Na gestão de identidade e de acesso (IAM), controla o acesso para diretores. Um principal representa uma ou mais identidades que foram autenticadas em Cloud de Confiance.
Use entidades principais nas suas políticas
Para usar diretores nas suas políticas, faça o seguinte:
Configure identidades que Cloud de Confiance podem ser reconhecidas. A configuração de identidades é o processo de criação de identidades que o sistema Cloud de Confiance pode reconhecer. Pode configurar identidades para utilizadores e cargas de trabalho.
Para saber como configurar identidades, consulte o seguinte:
- Para saber como configurar identidades para utilizadores, consulte o artigo Identidades para utilizadores.
- Para saber como configurar identidades para cargas de trabalho, consulte o artigo Identidades para cargas de trabalho.
Determine o identificador principal que vai usar. O identificador principal é a forma como se refere a um principal nas suas políticas. Este identificador pode referir-se a uma única identidade ou a um grupo de identidades.
O formato que usa para o identificador principal depende do seguinte:
- O tipo de principal
- O tipo de política no qual quer incluir o principal
Para ver o formato do identificador principal para cada tipo de principal em cada tipo de política, consulte Identificadores principais.
Depois de saber o formato do identificador, pode determinar o identificador único do principal com base nos atributos do principal, como o endereço de email do principal.
Inclua o identificador do diretor na sua política. Adicione o seu principal à política, seguindo o formato da política.
Para saber mais sobre os diferentes tipos de políticas na IAM, consulte o artigo Tipos de políticas.
Suporte para tipos de principais
Cada tipo de política IAM suporta um subconjunto dos tipos de principais que o IAM suporta. Para ver os tipos principais suportados para cada tipo de política, consulte o artigo Identificadores principais.
Tipos de diretores
A tabela seguinte descreve brevemente os diferentes tipos de principais suportados pelo IAM. Para uma descrição detalhada e exemplos de como um tipo principal pode ser apresentado quando usado numa política, clique no nome do tipo principal na tabela.
| Tipo de principal | Descrição | Diretor único ou conjunto de diretores | Gerido pela Google ou federado | Apoio técnico do tipo de política |
|---|---|---|---|---|
| Contas de serviço | Uma conta usada por uma carga de trabalho de máquina em vez de uma pessoa. | Capital principal único | Gerido pela Google |
Os seguintes tipos de políticas suportam contas de serviço:
|
| Um conjunto de contas de serviço | Todas as contas de serviço num projeto, numa pasta ou numa organização. | Conjunto principal que contém contas de serviço. | Gerido pela Google |
Os seguintes tipos de políticas suportam um conjunto de contas de serviço:
|
| Um conjunto de agentes de serviço | Todas as contas de serviço geridas pela Google (agentes de serviço) associadas a um projeto, uma pasta ou uma organização. | Conjunto de principais que contém agentes de serviço. | Gerido pela Google |
Os seguintes tipos de políticas suportam um conjunto de agentes de serviço:
Os seguintes tipos de políticas não suportam um conjunto de agentes de serviço:
|
allAuthenticatedUsers |
Um identificador especial que representa todas as contas de serviço e utilizadores humanos na Internet que foram autenticados com uma Conta Google. |
Conjunto de principais que pode conter os seguintes tipos de principais:
|
Gerido pela Google |
Os seguintes tipos de políticas suportam
Os seguintes tipos de políticas não suportam
|
allUsers |
Um identificador especial que representa qualquer pessoa que esteja na Internet, autenticada e não autenticada. |
Conjunto de principais que pode conter os seguintes tipos de principais:
|
Ambos |
Os seguintes tipos de políticas suportam
|
| Uma única identidade num Workload Identity Pool | Um utilizador humano com uma identidade gerida por um IdP externo e federada através da federação de identidade da força de trabalho. | Capital principal único | Federado |
Os seguintes tipos de políticas suportam uma única identidade num grupo do Workforce Identity:
|
| Um conjunto de diretores num Workforce Identity Pool | Um conjunto de utilizadores humanos com identidades geridas por um IdP externo e federadas através da federação de identidade da força de trabalho. | Conjunto de principais que contém identidades da força de trabalho. | Federado |
Os seguintes tipos de políticas suportam um conjunto de responsáveis num grupo do Workforce Identity:
|
| Um único principal num Workload Identity Pool | Uma carga de trabalho (ou um utilizador da máquina) com uma identidade gerida por um IdP externo e federada através da federação de identidade da carga de trabalho. | Capital principal único | Federado |
Os seguintes tipos de políticas suportam um único principal num Workload Identity Pool:
|
| Um conjunto de responsáveis num Workload Identity Pool | Um conjunto de cargas de trabalho (ou utilizadores de máquinas) com identidades geridas por um IdP externo e federadas através da federação de identidade da carga de trabalho. | Conjunto de principais que contém identidades de carga de trabalho | Federado |
Os seguintes tipos de políticas suportam um conjunto de responsáveis num Workload Identity Pool:
|
| Um conjunto de pods do Google Kubernetes Engine | Uma carga de trabalho (ou um utilizador da máquina) executada e federada através do GKE. | Conjunto de principais que pode conter uma ou mais identidades de cargas de trabalho federadas | Federado |
Os seguintes tipos de políticas suportam pods do GKE:
Os seguintes tipos de políticas não suportam pods do GKE:
|
As secções seguintes descrevem estes tipos principais mais detalhadamente.
