Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Funções e permissões

Esta página descreve as funções da gestão de identidade e de acesso (IAM), que são coleções de autorizações da IAM.

Uma função contém um conjunto de autorizações que lhe permite realizar ações específicas em Trusted Cloud recursos. Para disponibilizar autorizações a membros, incluindo utilizadores, grupos e contas de serviço, atribui funções aos membros.

Antes de começar

Compreenda os conceitos básicos da IAM.

Tipos de funções

Existem três tipos de funções na IAM:

Funções básicas, que oferecem um acesso amplo aos Trusted Cloud recursos.
Funções predefinidas, que oferecem acesso detalhado a um serviço específico e são geridas pela Trusted Cloud.
Funções personalizadas, que oferecem acesso detalhado de acordo com uma lista de autorizações especificada pelo utilizador.

Para determinar se uma autorização está incluída numa função básica, predefinida ou personalizada, pode usar um dos seguintes métodos:

Veja a função na Trusted Cloud consola.

Aceda a Funções
Execute o comando gcloud iam roles describe.
Obtenha a função através do método da API REST adequado:
- Para funções predefinidas, use roles.get().
- Para funções personalizadas ao nível do projeto, use projects.roles.get().
- Para funções personalizadas ao nível da organização, use organizations.roles.get().
Apenas para funções básicas e predefinidas: pesquise a referência de autorizações para ver se a autorização é concedida pela função.
Apenas para funções predefinidas: pesquise as descrições das funções predefinidas para ver que autorizações a função inclui.

Para orientações sobre quando usar tipos de funções específicos, consulte Escolha que tipo de função usar.

Componentes da função

Cada função tem os seguintes componentes:

Título: um nome legível para a função. O título da função é usado para identificar a função na Trusted Cloud consola.
Nome: um identificador para a função num dos seguintes formatos:
- Funções predefinidas: roles/SERVICE.IDENTIFIER
- Funções personalizadas ao nível do projeto: projects/PROJECT_ID/roles/IDENTIFIER
- Funções personalizadas ao nível da organização: organizations/ORG_ID/roles/IDENTIFIER
O nome da função é usado para identificar a função nas políticas de autorização.
ID: um identificador exclusivo da função. Para funções básicas e predefinidas, o ID é igual ao nome da função. Para funções personalizadas, o ID é tudo o que se encontra após roles/ no nome da função.
Descrição: uma descrição legível da função.
Fase: a fase da função no ciclo de vida do lançamento, como ALPHA, BETA ou GA. Para saber mais acerca das fases de lançamento, consulte o artigo Testar e implementar.
Autorizações: as autorizações incluídas na função. As autorizações permitem que os principais realizem ações específicas em Trusted Cloud by S3NS recursos. Quando concede uma função a um principal, o principal recebe todas as autorizações na função.

As autorizações têm o seguinte formato:
```
SERVICE.RESOURCE.VERB
```
Por exemplo, a autorização compute.instances.list permite que um utilizador liste as instâncias do Compute Engine que detém e a autorização compute.instances.stop permite que um utilizador pare uma VM.

Normalmente, mas nem sempre, as autorizações correspondem 1:1 aos métodos REST. Ou seja, cada Trusted Cloud serviço tem uma autorização associada para cada método REST que possui. Para chamar um método, o autor da chamada precisa da autorização associada. Por exemplo, para chamar o método projects.topics.publish da API Pub/Sub, precisa da autorização pubsub.topics.publish.
ETag: um identificador para a versão da função para ajudar a impedir que as atualizações simultâneas se substituam mutuamente. As funções básicas e predefinidas têm sempre o ETag AA==. As ETags das funções personalizadas mudam sempre que modifica as funções.

Funções básicas

As funções básicas são funções altamente permissivas que concedem acesso amplo aos Trusted Cloud recursos.

As funções básicas no IAM são Administrador (roles/admin), Escritor (roles/writer) e Leitor (roles/reader). O IAM também tem três funções básicas antigas que existiam antes da introdução do IAM: Proprietário (roles/owner), Editor (roles/editor) e Visualizador (roles/viewer). Para saber mais acerca destas funções, consulte a secção Funções básicas antigas nesta página.

