Configura IAM para la solución Bare Metal
Cuando deseas que una principal, como un usuario de proyecto de Google Cloud o una cuenta de servicio, obtenga acceso a los recursos en el entorno de la solución Bare Metal, debes otorgarle los roles y permisos adecuados. Para otorgar acceso, puedes crear una política de Identity and Access Management (IAM) y otorgar funciones predefinidas específicas a la solución Bare Metal.
Otorga roles con permisos suficientes para que tus principales puedan realizar su trabajo, pero no más, de modo que puedas seguir el principio de privilegio mínimo de seguridad de Google Cloud.
Funciones predefinidas para la solución Bare Metal
Cada función de IAM para la solución Bare Metal contiene permisos que otorgan a la principal acceso a recursos específicos, como se muestra en la siguiente tabla.
| Nombre de la función | Path | Descripción |
|---|---|---|
| Administrador de la solución Bare Metal | roles/baremetalsolution.admin(El rol básico de propietario también tiene estos permisos) |
Tiene control completo sobre todos los recursos actuales y futuros de la solución Bare Metal. Este rol recibe permisos de lectura y escritura a nivel de proyecto. |
| Editor de la solución Bare Metal | roles/baremetalsolution.editor(El rol básico de editor también tiene estos permisos) |
Editor de todos los recursos actuales y futuros de la solución Bare Metal Este rol recibe permisos de lectura y escritura a nivel de proyecto. |
| Visualizador de soluciones Bare Metal | roles/baremetalsolution.viewer(El rol básico de visualizador también tiene estos permisos) |
Visualizador de todos los recursos actuales y futuros de la solución Bare Metal. Este rol recibe permisos de solo lectura a nivel de proyecto. |
| Administrador de instancias de la solución Bare Metal | roles/baremetalsolution.instancesadmin |
Administrador de servidores de la solución Bare Metal. |
| Editor de instancias de la solución Bare Metal | roles/baremetalsolution.instanceseditor |
Editor de servidores de solución Bare Metal. Este rol recibe permisos para supervisar y administrar servidores. |
| Visualizador de instancias de la solución Bare Metal | roles/baremetalsolution.instancesviewer |
Visualizador de servidores de la solución Bare Metal Este rol recibe permisos de solo lectura para ver servidores. |
| Administrador de almacenamiento de la solución Bare Metal | roles/baremetalsolution.storageadmin |
Administrador de recursos de almacenamiento de la solución Bare Metal, incluidos volúmenes, LUN, instantáneas y políticas de programación de instantáneas. |
| Editor de almacenamiento de la solución Bare Metal | roles/baremetalsolution.storageeditor |
Editor de recursos de almacenamiento de la solución Bare Metal, incluidos volúmenes, LUN, instantáneas y políticas de programación de instantáneas. Este rol recibe permisos para supervisar y administrar el almacenamiento. |
| Visualizador de almacenamiento de la solución Bare Metal | roles/baremetalsolution.storageviewer |
Visualizador de recursos de almacenamiento de la solución Bare Metal, incluidos volúmenes, LUN, instantáneas y políticas de programación de instantáneas. Este rol recibe permisos de solo lectura para ver el almacenamiento. |
| Administrador de redes de la solución Bare Metal | roles/baremetalsolution.networksadmin |
Administrador de recursos de red de la solución Bare Metal |
| Editor de redes de la solución Bare Metal | roles/baremetalsolution.networkseditor |
Editor de recursos de redes de la solución Bare Metal. Este rol recibe permisos para supervisar y administrar redes. |
| Visualizador de redes de la solución Bare Metal | roles/baremetalsolution.networksviewer |
Visualizador de recursos de herramientas de redes de la solución Bare Metal. Este rol recibe permisos de solo lectura para ver las redes. |
| Administrador de recursos compartidos de NFS de la solución Bare Metal | roles/baremetalsolution.nfssharesadmin |
Puede administrar los recursos de NFS de la solución Bare Metal. |
| Editor de recursos compartidos de NFS de la solución Bare Metal | roles/baremetalsolution.nfsshareseditor |
