Cloud Asset Inventory usa Identity and Access Management (IAM) para el control de acceso. Cada método de API de Cloud Asset Inventory requiere que el llamador tenga los permisos necesarios.
Funciones
Para obtener los permisos que necesitas para trabajar con metadatos de activos, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización, la carpeta o el proyecto:
-
Sigue estos pasos para ver los metadatos de activos:
-
Visualizador de recursos de Cloud (
roles/cloudasset.viewer
) -
Consumidor de Service Usage (
roles/serviceusage.serviceUsageConsumer
)
-
Visualizador de recursos de Cloud (
-
Sigue estos pasos para ver los metadatos de activos y trabajar con feeds:
-
Propietario de recursos de Cloud (
roles/cloudasset.owner
) -
Consumidor de Service Usage (
roles/serviceusage.serviceUsageConsumer
)
-
Propietario de recursos de Cloud (
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen sobre los permisos necesarios para trabajar con metadatos de activos. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para trabajar con metadatos de activos:
-
Sigue estos pasos para ver los metadatos de activos:
-
cloudasset.assets.*
-
recommender.cloudAssetInsights.get
-
recommender.cloudAssetInsights.list
-
serviceusage.services.use
-
-
Sigue estos pasos para ver los metadatos de activos y trabajar con feeds:
-
cloudasset.*
-
recommender.cloudAssetInsights.*
-
serviceusage.services.use
-
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Permisos
En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método de API en Cloud Asset Inventory o para realizar tareas con herramientas de Google Cloud que usar Cloud Asset Inventory, como la consola de Google Cloud o gcloud CLI.
Visualizador de Cloud Asset (roles/cloudasset.viewer
) y propietario de Cloud Asset
(roles/cloudasset.owner
) Los roles incluyen muchos de estos:
permisos. Si al emisor se le otorgó uno de estos roles y el
de consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer
),
quizás ya cuente con los permisos necesarios para usar Cloud Asset Inventory.
RPC
Método | Permisos necesarios |
---|---|
Todas las API | |
Todas las llamadas de Cloud Asset Inventory |
Todas las llamadas de Cloud Asset Inventory requieren el |
APIs de análisis | |
|
Todos los siguientes permisos:
|
|
cloudasset. |
|
Todos los siguientes permisos:
|
|
Todos los siguientes permisos:
|
APIs de Inventory | |
|
Uno de los siguientes permisos, según el tipo de contenido:
Cuando exportes metadatos de un tipo de contenido no especificado o |
|
Uno de los siguientes permisos, según el tipo de contenido:
|
|
Uno de los siguientes permisos, según el tipo de contenido:
|
APIs de feed | |
|
También necesitas uno de los siguientes permisos, según el tipo de contenido:
|
|
cloudasset. |
|
cloudasset. |
|
cloudasset. |
|
También necesitas uno de los siguientes permisos, según el tipo de contenido:
|
API de Búsqueda | |
|
cloudasset. |
|
También necesitas |
REST
Método | Permisos necesarios |
---|---|
Todas las API | |
Todas las llamadas de Cloud Asset Inventory |
Todas las llamadas de Cloud Asset Inventory requieren el |
APIs de análisis | |
|
Todos los siguientes permisos:
|
|
cloudasset. |
|
Todos los siguientes permisos:
|
|
Todos los siguientes permisos:
|
APIs de Inventory | |
|
Uno de los siguientes permisos, según el tipo de contenido:
Cuando exportes metadatos de un tipo de contenido no especificado o |
|
Uno de los siguientes permisos, según el tipo de contenido:
|
|
Uno de los siguientes permisos, según el tipo de contenido:
|
APIs de feeds | |
|
También necesitas uno de los siguientes permisos, según el tipo de contenido:
|
|
cloudasset. |
|
cloudasset. |
|
cloudasset. |
|
También necesitas uno de los siguientes permisos, según el tipo de contenido:
|
API de Búsqueda | |
|
cloudasset. |
|
También necesitas |
gcloud
Sentencia posicional | Permisos necesarios |
---|---|
Todas las API | |
Todas las llamadas de Cloud Asset Inventory |
Todas las llamadas de Cloud Asset Inventory requieren el |
APIs de análisis | |
|
Todos los siguientes permisos:
|
|
cloudasset. |
|
Todos los siguientes permisos:
|
|
Todos los siguientes permisos:
|
APIs de Inventory | |
|
Uno de los siguientes permisos, según el tipo de contenido:
Cuando se exportan metadatos de un tipo de contenido |
|
Uno de los siguientes permisos, según el tipo de contenido:
|
|
Uno de los siguientes permisos, según el tipo de contenido:
|
APIs de feed | |
|
También necesitas uno de los siguientes permisos, según el tipo de contenido:
|
|
cloudasset. |
|
cloudasset. |
|
cloudasset. |
|
También necesitas uno de los siguientes permisos, según el tipo de contenido:
|
API de Búsqueda | |
|
cloudasset. |
|
También necesitas |
Exporta permisos para cada tipo de recurso
Otorgar el permiso cloudasset.assets.exportResource
a un usuario le permite
para exportar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede exportar, puedes otorgar permisos para cada tipo de recurso.
