Se usó la API de Cloud Translation para traducir esta página.

Funciones y permisos

Cloud Asset Inventory usa Identity and Access Management (IAM) para el control de acceso. Cada método de API de Cloud Asset Inventory requiere que el llamador tenga los permisos necesarios.

Funciones

Para obtener los permisos que necesitas para trabajar con metadatos de activos, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización, la carpeta o el proyecto:

Sigue estos pasos para ver los metadatos de activos:
- Visualizador de recursos de Cloud (roles/cloudasset.viewer)
- Consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer)
Sigue estos pasos para ver los metadatos de activos y trabajar con feeds:
- Propietario de recursos de Cloud (roles/cloudasset.owner)
- Consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer)

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen sobre los permisos necesarios para trabajar con metadatos de activos. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para trabajar con metadatos de activos:

Sigue estos pasos para ver los metadatos de activos:
- cloudasset.assets.*
- recommender.cloudAssetInsights.get
- recommender.cloudAssetInsights.list
- serviceusage.services.use
Sigue estos pasos para ver los metadatos de activos y trabajar con feeds:
- cloudasset.*
- recommender.cloudAssetInsights.*
- serviceusage.services.use

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Permisos

En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método de API en Cloud Asset Inventory o para realizar tareas con herramientas de Google Cloud que usar Cloud Asset Inventory, como la consola de Google Cloud o gcloud CLI.

Visualizador de Cloud Asset (roles/cloudasset.viewer) y propietario de Cloud Asset (roles/cloudasset.owner) Los roles incluyen muchos de estos: permisos. Si al emisor se le otorgó uno de estos roles y el de consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer), quizás ya cuente con los permisos necesarios para usar Cloud Asset Inventory.

RPC

Método	Permisos necesarios
Todas las API
Todas las llamadas de Cloud Asset Inventory	Todas las llamadas de Cloud Asset Inventory requieren el `serviceusage.services.use` permiso.
APIs de análisis
`AnalyzeIamPolicy` `AnalyzeIamPolicyLongRunning` `BatchGetEffectiveIamPolicies`	Todos los siguientes permisos: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`AnalyzeMove`	`cloudasset.assets.analyzeMove`
`AnalyzeOrgPolicies` `AnalyzeOrgPolicyGovernedContainers`	Todos los siguientes permisos: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`AnalyzeOrgPolicyGovernedAssets`	Todos los siguientes permisos: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
APIs de Inventory
`BatchGetAssetsHistory` `ExportAssets`	Uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.exportAccessPolicy` Cuando se usa el tipo de contenido `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Cuando se usa el tipo de contenido `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Cuando se usa el tipo de contenido `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Cuando se usa el tipo de contenido `OS_INVENTORY` `cloudasset.assets.exportResource` Cuando usas los tipos de contenido `RELATIONSHIP` o `RESOURCE`. Cuando exportes metadatos de un tipo de contenido no especificado o `RESOURCE`, en lugar de otorgar el permiso `cloudasset.assets.exportResource` a una cuenta, puedes usar los permisos para cada tipo de recurso.
`ListAssets`	Uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` para los tipos de contenido `RELATIONSHIP` y `RESOURCE`.
`QueryAssets`	Uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` para los tipos de contenido `RELATIONSHIP` y `RESOURCE`.
APIs de feed
`CreateFeed`	`cloudasset.feeds.create` También necesitas uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`DeleteFeed`	`cloudasset.feeds.delete`
`GetFeed`	`cloudasset.feeds.get`
`ListFeed`	`cloudasset.feeds.list`
`UpdateFeed`	`cloudasset.feeds.update` También necesitas uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API de Búsqueda
`SearchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`SearchAllResources`	`cloudasset.assets.searchAllResources` También necesitas `cloudasset.assets.searchEnrichmentResourceOwners` si buscas la enriquecimiento del propietario del recurso.

