Ações
Gerenciamento de tokens
| Permissão | API | Ação | Projeto do IAM | Projeto corporativo |
|---|---|---|---|---|
| Obtenção de um token de agência | iam:tokens:assume | - | - |
Gerenciamento de chaves de acesso
| Permissão | API | Ação | Projeto do IAM | Projeto corporativo |
|---|---|---|---|---|
| Listagem de chaves de acesso permanentes | iam:credentials:listCredentials | - | - | |
| Consulta de uma chave de acesso permanente | iam:credentials:getCredential | - | - | |
| Criação de uma chave de acesso permanente | iam:credentials:createCredential | - | - | |
| Modificação de uma chave de acesso permanente | iam:credentials:updateCredential | - | - | |
| Exclusão de uma chave de acesso permanente | iam:credentials:deleteCredential | - | - |
Gerenciamento de dispositivos de MFA virtual
| Permissão | API | Ação | Projeto do IAM | Projeto corporativo |
|---|---|---|---|---|
| Vinculação de um dispositivo de MFA virtual | iam:mfa:bindMFADevice | - | - | |
| Desvinculação de um dispositivo de MFA virtual | iam:mfa:unbindMFADevice | - | - | |
| Geração de uma chave secreta para vincular um dispositivo de MFA virtual | iam:mfa:createVirtualMFADevice | - | - | |
| Exclusão de um dispositivo de MFA virtual | iam:mfa:deleteVirtualMFADevice | - | - |
Gerenciamento de projetos
| Permissão | API | Ação | Projeto do IAM | Projeto corporativo |
|---|---|---|---|---|
| Listagem de projetos | iam:projects:listProjects | - | - | |
| Criação de um projeto | iam:projects:createProject | - | - | |
| Modificação das informações do projeto | iam:projects:updateProject | - | - | |
| Alteração do status do projeto | iam:projects:updateProject | - | - | |
| Listagem dos projetos acessíveis a um usuário | iam:projects:listProjectsForUser | - | - | |
| Exclusão de um projeto | × | iam:projects:deleteProject | - | - |
| Consulta das cotas de um projeto | iam:quotas:listQuotasForProject | - | - |
Gerenciamento de contas
| Permissão | API | Ação | Projeto do IAM (Projeto) | Projeto corporativo (Projeto corporativo) |
|---|---|---|---|---|
| Consulta das cotas de uma conta | iam:quotas:listQuotas | - | - |
Gerenciamento de usuários do IAM
| Permissão | API | Ação | Projeto do IAM | Projeto corporativo |
|---|---|---|---|---|
| Listagem de usuários do IAM | iam:users:listUsers | - | - | |
| Criação de um usuário do IAM | iam:users:createUser | - | - | |
| Modificação de informações de usuário IKE | iam:users:updateUser | - | - | |
| Exclusão de um usuário do IAM | iam:users:deleteUser | - | - | |
| Criação de um usuário do IAM (recomendado) | iam:users:createUser | - | - | |
| Consulta de detalhes do usuário do IAM (incluindo endereço de e-mail e número de celular) | iam:users:getUser | - | - | |
| Consulta de detalhes do usuário do IAM | iam:users:getUser | - | - | |
| Redefinição da senha de um usuário do IAM | × | iam:users:resetUserPassword | - | - |
| Configuração da proteção de login | × | iam:users:setUserLoginProtect | - | - |
| Listagem de usuários que têm acesso a um projeto especificado | × | iam:users:listUsersForProject | - | - |
| Consulta de informações de dispositivos de MFA de usuários do IAM | iam:mfa:listVirtualMFADevices | - | - | |
| Consulta das informações do dispositivo de MFA de um usuário do IAM | iam:mfa:getVirtualMFADevice | - | - | |
| Consulta de configurações de proteção de login de usuários do IAM | iam:users:listUserLoginProtects | - | - | |
| Consulta da configuração de proteção de login de um usuário do IAM | iam:users:getUserLoginProtect | - | - |
Gerenciamento de grupos de usuários
| Permissão | API | Ação | Projeto do IAM | Projeto corporativo |
|---|---|---|---|---|
| Consulta dos grupos de usuários aos quais um usuário do IAM pertence | iam:groups:listGroupsForUser | - | - | |
| Consulta dos usuários do IAM em um grupo | iam:users:listUsersForGroup | - | - | |
| Listagem de grupos de usuários | iam:groups:listGroups | - | - | |
| Consulta de detalhes do grupo de usuários | iam:groups:getGroup | - | - | |
| Criação de um grupo de usuários | iam:groups:createGroup | - | - | |
| Atualização de informações do grupo de usuários | iam:groups:updateGroup | - | - | |
| Exclusão de um grupo de usuários | iam:groups:deleteGroup iam:permissions:removeUserFromGroup iam:permissions:revokeRoleFromGroup iam:permissions:revokeRoleFromGroupOnProject iam:permissions:revokeRoleFromGroupOnDomain | - | - | |
