Se usó la API de Cloud Translation para traducir esta página.

Funciones de IAM

En esta página, se describen los roles de Identity and Access Management (IAM) que puedes usar para configurar Assured Workloads. Los roles limitan la capacidad de una principal para acceder a los recursos. Solo debes otorgar a una principal los permisos que necesita para interactuar con las APIs, las funciones o los recursos correspondientes de Google Cloud .

Para poder crear una carpeta de Assured Workloads, se te debe asignar uno de los roles que se mencionan a continuación con esa capacidad, así como un rol de control de acceso de Facturación de Cloud. También debes tener una cuenta de facturación activa y válida. Para obtener más información, consulta Descripción general del control de acceso a la Facturación de Cloud.

Roles obligatorios

A continuación, se enumeran los roles mínimos necesarios relacionados con Assured Workloads. Para obtener información sobre cómo otorgar, cambiar o revocar el acceso a los recursos mediante roles de IAM, consulta Otorga, cambia y revoca el acceso a los recursos.

Administrador de Assured Workloads (roles/assuredworkloads.admin): Para crear y borrar carpetas de Assured Workloads.
Visualizador de la organización de Resource Manager (roles/resourcemanager.organizationViewer): Acceso para ver todos los recursos que pertenecen a una organización.

Funciones de Assured Workloads

A continuación, se muestran los roles de IAM asociados con Assured Workloads y cómo otorgarlos mediante Google Cloud CLI. Para obtener información sobre cómo otorgar estos roles en la consola de Google Cloud o de manera programática, consulta Otorga, cambia y revoca el acceso a los recursos en la documentación de IAM.

Reemplaza el marcador de posición ORGANIZATION_ID por el identificador de la organización real y example@customer.org por la dirección de correo electrónico del usuario. Para recuperar el ID de tu organización, consulta Recupera el ID de tu organización.

`roles/assuredworkloads.admin`

Para crear y borrar carpetas de Assured Workloads. Permite el acceso de lectura y escritura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Permite el acceso de lectura y escritura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Para obtener y enumerar carpetas de Assured Workloads. Permite el acceso de solo lectura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Funciones personalizadas

Si deseas definir tus propias funciones para que contengan paquetes de permisos que tú especifiques, usa funciones personalizadas.

Prácticas recomendadas para IAM de Assured Workloads

Proteger los roles de IAM de forma adecuada para seguir los privilegios mínimos es una práctica recomendada de seguridad de Google Cloud . Este principio sigue la regla de que los usuarios solo deben tener acceso a los productos, los servicios y las aplicaciones que requieren sus roles. Por el momento, los usuarios no tienen restringido el uso de servicios fuera del alcance con proyectos de Assured Workloads cuando implementan productos y servicios fuera de una carpeta de Assured Workloads.

La lista de productos dentro del alcance por paquete de control ayuda a guiar a los administradores de seguridad cuando crean roles personalizados que limitan el acceso de los usuarios a solo productos dentro del alcance en la carpeta de Assured Workloads. Los roles personalizados pueden ayudar a obtener y mantener el cumplimiento dentro de una carpeta de Assured Workloads.