Este documento fornece informações sobre como integrar a Google Cloud Platform (GCP) com o Cloud IAM para o provisionamento, gerenciamento e monitoramento de acessos ao Cloud Service Provider (CSP). Você pode conectar um projeto ou uma organização GCP ao Cloud IAM.
Requisitos
- Uma conta na Google Cloud Platform.
Para integrar uma organização GCP, você precisará do papel de administrador da organização ou de um papel similar com permissão para gerenciar IAM e recursos de API para a organização. Para projetos, você precisará do papel de administrador de IAM do projeto ou de um papel similar com permissão para gerenciar IAM e recursos de API para o projeto.
Habilitar APIs no Google Cloud Console
- Acesse o Google Cloud Console e faça login.
- Localize o serviço APIs e serviços
- Clique em Ativar APIs e serviços.
- Na barra de pesquisa, pesquise as seguintes APIs:
- Cloud Resource Manager API
- Cloud Asset API
- Identity and Access Management (IAM) API
- Selecione as APIs e clique em Ativar.
Criar um papel no Google Cloud Console
- Acesse o Google Cloud Console e faça login.
- Localize o serviço IAM e administrador.
- No menu lateral, clique em Papéis.
- Clique em + Criar papel.
- No campo Título *, insira um título para o papel.
- (Opcional): No campo Descrição, insira uma descrição para o papel.
- No campo ID *, insira um ID para o papel.
- (Opcional): No campo Etapa da criação do papel, selecione a etapa de criação do papel.
- Clique em + Adicionar permissões e selecione as seguintes permissões:
iam.roles.list
iam.serviceAccountKeys.create
iam.serviceAccountKeys.delete
iam.serviceAccountKeys.get
iam.serviceAccountKeys.list
iam.serviceAccounts.create
iam.serviceAccounts.delete
iam.serviceAccounts.get
iam.serviceAccounts.list
iam.serviceAccounts.update
resourcemanager.projects.get
resourcemanager.projects.getIamPolicy
resourcemanager.projects.setIamPolicy
- Clique em Adicionar.
- Clique em Criar.
Você pode pular os próximos passos se quiser apenas conectar um projeto.
- Para criar um papel para sua organização GCP, no canto superior esquerdo clique no Seletor de projetos e selecione sua organização.
- Repita os passos anteriores para criar um segundo papel e atribuir as seguintes permissões de organização:
resourcemanager.projects.list
resourcemanager.organizations.get
resourcemanager.organizations.getIamPolicy
resourcemanager.organizations.setIamPolicy
- Salve suas alterações.
Para mais detalhes, veja a documentação da GCP sobre como gerenciar papéis e permissões.
Criar uma conta de serviço no Google Cloud Console
- Acesse o Google Cloud Console e faça login.
- Localize o serviço IAM e administrador.
- No menu lateral, clique em Contas de serviço.
- Clique em + Criar conta de serviço.
- No campo Nome da conta de serviço, insira um nome para sua conta de serviço. Você utilizará esta conta para integrar com o Segura.
- (Opcional): No campo Descrição da conta de serviço, insira uma descrição para sua conta de serviço.
- Clique em Criar e continuar.
- Na seção Permissões, selecione o papel criado em Criar um papel no Google Cloud Console.
- Clique em Continuar.
- (Opcional): Na seção Principais com acesso, configure papeis de usuários ou papeis de administradores caso necessário.
- Clique em Concluir.
Para organizações GCP, você também precisará adicionar a conta de serviço que você criou como um principal no nível da organização. Veja os passos a seguir:
- Acesse o Google Cloud Console e faça login.
- Localize o serviço IAM e administrador.
- No menu lateral, clique em Contas de serviço.
- Copie o e-mail da conta de serviço.
- No canto superior esquerdo, clique no Seletor de projetos e selecione sua organização.
- No menu lateral, clique em IAM.
- Na aba Visualizar por principais, clique em Permitir acesso.
- No campo Novos principais *, insira o e-mail da conta de serviço copiado no passo 4.
- No campo Selecionar papel *, selecione o papel da organização criado no passo 12 da seção Criar um papel no Google Cloud Console.
- Clique em Salvar.
Para mais detalhes, veja a documentação do GCP sobre como criar uma conta de serviço e como gerenciar acesso a organizações.
Criar uma chave de acesso para a conta de serviço no Google Cloud Console
- Acesse o Google Cloud Console e faça login.
- Localize o serviço IAM e administrador.
- No menu lateral, clique em Contas de serviço.
- Na conta de serviço desejada, clique em Ações > Gerenciar chaves.
- Na aba Chaves, clique em Adicionar chave > Criar nova chave.
- No campo Tipo de chave, selecione a opção JSON e clique em Criar.
Um arquivo .json
será baixado para o seu dispositivo. Este arquivo é essencial para realizar a integração com o Cloud IAM.
Para mais detalhes, veja a documentação do GCP sobre como criar chaves para contas de serviço.
Integrar o GCP com Cloud IAM
Para integrar uma conta GCP com o Cloud IAM, veja os passos a seguir:
- No Segura, na barra de navegação, passe o mouse sobre o Menu de produtos e selecione Cloud IAM.
- No menu lateral, selecione Configurações > Contas.
- No canto superior direito, clique em Adicionar.
- Na aba Configurações, preencha as informações:
- No campo Nome *, insira um nome para a conta.
- (Opcional): No campo Descrição, insira uma descrição da conta.
- (Opcional): No campo Tags, insira tags para facilitar a identificação da conta.
- Clique em Continuar.
- Na aba Google Cloud, preencha as informações sobre o provedor Google Cloud:
- No campo Arquivo do certificado *, insira o arquivo
.json
da chave da conta obtido em Criar uma chave de acesso para a conta de serviço no Google Cloud Console
- No campo Arquivo do certificado *, insira o arquivo
- Clique em Continuar.
- Na aba Revisão, verifique todas as informações inseridas na abas anteriores, e clique em Salvar.
A nova conta aparecerá cadastrada no relatório Contas.
Você ainda tem dúvidas? Entre em contato com a Comunidade Segura.