A tabela seguinte resume as autorizações que o administrador, o autor e o leitor concedem aos principais em todos os serviços Trusted Cloud :

Função básica Autorizações

Função básica	Autorizações
Leitor (`roles/reader`)	Autorizações para ações só de leitura que não afetam o estado, como a visualização (mas não a modificação) de recursos ou dados existentes. Para ver uma lista de autorizações na função de leitor, consulte os detalhes da função na consola: Trusted Cloud Aceder à função Leitor
Escritor (`roles/writer`)	Todas as autorizações na função Leitor, mais autorizações para ações que modificam o estado, como alterar recursos existentes. As autorizações na função de escritor permitem-lhe criar e eliminar recursos para a maioria dos Trusted Cloud serviços. No entanto, a função de escritor não contém autorizações para realizar todas as ações para todos os serviços. Para mais informações sobre como verificar se uma função tem as autorizações de que precisa, consulte Tipos de funções nesta página. Para ver uma lista de autorizações na função de escritor, consulte os detalhes da função na Trusted Cloud consola: Aceder à função de escritor
Administrador (`roles/admin`)	Todas as autorizações na função de redator, mais autorizações para ações como as seguintes: Concluir tarefas confidenciais, como gerir associações de etiquetas para recursos do Compute Engine Gerir funções e autorizações para um projeto e todos os recursos no projeto Configurar a faturação para um projeto A função de administrador não contém todas as autorizações para todos os Trusted Cloud recursos. Por exemplo, não contém autorizações para modificar as suas informações de pagamento do Cloud Billing nem criar políticas de negação da IAM. Para ver uma lista de autorizações na função de administrador, consulte os detalhes da função na Trusted Cloud consola: Aceda à função de administrador

Leitor (roles/reader)

Autorizações para ações só de leitura que não afetam o estado, como a visualização (mas não a modificação) de recursos ou dados existentes.

Para ver uma lista de autorizações na função de leitor, consulte os detalhes da função na consola: Trusted Cloud

Aceder à função Leitor

Escritor (roles/writer)

Todas as autorizações na função Leitor, mais autorizações para ações que modificam o estado, como alterar recursos existentes.

As autorizações na função de escritor permitem-lhe criar e eliminar recursos para a maioria dos Trusted Cloud serviços. No entanto, a função de escritor não contém autorizações para realizar todas as ações para todos os serviços. Para mais informações sobre como verificar se uma função tem as autorizações de que precisa, consulte Tipos de funções nesta página.

Para ver uma lista de autorizações na função de escritor, consulte os detalhes da função na Trusted Cloud consola:

Aceder à função de escritor

Administrador (roles/admin)

Todas as autorizações na função de redator, mais autorizações para ações como as seguintes:

Concluir tarefas confidenciais, como gerir associações de etiquetas para recursos do Compute Engine
Gerir funções e autorizações para um projeto e todos os recursos no projeto
Configurar a faturação para um projeto

A função de administrador não contém todas as autorizações para todos os Trusted Cloud recursos. Por exemplo, não contém autorizações para modificar as suas informações de pagamento do Cloud Billing nem criar políticas de negação da IAM.

Para ver uma lista de autorizações na função de administrador, consulte os detalhes da função na Trusted Cloud consola:

Aceda à função de administrador

Não pode usar a Trusted Cloud consola para conceder as funções de leitor, escritor ou administrador. Em alternativa, use a API ou a CLI gcloud. Também pode criar concessões para estas funções através do Gestor de acesso privilegiado.

Para ver instruções, consulte o artigo Conceder, alterar e revogar acesso.

Funções básicas antigas

As funções básicas antigas existiam antes da introdução da IAM. Eram originalmente conhecidas como funções primitivas. Ao contrário de outras funções básicas, não pode adicionar condições a associações de funções para funções básicas antigas.

As funções básicas antigas são Proprietário (roles/owner), Editor (roles/editor) e Visitante (roles/viewer).

Quando concede uma função básica antiga a um principal, o principal recebe todas as autorizações na função. O principal também recebe todas as autorizações que os serviços fornecem aos principais com funções básicas antigas, por exemplo, autorizações obtidas através de valores de conveniência do Cloud Storage e adesão a grupos especiais do BigQuery.