REST

Método	Permisos necesarios
Todas las API
Todas las llamadas de Cloud Asset Inventory	Todas las llamadas de Cloud Asset Inventory requieren el `serviceusage.services.use` permiso.
APIs de análisis
`analyzeIamPolicy` `analyzeIamPolicyLongRunning` `effectiveIamPolicies.batchGet`	Todos los siguientes permisos: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyzeMove`	`cloudasset.assets.analyzeMove`
`analyzeOrgPolicies` `analyzeOrgPolicyGovernedContainers`	Todos los siguientes permisos: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyzeOrgPolicyGovernedAssets`	Todos los siguientes permisos: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
APIs de Inventory
`batchGetAssetsHistory` `exportAssets`	Uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.exportAccessPolicy` Cuando se usa el tipo de contenido `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Cuando se usa el tipo de contenido `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Cuando se usa el tipo de contenido `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Cuando se usa el tipo de contenido `OS_INVENTORY` `cloudasset.assets.exportResource` Cuando uses los tipos de contenido `RELATIONSHIP` o `RESOURCE`. Cuando exportes metadatos de un tipo de contenido no especificado o `RESOURCE`, en lugar de otorgar el permiso `cloudasset.assets.exportResource` a una cuenta, puedes usar los permisos para cada tipo de recurso.
`assets.list`	Uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` para los tipos de contenido `RELATIONSHIP` y `RESOURCE`.
`queryAssets`	Uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` para los tipos de contenido `RELATIONSHIP` y `RESOURCE`.
APIs de feeds
`feeds.create`	`cloudasset.feeds.create` También necesitas uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds.delete`	`cloudasset.feeds.delete`
`feeds.get`	`cloudasset.feeds.get`
`feeds.list`	`cloudasset.feeds.list`
`feeds.patch`	`cloudasset.feeds.update` También necesitas uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API de Búsqueda
`searchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`searchAllResources`	`cloudasset.assets.searchAllResources` También necesitas `cloudasset.assets.searchEnrichmentResourceOwners` si buscas la enriquecimiento del propietario del recurso.

gcloud

Sentencia posicional	Permisos necesarios
Todas las API
Todas las llamadas de Cloud Asset Inventory	Todas las llamadas de Cloud Asset Inventory requieren el `serviceusage.services.use` permiso.
APIs de análisis
`analyze-iam-policy` `analyze-iam-policy-longrunning` `get-effective-iam-policy`	Todos los siguientes permisos: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyze-move`	`cloudasset.assets.analyzeMove`
`analyze-org-policies` `analyze-org-policy-governed-containers`	Todos los siguientes permisos: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyze-org-policy-governed-assets`	Todos los siguientes permisos: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
APIs de Inventory
`get-history` `export`	Uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.exportAccessPolicy` Cuando se usa el tipo de contenido `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Cuando se usa el tipo de contenido `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Cuando se usa el tipo de contenido `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Cuando se usa el tipo de contenido `OS_INVENTORY` `cloudasset.assets.exportResource` Cuando usas los tipos de contenido `RELATIONSHIP` o `RESOURCE`. Cuando se exportan metadatos de un tipo de contenido `RESOURCE` o no especificado, en su lugar de otorgar `cloudasset.assets.exportResource` permiso a una cuenta, puedes usar los permisos para cada tipo de recurso.
`list`	Uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` para el Tipos de contenido `RELATIONSHIP` y `RESOURCE`.
`query`	Uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` para las Tipos de contenido `RELATIONSHIP` y `RESOURCE`.
APIs de feed
`feeds create`	`cloudasset.feeds.create` También necesitas uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds delete`	`cloudasset.feeds.delete`
`feeds describe`	`cloudasset.feeds.get`
`feeds list`	`cloudasset.feeds.list`
`feeds update`	`cloudasset.feeds.update` También necesitas uno de los siguientes permisos, según el tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
API de Búsqueda
`search-all-iam-policies`	`cloudasset.assets.searchAllIamPolicies`
`search-all-resources`	`cloudasset.assets.searchAllResources` También necesitas `cloudasset.assets.searchEnrichmentResourceOwners` si buscas la enriquecimiento del propietario del recurso.

Exporta permisos para cada tipo de recurso

Otorgar el permiso cloudasset.assets.exportResource a un usuario le permite para exportar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede exportar, puedes otorgar permisos para cada tipo de recurso.

Por ejemplo, otorgar cloudasset.assets.exportComputeDisks a un usuario significa que no puede exportar nada, excepto el tipo de recurso compute.googleapis.com/Disk.

Los permisos de exportación de recursos solo se aplican a RESOURCE y no especificados tipos de contenido.

