Esta página oferece orientações sobre qual tipo de papel (predefinido, personalizado ou básico) você deve usar para controlar o acesso aos Cloud de Confiance recursos.
A seguir, resumimos nossas recomendações para escolher o tipo de papel a ser usado:
- Recomendamos que você priorize o uso de papéis predefinidos, porque eles são gerenciados pelo Google e oferecem um equilíbrio entre segurança e conveniência.
- Se você precisar de um papel que siga de perto o princípio de privilégio mínimo e não encontrar um papel predefinido que atenda aos seus requisitos de segurança, use papéis personalizados.
- Não use papéis básicos, a menos que não haja alternativa ou que você os esteja usando em um ambiente de teste.
Quando usar papéis predefinidos
Geralmente, recomendamos que você use papéis predefinidos em vez de papéis básicos ou personalizados. Os papéis predefinidos oferecem acesso granular a recursos Cloud de Confiance específicos, são mantidos pelo Google e são atualizados automaticamente quando novas permissões, recursos ou serviços são adicionados ao Cloud de Confiance.
Recomendamos priorizar papéis predefinidos que contenham todas as permissões que um usuário provavelmente precisará para um determinado caso de uso. A maioria dos serviços oferece papéis amplos de administrador, editor e leitor que atendem a essa finalidade. Por exemplo, o papel de administrador do Bigtable oferece permissões administrativas para criar novas instâncias e acesso a todos os dados da tabela em um projeto, e o papel de Leitor do Bigtable oferece acesso de visualização ao Bigtable no o console. Cloud de Confiance
No entanto, há alguns casos em que você pode usar papéis personalizados ou básicos. As seções a seguir descrevem esses casos.
Quando usar papéis personalizados
Ao contrário dos papéis predefinidos, os papéis personalizados não são mantidos pelo Google. Isso significa que, quando Cloud de Confiance o adiciona novas permissões, recursos ou serviços, seus papéis personalizados não são atualizados automaticamente. Por esse motivo, recomendamos conceder os papéis predefinidos mais limitados que atendam às suas necessidades.
No entanto, pode ser apropriado criar e conceder papéis personalizados nos seguintes casos:
- Um principal precisa de uma permissão, mas cada papel predefinido que inclui essa permissão também inclui permissões que o principal não precisa e não deve ter.
Ao usar papéis personalizados, esteja ciente dos seguintes limites:
- Os papéis personalizados podem ter até 3.000 permissões.
- O tamanho total máximo do título, da descrição e dos nomes de permissão de uma função personalizada é de 64 KB.
Há limites para o número de funções personalizadas que você pode criar:
- É possível criar até 300 papéis personalizados no nível da organização.
- É possível criar até 300 papéis personalizados para envolvidos no projeto em cada projeto na sua organização.
Quando usar papéis básicos
Os papéis básicos incluem milhares de permissões em todos os Cloud de Confiance serviços. Em ambientes de produção, não conceda papéis básicos, a menos que não haja uma alternativa. Em vez disso, conceda os papéis predefinidos mais limitados ou personalizados que atendam às suas necessidades.
Pode ser apropriado conceder papéis básicos quando você quiser conceder permissões mais amplas a um projeto. Isso geralmente acontece ao conceder permissões em ambientes de desenvolvimento ou teste.
A seguir
- Saiba como encontrar os papéis predefinidos certos.
- Saiba como criar papéis personalizados.
- Saiba mais sobre papéis básicos.