No Identity and Access Management (IAM), você controla o acesso para princípios. Um principal representa uma ou mais identidades que foram autenticadas em Trusted Cloud.
Usar princípios nas suas políticas
Para usar os principais participantes nas suas políticas, faça o seguinte:
Configure identidades que o Trusted Cloud pode reconhecer. Configurar identidades é o processo de criar identidades que Trusted Cloud podem ser reconhecidas. É possível configurar identidades para usuários e cargas de trabalho.
Para saber como configurar identidades, consulte:
- Para saber como configurar identidades para usuários, consulte Identidades para usuários.
- Para saber como configurar identidades para cargas de trabalho, consulte Identidades para cargas de trabalho.
Determine o identificador principal que você vai usar. O identificador principal é como você se refere a um principal nas suas políticas. Esse identificador pode se referir a uma única identidade ou a um grupo de identidades.
O formato usado para o identificador principal depende do seguinte:
- O tipo de principal
- O tipo de política em que você quer incluir o principal
Para conferir o formato do identificador principal de cada tipo de participante em cada tipo de política, consulte Identificadores de participantes.
Depois de saber o formato do identificador, é possível determinar o identificador exclusivo do principal com base nos atributos dele, como o endereço de e-mail.
Inclua o identificador do principal na sua política. Adicione o principal à política, seguindo o formato dela.
Para saber mais sobre os diferentes tipos de políticas no IAM, consulte Tipos de políticas.
Suporte a tipos principais
Cada tipo de política do IAM oferece suporte a um subconjunto dos principais tipos com os quais o IAM é compatível. Para conferir os tipos de participantes aceitos para cada tipo de política, consulte Identificadores de participantes.
Tipos de principais
O IAM oferece suporte aos seguintes tipos de principais:
- Contas de serviço
allAuthenticatedUsers
allUsers
- Uma ou mais identidades federadas em um pool de identidades de colaboradores
- Uma ou mais identidades federadas em um pool de identidade da carga de trabalho
- Um conjunto de pods do Google Kubernetes Engine
As seções a seguir descrevem esses tipos principais em mais detalhes.
Contas de serviço
Uma conta de serviço é uma conta para uma carga de trabalho de aplicativo ou computação em vez de um usuário final individual. Ao executar um código hospedado no Trusted Cloud, especifique uma conta de serviço para usar como a identidade do aplicativo. Para representar os diferentes componentes lógicos do aplicativo, crie quantas contas de serviço forem necessárias.
Para mais informações sobre contas de serviço, consulte Visão geral das contas de serviço.
allAuthenticatedUsers
O valor allAuthenticatedUsers
é um identificador especial que representa todas
as contas de serviço.
Esse tipo principal não inclui identidades federadas, que são gerenciadas por provedores de identidade externos (IdPs). Para incluir identidades federadas, use uma das seguintes opções:
- Para incluir usuários de todos os IdPs, use
allUsers
. - Para incluir usuários de IdPs externos específicos, use o identificador para todas as identidades em um pool de identidades da força de trabalho ou todas as identidades em um pool de identidades da carga de trabalho.
Alguns tipos de recursos não são compatíveis com esse tipo principal.
allUsers
O valor allUsers
é um identificador especial que representa qualquer pessoa que esteja na Internet, incluindo usuários autenticados e não autenticados.
Alguns tipos de recursos não são compatíveis com esse tipo principal.
As identidades federadas em um pool de Identidades de colaboradores
Uma identidade federada em um pool de identidade de colaboradores é uma identidade de usuário gerenciada por um IdP externo e federada usando a Federação de identidade de colaboradores. É possível usar uma identidade específica em um pool de identidades de colaboradores ou usar determinados atributos para especificar um grupo de identidades de usuário em um pool de identidades de colaboradores.
Identidades federadas em um pool de Identidade da carga de trabalho.
Uma identidade federada em um pool de identidade da carga de trabalho é uma identidade da carga de trabalho gerenciada por um IdP externo e federada usando a federação de identidade da carga de trabalho. É possível usar uma identidade da carga de trabalho específica em um pool de identidades da carga de trabalho ou usar determinados atributos para especificar um grupo de identidades da carga de trabalho em um pool de identidades da carga de trabalho.
Pods do GKE
As cargas de trabalho executadas no GKE usam a Federação de Identidade da Carga de Trabalho para GKE para acessar Trusted Cloud serviços. Para mais informações sobre identificadores principais para pods do GKE, consulte Referenciar recursos do Kubernetes em políticas do IAM.
A seguir
- Saiba mais sobre os tipos de políticas compatíveis com o IAM.
- Conceder uma função a um principal em um projeto, pasta ou organização do Resource Manager