Permisos y roles de IAM

En esta página, se describen las cuentas de servicio, las funciones y los permisos de Cloud Deploy.

El acceso en Cloud Deploy se controla mediante Identity and Access Management (IAM). IAM te permite crear y administrar permisos para los recursos de Google Cloud. Cloud Deploy proporciona un conjunto específico de funciones de IAM predefinidas, en las que cada función contiene un conjunto de permisos. Puedes usar estos roles para otorgar un acceso más detallado a recursos específicos de Google Cloud y evitar el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que puedes otorgar solo el acceso necesario a tus recursos.

Consulta Usa IAM para restringir el acceso a Cloud Deploy a fin de obtener información sobre las funciones avanzadas de seguridad de control de acceso.

Cuentas de servicio en Cloud Deploy

Según la configuración predeterminada, Cloud Deploy se ejecuta con la cuenta de servicio predeterminada de Compute Engine. Esa cuenta de servicio tiene los permisos suficientes para renderizar manifiestos y realizar implementaciones en tus destinos.

Obtén más información sobre cómo Cloud Deploy usa cuentas de servicio.

Funciones predefinidas de Cloud Deploy

Con la IAM, cada método de API en la API de Cloud Deploy requiere que la identidad que realiza la solicitud a la API tenga los permisos adecuados para usar el recurso. Los permisos se asignan mediante la configuración de políticas que otorgan roles a un miembro (usuario, grupo o cuenta de servicio) del proyecto. Puedes otorgar varios roles a una principal en el mismo recurso.

En la siguiente tabla, se enumeran las funciones de IAM de Cloud Deploy y los permisos que incluyen:

Rol Descripción Permisos
roles/clouddeploy.viewer Puede ver Cloud Deploy

sobreaprovisionados.

clouddeploy.*.get

clouddeploy.*.list

roles/clouddeploy.admin Tiene control completo sobre los recursos de Cloud Deploy. clouddeploy.*
roles/clouddeploy.developer Pueden crear, recuperar, actualizar

borrar recursos de canalización de entrega de Cloud Deploy

clouddeploy.deliveryPipelines.get

clouddeploy.deliveryPipelines.list

clouddeploy.deliveryPipelines.create

clouddeploy.deliveryPipelines.delete

clouddeploy.deliveryPipelines.update

clouddeploy.deliveryPipelines.getIamPolicy

clouddeploy.releases.*

clouddeploy.rollouts.get

clouddeploy.rollouts.list

clouddeploy.operations.*

clouddeploy.jobRuns.get

clouddeploy.jobRuns.list

clouddeploy.automations.get

clouddeploy.automations.list

clouddeploy.automationRuns.get

clouddeploy.automationRuns.list

roles/clouddeploy.operator Puede crear, recuperar, actualizar y borrar

Canalización de entrega de Cloud Deploy y recursos de destino

Puede crear y recuperar recursos de lanzamiento, lanzamiento y ejecución de trabajos.

clouddeploy.deliveryPipelines.get

clouddeploy.deliveryPipelines.list

clouddeploy.deliveryPipelines.create

clouddeploy.deliveryPipelines.delete

clouddeploy.deliveryPipelines.update

clouddeploy.deliveryPipelines.getIamPolicy

clouddeploy.releases.*

clouddeploy.targets.get

clouddeploy.targets.list

clouddeploy.targets.create

clouddeploy.targets.delete

clouddeploy.targets.update

clouddeploy.targets.getIamPolicy

clouddeploy.rollouts.advance

clouddeploy.rollouts.cancel

clouddeploy.rollouts.create

clouddeploy.rollouts.get

clouddeploy.rollouts.ignoreJob

clouddeploy.rollouts.list

clouddeploy.rollouts.retryJob

clouddeploy.rollouts.rollback

clouddeploy.operations.*

clouddeploy.jobRuns.get

clouddeploy.jobRuns.list

clouddeploy.jobRuns.terminate

clouddeploy.automations.*

clouddeploy.automationRuns.*

roles/clouddeploy.approver Puede ver y aprobar Cloud Deploy

de lanzamiento Google Cloud Deploy.

clouddeploy.rollouts.get

clouddeploy.rollouts.list

clouddeploy.rollouts.approve

clouddeploy.operations.*

clouddeploy.jobRuns.get

clouddeploy.jobRuns.list

roles/clouddeploy.jobRunner Puede ejecutar trabajos de Cloud Deploy sin

permiso para implementar en un destino.

logging.logEntries.create

storage.objects.create

storage.objects.list

storage.objects.get

roles/clouddeploy.releaser Puede crear y recuperar versiones y lanzamientos clouddeploy.deliveryPipelines.get

clouddeploy.targets.get

clouddeploy.releases.create

clouddeploy.releases.get

clouddeploy.releases.list

clouddeploy.rollouts.advance

clouddeploy.rollouts.cancel

clouddeploy.rollouts.create

clouddeploy.rollouts.get

clouddeploy.rollouts.list

clouddeploy.rollouts.rollback

clouddeploy.jobRuns.get

clouddeploy.jobRuns.list

Además de las funciones predefinidas de Cloud Deploy, las funciones básicas de Visualizador, Editor y Propietario también incluyen permisos relacionados con Cloud Deploy. Sin embargo, te recomendamos otorgar roles predefinidos siempre que sea posible para cumplir con el principio de privilegio mínimo de seguridad.