A tabela seguinte resume as autorizações que as funções básicas antigas concedem aos diretores em todos os Trusted Cloud serviços:

Função básica antiga Autorizações

Função básica antiga	Autorizações
Leitor (`roles/viewer`)	Autorizações para ações só de leitura que não afetam o estado, como a visualização (mas não a modificação) de recursos ou dados existentes. Para ver uma lista de autorizações na função de Leitor, consulte os detalhes da função na Trusted Cloud consola: Aceda à função Visitante
Editor (`roles/editor`)	Todas as autorizações de visualização, mais autorizações para ações que modificam o estado, como alterar recursos existentes. As autorizações na função de editor permitem-lhe criar e eliminar recursos para a maioria dos Trusted Cloud serviços. No entanto, a função de editor não contém autorizações para realizar todas as ações para todos os serviços. Para mais informações sobre como verificar se uma função tem as autorizações de que precisa, consulte Tipos de funções nesta página. Para ver uma lista de autorizações na função de editor, consulte os detalhes da função na Trusted Cloud consola: Aceda à função Editor
Proprietário (`roles/owner`)	Todas as autorizações de editor, mais autorizações para ações como as seguintes: Concluir tarefas confidenciais, como gerir associações de etiquetas para recursos do Compute Engine Gerir funções e autorizações para um projeto e todos os recursos no projeto Configurar a faturação para um projeto A função de proprietário não contém todas as autorizações para todos os Trusted Cloud recursos. Por exemplo, não contém autorizações para modificar as suas informações de pagamento do Cloud Billing nem criar políticas de negação da IAM. Para ver uma lista de autorizações na função de proprietário, consulte os detalhes da função na Trusted Cloud consola: Aceda à função de proprietário

Leitor (roles/viewer)

Autorizações para ações só de leitura que não afetam o estado, como a visualização (mas não a modificação) de recursos ou dados existentes.

Para ver uma lista de autorizações na função de Leitor, consulte os detalhes da função na Trusted Cloud consola:

Aceda à função Visitante

Editor (roles/editor)

Todas as autorizações de visualização, mais autorizações para ações que modificam o estado, como alterar recursos existentes.

As autorizações na função de editor permitem-lhe criar e eliminar recursos para a maioria dos Trusted Cloud serviços. No entanto, a função de editor não contém autorizações para realizar todas as ações para todos os serviços. Para mais informações sobre como verificar se uma função tem as autorizações de que precisa, consulte Tipos de funções nesta página.

Para ver uma lista de autorizações na função de editor, consulte os detalhes da função na Trusted Cloud consola:

Aceda à função Editor

Proprietário (roles/owner)

Todas as autorizações de editor, mais autorizações para ações como as seguintes:

Concluir tarefas confidenciais, como gerir associações de etiquetas para recursos do Compute Engine
Gerir funções e autorizações para um projeto e todos os recursos no projeto
Configurar a faturação para um projeto

A função de proprietário não contém todas as autorizações para todos os Trusted Cloud recursos. Por exemplo, não contém autorizações para modificar as suas informações de pagamento do Cloud Billing nem criar políticas de negação da IAM.

Para ver uma lista de autorizações na função de proprietário, consulte os detalhes da função na Trusted Cloud consola:

Aceda à função de proprietário

Geralmente, pode conceder funções básicas antigas através da Trusted Cloud consola, da API ou da CLI gcloud. No entanto, tem de usar a Trusted Cloud consola para conceder a função de proprietário nas seguintes situações:

O utilizador ao qual está a conceder a função de proprietário não faz parte da sua organização.
O projeto no qual está a conceder a função de proprietário não faz parte de nenhuma organização.

Além disso, só pode conceder a função de proprietário aos seguintes tipos de diretores:

Contas do Google
Contas de serviço na sua organização
Grupos Google na sua organização

Para saber como conceder funções, consulte o artigo Conceder, alterar e revogar acesso.

Funções predefinidas

Além das funções básicas, o IAM oferece funções predefinidas adicionais que concedem acesso detalhado a recursos específicos. Trusted CloudEstas funções são criadas e mantidas pela Google. A Google atualiza automaticamente as respetivas autorizações conforme necessário, por exemplo, quando Trusted Cloud adiciona novas funcionalidades ou serviços.

Pode conceder várias funções ao mesmo utilizador em qualquer nível da hierarquia de recursos. Por exemplo, o mesmo utilizador pode ter as funções de administrador de rede de computação e leitor de registos num projeto, e também ter a função de publicador do Pub/Sub num tópico do Pub/Sub nesse projeto. Para listar as autorizações contidas numa função, consulte o artigo Obter os metadados da função.

Para obter ajuda na escolha das funções predefinidas mais adequadas, consulte o artigo Encontre as funções predefinidas certas.

