Roles de IAM
En esta página, se describen los roles de Identity and Access Management (IAM) que puedes usar para configurar Assured Workloads. Los roles limitan la capacidad de una principal para acceder a los recursos. Solo otorga a una principal los permisos que necesita para interactuar con las APIs, las funciones o los recursos aplicables de Google Cloud.
Para poder crear una carpeta de Assured Workloads, debes tener asignado uno de los roles que se enumeran a continuación con esa capacidad, así como una función de control de acceso a la Facturación de Cloud. También debes tener una cuenta de facturación activa y válida. Para obtener más información, consulta Descripción general del control de acceso a la Facturación de Cloud.
Funciones obligatorias
A continuación, se enumeran los roles mínimos necesarios relacionados con Assured Workloads. Para aprender a otorgar, cambiar o revocar el acceso a los recursos con las funciones de IAM, consulta Otorga, cambia y revoca el acceso a los recursos.
- Administrador de Assured Workloads (
roles/assuredworkloads.admin): Se encarga de crear y borrar carpetas de Assured Workloads. - Visualizador de la organización de Resource Manager (
roles/resourcemanager.organizationViewer): Acceso para ver todos los recursos que pertenecen a una organización.
Funciones de Assured Workloads
A continuación, se muestran los roles de IAM asociados con Assured Workloads y cómo otorgarlos mediante Google Cloud CLI. Para obtener información sobre cómo otorgar estos roles en la consola de Google Cloud o de manera programática, consulta Otorga, cambia y revoca el acceso a los recursos en la documentación de IAM.
Reemplaza el marcador de posición ORGANIZATION_ID por el identificador real de la organización y example@customer.org por la dirección de correo electrónico del usuario. Para recuperar el ID de la organización, consulta la sección sobre cómo recuperar el ID de la organización.
roles/assuredworkloads.admin
Para crear y borrar carpetas de Assured Workloads. Permite el acceso de lectura y escritura.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.admin"
roles/assuredworkloads.editor
Permite el acceso de lectura y escritura.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.editor"
roles/assuredworkloads.reader
Para obtener y mostrar carpetas de Assured Workloads. Permite el acceso de solo lectura.
gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member="user:example@customer.org" \ --role="roles/assuredworkloads.reader"
Roles personalizados
Si deseas definir tus propias funciones para que contengan paquetes de permisos que tú especifiques, usa funciones personalizadas.
Prácticas recomendadas para IAM de Assured Workloads
Proteger correctamente las funciones de IAM para que tengan privilegio mínimo es una práctica recomendada de seguridad de Google Cloud. Este principio sigue la regla que establece que los usuarios solo deben tener acceso a los productos, servicios y aplicaciones que requiere su función. Por el momento, los usuarios no tienen restricciones para usar servicios fuera del alcance con proyectos de Assured Workloads cuando implementan productos y servicios fuera de una carpeta de Assured Workloads.
La lista de productos dentro del alcance por paquete de control ayuda a guiar a los administradores de seguridad cuando crean funciones personalizadas que limitan el acceso de los usuarios solo a los productos dentro del alcance dentro de la carpeta de Assured Workloads. Las funciones personalizadas pueden ayudar a obtener y mantener el cumplimiento dentro de una carpeta de Assured Workloads.