Permisos

En la tabla siguiente, se enumeran los permisos que deben tener el emisor para llamar a cada método:

Método de API Permiso necesario Descripción
automations.create() clouddeploy.automations.create Crea un nuevo recurso de automatización.
automations.delete() clouddeploy.automations.delete Borra un recurso de automatización existente.
automations.get() clouddeploy.automations.get Recuperar detalles de un recurso de automatización individual
automations.list() clouddeploy.automations.list Enumera los recursos de automatización y sus metadatos.
automations.update() clouddeploy.automations.update Actualiza un recurso de automatización existente.
automationRuns.cancel() clouddeploy.automationRuns.cancel Cancela una automatización en ejecución.
automationRuns.get() clouddeploy.automationRuns.get Recuperar los detalles de una ejecución de automatización individual.
automationRuns.list() clouddeploy.automationRuns.list Enumera las ejecuciones de automatización y sus metadatos.
deliveryPipelines.create() clouddeploy.deliveryPipelines.create Crea un nuevo recurso de canalización de entrega.
deliveryPipelines.delete() clouddeploy.deliveryPipelines.delete Borra un recurso de canalización de entrega existente.
deliveryPipelines.get() clouddeploy.deliveryPipelines.get Recupera detalles de una canalización de entrega individual.
deliveryPipelines.getIamPolicy() clouddeploy.deliveryPipelines.getIamPolicy Obtener la política de IAM para un recurso de canalización de entrega
deliveryPipelines.list() clouddeploy.deliveryPipelines.list Enumera las canalizaciones de entrega y sus metadatos.
deliveryPipelines.rollbackTarget() clouddeploy.rollouts.rollback Revierte un objetivo.
deliveryPipelines.setIamPolicy() clouddeploy.deliveryPipelines.setIamPolicy Configurar la política de IAM para un recurso de canalización de entrega
deliveryPipelines.update() clouddeploy.deliveryPipelines.update Actualizar un recurso de canalización de entrega existente
jobRuns.get() clouddeploy.jobRuns.get Recupera un recurso JobRuns.
jobRuns.list() clouddeploy.jobRuns.list Enumera JobRuns recursos y sus metadatos.
jobRuns.terminate() clouddeploy.jobRuns.terminate Finaliza la ejecución de un trabajo en curso.
operations.cancel() clouddeploy.operations.cancel Cancela una operación de larga duración.
operation.delete() clouddeploy.operations.delete Borra una operación de larga duración.
operations.get() clouddeploy.operations.get Obtén una operación de larga duración específica (por ejemplo, para mostrar el estado de creación de una versión).
operations.list() clouddeploy.operations.list Muestra las operaciones de larga duración.
releases.abandon() clouddeploy.releases.abandon Abandonar una versión y evitar futuros lanzamientos
releases.create() clouddeploy.releases.create Crea un recurso de lanzamiento nuevo. El llamador también requiere el permiso iam.serviceAccounts.actAs en la cuenta de servicio que se usa para renderizar el manifiesto.
releases.get() clouddeploy.releases.get Recupera los detalles de versiones individuales.
releases.list() clouddeploy.releases.list Enumera las actualizaciones y los metadatos.
releases.promote() clouddeploy.rollouts.create Promueve la versión al siguiente destino.
rollouts.advance() clouddeploy.rollouts.advance Avanzar un lanzamiento a la siguiente fase
rollouts.approve() clouddeploy.rollouts.approve Aprueba o rechaza un lanzamiento con el estado de aprobación required.
rollouts.cancel() clouddeploy.rollouts.cancel Cancela un lanzamiento.
rollouts.create() clouddeploy.rollouts.create Crea un nuevo recurso de lanzamiento. El llamador también requiere el permiso iam.serviceAccounts.actAs en el proyecto o la cuenta de servicio que se usa para realizar la implementación.
rollouts.get() clouddeploy.rollouts.get Recupera los detalles de un lanzamiento individual.
rollouts.ignoreJob() clouddeploy.rollouts.ignoreJob Ignora un trabajo con errores.
rollouts.list() clouddeploy.rollouts.list Enumerar lanzamientos y metadatos
rollouts.retryJob() clouddeploy.rollouts.retryJob Vuelve a intentar un trabajo con errores.
targets.create() clouddeploy.targets.create Crea un nuevo recurso de destino.
targets.delete() clouddeploy.targets.delete Borra un recurso de destino existente.
targets.get() clouddeploy.targets.get Recupera los detalles de un destino individual.
targets.getIamPolicy() clouddeploy.targets.getIamPolicy Obtiene la política de IAM para un recurso de destino.
targets.list() clouddeploy.targets.list Enumera los destinos y sus metadatos.
targets.setIamPolicy() clouddeploy.targets.setIamPolicy Configura la política de IAM para un recurso de destino.
targets.update() clouddeploy.targets.update Actualiza un recurso de destino existente.

Usa IAM para restringir acciones en los recursos de Cloud Deploy

Puedes proteger tus recursos de Cloud Deploy con la IAM de las siguientes maneras:

  • API de meta de IAM

    Usa setIamPolicy en los recursos de Cloud Deploy para restringir las acciones en esos recursos.

  • IAM condicional

    Aplica políticas de acceso de manera programática, incluidas las conditions en las que se otorga o rechaza el acceso.

Puedes usar estas políticas y condiciones para restringir las siguientes acciones en tus recursos de Cloud Deploy:

  • Crea una canalización de entrega o un destino

    Puedes otorgar este acceso a usuarios o grupos específicos.

  • Actualizar o borrar una canalización de entrega específica

    Puedes otorgar este acceso a usuarios o grupos específicos.

  • Crea una versión para una canalización de entrega específica

    Puedes otorgar este acceso a usuarios o grupos específicos.

  • Cómo actualizar o borrar un destino específico

    Puedes otorgar este acceso a usuarios o grupos específicos.

  • Crea o aprueba un lanzamiento, o promueve una versión

    Puedes otorgar este acceso a usuarios o grupos específicos para una canalización de entrega o destino específica.

    También puedes establecer una condición que limite este acceso dentro de un período específico.

¿Qué sigue?