Nesta tarefa, você configura o controle de acesso para sua hierarquia de recursos, adicionando políticas do IAM aos recursos. Uma política do IAM é uma coleção de vinculações que definem quem tem que tipo de acesso. Uma política é anexada a um recurso e é usada para impor o controle de acesso cada vez que esse recurso é acessado.
Para definir as permissões, realiza o mesmo procedimento básico, mas o faz para recursos em diferentes níveis da hierarquia (organização, pastas e projetos). Recomendamos que você use o princípio do privilégio mínimo e conceda a menor quantidade de acesso necessário aos recursos em cada nível. As funções que recomendamos nos seguintes procedimentos o ajudarão a aplicar o princípio do privilégio mínimo.
Quem faz esta tarefa?
Uma pessoa do grupo gcp-organisation-admins@@<your-domain>.com que foi criado na tarefa 2.
O que faz?
Estabelecer políticas do IAM em nível de organização, portfólio e projetos.
Por que nós sugerimos esta tarefa?
A implantação de políticas IAM na sua hierarquia de recursos permite que você controle de forma proporcional o acesso aos recursos de sua nuvem.
Estabelecer políticas de IAM ao nível da organização.
As políticas que você estabelece ao nível organizacional se aplicam a todas as pastas e projetos da organização. A seguinte tabela lista os membros e as funções que você atribua ao nível de organização. Os passos para realizar este processo estão listados após a tabela.
Membro |
Funções para atribuir |
gcp-network-admins@<your-domain>.com |
Compute Engine > Gerenciador de rede compute. Isto concede permissões para criar, modificar e excluir recursos de rede, exceto regras de firewall e certificados SSL. Compute Engine > Gerenciador de VPC compartilhada de Compute. Isto concede permissões para administrar projetos de hospedagem VPC compartilhados. Compu Engine > Gerenciador de segurança compute. Isto concede permissões para criar, modificar e excluir regras de firewall e certificados SSL. Gerenciador de recursos > Visualizador de pastas. Isto concede permissões para ver pastas. |
gcp-security-admins@<your-domain>.com |
Políticas da organização > Gerenciar políticas da organização. Isto concede permissões para estabelecer políticas do IAM a nível organizacional. Políticas da organização > Visualizador de políticas da organização. Isto concede permissões para ver as políticas do IAM que se aplicam à organização. IAM > avaliador de segurança. Isto permite visualizar todos os recursos da organização e ver as políticas do IAM que se aplicam a eles. Papéis > Visualizador de papéis da organização. Isto concede permissões para visualizar todos os papéis personalizados do IAM na organização e para visualizar os projetos aos quais se aplicam. Centro de segurança > Gerenciador do centro de segurança. Isto concede ao administrador acesso ao centro de comando de segurança. Gerenciador de recursos > Gerenciador de IAM de pastas. Isto concede permissões para estabelecer as políticas do IAM em nível de pasta. Registro > visualizador de registros privados. Isto concede acesso de leitura aos papéis de Registro de Nuvem, incluindo a capacidade de ler registros privados. Registro > Editor de configuração de registros. Isto concede permissões para criar métricas baseadas em registros. Kubernetes Engine > Visualizador de Kubernetes Engine. Isto concede acesso de leitura aos recursos do Google Kubernetes Engine. Compute Engine > Compute Viewer. Isto garante acesso de leitura aos recursos da Compute Engine. BigQuery > Visualizador de dados de BigQuery. Isto concede permissões para os conjuntos de dados BigQuery. |
gcp-devops@<your-domain>.com |
Gerenciador de recursos > Visualizador de pastas. Isto concede permissões para visualizar pastas. |
- Certifique-se de estar logado no Cloud Console como usuário do Google gcp-organisation-adminsGroup que foi criado na tarefa 2.
- Vá à página Gerenciar Recursos no Cloud Console.
- Selecione sua organização na grade da árvore da organização.
- Se o painel de informações direito estiver oculto, clique em Mostrar painel de informações no canto superior direito.
- Selecione a caixa de verificação da organização.
