Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte
Diferenças do Google Cloud para saber mais.
Google uses AI technology to translate content into your preferred language. AI translations can contain errors.
Grupos de usuários e papéis do Identity and Access Management recomendados
A tabela a seguir descreve os papéis do Identity and Access Management (IAM) que
recomendamos como ponto de partida para executar cargas de trabalho no
Cloud de Confiance by S3NS. Configure seus papéis do IAM para implementar a separação de funções no ambiente e se alinhar ao apetite por risco e à estrutura organizacional.
Ao atribuir esses papéis aos grupos de usuários na sua organização, considere onde é necessário aplicar papéis mais detalhados para atender a casos de uso específicos e requisitos de acesso aos dados. Para ambientes em que dados altamente sensíveis são usados (por exemplo, você está usando dados sensíveis para treinar modelos), consulte Importar dados para um data warehouse seguro do BigQuery para mais informações sobre as funções que podem ser usadas para permitir o acesso aos dados armazenados.
A tabela a seguir descreve as recomendações de função. Aplique recomendações básicas e específicas para casos de uso, conforme necessário.
| Serviço |
Grupo |
Descrição |
Papéis IAM |
Básica |
grp-gcp-org-admin
|
Esse grupo administra os recursos que pertencem à organização.
Atribua esse papel com moderação. Os administradores da organização têm acesso a todos os seus recursos do Cloud de Confiance . Como essa função é altamente privilegiada, considere usar contas individuais em vez de criar um grupo. |
- Administrador da organização (
roles/resourcemanager.organizationAdmin)
- Administrador de pastas (
roles/resourcemanager.folderAdmin)
roles/resourcemanager.projectCreatorCriador do projeto
- Usuário da conta de faturamento (
roles/billing.user)
- Administrador de papéis da organização (
roles/iam.organizationRoleAdmin)
- Administrador da política da organização (
roles/orgpolicy.policyAdmin)
- Administrador da Central de segurança (
roles/securitycenter.admin)
- Administrador da conta de suporte (
roles/cloudsupport.admin)
|
Básica |
grp-gcp-network-admins
|
Esse grupo pode criar redes, sub-redes, regras de firewall e dispositivos de rede, como Cloud Router, Cloud VPN e balanceadores de carga na nuvem. |
- Administrador de rede do Compute (
roles/compute.networkAdmin)
- Administrador de VPC compartilhada do Compute (
roles/compute.xpnAdmin)
- Administrador de segurança do Compute (
roles/compute.securityAdmin)
- Leitor de pastas (
roles/resourcemanager.folderViewer)
|
Básica |
grp-gcp-billing-admin
|
Esse grupo configura contas de faturamento e monitora o uso delas. |
- Administrador da conta de faturamento (
roles/billing.admin)
- Criador da conta de faturamento (
roles/billing.creator)
- Leitor da organização (
roles/resourcemanager.organizationViewer)
|
Básica |
grp-gcp-security-admins
|
Esse grupo estabelece e gerencia políticas de segurança para toda a organização, incluindo gerenciamento de acesso e políticas de restrição.
Para planejar sua infraestrutura de segurança do Cloud de Confiance , consulte o Blueprint de bases empresariais. |
- Leitor de dados do BigQuery (
roles/bigquery.dataViewer)
- Leitor do Compute (
roles/compute.viewer)
- Administrador de pastas do IAM (
roles/resourcemanager.folderIamAdmin)
- Leitor do Kubernetes Engine (
roles/container.viewer)
- Gravador de configuração de registros (
roles/logging.configWriter)
- Leitor de papel da organização (
roles/iam.organizationRoleViewer)
- Administrador da política da organização (
roles/orgpolicy.policyAdmin)
- Leitor da política da organização (
roles/orgpolicy.policyViewer)
- Visualizador de registros particulares (
roles/logging.privateLogViewer)
- Administrador da Central de segurança (
roles/securitycenter.admin)
- Avaliador de segurança (
roles/iam.securityReviewer)
|
Básica |
grp-gcp-billing-viewer
|
Esse grupo monitora os gastos em projetos. Normalmente, os membros do grupo fazem parte da equipe financeira. |
- Leitor da conta de faturamento (
roles/billing.viewer)
|
Básica |
grp-gcp-platform-viewer
|
Esse grupo analisa as informações de recursos em toda a organização Cloud de Confiance. |
- Visualizador (
roles/viewer)
|
Básica |
grp-gcp-security-reviewer
|
Esse grupo analisa a segurança na nuvem. |
- Avaliador de segurança (
roles/iam.securityReviewer)
|
Básica |
grp-gcp-network-viewer
|
Esse grupo analisa as configurações de rede. |
- Leitor da rede do Compute (
roles/compute.networkViewer)
|
Básica |
grp-gcp-audit-viewer
|
Esse grupo visualiza registros de auditoria. |
- Visualizador de registros particulares (
roles/logging.privateLogViewer)
- Visualizador (
roles/viewer)
|
Básica |
grp-gcp-scc-admin
|
Esse grupo administra o Security Command Center. |
- Administrador da Central de segurança (
roles/securitycenter.admin)
|
Básica |
grp-gcp-secrets-admin
|
Esse grupo gerencia secrets no Secret Manager. |
- Administrador do Secret Manager (
roles/secretmanager.admin)
|
Administradores da Plataforma de Agentes |
grp-gcp-vertex-ai-admin
|
Esse grupo tem acesso total a todos os recursos na Plataforma de Agentes. |
- Administrador da Vertex AI (
roles/aiplatform.admin)
|
Leitores da Agent Platform |
grp-gcp-vertex-ai-viewer
|
Esse grupo vê todos os recursos na
Plataforma de Agentes. |
- Leitor da Vertex AI (
roles/aiplatform.viewer)
|
Usuários da Plataforma de Agentes |
grp-gcp-vertex-ai-user
|
Esse grupo usa todos os recursos na Plataforma de Agentes. |
- Usuário da Vertex AI (
roles/aiplatform.user)
|
Administradores do Workbench do Agent Platform |
grp-gcp-vertex-ai-notebook-admin
|
Esse grupo tem acesso total a todos os modelos e ambientes de execução no
Agent Platform Workbench. |
- Administrador do ambiente de execução do notebook (
roles/aiplatform.notebookRuntimeAdmin)
|
Usuários do Workbench da plataforma de agentes |
grp-gcp-vertex-ai-notebook-user
|
Esse grupo cria recursos de ambiente de execução usando um modelo e gerencia
os recursos criados. |
- Usuário do ambiente de execução do notebook (
roles/aiplatform.notebookRuntimeUser)
|
A seguir
Exceto em caso de indicação contrária, o conteúdo desta página é licenciado de acordo com a Licença de atribuição 4.0 do Creative Commons, e as amostras de código são licenciadas de acordo com a Licença Apache 2.0. Para mais detalhes, consulte as políticas do site do Google Developers. Java é uma marca registrada da Oracle e/ou afiliadas.
Última atualização 2026-06-30 UTC.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Não contém as informações de que eu preciso","missingTheInformationINeed","thumb-down"],["Muito complicado / etapas demais","tooComplicatedTooManySteps","thumb-down"],["Desatualizado","outOfDate","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Problema com as amostras / o código","samplesCodeIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2026-06-30 UTC."],[],[]]