En este tema, se muestra cómo configurar los permisos y las credenciales que son necesarios para llamar a la API de Cloud Asset Inventory.
Autenticar
Antes de que puedas llamar a la API de Cloud Asset Inventory, debes autenticarte como un usuario final o como una cuenta de servicio. Para obtener más información sobre la autenticación, consulta Descripción general de la autenticación.
Otorga los permisos necesarios para gcloud CLI
Si quieres usar gcloud CLI para acceder a la API de Cloud Asset Inventory, debes otorgar los permisos necesarios en el recurso superior del recurso de destino, que puede ser una organización, un proyecto o una carpeta. Debes especificar este elemento superior en el campo parent
de tus solicitudes a la API.
Si tu cuenta tiene la función Propietario de Cloud Asset (roles/cloudasset.owner
) o el rol básico de propietario (roles/owner
) en el superior del recurso, tiene permisos suficientes para llamar a la API de Cloud Asset Inventory y puedes pasar a la sección
Descarga credenciales. Para obtener más información acerca de las funciones de Cloud Asset Inventory, consulta Funciones.
Otorgando funciones
Para otorgar un rol a una cuenta, completa los siguientes pasos con Google Cloud CLI. Aprende a instalar y, luego, inicializar la CLI de gcloud.
Cuenta de usuario
Para otorgar las funciones necesarias a una cuenta de usuario, completa los siguientes pasos.
Para acceder con tu cuenta de usuario, ejecuta el siguiente comando.
gcloud auth login USER_ACCOUNT_EMAIL
Otorga a tu cuenta de usuario el rol de visualizador de Cloud Asset (
roles/cloudasset.viewer
) o el de propietario de Cloud Asset (roles/cloudasset.owner
) en el recurso raíz (superior). Este proyecto puede ser el proyecto en el que está habilitada la API de Cloud Asset Inventory.Para otorgar la función de visualizador de Cloud Asset a tu cuenta de usuario, ejecuta el siguiente comando.
gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \ --member user:USER_ACCOUNT_EMAIL \ --role roles/cloudasset.viewer
Puedes agregar la marca
--billing-project
al comandogcloud asset
para especificar el proyecto de facturación en el que está habilitada la API de Cloud Asset Inventory.--billing-project PROJECT_ID
Si especificas esta marca, tu cuenta necesita el permiso
serviceusage.services.use
en el proyectoPROJECT_ID
. Consulta Comprende las funciones para obtener una lista de las funciones predefinidas que incluyen este permiso.
Cuenta de servicio
Para otorgar las funciones necesarias a una cuenta de servicio, completa los siguientes pasos. Para obtener más información sobre las cuentas de servicio, consulta la página sobre cómo crear y administrar cuentas de servicio.
Para crear una cuenta de servicio nueva, ejecuta el siguiente comando: Si ya tienes una cuenta de servicio en un proyecto en el que está habilitada la API de Cloud Asset Inventory, puedes omitir este paso.
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \ --display-name "SERVICE_ACCOUNT_DISPLAY_NAME"
Otorga a tu cuenta de servicio la función de Visualizador de Cloud Asset (
roles/cloudasset.viewer
) o propietario de Cloud Asset (roles/cloudasset.owner
) en el recurso raíz (principal). Este proyecto puede ser igual que el proyecto en el que la API de Cloud Asset Inventory está habilitada.Para otorgar a tu cuenta de servicio el rol de visualizador de recursos de Cloud, ejecuta el siguiente comando.
gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \ --member serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \ --role roles/cloudasset.viewer