Configura permisos

En este tema, se muestra cómo configurar los permisos y las credenciales que son necesarios para llamar a la API de Cloud Asset Inventory.

Autenticar

Antes de que puedas llamar a la API de Cloud Asset Inventory, debes autenticarte como un usuario final o como una cuenta de servicio. Para obtener más información sobre la autenticación, consulta Descripción general de la autenticación.

Otorga los permisos necesarios para gcloud CLI

Si quieres usar gcloud CLI para acceder a la API de Cloud Asset Inventory, debes otorgar los permisos necesarios en el recurso superior del recurso de destino, que puede ser una organización, un proyecto o una carpeta. Debes especificar este elemento superior en el campo parent de tus solicitudes a la API.

Si tu cuenta tiene la función Propietario de Cloud Asset (roles/cloudasset.owner) o el rol básico de propietario (roles/owner) en el superior del recurso, tiene permisos suficientes para llamar a la API de Cloud Asset Inventory y puedes pasar a la sección Descarga credenciales. Para obtener más información acerca de las funciones de Cloud Asset Inventory, consulta Funciones.

Otorgando funciones

Para otorgar un rol a una cuenta, completa los siguientes pasos con Google Cloud CLI. Aprende a instalar y, luego, inicializar la CLI de gcloud.

Cuenta de usuario

Para otorgar las funciones necesarias a una cuenta de usuario, completa los siguientes pasos.

  1. Para acceder con tu cuenta de usuario, ejecuta el siguiente comando.

    gcloud auth login USER_ACCOUNT_EMAIL

  2. Otorga a tu cuenta de usuario el rol de visualizador de Cloud Asset (roles/cloudasset.viewer) o el de propietario de Cloud Asset (roles/cloudasset.owner) en el recurso raíz (superior). Este proyecto puede ser el proyecto en el que está habilitada la API de Cloud Asset Inventory.

    Para otorgar la función de visualizador de Cloud Asset a tu cuenta de usuario, ejecuta el siguiente comando.

    gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \
    --member user:USER_ACCOUNT_EMAIL \
    --role roles/cloudasset.viewer

    Puedes agregar la marca --billing-project al comando gcloud asset para especificar el proyecto de facturación en el que está habilitada la API de Cloud Asset Inventory.

    --billing-project PROJECT_ID

    Si especificas esta marca, tu cuenta necesita el permiso serviceusage.services.use en el proyecto PROJECT_ID. Consulta Comprende las funciones para obtener una lista de las funciones predefinidas que incluyen este permiso.

Cuenta de servicio

Para otorgar las funciones necesarias a una cuenta de servicio, completa los siguientes pasos. Para obtener más información sobre las cuentas de servicio, consulta la página sobre cómo crear y administrar cuentas de servicio.

  1. Para crear una cuenta de servicio nueva, ejecuta el siguiente comando: Si ya tienes una cuenta de servicio en un proyecto en el que está habilitada la API de Cloud Asset Inventory, puedes omitir este paso.

    gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \
    --display-name "SERVICE_ACCOUNT_DISPLAY_NAME"

  2. Otorga a tu cuenta de servicio la función de Visualizador de Cloud Asset (roles/cloudasset.viewer) o propietario de Cloud Asset (roles/cloudasset.owner) en el recurso raíz (principal). Este proyecto puede ser igual que el proyecto en el que la API de Cloud Asset Inventory está habilitada.

    Para otorgar a tu cuenta de servicio el rol de visualizador de recursos de Cloud, ejecuta el siguiente comando.

    gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \
    --member serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \
    --role roles/cloudasset.viewer