- No painel de informação, na aba Permissões, clique em Adicionar membro.
- No campo Novos Membros, digite o nome de um membro da tabela. Por exemplo, comece inserindo gcp-network-admins@<seu-domínio>.com, como indicado na tabela acima.
- Na lista Selecionar um papel, selecione o primeiro papel para esse membro, como mostra a tabela. Por exemplo, para o primeiro membro, o primeiro papel que você selecionar é Compute Engine > Compute Network Manager.
- Clique em Adicionar outro papel e depois adicione a seguinte função para esse membro.
- Adicione o seguinte papel para esse membro.
- Quando você tiver adicionado todas as funções de um membro, clique em Salvar .
- Repetir os passos 2 a 7 para os outros membros listados na tabela.
Estabelecer políticas de AIM ao nível da pasta.
As políticas estabelecidas ao nível de pastas também se aplicam aos projetos nas pastas. O processo é semelhante ao que você fez para sua organização, exceto que você seleciona um nível diferente na hierarquia.
1. Desmarque a caixa de verificação para a organização e qualquer outro recurso que esteja selecionado.
2. Selecione a caixa de seleção Productionfolder.
3. No painel de informações, na aba Permissões, clique em Adicionar membro.
4. No campo Novos Membros, digite gcp-devops@<seu-domínio>.com.
5. Seguindo os mesmos passos que você usou para adicionar papéis aos membros da organização, adicione os seguintes papéis gcp-devops@<<your-domain>.commembro:
- Registro > Gerenciador de registro . Isto concede permissões totais para o Cloud Logging.
- Relatório de Erros > Gerenciador de Relatório de Erros . Isto concede permissões totais para a comunicação de dados de erros.
- Gestão de serviços > Gerenciador de frações . Isto garante o acesso para gerenciar frações de serviços.
- Monitoramento > Gerenciador de monitoramento . Isto concede permissões totais para monitorar os dados.
- Compute Engine > Compute Engine Manager . Isto concede permissões totais aos recursos de Compute Engine.
- Kubernetes Engine > Kubernetes Engine Manager . Isto concede permissões totais aos grupos de cluster de contêineres do Google Kubernetes.
6. Assim que concluir de adicionar papéis, clique em Salvar.
7.Desmarque a caixa de verificação Pasta de produção.
8. Selecione a caixa de verificação do Non-productionfolder.
9. Adicionar gcp-developers@<<seu-domínio>.com como um novo membro.
10. Atribuir os seguintes papéis do IAM aos desenvolvedores do gcp@@<seu-domínio>.com membro:
- Compute Engine > Compute Engine Manager . Isto concede permissões totais aos recursos da Compute Engine.
- Kubernetes Engine > Kubernetes Engine Manager . Isto concede permissões totais aos grupos de cluster dos contêineres de Google Kubernetes.
Estabelecer políticas de IAM ao nível de projeto
As políticas que você estabelece ao nível de projeto se aplicam somente aos projetos nos quais se aplicam. Isto permite que você estabeleça permissões detalhadas para projetos individuais.
1. Desmarque a caixa de seleção para pastas e qualquer outro recurso selecionado.
2. Selecione as caixas de seleção para os seguintes projetos:
- example-vpc-host-nonprod
- example-vpc-host-prod
3. Adicionar gcp-network-admins@<seu-domínio>.com como membro.
4. Atribuir o seguinte papel ao membro gcp-network-admins@<seu-domínio>.com:
- Projeto > Proprietário . Isto concede permissões totais a todos os recursos nos projetos selecionados.
5. Clique em Salvar
6. Desmarque as caixas de seleção dos projetos selecionados.
7. Selecione as caixas de seleção para os seguintes projetos:
- example-monitoring-nonprod
- example-monitoring-prod
- example-logging-nonprod
- example-logging-prod
8.Adicionar gcp-devops@<<seu-domínio>.com como um novo membro.
9. Atribua o seguinte papel ao membro do gcp-devops@<<seu-domínio>.com:
- Projeto > Proprietário . Isto concede permissões totais a todos os recursos nos projetos selecionados.