Puede editar los recursos de NFS de la solución Bare Metal. Este rol recibe permisos para supervisar y administrar el almacenamiento de archivos NFS. |
| Visualizador de recursos compartidos de NFS de la solución Bare Metal | roles/baremetalsolution.nfssharesviewer |
Puede visualizar los recursos de NFS de la solución Bare Metal. Este rol recibe permisos de solo lectura para ver el almacenamiento de archivos NFS. |
Para las funciones mencionadas anteriormente, recomendamos aplicarlas de la siguiente manera:
Completa un formulario de admisión
- Funciones de la solución Bare Metal: administrador, editor o administrador de instancias Y visualizador de red de Compute
- Roles básicos: propietario o editor
Reinicia un servidor de la solución Bare Metal
- Funciones de la solución Bare Metal: administrador o editor
- Roles básicos: propietario o editor
Muestra una lista de servidores o solicita un estado
- Funciones de la solución Bare Metal: Visualizador o visualizador de instancias
- Función básica: Visualizador
Administra componentes de almacenamiento
- Roles de la solución Bare Metal: administrador, editor o administrador de almacenamiento
- Roles básicos: propietario o editor
Administra componentes de herramientas de redes
- Roles de la solución Bare Metal: administrador, editor o administrador de redes
- Roles básicos: propietario o editor
Para obtener una lista completa de las funciones de la solución Bare Metal, consulta Funciones predefinidas y, luego, ingresa baremetalsolution. en el cuadro de búsqueda.
Para obtener una lista completa de los permisos de la solución Bare Metal, consulta Busca un permiso y, luego, ingresa baremetalsolution. en el cuadro de búsqueda.
Otorga una función de IAM
Agrega una política de IAM para otorgar un rol de la solución Bare Metal a una principal. El rol contiene permisos que permiten a la principal realizar ciertas acciones. Para otorgar una función:
Consola
Asegúrate de tener un rol que contenga los permisos de IAM adecuados para otorgar roles a otros, como propietario, administrador de IAM del proyecto o administrador de seguridad. Para obtener más información sobre este requisito, consulta Funciones requeridas.
En la consola de Google Cloud, ve a la página de permisos de IAM.
Haz clic en Grant access.
Ingresa la siguiente información:
En Agregar principales, ingresa tus usuarios. Puedes agregar usuarios individuales, grupos de Google, cuentas de servicio o dominios de Google Workspace.
En Asigna funciones, elige una función del menú Seleccionar una función para otorgar esta función a las principales.
Haz clic en Agregar otro rol si necesitas asignar varios roles a tus principales.
Haz clic en Guardar.
Las principales y sus roles asignados aparecen en la página de estado de permisos de IAM.
gcloud
Asegúrate de tener un rol que contenga los permisos de IAM adecuados para otorgar roles a otros, como Propietario, Administrador de IAM del proyecto o Administrador de seguridad. Para obtener más información sobre este requisito, consulta Funciones requeridas.
Abre una ventana de Cloud Shell en tu proyecto de Google Cloud.
Agrega el ID del proyecto de Google Cloud, la dirección de correo electrónico de la cuenta principal de Google Cloud y la ruta de acceso del rol de la solución Bare Metal deseada al siguiente comando:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:username@example.com \ --role=roles/baremetalsolution.admin
Copia el comando y pégalo en tu ventana de Cloud Shell.
Presiona las teclas Intro o Volver.
En algunos casos, se abrirá una ventana Autorizar Cloud Shell que solicitará que permitas una llamada a la API. Si ves esto, haz clic en Autorizar.
Cuando hayas escrito los comandos correctamente, el resultado obtenido se verá así:
Updated IAM policy for project [PROJECT_ID]. bindings: - members: - user:username@example.com role: roles/baremetalsolution.admin - members: - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com role: roles/compute.serviceAgent - members: - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com role: roles/editor - members: - user:username@example.com role: roles/owner etag: ETAG_NUMBER version: 1
Si quieres obtener más información sobre IAM, consulta Administración de identidades y accesos.