Funciones de IAM

En esta página, se describen los roles de Identity and Access Management (IAM) que puedes usar para configurar Assured Workloads. Los roles limitan la capacidad de una principal para acceder a los recursos. Solo otorga a una principal los permisos que necesita para realizar las siguientes acciones: interactuar con las APIs, las funciones o los recursos aplicables de Google Cloud.

Para poder crear una carpeta de Assured Workloads, debes tener asignada uno de los roles que se enumeran a continuación con esa habilidad, así como un Facturación de Cloud el rol de control de acceso. También debes tener una cuenta de facturación activa y válida. Para obtener más información, consulta Descripción general del control de acceso a la Facturación de Cloud.

Roles obligatorios

A continuación, se enumeran los roles mínimos necesarios relacionados con Assured Workloads. Para obtener información sobre cómo otorgar, cambiar o revocar el acceso a los recursos mediante roles de IAM, consulta Otorga, cambia y revoca el acceso a los recursos.

  • Administrador de Assured Workloads (roles/assuredworkloads.admin): Para crear y borrar carpetas de Assured Workloads.
  • Visualizador de la organización de Resource Manager (roles/resourcemanager.organizationViewer): Acceso para ver todos los recursos que pertenecen a una organización.

Funciones de Assured Workloads

A continuación, se muestran los roles de IAM asociados con Assured Workloads y cómo otorgarlos mediante Google Cloud CLI. Para aprender a otorgar estos roles en la de Google Cloud o de manera programática, consulta Cómo otorgar, cambiar y revocar el acceso a los recursos en la documentación de IAM.

Reemplaza el marcador de posición ORGANIZATION_ID por el identificador de la organización real y example@customer.org por la dirección de correo electrónico del usuario. Para recuperar el ID de tu organización, consulta Recupera el ID de tu organización.

roles/assuredworkloads.admin

Para crear y borrar carpetas de Assured Workloads. Permite el acceso de lectura y escritura el acceso a los datos.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

roles/assuredworkloads.editor

Permite el acceso de lectura y escritura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

roles/assuredworkloads.reader

Para obtener y mostrar carpetas de Assured Workloads. Permite el acceso de solo lectura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Funciones personalizadas

Si deseas definir tus propias funciones para que contengan paquetes de permisos que tú especifiques, usa funciones personalizadas.

Prácticas recomendadas para IAM de Assured Workloads

Asegurar correctamente los roles de IAM que se deben seguir privilegio mínimo es Google Cloud de seguridad práctica recomendada. Este principio sigue la regla de que los usuarios solo deben tener acceso a los productos, servicios y aplicaciones que requiere su rol. Por el momento, los usuarios no tienen restringido el uso de servicios fuera del alcance con proyectos de Assured Workloads cuando implementan productos y servicios fuera de una carpeta de Assured Workloads.

El lista de productos incluidos en el alcance por paquete de control ayuda a guiar a los administradores de seguridad cuando crean roles personalizados que limitan el acceso de los usuarios solo los productos incluidos en el alcance de la carpeta de Assured Workloads. Los roles personalizados pueden ayudar a obtener y mantener el cumplimiento dentro de una carpeta de Assured Workloads.