Nesta página, descrevemos as opções de controle de acesso disponíveis para a API Cloud Asset.
Informações gerais
O Inventário de recursos do Cloud usa o Identity and Access Management (IAM) para controle de acesso.
Na API Cloud Asset, o controle de acesso pode ser configurado para envolvidos no projeto ou no nível da organização. Por exemplo, é possível conceder acesso a todos os recursos do Inventário de recursos do Cloud em um projeto a um grupo de desenvolvedores.
Para uma descrição detalhada do IAM e dos recursos dele, consulte a documentação do IAM. Consulte a seção Gerenciar o acesso a projetos, pastas e organizações.
Permissões e papéis
Cada método da API do Cloud Asset Inventory exige que o autor da chamada tenha as permissões necessárias. Nesta seção, resumimos as permissões e os papéis da API Cloud Asset compatíveis com o IAM.
Permissões necessárias
A tabela a seguir lista as permissões que o autor da chamada precisa ter para chamar cada método de API na API Cloud Asset ou para executar tarefas usando as ferramentas do Google Cloud que usam a API, como o console do Google Cloud ou a Google Cloud CLI.
Permissão | Métodos da API |
---|---|
cloudasset.assets.searchAllResources |
*.searchAllResources |
cloudasset.assets.searchAllIamPolicies |
*.searchAllIamPolicies |
cloudasset.assets.analyzeIamPolicy ,cloudasset.assets.searchAllResources ecloudasset.assets.searchAllIamPolicies |
*.analyzeIamPolicy |
*.analyzeIamPolicyLongrunning |
|
*.batchGetEffectiveIamPolicies |
|
cloudasset.assets.analyzeOrgPolicy ecloudasset.assets.searchAllResources |
*.analyzeOrgPolicies |
*.analyzeOrgPolicyGovernedContainers |
|
cloudasset.assets.analyzeOrgPolicy ,cloudasset.assets.searchAllResources ecloudasset.assets.searchAllIamPolicies |
*.analyzeOrgPolicyGovernedAssets |
cloudasset.feeds.get |
*.getFeed |
cloudasset.feeds.list |
*.listFeeds |
cloudasset.feeds.delete |
*.deleteFeed |
cloudasset.feeds.create ,cloudasset.assets.exportResource oucloudasset.assets.exportIamPolicy com base no content_type
|
*.createFeed |
cloudasset.feeds.update ,cloudasset.assets.exportResource oucloudasset.assets.exportIamPolicy com base no content_type
|
*.updateFeed |
cloudasset.assets.exportResource ,cloudasset.assets.exportIamPolicy ,cloudasset.assets.exportOrgPolicy , cloudasset.assets.exportOSInventories oucloudasset.assets.exportAccessPolicy com base no content_type
|
*.batchGetAssetsHistory |
*.exportAssets |
|
*.operations.get |
|
cloudasset.assets.listResource ,cloudasset.assets.listIamPolicy ,cloudasset.assets.listOrgPolicy , cloudasset.assets.listAccessPolicy oucloudasset.assets.listOSInventories com base no content_type
|
*.listAssets |
cloudasset.assets.analyzeMove |
*.analyzeMove |
cloudasset.savedqueries.create |
*.createSavedQuery |
cloudasset.savedqueries.get |
*.getSavedQuery |
cloudasset.savedqueries.list |
*.listSavedQueries |
cloudasset.savedqueries.update |
*.updateSavedQuery |
cloudasset.savedqueries.delete |
*.deleteSavedQuery |
Ao usar API *.exportAssets
para exportar metadados de recursos de
tipos de
recursos especificados com RESOURCE
ou um tipo de conteúdo não especificado, se o
autor da chamada não tiver recebido cloudasset.assets.exportResource
,
uma alternativa é o autor da chamada ter
permissões por tipo de recurso
apropriadas para cada tipo de recurso especificado na solicitação.
Papéis
O Inventário de recursos do Cloud tem dois papéis do IAM
Proprietário de recurso do Cloud (
roles/cloudasset.owner
), que concede acesso total aos metadados do recurso da nuvem. Concede todas as permissõescloudasset.*
erecommender.cloudAssetInsights.*
.Leitor de recursos do Cloud (
roles/cloudasset.viewer
), que concede acesso somente leitura aos metadados do recurso da nuvem. Ele concede todas as permissõescloudasset.assets.*
(não concede as permissõescloudasset.feeds.*
ecloudasset.savedqueries.*
),recommender.cloudAssetInsights.get
erecommender.cloudAssetInsights.list
.
Escolha o papel apropriado que contém as permissões necessárias para suas necessidades. Em geral, somente o papel de proprietário do recurso do Cloud concede todas as permissões necessárias para chamar a API Cloud Asset e permite o uso total de todos os métodos.
Os papéis básicos incluem as seguintes permissões:
O papel Proprietário (
roles/owner
) concede todas as permissõescloudasset.*
.O papel de editor (
roles/editor
) concede as permissõescloudasset.assets.search*
ecloudasset.assets.analyzeIamPolicy
.O papel de visualizador (
roles/viewer
) concede as permissõescloudasset.assets.search*
ecloudasset.assets.analyzeIamPolicy
.
Recomendamos conceder um dos papéis do Cloud Asset em vez de um papel básico, porque eles contêm muitas permissões para outros serviços do Google Cloud e podem resultar na concessão de um escopo de acesso maior do que o pretendido.
É possível conceder papéis aos usuários no nível da organização, pasta ou projeto. Consulte Gerenciar o acesso a projetos, pastas e organizações para mais informações.
VPC Service Controls
O VPC Service Controls pode ser usado com o Inventário de recursos do Cloud para aumentar a segurança dos recursos. Para saber mais sobre o VPC Service Controls, consulte a visão geral.
Para saber mais sobre as limitações no uso do Inventário de recursos do Cloud com o VPC Service Controls, consulte limitações e produtos compatíveis.