A gestão de identidade e de acesso (IAM) oferece vários tipos de políticas para ajudar a controlar a que recursos os principais podem aceder. Esta página ajuda a compreender as diferenças entre a forma como usa e gere estes tipos de políticas.
Tipos de políticas de IAM no Cloud de Confiance
O IAM oferece os seguintes tipos de políticas:
- Políticas de permissão
- Políticas de recusa
A tabela seguinte resume as diferenças entre estes tipos de políticas:
| Política | Função da política | API usada para gerir a política | Relação entre políticas e alvos | Método de anexação de políticas ao alvo | Recurso principal da política |
|---|---|---|---|---|---|
| Políticas de permissão | Conceda aos principais acesso aos recursos | A API do recurso para o qual quer gerir políticas de permissão |
Relação individual Cada política de permissão está associada a um recurso. Cada recurso só pode ter uma política de permissão |
Especifique o recurso ao criar a política | Igual ao recurso ao qual a política de permissão está anexada |
| Políticas de recusa | Certifique-se de que os responsáveis não podem usar autorizações específicas | A API IAM v2 |
Relação um-para-muitos Cada política de recusa está anexada a um recurso. Cada recurso pode ter até 500 políticas de recusa |
Especifique o recurso ao criar a política de recusa | Igual ao recurso ao qual a política de negação está anexada |
As secções seguintes fornecem detalhes sobre cada tipo de política.
Políticas para conceder acesso a principais
Para conceder aos principais acesso a recursos, use uma das seguintes políticas:
- Use políticas de permissão para conceder acesso a qualquer tipo de recurso.
- Use políticas de acesso para conceder acesso a recursos do Eventarc.
As políticas de autorização permitem-lhe conceder acesso a recursos no Cloud de Confiance. As políticas de permissão são compostas por associações de funções e metadados. As associações de funções especificam que principais devem ter uma determinada função no recurso.
As políticas de permissão estão sempre anexadas a um único recurso. Depois de anexar uma política de autorização a um recurso, a política é herdada pelos descendentes desse recurso.
Para criar e aplicar uma política de autorização, identifica um recurso que aceita políticas de autorização e, em seguida, usa o método setIamPolicy desse recurso para criar a política de autorização. A todos os responsáveis na política de autorização são atribuídas as funções especificadas no recurso e em todos os descendentes do recurso. Cada recurso só pode ter uma política de permissão anexada.
Para mais informações sobre as políticas de autorização, consulte o artigo Compreender as políticas de autorização.
Políticas para negar o acesso a responsáveis
Para negar o acesso de responsáveis a recursos, use uma das seguintes opções:
- Use políticas de negação para negar o acesso a qualquer tipo de recurso.
- Use políticas de acesso para negar o acesso a recursos do Eventarc.
As políticas de recusa, tal como as políticas de permissão, estão sempre anexadas a um único recurso. Pode anexar uma política de recusa a um projeto, uma pasta ou uma organização. Este projeto, pasta ou organização também funciona como o principal da política na hierarquia de recursos. Depois de anexar uma política de recusa a um recurso, a política é herdada pelos descendentes desse recurso.
Para criar e aplicar políticas de negação, usa a API IAM v2. Quando cria uma política de recusa, especifica o recurso ao qual a política de recusa está anexada. Todos os principais na política de recusa são impedidos de usar as autorizações especificadas para aceder a esse recurso e a qualquer um dos descendentes desse recurso. Cada recurso pode ter até 500 políticas de recusa anexadas.
Para mais informações acerca das políticas de recusa, consulte o artigo Políticas de recusa.
Avaliação de políticas
Quando um principal tenta aceder a um recurso, o IAM avalia todas as políticas de autorização e negação relevantes para ver se o principal tem autorização para aceder ao recurso. Se alguma destas políticas indicar que o principal não deve poder aceder ao recurso, o IAM impede o acesso.
Na realidade, a IAM avalia todos os tipos de políticas em simultâneo e, em seguida, compila os resultados para determinar se o principal pode aceder ao recurso. No entanto, pode ser útil pensar nesta avaliação de políticas que ocorre nas seguintes fases:
-
O IAM verifica todas as políticas de recusa relevantes para ver se a autorização foi recusada ao principal. As políticas de recusa relevantes são as políticas de recusa anexadas ao recurso, bem como quaisquer políticas de recusa herdadas.
- Se alguma destas políticas de negação impedir o principal de usar uma autorização necessária, o IAM impede o principal de aceder ao recurso.
- Se nenhuma política de recusa impedir o principal de usar uma autorização obrigatória, o IAM avança para o passo seguinte.
-
O IAM verifica todas as políticas de permissão relevantes para ver se o principal tem as autorizações necessárias. As políticas de autorização relevantes são as políticas de autorização anexadas ao recurso, bem como quaisquer políticas de autorização herdadas.
- Se o principal não tiver as autorizações necessárias, o IAM impede o acesso ao recurso.
- Se o principal tiver as autorizações necessárias, o IAM permite-lhe aceder ao recurso.
O diagrama seguinte mostra este fluxo de avaliação de políticas:
O que se segue?
- Saiba mais acerca das políticas de autorização.
- Saiba mais acerca das políticas de recusa.