| Verificar se um usuário do IAM pertence a um grupo de usuários | iam:permissions:checkUserInGroup | - | - | |
| Adição de um usuário do IAM a um grupo de usuários | iam:permissions:addUserToGroup | - | - | |
| Remoção de um usuário do IAM de um grupo de usuários | iam:permissions:removeUserFromGroup | - | - |
Gerenciamento de permissões
| Permissão | API | Ação | Projeto do IAM | Projeto corporativo |
|---|---|---|---|---|
| Listagem de permissões | iam:roles:listRoles | - | - | |
| Consulta de detalhes da permissão | iam:roles:getRole | - | - | |
| Consulta de registros de atribuição de permissões | iam:permissions:listRoleAssignments | √ | √ | |
| Consulta de permissões de um grupo de usuários para o projeto de serviço global | iam:permissions:listRolesForGroupOnDomain | - | - | |
| Consulta de permissões de um grupo de usuários para um projeto específico da região | iam:permissions:listRolesForGroupOnProject | - | - | |
| Concessão de permissões a um grupo de usuários para o projeto de serviço global | PUT /v3/domains/{domain_id}/groups/{group_id}/roles/{role_id} | iam:permissions:grantRoleToGroupOnDomain | - | - |
| Concessão de permissões a um grupo de usuários para um projeto específico da região | PUT /v3/projects/{project_id}/groups/{group_id}/roles/{role_id} | iam:permissions:grantRoleToGroupOnProject | - | - |
| Remoção de permissões de um grupo de usuários para um projeto específico da região | DELETE /v3/projects/{project_id}/groups/{group_id}/roles/{role_id} | iam:permissions:revokeRoleFromGroupOnProject | - | - |
| Remoção de permissões de um grupo de usuários para o projeto de serviço global | DELETE /v3/domains/{domain_id}/groups/{group_id}/roles/{role_id} | iam:permissions:revokeRoleFromGroupOnDomain | - | - |
| Verificar se um grupo de usuários tem permissões especificadas para o projeto de serviço global | HEAD /v3/domains/{domain_id}/groups/{group_id}/roles/{role_id} | iam:permissions:checkRoleForGroupOnDomain | - | - |
| Verificar se um grupo de usuários tem permissões especificadas para um projeto específico da região | HEAD /v3/projects/{project_id}/groups/{group_id}/roles/{role_id} | iam:permissions:checkRoleForGroupOnProject | - | - |
| Concessão de permissões especificadas a um grupo de usuários para todos os projetos | PUT /v3/OS-INHERIT/domains/{domain_id}/groups/{group_id}/roles/{role_id}/inherited_to_projects | iam:permissions:grantRoleToGroup | - | - |
| Consulta das permissões concedidas a um usuário para um projeto especificado | × | iam:permissions:listRolesForUserOnProject | - | - |
| Consulta de todas as permissões de um grupo de usuários | × | iam:permissions:listRolesForGroup | - | - |
| Verificar se um grupo de usuários tem permissões especificadas | × | iam:permissions:checkRoleForGroup | - | - |
| Remoção de permissões de um grupo de usuários | × | iam:permissions:revokeRoleFromGroup | - | - |
| Registros de atribuição de permissão de consulta | × | iam:permissions:listRoleAssignments | - | - |
Gerenciamento de políticas personalizadas
| Permissão | API | Ação | Projeto do IAM | Projeto corporativo |
|---|---|---|---|---|
| Listagem de políticas personalizadas | iam:roles:listRoles | - | - | |
| Consulta de detalhes da política personalizada | iam:roles:getRole | - | - | |
| Criação de uma política personalizada para serviços de nuvem | iam:roles:createRole | - | - | |
| Modificação de uma política personalizada para serviços de nuvem | iam:roles:updateRole | - | - | |
| Exclusão de uma política personalizada | iam:roles:deleteRole | - | - |
Gerenciamento de agências
| Permissão | API | Ação | Projeto do IAM | Projeto corporativo |
|---|---|---|---|---|
| Criação de uma agência | iam:agencies:createAgency | - | - | |
| Listagem de agências | iam:agencies:listAgencies | - | - | |
| Consulta de detalhes da agência | iam:agencies:getAgency | - | - | |
| Modificação de uma agência | iam:agencies:updateAgency | - | - | |
| Exclusão de uma agência | iam:agencies:deleteAgency | - | - | |
| Concessão de permissões a uma agência para um projeto específico da região | PUT /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} | iam:permissions:grantRoleToAgencyOnProject | - | - |