Contas de serviço
Uma conta de serviço é uma conta para uma aplicação ou uma carga de trabalho de computação, em vez de um utilizador final individual. As contas de serviço podem ser divididas em contas de serviço geridas pelo utilizador e contas de serviço geridas pela Google, que são denominadas agentes de serviço:
Quando executa código alojado no Cloud de Confiance, especifica uma conta de serviço a usar como identidade para a sua aplicação. Pode criar tantas contas de serviço geridas pelo utilizador quantas forem necessárias para representar os diferentes componentes lógicos da sua aplicação.
Alguns Cloud de Confiance serviços precisam de aceder aos seus recursos para poderem agir em seu nome. A Google cria e gere agentes de serviço para satisfazer esta necessidade.
Pode fazer referência a contas de serviço e agentes de serviço das seguintes formas:
- Uma única conta de serviço
- Todas as contas de serviço num projeto
- Todos os agentes de serviço associados a um projeto.
- Todas as contas de serviço em todos os projetos numa pasta
- Todos os agentes de serviço associados a uma pasta e aos respetivos descendentes
- Todas as contas de serviço em todos os projetos de uma organização
- Todos os agentes de serviço associados a uma organização e aos respetivos descendentes
Os exemplos seguintes mostram como pode identificar uma conta de serviço individual em diferentes tipos de políticas:
- Uma conta de serviço em políticas de permissão:
serviceAccount:my-service-account@my-project.s3ns.iam.gserviceaccount.com - Uma conta de serviço em políticas de recusa:
principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.s3ns.iam.gserviceaccount.com
Os exemplos seguintes mostram como pode identificar todas as contas de serviço de um projeto, uma pasta ou uma organização em diferentes tipos de políticas:
- Todas as contas de serviço de um projeto nas políticas de permissão:
principalSet://cloudresourcemanager.googleapis.com/projects/123456789012/type/ServiceAccount - Todos os agentes de serviço associados a uma pasta em políticas de recusa:
principalSet://cloudresourcemanager.googleapis.com/folders/123456789012/type/ServiceAgent
Para saber mais sobre os formatos de identificadores principais, consulte o artigo Identificadores principais.
Para mais informações sobre contas de serviço, consulte as seguintes páginas:
allAuthenticatedUsers
O valor allAuthenticatedUsers é um identificador especial que representa todas as contas de serviço.
Este tipo principal não inclui identidades federadas, que são geridas por fornecedores de identidade (IdPs) externos. Para incluir identidades federadas, use uma das seguintes opções:
- Para incluir utilizadores de todos os IdPs, use
allUsers. - Para incluir utilizadores de IdPs externos específicos, use o identificador para todas as identidades num grupo do Workforce Identity ou todas as identidades num grupo do Workload Identity.
Alguns tipos de recursos não suportam este tipo de principal.
allUsers
O valor allUsers é um identificador especial que representa qualquer pessoa na Internet, incluindo utilizadores autenticados e não autenticados.
Alguns tipos de recursos não suportam este tipo de principal.
Os exemplos seguintes mostram o aspeto do identificador allUsers em diferentes tipos de políticas:
- Permitir políticas em tipos de recursos suportados:
allUsers - Políticas de recusa:
principalSet://goog/public:all
Para saber mais sobre os formatos de identificadores principais, consulte o artigo Identificadores principais.
Identidades federadas num Workload Identity Pool
Um Workforce Identity Pool é um conjunto de identidades de utilizadores gerido por um IdP externo e federado através da federação de identidade da força de trabalho. Pode fazer referência a diretores nestes conjuntos das seguintes formas:
- Uma única identidade num Workload Identity Pool
- Todas as identidades da força de trabalho num grupo especificado
- Todas as identidades da força de trabalho com um valor de atributo específico
- Todas as identidades num Workload Identity Pool
Os exemplos seguintes mostram como pode identificar pools de identidades de força de trabalho federada em diferentes tipos de políticas:
- Uma única identidade nas políticas de permissão:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - Um grupo de identidades em políticas de recusa:
principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com
Para saber mais sobre os formatos de identificadores principais, consulte o artigo Identificadores principais.
Identidades federadas num Workload Identity Pool
Um Workload Identity Pool é um conjunto de identidades de carga de trabalho gerido por um IdP externo e federado através da federação de identidades de cargas de trabalho. Pode fazer referência a diretores nestes conjuntos das seguintes formas:
- Uma única identidade num Workload Identity Pool
- Todas as identidades de carga de trabalho num grupo especificado
- Todas as identidades de carga de trabalho com um valor de atributo específico
- Todas as identidades num Workload Identity Pool
Os exemplos seguintes mostram como pode identificar pools de identidades de carga de trabalho federada em diferentes tipos de políticas:
- Uma única identidade nas políticas de permissão:
principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com - Um grupo de identidades em políticas de recusa:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com
Para saber mais sobre os formatos de identificadores principais, consulte o artigo Identificadores principais.
Pods do GKE
As cargas de trabalho executadas no GKE usam a federação de identidades da carga de trabalho para o GKE para aceder aos serviços Cloud de Confiance . Para mais informações sobre os identificadores principais dos pods do GKE, consulte o artigo Faça referência a recursos do Kubernetes em políticas do IAM.
O exemplo seguinte mostra como pode identificar todos os pods do GKE num cluster específico numa política de autorização:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/123456789012.s3ns.svc.id.goog/kubernetes.cluster/https://container.googleapis.com/v1/projects/123456789012/locations/global/clusters/example-gke-cluster
Para saber mais sobre os formatos de identificadores principais, consulte o artigo Identificadores principais.
O que se segue?
- Saiba mais sobre os tipos de políticas suportados pelo IAM
- Conceda uma função a um principal num projeto, numa pasta ou numa organização do Resource Manager