Servicio	Tipo de recurso	Permiso de exportación de recursos
App Engine	`appengine.googleapis.com/Application`	`cloudasset.assets.exportAppengineApplications`
	`appengine.googleapis.com/Service`	`cloudasset.assets.exportAppengineServices`
	`appengine.googleapis.com/Version`	`cloudasset.assets.exportAppengineVersions`
BigQuery	`bigquery.googleapis.com/Dataset`	`cloudasset.assets.exportBigqueryDatasets`
BigQuery	`bigquery.googleapis.com/Table`	`cloudasset.assets.exportBigqueryTables`
Bigtable	`bigtableadmin.googleapis.com/Cluster`	`cloudasset.assets.exportBigtableCluster`
	`bigtableadmin.googleapis.com/Instance`	`cloudasset.assets.exportBigtableInstance`
	`bigtableadmin.googleapis.com/Table`	`cloudasset.assets.exportBigtableTable`
Facturación de Cloud	`cloudbilling.googleapis.com/BillingAccount`	`cloudasset.assets.exportCloudbillingBillingAccounts`
Cloud DNS	`dns.googleapis.com/ManagedZone`	`cloudasset.assets.exportDnsManagedZones`
Cloud DNS	`dns.googleapis.com/Policy`	`cloudasset.assets.exportDnsPolicies`
Cloud Key Management Service	`cloudkms.googleapis.com/CryptoKey`	`cloudasset.assets.exportCloudkmsCryptoKeys`
	`cloudkms.googleapis.com/CryptoKeyVersion`	`cloudasset.assets.exportCloudkmsCryptoKeyVersions`
	`cloudkms.googleapis.com/ImportJob`	`cloudasset.assets.exportCloudkmsImportJobs`
	`cloudkms.googleapis.com/KeyRing`	`cloudasset.assets.exportCloudkmsKeyRings`
Configuración del SO de Cloud	`osconfig.googleapis.com/PatchDeployment`	`cloudasset.assets.exportPatchDeployments`
Spanner	`spanner.googleapis.com/Backup`	`cloudasset.assets.exportSpannerBackups`
	`spanner.googleapis.com/Database`	`cloudasset.assets.exportSpannerDatabases`
	`spanner.googleapis.com/Instance`	`cloudasset.assets.exportSpannerInstances`
Cloud SQL	`sqladmin.googleapis.com/Instance`	`cloudasset.assets.exportSqladminInstances`
Cloud Storage	`storage.googleapis.com/Bucket`	`cloudasset.assets.exportStorageBuckets`
Compute Engine	`compute.googleapis.com/Address`	`cloudasset.assets.exportComputeAddress`
	`compute.googleapis.com/Autoscaler`	`cloudasset.assets.exportComputeAutoscalers`
	`compute.googleapis.com/BackendBucket`	`cloudasset.assets.exportComputeBackendBuckets`
	`compute.googleapis.com/BackendService`	`cloudasset.assets.exportComputeBackendServices`
	`compute.googleapis.com/Disk`	`cloudasset.assets.exportComputeDisks`
	`compute.googleapis.com/Firewall`	`cloudasset.assets.exportComputeFirewalls`
	`compute.googleapis.com/ForwardingRule`	`cloudasset.assets.exportComputeForwardingRules`
	`compute.googleapis.com/GlobalAddress`	`cloudasset.assets.exportComputeGlobalAddress`
	`compute.googleapis.com/HealthCheck`	`cloudasset.assets.exportComputeHealthChecks`
	`compute.googleapis.com/HttpHealthCheck`	`cloudasset.assets.exportComputeHttpHealthChecks`
	`compute.googleapis.com/HttpsHealthCheck`	`cloudasset.assets.exportComputeHttpsHealthChecks`
	`compute.googleapis.com/Image`	`cloudasset.assets.exportComputeImages`
	`compute.googleapis.com/Instance`	`cloudasset.assets.exportComputeInstances`
	`compute.googleapis.com/InstanceGroup`	`cloudasset.assets.exportComputeInstanceGroups`
	`compute.googleapis.com/InstanceGroupManager`	`cloudasset.assets.exportComputeInstanceGroupManagers`
	`compute.googleapis.com/InstanceTemplate`	`cloudasset.assets.exportComputeInstanceTemplates`
	`compute.googleapis.com/Interconnect`	`cloudasset.assets.exportComputeInterconnect`
	`compute.googleapis.com/InterconnectAttachment`	`cloudasset.assets.exportComputeInterconnectAttachment`
