Opciones de control de acceso

De manera predeterminada, los proyectos de Google Cloud Platform Console vienen con un solo usuario: el creador original del proyecto. Ningún otro usuario tiene acceso al proyecto ni, por lo tanto, a los recursos de Google Cloud Platform, hasta que se los agregue como miembro de equipo del proyecto. En esta página se describen las distintas formas de agregar usuarios a un proyecto.

También se describe la forma en Deployment Manager se autentica en otras API de Cloud Platform en tu nombre para crear recursos.

Antes de comenzar

Control de acceso para usuarios

A fin de brindarle a los usuarios acceso al proyecto para que pueden crear implementaciones y configuraciones, agrégalos como miembros del equipo del proyecto y otórgales las funciones de administración de identidades y accesos (IAM) adecuadas.

Para obtener información sobre cómo agregar miembros del equipo, lee la documentación para agregar miembros del equipo.

Funciones de Deployment Manager

Función Título Descripción Permisos Recurso más bajo
roles/deploymentmanager.editor Editor de Deployment Manager Proporciona los permisos necesarios para crear y administrar implementaciones.
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.deployments.cancelPreview
  • deploymentmanager.deployments.create
  • deploymentmanager.deployments.delete
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.deployments.stop
  • deploymentmanager.deployments.update
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Proyecto
roles/deploymentmanager.typeEditor Editor de tipo de Deployment Manager Proporciona acceso de lectura y escritura a todos los recursos de Type Registry.
  • deploymentmanager.compositeTypes.*
  • deploymentmanager.operations.get
  • deploymentmanager.typeProviders.*
  • deploymentmanager.types.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
Proyecto
roles/deploymentmanager.typeViewer Lector de tipo de Deployment Manager Proporciona acceso de solo lectura a todos los recursos de Type Registry.
  • deploymentmanager.compositeTypes.get
  • deploymentmanager.compositeTypes.list
  • deploymentmanager.typeProviders.get
  • deploymentmanager.typeProviders.getType
  • deploymentmanager.typeProviders.list
  • deploymentmanager.typeProviders.listTypes
  • deploymentmanager.types.get
  • deploymentmanager.types.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
Proyecto
roles/deploymentmanager.viewer Visualizador de Deployment Manager Proporciona acceso de solo lectura a todos los recursos relacionados con Deployment Manager.
  • deploymentmanager.compositeTypes.get
  • deploymentmanager.compositeTypes.list
  • deploymentmanager.deployments.get
  • deploymentmanager.deployments.list
  • deploymentmanager.manifests.*
  • deploymentmanager.operations.*
  • deploymentmanager.resources.*
  • deploymentmanager.typeProviders.get
  • deploymentmanager.typeProviders.getType
  • deploymentmanager.typeProviders.list
  • deploymentmanager.typeProviders.listTypes
  • deploymentmanager.types.get
  • deploymentmanager.types.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
Proyecto

Control de acceso para Deployment Manager

Para crear otros recursos de Google Cloud Platform, Deployment Manager usa las credenciales de la cuenta de servicio de la API de Google para autenticarse en otras API. La cuenta de servicio de las API de Google está diseñada específicamente para ejecutar procesos internos de Google en tu nombre. La cuenta de servicio se identifica mediante este correo electrónico:

[PROJECT_NUMBER]@cloudservices.gserviceaccount.com

La cuenta de servicio de las API de Google obtiene, de manera automática, permisos de editor en el proyecto y se enumera en la sección IAM de Google Cloud Platform Console. La cuenta de servicio existe de manera indefinida con el proyecto y se borra solo cuando se borra el proyecto. Dado que Deployment Manager y otros servicios como grupos de instancias administradas dependen de esta cuenta de servicio para crear, eliminar y administrar recursos, no se recomienda que modifiques los permisos de esta cuenta.

Qué sigue