En esta página, se describen las opciones de control de acceso disponibles para la API de Cloud Asset.
Descripción general
Cloud Asset Inventory usa Identity and Access Management (IAM) para el control de acceso.
En la API de Cloud Asset, el control de acceso se puede configurar a nivel del proyecto o a nivel de la organización. Por ejemplo, puedes otorgar acceso a todos los recursos de Cloud Asset Inventory en un proyecto a un grupo de desarrolladores.
Para obtener una descripción detallada de IAM y sus características, consulta la documentación de IAM. Específicamente, consulta la sección Administra el acceso a los proyectos, las carpetas y las organizaciones.
Permisos y roles
Cada método de API de Cloud Asset Inventory requiere que el llamador tenga los permisos necesarios. En esta sección, se resumen los permisos y las funciones de la API de Cloud Asset que admite IAM.
Permisos necesarios
En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método de la API en la API de Cloud Asset o realizar tareas con las herramientas de Google Cloud que usan la API, como Google Cloud Console o Google Cloud CLI.
| Permiso | Métodos de la API |
|---|---|
cloudasset.assets.searchAllResources |
*.searchAllResources |
cloudasset.assets.searchAllIamPolicies |
*.searchAllIamPolicies |
cloudasset.assets.analyzeIamPolicy,cloudasset.assets.searchAllResources ycloudasset.assets.searchAllIamPolicies |
*.analyzeIamPolicy |
*.analyzeIamPolicyLongrunning |
|
*.batchGetEffectiveIamPolicies |
|
cloudasset.assets.analyzeOrgPolicy ycloudasset.assets.searchAllResources |
*.analyzeOrgPolicies |
*.analyzeOrgPolicyGovernedContainers |
|
cloudasset.assets.analyzeOrgPolicy,cloudasset.assets.searchAllResources ycloudasset.assets.searchAllIamPolicies |
*.analyzeOrgPolicyGovernedAssets |
cloudasset.feeds.get |
*.getFeed |
cloudasset.feeds.list |
*.listFeeds |
cloudasset.feeds.delete |
*.deleteFeed |
cloudasset.feeds.create,cloudasset.assets.exportResource ocloudasset.assets.exportIamPolicysegún el content_type
|
*.createFeed |
cloudasset.feeds.update,cloudasset.assets.exportResource ocloudasset.assets.exportIamPolicysegún el content_type
|
*.updateFeed |
cloudasset.assets.exportResource,cloudasset.assets.exportIamPolicy,cloudasset.assets.exportOrgPolicy, cloudasset.assets.exportOSInventories ocloudasset.assets.exportAccessPolicysegún el content_type
|
*.batchGetAssetsHistory |
*.exportAssets |
|
*.operations.get |
|
cloudasset.assets.listResource,cloudasset.assets.listIamPolicy,cloudasset.assets.listOrgPolicy, cloudasset.assets.listAccessPolicy ocloudasset.assets.listOSInventoriessegún el content_type
|
*.listAssets |
cloudasset.assets.analyzeMove |
*.analyzeMove |
cloudasset.savedqueries.create |
*.createSavedQuery |
cloudasset.savedqueries.get |
*.getSavedQuery |
cloudasset.savedqueries.list |
*.listSavedQueries |
cloudasset.savedqueries.update |
*.updateSavedQuery |
cloudasset.savedqueries.delete |
*.deleteSavedQuery |
Ten en cuenta que, si la API *.exportAssets para exportar metadatos de recursos de tipos de recursos especificados con RESOURCE o un tipo de contenido no especificado, si no se otorgó al emisor el permiso cloudasset.assets.exportResource, un requisito alternativo es que el emisor tenga el permisos por tipo de recurso para cada tipo de recurso que se especifica en la solicitud.
Funciones
Cloud Asset Inventory tiene dos funciones de IAM:
Propietario de recursos de Cloud (
roles/cloudasset.owner), que otorga acceso completo a los metadatos de recursos de nube. Otorga todos los permisoscloudasset.*yrecommender.cloudAssetInsights.*.Visualizador de Cloud Asset (
roles/cloudasset.viewer), que otorga acceso de solo lectura a los metadatos de recursos de nube. Otorga todos los permisoscloudasset.assets.*(no otorga los permisoscloudasset.feeds.*nicloudasset.savedqueries.*),recommender.cloudAssetInsights.getyrecommender.cloudAssetInsights.list.
Elige la función adecuada que contenga los permisos necesarios para tus necesidades. En general, solo la función de propietario de Cloud Asset otorga todos los permisos necesarios para llamar a la API de Cloud Asset y permite el uso completo de todos los métodos.
Las funciones básicas incluyen los siguientes permisos:
La función de propietario (
roles/owner) otorga todos los permisoscloudasset.*.La función de editor (
roles/editor) otorga los permisoscloudasset.assets.search*ycloudasset.assets.analyzeIamPolicy.La función de visualizador (
roles/viewer) otorga los permisoscloudasset.assets.search*ycloudasset.assets.analyzeIamPolicy.
Recomendamos otorgar una de las funciones de Cloud Asset en lugar de un rol básico, ya que las funciones básicas contienen muchos permisos para otros servicios de Google Cloud y pueden dar como resultado un permiso de acceso mayor que el previsto.
Se pueden otorgar funciones a los usuarios a nivel de la organización, la carpeta o el proyecto. Consulta Cómo administrar el acceso a los proyectos, las carpetas y las organizaciones para obtener más información.
Controles del servicio de VPC
Los Controles del servicio de VPC se pueden usar con Cloud Asset Inventory a fin de proporcionar seguridad adicional para tus elementos. Para obtener más información sobre los Controles del servicio de VPC, consulta la descripción general de los Controles del servicio de VPC.
Para obtener información sobre las limitaciones del uso de Cloud Asset Inventory con los Controles del servicio de VPC, consulta los productos compatibles y las limitaciones.