Para ver uma lista de funções predefinidas, consulte a referência de funções.

Funções personalizadas

O IAM também lhe permite criar funções IAM personalizadas. As funções personalizadas ajudam a aplicar o princípio do menor privilégio, porque ajudam a garantir que os principais na sua organização têm apenas as autorizações de que precisam.

As funções personalizadas são definidas pelo utilizador e permitem-lhe agrupar uma ou mais autorizações suportadas para satisfazer as suas necessidades específicas. Quando cria uma função personalizada, tem de escolher uma organização ou um projeto no qual a criar. Em seguida, pode conceder a função personalizada na organização ou no projeto, bem como em quaisquer recursos nessa organização ou nesse projeto. Só pode criar 300 por organização e 300 por projeto.

Só pode conceder uma função personalizada no projeto ou na organização em que a criou. Não pode conceder funções personalizadas noutros projetos ou organizações, nem em recursos noutros projetos ou organizações.

Cria uma função personalizada combinando uma ou mais das autorizações do IAM suportadas.

Autorizações suportadas

Pode incluir muitas, mas não todas, as autorizações de IAM em funções personalizadas. Cada autorização tem um dos seguintes níveis de apoio técnico para utilização em funções personalizadas:

Nível de apoio técnico	Descrição
`SUPPORTED`	A autorização é totalmente suportada em funções personalizadas.
`TESTING`	A Google está a testar a autorização para verificar a respetiva compatibilidade com funções personalizadas. Pode incluir a autorização em funções personalizadas, mas pode observar um comportamento inesperado. Não recomendado para utilização em produção.
`NOT_SUPPORTED`	A autorização não é suportada em funções personalizadas.

Uma função personalizada ao nível da organização pode incluir qualquer uma das autorizações de IAM suportadas em funções personalizadas. Uma função personalizada ao nível do projeto pode conter qualquer autorização suportada, exceto autorizações que só podem ser usadas ao nível da organização ou da pasta.

O motivo pelo qual não pode incluir autorizações específicas da pasta e da organização em funções ao nível do projeto é que não têm qualquer efeito quando concedidas ao nível do projeto. Isto deve-se ao facto de os recursos no Trusted Cloud estarem organizados hierarquicamente. As autorizações são herdadas através da hierarquia de recursos, o que significa que são eficazes para o recurso e todos os descendentes desse recurso. No entanto, as organizações e as pastas estão sempre acima dos projetos naTrusted Cloud hierarquia de recursos. Como resultado, nunca poderá usar uma autorização que lhe foi concedida ao nível do projeto para aceder a pastas ou organizações. Como resultado, as autorizações específicas da pasta e da organização, por exemplo, resourcemanager.folders.list, são ineficazes para funções personalizadas ao nível do projeto.

Dependências de autorizações

Algumas autorizações só são eficazes quando concedidas em conjunto. Por exemplo, para atualizar uma política de permissão, tem de ler a política antes de a poder modificar e escrever. Como tal, para atualizar uma política de permissão, quase sempre precisa da autorização getIamPolicy para esse serviço e tipo de recurso, além da autorização setIamPolicy.

Para se certificar de que as suas funções personalizadas são eficazes, pode criá-las com base em funções predefinidas com autorizações semelhantes. As funções predefinidas são concebidas com tarefas específicas em mente e contêm todas as autorizações necessárias para realizar essas tarefas. A revisão destas funções pode ajudar a ver que autorizações são normalmente concedidas em conjunto. Em seguida, pode usar essas informações para criar funções personalizadas eficazes.

Para saber como criar uma função personalizada com base numa função predefinida, consulte o artigo Criar e gerir funções personalizadas.

Ciclo de vida das funções personalizadas

As secções seguintes descrevem as principais considerações em cada fase do ciclo de vida de uma função personalizada. Pode usar estas informações para saber como criar e gerir as suas funções personalizadas.

Criação

Quando cria uma função personalizada, escolha um ID, um título e uma descrição que ajudem a identificar a função:

ID da função: o ID da função é um identificador exclusivo da função. Pode ter até 64 bytes e pode conter carateres alfanuméricos em maiúsculas e minúsculas, sublinhados e pontos finais. Não pode reutilizar um ID de função numa organização ou num projeto.

