso ao VPC Service Controls.

  • Verifique se o administrador delegado a quem a política de acesso com escopo está delegada tem a permissão cloudasset.assets.searchAllResources na pasta ou no projeto a que a política com escopo está vinculada. O administrador delegado precisa dessa permissão para pesquisar todos os recursos do Google Cloud.

  • Leia sobre a configuração de perímetros de serviço.

Como criar uma política de acesso com escopo

Criar uma política de acesso com escopo e delegar a administração a pastas e projetos na organização. Depois de criar uma política de acesso com escopo, não é possível alterar o escopo da política. Para alterar o escopo de uma política existente, exclua a política e recrie a política com o novo escopo.

Console

  1. No menu de navegação do console do Google Cloud, clique em Segurança e depois em VPC Service Controls.

    Acessar o VPC Service Controls

  2. Se solicitado, selecione a organização, a pasta ou o projeto.

  3. Na página VPC Service Controls, selecione a política de acesso que é a mãe da política com escopo. Por exemplo, é possível selecionar a política da organização default policy.

  4. Clique em Gerenciar políticas.

  5. Na página Gerenciar VPC Service Controls, clique em Criar.

  6. Na página Criar política de acesso, na caixa Nome da política de acesso, digite um nome para a política de acesso com escopo.

    O nome da política de acesso com escopo pode ter no máximo 50 caracteres, precisa começar com uma letra e pode conter apenas letras latinas ASCII (az, AZ), números (0-9) ou sublinhados (_). O nome da política de acesso com escopo diferencia maiúsculas de minúsculas e precisa ser exclusivo na política de acesso de uma organização.

  7. Para especificar um escopo para a política de acesso, clique em Escopos.

  8. Especifique um projeto ou uma pasta como o escopo da política de acesso.

    • Para selecionar um projeto que você quer adicionar ao escopo da política de acesso, faça o seguinte:

      1. No painel Escopos, clique em Adicionar projeto.

      2. Na caixa de diálogo Adicionar projeto, marque a caixa de seleção do projeto.

      3. Clique em Concluído. O projeto adicionado aparece na seção Escopos.

    • Para selecionar uma pasta que você quer adicionar ao escopo da política de acesso, faça o seguinte:

      1. No painel Escopos, clique em Adicionar pasta.

      2. Na caixa de diálogo Adicionar pastas, marque a caixa de seleção da pasta em questão.

      3. Clique em Concluído. A pasta adicionada aparece na seção Escopos.

  9. Para delegar a administração da política de acesso com escopo, clique em Diretores.

  10. Para especificar o diretor e o papel que você quer vincular à política de acesso, faça o seguinte:

    1. No painel Diretores, clique em Adicionar diretores.

    2. Na caixa de diálogo Adicionar diretores, selecione um diretor, como um nome de usuário ou uma conta de serviço.

    3. Selecione o papel que você quer associar ao diretor, como papéis de editor e leitura.

    4. Clique em Save. O diretor e a função adicionados aparecem na seção Diretores.

  11. Na página Criar política de acesso, clique em Criar política de acesso.

gcloud

Para criar uma política de acesso com escopo, use o comando gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Em que:

  • ORGANIZATION_ID é o código numérico da organização;

  • POLICY_TITLE é um título para a política que seja legível. O título da política pode ter no máximo 50 caracteres, precisa começar com uma letra e conter apenas letras latinas ASCII (az, A-Z), números (0-9) ou sublinhados (_). O título da política diferencia maiúsculas de minúsculas e precisa ser exclusivo na política de acesso de uma organização.

  • SCOPE é a pasta ou o projeto em que essa política é aplicável. Só é possível especificar uma pasta ou um projeto como o escopo, que precisa existir na organização especificada. Se você não especificar um escopo, a política será aplicada à organização inteira.

É exibida a seguinte saída, em que POLICY_NAME é um identificador numérico da política exclusivo atribuído pelo Google Cloud:

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Para delegar a administração vinculando um principal e um papel a uma política de acesso com escopo, use o comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Em que:

  • POLICY é o ID da política ou o identificador totalmente qualificado da política.

  • PRINCIPAL é o diretor para quem a vinculação deve ser adicionada. Especifique no seguinte formato: user|group|serviceAccount:email ou domain:domain.

  • ROLE é o nome do papel a ser atribuído ao diretor. O nome do papel é o caminho completo de um papel predefinido, como roles/accesscontextmanager.policyEditor, ou o ID do papel, como organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

Para criar uma política de acesso com escopo, faça o seguinte:

  1. Crie um corpo da solicitação.

    {
     "parent": "ORGANIZATION_ID",
     "scope": "SCOPE"
     "title": "POLICY_TITLE"
    }

    Em que:

    • ORGANIZATION_ID é o código numérico da organização;

    • SCOPE é a pasta ou o projeto em que essa política é aplicável.

    • POLICY_TITLE é um título para a política que seja legível. O título da política pode ter no máximo 50 caracteres, precisa começar com uma letra e conter apenas letras latinas ASCII (az, A-Z), números (0-9) ou sublinhados (_). O título da política diferencia maiúsculas de minúsculas e precisa ser exclusivo na política de acesso de uma organização.

  2. Crie a política de acesso chamando accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Corpo da resposta

Caso a chamada seja bem-sucedida, o corpo da resposta incluirá um recurso de Operation que fornece detalhes sobre a operação POST.

Para delegar a administração da política de acesso com escopo, faça o seguinte:

  1. Crie um corpo da solicitação.

    {
     "policy": "IAM_POLICY",
    }

    Em que:

    • IAM_POLICY é um conjunto de vinculações. Uma vinculação vincula um ou mais membros, ou diretores, a um único papel. Os diretores podem ser contas de usuário, contas de serviço, Grupos do Google e domínios. Um papel é uma lista nomeada de permissões. Cada um pode ser predefinido pelo IAM ou criado pelo usuário.
  2. Delegue a política de acesso chamando accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Corpo da resposta

Se a solicitação for bem-sucedida, o corpo da resposta conterá uma instância de policy.

A seguir