Por ejemplo, otorgar cloudasset.assets.exportComputeDisks
a un usuario significa que
no puede exportar nada, excepto el tipo de recurso compute.googleapis.com/Disk
.
Los permisos de exportación de recursos solo se aplican a RESOURCE
y no especificados
tipos de contenido.
Servicio | Tipo de recurso | Permiso de exportación de recursos |
---|---|---|
App Engine |
appengine. |
cloudasset. |
appengine. |
cloudasset. |
|
appengine. |
cloudasset. |
|
BigQuery |
bigquery. |
cloudasset. |
bigquery. |
cloudasset. |
|
Bigtable |
bigtableadmin. |
cloudasset. |
bigtableadmin. |
cloudasset. |
|
bigtableadmin. |
cloudasset. |
|
Facturación de Cloud |
cloudbilling. |
cloudasset.
|
Cloud DNS |
dns. |
cloudasset. |
dns. |
cloudasset. |
|
Cloud Key Management Service |
cloudkms. |
cloudasset. |
cloudkms. |
cloudasset.
|
|
cloudkms. |
cloudasset. |
|
cloudkms. |
cloudasset. |
|
Configuración del SO de Cloud |
osconfig. |
cloudasset. |
Spanner |
spanner. |
cloudasset. |
spanner. |
cloudasset. |
|
spanner. |
cloudasset. |
|
Cloud SQL |
sqladmin. |
cloudasset. |
Cloud Storage |
storage. |
cloudasset. |
Compute Engine |
compute. |
cloudasset. |
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset.
|
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset.
|
|
compute. |
cloudasset.
|
|
compute. |
cloudasset.
|
|
compute. |
cloudasset. |
|
compute. |
cloudasset. |
|
Dataproc |
dataproc. |
cloudasset. |
dataproc. |
cloudasset. |
|
Google Kubernetes Engine |
container. |
cloudasset. |
container. |
cloudasset. |
|
k8s. |
cloudasset. |
|
k8s. |
cloudasset. |
|
k8s. |
cloudasset. |
|
rbac. |
cloudasset. |
|
rbac. |
cloudasset.
|
|
rbac. |
cloudasset. |
|
rbac. |
cloudasset. |
|
IAM |
iam. |
cloudasset. |
iam. |
cloudasset. |
|
Pub/Sub |
pubsub. |
cloudasset. |
pubsub. |
cloudasset. |
|
Resource Manager |
cloudresourcemanager. |
cloudasset.
|
cloudresourcemanager.
|
cloudasset.
|
|
cloudresourcemanager. |
cloudasset.
|
Controles del servicio de VPC
Los Controles del servicio de VPC se pueden usar con Cloud Asset Inventory a fin de proporcionar seguridad adicional para tus elementos. Para obtener más información los Controles del servicio de VPC, consulta la Descripción general de los Controles del servicio de VPC.
Para conocer las limitaciones en el uso de Cloud Asset Inventory con los Controles del servicio de VPC, consulta la página sobre los productos admitidos y las limitaciones.