	`compute.googleapis.com/License`	`cloudasset.assets.exportComputeLicenses`
	`compute.googleapis.com/Network`	`cloudasset.assets.exportComputeNetworks`
	`compute.googleapis.com/Project`	`cloudasset.assets.exportComputeProjects`
	`compute.googleapis.com/RegionDisk`	`cloudasset.assets.exportComputeRegionDisk`
	`compute.googleapis.com/Route`	`cloudasset.assets.exportComputeRoutes`
	`compute.googleapis.com/Router`	`cloudasset.assets.exportComputeRouters`
	`compute.googleapis.com/Snapshot`	`cloudasset.assets.exportComputeSnapshots`
	`compute.googleapis.com/SslCertificate`	`cloudasset.assets.exportComputeSslCertificates`
	`compute.googleapis.com/Subnetwork`	`cloudasset.assets.exportComputeSubnetworks`
	`compute.googleapis.com/TargetHttpProxy`	`cloudasset.assets.exportComputeTargetHttpProxies`
	`compute.googleapis.com/TargetHttpsProxy`	`cloudasset.assets.exportComputeTargetHttpsProxies`
	`compute.googleapis.com/TargetInstance`	`cloudasset.assets.exportComputeTargetInstances`
	`compute.googleapis.com/TargetPool`	`cloudasset.assets.exportComputeTargetPools`
	`compute.googleapis.com/TargetTcpProxy`	`cloudasset.assets.exportComputeTargetTcpProxies`
	`compute.googleapis.com/TargetSslProxy`	`cloudasset.assets.exportComputeTargetSslProxies`
	`compute.googleapis.com/TargetVpnGateway`	`cloudasset.assets.exportComputeTargetVpnGateways`
	`compute.googleapis.com/UrlMap`	`cloudasset.assets.exportComputeUrlMaps`
	`compute.googleapis.com/VpnTunnel`	`cloudasset.assets.exportComputeVpnTunnels`
Dataproc	`dataproc.googleapis.com/Cluster`	`cloudasset.assets.exportDataprocClusters`
Dataproc	`dataproc.googleapis.com/Job`	`cloudasset.assets.exportDataprocJobs`
Google Kubernetes Engine	`container.googleapis.com/Cluster`	`cloudasset.assets.exportContainerClusters`
	`container.googleapis.com/NodePool`	`cloudasset.assets.exportContainerNodepool`
	`k8s.io/Namespace`	`cloudasset.assets.exportContainerNamespace`
	`k8s.io/Node`	`cloudasset.assets.exportContainerNode`
	`k8s.io/Pod`	`cloudasset.assets.exportContainerPod`
	`rbac.authorization.k8s.io/ClusterRole`	`cloudasset.assets.exportContainerClusterrole`
	`rbac.authorization.k8s.io/ClusterRoleBinding`	`cloudasset.assets.exportContainerClusterrolebinding`
	`rbac.authorization.k8s.io/Role`	`cloudasset.assets.exportContainerRole`
	`rbac.authorization.k8s.io/RoleBinding`	`cloudasset.assets.exportContainerRolebinding`
IAM	`iam.googleapis.com/Role`	`cloudasset.assets.exportIamRoles`
IAM	`iam.googleapis.com/ServiceAccount`	`cloudasset.assets.exportIamServiceAccounts`
Pub/Sub	`pubsub.googleapis.com/Subscription`	`cloudasset.assets.exportPubsubSubscriptions`
Pub/Sub	`pubsub.googleapis.com/Topic`	`cloudasset.assets.exportPubsubTopics`
Resource Manager	`cloudresourcemanager.googleapis.com/Folder`	`cloudasset.assets.exportCloudresourcemanagerFolders`
	`cloudresourcemanager.googleapis.com/Organization`	`cloudasset.assets.exportCloudresourcemanagerOrganizations`
	`cloudresourcemanager.googleapis.com/Project`	`cloudasset.assets.exportCloudresourcemanagerProjects`

Controles del servicio de VPC

Los Controles del servicio de VPC se pueden usar con Cloud Asset Inventory a fin de proporcionar seguridad adicional para tus elementos. Para obtener más información los Controles del servicio de VPC, consulta la Descripción general de los Controles del servicio de VPC.

Para conocer las limitaciones en el uso de Cloud Asset Inventory con los Controles del servicio de VPC, consulta la página sobre los productos admitidos y las limitaciones.