| Verificar se uma agência tem permissões especificadas para um projeto específico da região | HEAD /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} | iam:permissions:checkRoleForAgencyOnProject | - | - |
| Consulta de permissões de uma agência para um projeto específico de região | GET /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles | iam:permissions:listRolesForAgencyOnProject | - | - |
| Remoção de permissões de uma agência para um projeto específico de região | DELETE /v3.0/OS-AGENCY/projects/{project_id}/agencies/{agency_id}/roles/{role_id} | iam:permissions:revokeRoleFromAgencyOnProject | - | - |
| Concessão de permissões a uma agência para o projeto de serviço global | PUT /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} | iam:permissions:grantRoleToAgencyOnDomain | - | - |
| Verificar se uma agência tem permissões especificadas para o projeto de serviço global | HEAD /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} | iam:permissions:checkRoleForAgencyOnDomain | - | - |
| Consulta de permissões de uma agência para o projeto de serviço global | GET /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles | iam:permissions:listRolesForAgencyOnDomain | - | - |
| Remoção de permissões de uma agência para o projeto de serviço global | DELETE /v3.0/OS-AGENCY/domains/{domain_id}/agencies/{agency_id}/roles/{role_id} | iam:permissions:revokeRoleFromAgencyOnDomain | - | - |
| Consulta de todas as permissões de uma agência | GET /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/inherited_to_projects | iam:permissions:listRolesForAgency | - | - |
| Verificar se uma agência tem permissões especificadas | HEAD /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/{role_id}/inherited_to_projects | iam:permissions:checkRoleForAgency | - | - |
| Concessão de permissões especificadas a uma agência | PUT /v3.0/OS-INHERIT/domains/{domain_id}/agencies/{agency_id}/roles/{role_id}/inherited_to_projects | iam:permissions:grantRoleToAgency | - | - |
| Remoção de permissões de uma agência | iam:permissions:revokeRoleFromAgency | - | - |
Gerenciamento de projetos corporativos
| Permissão | API | Ação | Projeto do IAM (Projeto) | Projeto corporativo (Projeto corporativo) |
|---|---|---|---|---|
| Consulta de grupos de usuários associados a um projeto corporativo | GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/groups | iam:permissions:listGroupsOnEnterpriseProject | - | √ |
| Consulta das permissões de um grupo de usuários associado a um projeto corporativo | GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/groups/{group_id}/roles | iam:permissions:listRolesForGroupOnEnterpriseProject | - | √ |
| Concessão de permissões a um grupo de usuários associado a um projeto corporativo | iam:permissions:grantRoleToGroupOnEnterpriseProject | - | √ | |
| Exclusão das permissões de um grupo de usuários associado a um projeto corporativo | iam:permissions:revokeRoleFromGroupOnEnterpriseProject | - | √ | |
| Consulta de projetos corporativos associados a um grupo de usuários | GET /v3.0/OS-PERMISSION/groups/{group_id}/enterprise-projects | iam:permissions:listEnterpriseProjectsForGroup | - | √ |
| Consulta de projetos corporativos diretamente associados a um usuário | iam:permissions:listEnterpriseProjectsForUser | - | √ | |
| Listagem de usuários associados a um projeto corporativo | GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/users | iam:permissions:listUsersForEnterpriseProject | - | √ |
| Listagem de funções de um usuário associado a um projeto corporativo | GET /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/users/{user_id}/roles | iam:permissions:listRolesForUserOnEnterpriseProject | - | √ |
| Concessão de permissões a um usuário associado a um projeto corporativo | PUT /v3.0/OS-PERMISSION/enterprise-projects/{enterprise_project_id}/users/{user_id}/roles/{role_id} | iam:permissions:grantRoleToUserOnEnterpriseProject | - | √ |
| Exclusão de funções de um usuário associado a um projeto corporativo | iam:permissions:revokeRoleFromUserOnEnterpriseProject | - | √ |
Configurações de segurança
| Permissão | API | Ação | Projeto do IAM (Projeto) | Projeto corporativo Projeto corporativo |
|---|---|---|---|---|
