Algumas ou todas as informações nesta página podem não se aplicar à nuvem confiável da S3NS.

Tipos de políticas do IAM

O Identity and Access Management (IAM) oferece vários tipos de políticas para ajudar você a controlar quais recursos os principais podem acessar. Nesta página, você entenderá as diferenças entre o uso e o gerenciamento desses tipos de política.

Tipos de políticas do IAM

O IAM oferece os seguintes tipos de políticas:

Permitir políticas
Políticas de negação

A tabela a seguir resume as diferenças entre esses tipos de política:

Política	Função da política	API usada para gerenciar a política	Relação entre políticas e metas	Método de anexação de políticas ao destino	Recurso pai da política
Permitir políticas	Conceder acesso a recursos para os principais	A API do recurso que você quer gerenciar políticas de permissão	Relação de um para um Cada política de permissão é anexada a um recurso, e cada recurso só pode ter uma política de permissão.	Especifique o recurso ao criar a política	Igual ao recurso ao qual a política de permissão está anexada
Políticas de negação	Garantir que os principais não possam usar permissões específicas	A API IAM v2	Relação de um para muitos Cada política de negação é anexada a um recurso. Cada recurso pode ter até 500 políticas de negação.	Especificar o recurso ao criar a política de negação	Igual ao recurso ao qual a política de negação está anexada

Política

Função da política

API usada para gerenciar a política

Relação entre políticas e metas

Método de anexação de políticas ao destino

Recurso pai da política

Permitir políticas

Conceder acesso a recursos para os principais

A API do recurso que você quer gerenciar políticas de permissão

Relação de um para um

Cada política de permissão é anexada a um recurso, e cada recurso só pode ter uma política de permissão.

Especifique o recurso ao criar a política

Igual ao recurso ao qual a política de permissão está anexada

Políticas de negação

Garantir que os principais não possam usar permissões específicas

A API IAM v2

Relação de um para muitos

Cada política de negação é anexada a um recurso. Cada recurso pode ter até 500 políticas de negação.

Especificar o recurso ao criar a política de negação

Igual ao recurso ao qual a política de negação está anexada

As seções a seguir fornecem detalhes sobre cada tipo de política.

Políticas para conceder acesso a principais

Para conceder acesso a recursos aos principais, use as políticas de permissão do IAM.

As políticas de permissão permitem conceder acesso a recursos no Google Cloud. As políticas de permissão são compostas por vinculações de papéis e metadados. As vinculações de papel especificam quais principais precisam ter um determinado papel no recurso.

As políticas de permissão são sempre anexadas a um único recurso. Depois de anexar uma política de permissão a um recurso, ela é herdada pelos descendentes desse recurso.

Para criar e aplicar uma política de permissão, identifique um recurso que aceita políticas de permissão e use o método setIamPolicy desse recurso para criar a política de permissão. Todos os principais na política de permissão recebem os papéis especificados no recurso e em todos os descendentes dele. Cada recurso pode ter apenas uma política de permissão anexada.

Para mais informações sobre políticas de permissão, consulte Noções básicas sobre políticas de permissão.

Políticas para negar acesso a principais

Para negar o acesso de membros aos recursos, use as políticas de negação do IAM. As políticas de negação do IAM estão disponíveis na API IAM v2.

As políticas de negação, como as de permissão, são sempre anexadas a um único recurso. É possível anexar uma política de negação a um projeto, uma pasta ou uma organização. Esse projeto, pasta ou organização também atua como pai da política na hierarquia de recursos. Depois de anexar uma política de negação a um recurso, ela é herdada pelos descendentes desse recurso.

Para criar e aplicar políticas de negação, use a API IAM v2. Ao criar uma política de negação, você especifica o recurso a que ela está anexada. Todos os principais na política de negação não podem usar as permissões especificadas para acessar esse recurso e qualquer um dos descendentes dele. Cada recurso pode ter até 500 políticas de negação anexadas.

Para mais informações sobre políticas de negação, consulte Políticas de negação.

Avaliação da política

Quando um principal tenta acessar um recurso, o IAM avalia todas as políticas de permissão e negação relevantes para ver se o principal tem permissão para acessar o recurso. Se alguma dessas políticas indicar que o principal não pode acessar o recurso, o IAM vai impedir o acesso.

Na realidade, o IAM avalia todos os tipos de política simultaneamente e, em seguida, compila os resultados para determinar se o principal pode acessar o recurso. No entanto, pode ser útil pensar que essa avaliação de política ocorre nas seguintes etapas:

O IAM verifica todas as políticas de negação relevantes para ver se a permissão da conta principal foi negada. As políticas de negação relevantes são as políticas de negação anexadas ao recurso, bem como quaisquer políticas de negação herdadas.
- Se qualquer uma dessas políticas de negação impedir que o principal use uma permissão necessária, o IAM impedirá o acesso ao recurso.
- Se nenhuma política de negação impedir que o principal use uma permissão necessária, o IAM prosseguirá para a próxima etapa.
O IAM verifica todas as políticas de permissão relevantes para ver se o principal tem as permissões necessárias. As políticas de permissão relevantes são as anexadas ao recurso, bem como quaisquer políticas de permissão herdadas.
- Se o principal não tiver as permissões necessárias, o IAM impedirá o acesso.
- Se o principal tiver as permissões necessárias, o IAM permitirá que elas acessem o recurso.

O diagrama a seguir mostra esse fluxo de avaliação da política:

Fluxo de avaliação da política do IAM

A seguir

Saiba mais sobre as políticas de permissão.
Saiba mais sobre as políticas de negação.