A gestão de identidade e de acesso (IAM) oferece vários tipos de políticas para ajudar a controlar a que recursos os principais podem aceder. Esta página ajuda a compreender as diferenças entre a forma como usa e gere estes tipos de políticas.
Tipos de políticas de IAM no Trusted Cloud
O IAM oferece os seguintes tipos de políticas:
- Políticas de permissão
- Políticas de recusa
A tabela seguinte resume as diferenças entre estes tipos de políticas:
| Política | Função da política | API usada para gerir a política | Relação entre políticas e alvos | Método de anexação de políticas ao alvo | Recurso principal da política |
|---|---|---|---|---|---|
| Políticas de permissão | Conceda aos principais acesso aos recursos | A API do recurso para o qual quer gerir políticas de permissão |
Relação um-para-um Cada política de permissão está associada a um recurso. Cada recurso só pode ter uma política de permissão |
Especifique o recurso ao criar a política | Igual ao recurso ao qual a política de autorização está anexada |
| Políticas de recusa | Certifique-se de que os responsáveis não podem usar autorizações específicas | A API IAM v2 |
Relação um-para-muitos Cada política de recusa está anexada a um recurso. Cada recurso pode ter até 500 políticas de recusa |
Especifique o recurso ao criar a política de recusa | Igual ao recurso ao qual a política de negação está anexada |
As secções seguintes fornecem detalhes sobre cada tipo de política.
Políticas para conceder acesso a principais
Para conceder aos responsáveis acesso aos recursos, use políticas de permissão do IAM.
As políticas de autorização permitem-lhe conceder acesso a recursos no Trusted Cloud. As políticas de autorização são compostas por associações de funções e metadados. As associações de funções especificam que principais devem ter uma determinada função no recurso.
As políticas de autorização estão sempre anexadas a um único recurso. Depois de anexar uma política de autorização a um recurso, a política é herdada pelos descendentes desse recurso.
Para criar e aplicar uma política de permissão, identifica um recurso que aceita políticas de permissão e, em seguida, usa o método setIamPolicy desse recurso para criar a política de permissão. A todos os responsáveis na política de autorização são atribuídas as funções especificadas no recurso e em todos os descendentes do recurso. Cada recurso só pode ter uma política de permissão anexada.
Para mais informações acerca das políticas de autorização, consulte o artigo Compreender as políticas de autorização.
Políticas para negar o acesso a responsáveis
Para negar o acesso de responsáveis a recursos, use políticas de negação do IAM. As políticas de negação do IAM estão disponíveis na API IAM v2.
As políticas de recusa, tal como as políticas de permissão, estão sempre anexadas a um único recurso. Pode anexar uma política de recusa a um projeto, uma pasta ou uma organização. Este projeto, pasta ou organização também funciona como o elemento principal da política na hierarquia de recursos. Depois de anexar uma política de recusa a um recurso, a política é herdada pelos descendentes desse recurso.
Para criar e aplicar políticas de negação, usa a API IAM v2. Quando cria uma política de recusa, especifica o recurso ao qual a política de recusa está anexada. Todos os principais na política de recusa são impedidos de usar as permissões especificadas para aceder a esse recurso e a qualquer um dos descendentes desse recurso. Cada recurso pode ter até 500 políticas de recusa anexadas.
Para mais informações acerca das políticas de recusa, consulte o artigo Políticas de recusa.
Avaliação de políticas
Quando um principal tenta aceder a um recurso, o IAM avalia todas as políticas de autorização e negação relevantes para verificar se o principal tem autorização para aceder ao recurso. Se alguma destas políticas indicar que o principal não deve poder aceder ao recurso, o IAM impede o acesso.
Na realidade, a IAM avalia todos os tipos de políticas em simultâneo e, em seguida, compila os resultados para determinar se o principal pode aceder ao recurso. No entanto, pode ser útil pensar nesta avaliação de políticas que ocorre nas seguintes fases:
-
O IAM verifica todas as políticas de recusa relevantes para ver se a autorização foi recusada ao principal. As políticas de recusa relevantes são as políticas de recusa anexadas ao recurso, bem como quaisquer políticas de recusa herdadas.
- Se alguma destas políticas de negação impedir o principal de usar uma autorização necessária, o IAM impede o acesso ao recurso.
- Se nenhuma política de recusa impedir o principal de usar uma autorização obrigatória, o IAM continua para o passo seguinte.
-
O IAM verifica todas as políticas de permissão relevantes para ver se o principal tem as autorizações necessárias. As políticas de autorização relevantes são as políticas de autorização anexadas ao recurso, bem como quaisquer políticas de autorização herdadas.
- Se o principal não tiver as autorizações necessárias, o IAM impede o acesso ao recurso.
- Se o principal tiver as autorizações necessárias, o IAM permite-lhe aceder ao recurso.
O diagrama seguinte mostra este fluxo de avaliação de políticas:
O que se segue?
- Saiba mais acerca das políticas de autorização.
- Saiba mais acerca das políticas de recusa.