Princípios do IAM

No Identity and Access Management (IAM), você controla o acesso para princípios. Um principal representa uma ou mais identidades que foram autenticadas em Trusted Cloud.

Usar princípios nas suas políticas

Para usar os principais participantes nas suas políticas, faça o seguinte:

  1. Configure identidades que o Trusted Cloud pode reconhecer. Configurar identidades é o processo de criar identidades que Trusted Cloud podem ser reconhecidas. É possível configurar identidades para usuários e cargas de trabalho.

    Para saber como configurar identidades, consulte:

  2. Determine o identificador principal que você vai usar. O identificador principal é como você se refere a um principal nas suas políticas. Esse identificador pode se referir a uma única identidade ou a um grupo de identidades.

    O formato usado para o identificador principal depende do seguinte:

    • O tipo de principal
    • O tipo de política em que você quer incluir o principal

    Para conferir o formato do identificador principal de cada tipo de participante em cada tipo de política, consulte Identificadores de participantes.

    Depois de saber o formato do identificador, é possível determinar o identificador exclusivo do principal com base nos atributos dele, como o endereço de e-mail.

  3. Inclua o identificador do principal na sua política. Adicione o principal à política, seguindo o formato dela.

    Para saber mais sobre os diferentes tipos de políticas no IAM, consulte Tipos de políticas.

Suporte a tipos principais

Cada tipo de política do IAM oferece suporte a um subconjunto dos principais tipos com os quais o IAM é compatível. Para conferir os tipos de participantes aceitos para cada tipo de política, consulte Identificadores de participantes.

Tipos de principais

O IAM oferece suporte aos seguintes tipos de principais:

As seções a seguir descrevem esses tipos principais em mais detalhes.

Contas de serviço

Uma conta de serviço é uma conta para uma carga de trabalho de aplicativo ou computação em vez de um usuário final individual. Ao executar um código hospedado no Trusted Cloud, especifique uma conta de serviço para usar como a identidade do aplicativo. Para representar os diferentes componentes lógicos do aplicativo, crie quantas contas de serviço forem necessárias.

Para mais informações sobre contas de serviço, consulte Visão geral das contas de serviço.

allAuthenticatedUsers

O valor allAuthenticatedUsers é um identificador especial que representa todas as contas de serviço.

Esse tipo principal não inclui identidades federadas, que são gerenciadas por provedores de identidade externos (IdPs). Para incluir identidades federadas, use uma das seguintes opções:

Alguns tipos de recursos não são compatíveis com esse tipo principal.

allUsers

O valor allUsers é um identificador especial que representa qualquer pessoa que esteja na Internet, incluindo usuários autenticados e não autenticados.

Alguns tipos de recursos não são compatíveis com esse tipo principal.

As identidades federadas em um pool de Identidades de colaboradores

Uma identidade federada em um pool de identidade de colaboradores é uma identidade de usuário gerenciada por um IdP externo e federada usando a Federação de identidade de colaboradores. É possível usar uma identidade específica em um pool de identidades de colaboradores ou usar determinados atributos para especificar um grupo de identidades de usuário em um pool de identidades de colaboradores.

Identidades federadas em um pool de Identidade da carga de trabalho.

Uma identidade federada em um pool de identidade da carga de trabalho é uma identidade da carga de trabalho gerenciada por um IdP externo e federada usando a federação de identidade da carga de trabalho. É possível usar uma identidade da carga de trabalho específica em um pool de identidades da carga de trabalho ou usar determinados atributos para especificar um grupo de identidades da carga de trabalho em um pool de identidades da carga de trabalho.

Pods do GKE

As cargas de trabalho executadas no GKE usam a Federação de Identidade da Carga de Trabalho para GKE para acessar Trusted Cloud serviços. Para mais informações sobre identificadores principais para pods do GKE, consulte Referenciar recursos do Kubernetes em políticas do IAM.

A seguir