Não pode alterar os IDs das funções, por isso, escolha-os cuidadosamente. Pode eliminar uma função personalizada, mas não pode criar uma nova função personalizada com o mesmo ID na mesma organização ou projeto até que o processo de eliminação de 44 dias esteja concluído. Para mais informações sobre o processo de eliminação, consulte o artigo Eliminar uma função personalizada.
Título da função: o título da função é apresentado na lista de funções na Trusted Cloud consola. O título não tem de ser exclusivo, mas recomendamos que use títulos exclusivos e descritivos para distinguir melhor as suas funções. Além disso, considere indicar no título da função se a função foi criada ao nível da organização ou do projeto.

Os títulos das funções podem ter um comprimento máximo de 100 bytes e podem conter carateres alfanuméricos e símbolos em maiúsculas e minúsculas. Pode alterar os títulos das funções em qualquer altura.
Descrição da função: a descrição da função é um campo opcional onde pode fornecer informações adicionais sobre uma função. Por exemplo, pode incluir o objetivo pretendido da função, a data em que uma função foi criada ou modificada e quaisquer funções predefinidas nas quais a função personalizada se baseia. As descrições podem ter até 300 bytes e podem conter carateres alfanuméricos e símbolos em maiúsculas e minúsculas.

Tenha também em atenção as dependências de autorizações ao criar funções personalizadas.

Para saber como criar uma função personalizada com base numa função predefinida, consulte o artigo Criar e gerir funções personalizadas.

Iniciar

As funções personalizadas incluem uma fase de lançamento como parte dos metadados da função. As fases de lançamento mais comuns para funções personalizadas são ALPHA, BETA e GA. Estas fases de lançamento são informativas e ajudam a monitorizar se cada função está pronta para utilização generalizada. Outra fase de lançamento comum é DISABLED. Esta fase de lançamento permite-lhe desativar uma função personalizada.

Recomendamos que use fases de lançamento para transmitir as seguintes informações acerca da função:

EAP ou ALPHA: a função ainda está a ser desenvolvida ou testada, ou inclui autorizações para serviços ou funcionalidades que ainda não são públicas. Trusted Cloud Não está pronto para utilização generalizada.
BETA: a função foi testada de forma limitada ou inclui autorizações para Trusted Cloud serviços ou funcionalidades que não estão geralmente disponíveis.
GA: a função foi amplamente testada e todas as respetivas autorizações destinam-se a Trusted Cloud serviços ou funcionalidades que estão geralmente disponíveis.
DEPRECATED: a função já não está a ser usada.

Para saber como alterar a fase de lançamento de uma função, consulte o artigo Editar uma função personalizada existente.

Manutenção

É responsável pela manutenção das funções personalizadas. Isto inclui a atualização das funções à medida que as responsabilidades dos utilizadores mudam, bem como a atualização das funções para permitir que os utilizadores acedam a novas funcionalidades que requerem autorizações adicionais.

Se basear a sua função personalizada em funções predefinidas, recomendamos que verifique rotineiramente essas funções predefinidas para ver se existem alterações às autorizações. O acompanhamento destas alterações pode ajudar a decidir quando e como atualizar a sua função personalizada. Por exemplo, pode reparar que uma função predefinida foi atualizada com autorizações para usar uma nova funcionalidade de pré-visualização e decidir adicionar essas autorizações também à sua função personalizada.

Para facilitar a identificação das funções predefinidas a monitorizar, recomendamos que liste todas as funções predefinidas nas quais a sua função personalizada se baseia no campo de descrição da função personalizada. A Trusted Cloud consola faz isto automaticamente quando usa a Trusted Cloud consola para criar uma função personalizada com base em funções predefinidas.

Para saber como atualizar as autorizações e a descrição de uma função personalizada, consulte o artigo Editar uma função personalizada existente.

Consulte o registo de alterações de autorizações para determinar que funções e autorizações foram alteradas recentemente.

A desactivar

Se já não quiser que nenhum principal na sua organização use uma função personalizada, pode desativar a função. Para desativar a função, altere a respetiva fase de lançamento para DISABLED.

As funções desativadas continuam a aparecer nas suas políticas de IAM e podem ser concedidas a responsáveis, mas não têm qualquer efeito.

Para saber como desativar uma função personalizada, consulte o artigo sobre como desativar uma função personalizada.

O que se segue?

Saiba como conceder funções do IAM a responsáveis.
Saiba como escolher as funções predefinidas mais adequadas.
Saiba como criar funções personalizadas.
Saiba mais sobre os exemplos de utilização de tipos de funções específicos.