| Modificação da política de proteção à operação | PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/protect-policy | iam:securitypolicies:updateProtectPolicy | - | - |
| Consulta da política de proteção à operação | GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/protect-policy | iam:securitypolicies:getProtectPolicy | - | - |
| Modificação da política de senha | PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/password-policy | iam:securitypolicies:updatePasswordPolicy | - | - |
| Consulta da política de senha | GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/password-policy | iam:securitypolicies:getPasswordPolicy | - | - |
| Modificação da política de autenticação de login | PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/login-policy | iam:securitypolicies:updateLoginPolicy | - | - |
| Consulta da política de autenticação de login | GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/login-policy | iam:securitypolicies:getLoginPolicy | - | - |
| Modificação da ACL para acesso de console | PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/console-acl-policy | iam:securitypolicies:updateConsoleAclPolicy | - | - |
| Consulta da ACL para acesso de console | GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/console-acl-policy | iam:securitypolicies:getConsoleAclPolicy | - | - |
| Modificação da ACL para acesso à API | PUT /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/api-acl-policy | iam:securitypolicies:updateApiAclPolicy | - | - |
| Consulta da ACL para acesso à API | GET /v3.0/OS-SECURITYPOLICY/domains/{domain_id}/api-acl-policy | iam:securitypolicies:getApiAclPolicy | - | - |
Gerenciamento de autenticação de identidade federada
| Permissão | API | Ação | Projeto do IAM | Projeto corporativo |
|---|---|---|---|---|
| Listagem de provedores de identidade | iam:identityProviders:listIdentityProviders | - | - | |
| Consulta de detalhes do provedor de identidade | iam:identityProviders:getIdentityProvider | - | - | |
| Criação de um provedor de identidade SAML | iam:identityProviders:createIdentityProvider | - | - | |
| Modificação de um provedor de identidade SAML | iam:identityProviders:updateIdentityProvider | - | - | |
| Exclusão de um provedor de identidade SAML | iam:identityProviders:deleteIdentityProvider | - | - | |
| Criação de um provedor de identidade do OpenID Connect | POST /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config | iam:identityProviders:createOpenIDConnectConfig | - | - |
| Modificação de um provedor de Identidade do OpenID Connect | PUT /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config | iam:identityProviders:updateOpenIDConnectConfig | - | - |
| Consulta de detalhes sobre um provedor de identidade do OpenID Connect | GET /v3.0/OS-FEDERATION/identity-providers/{idp_id}/openid-connect-config | iam:identityProviders:getOpenIDConnectConfig | - | - |
| Listagem de mapeamentos | iam:identityProviders:listMappings | - | - | |
| Consulta de detalhes do mapeamento | iam:identityProviders:getMapping | - | - | |
| Registração de um mapeamento | iam:identityProviders:createMapping | - | - | |
| Atualização de um mapeamento | iam:identityProviders:updateMapping | - | - | |
| Exclusão de um mapeamento | iam:identityProviders:deleteMapping | - | - | |
| Listagem de protocolos | iam:identityProviders:listProtocols | - | - | |
| Consulta de detalhes do protocolo | GET /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} | iam:identityProviders:getProtocol | - | - |
| Registração de um protocolo | PUT /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} | iam:identityProviders:createProtocol | - | - |
| Atualização de um protocolo | PATCH /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} | iam:identityProviders:updateProtocol | - | - |
| Exclusão de um protocolo | DELETE /v3/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id} | iam:identityProviders:deleteProtocol | - | - |
| Consulta de um arquivo de metadados | GET /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata | iam:identityProviders:getIDPMetadata | - | - |
| Importação de um arquivo de metadados | POST /v3-ext/OS-FEDERATION/identity_providers/{idp_id}/protocols/{protocol_id}/metadata | iam:identityProviders:createIDPMetadata | - | - |
