En esta página se describe cómo crear y gestionar roles personalizados en Google Distributed Cloud (GDC) aislado. Los roles personalizados te permiten gestionar el acceso más allá de los conjuntos de permisos estándar disponibles en los roles predefinidos, lo que te permite configurar los permisos para que se ajusten a tus criterios específicos.
Los roles personalizados siguen el principio de mínimos accesos y son útiles para conceder el acceso mínimo necesario para tareas sensibles, lo que reduce los riesgos de seguridad y evita conflictos de intereses.
Crear un rol personalizado te permite hacer lo siguiente:
- Define el ámbito del acceso: elige si quieres aplicar los permisos en toda tu organización, en todos los proyectos o solo en algunos.
- Adaptar el acceso granular: selecciona uno o varios permisos ya disponibles a través de roles predefinidos para personalizar el acceso a tareas o responsabilidades específicas.
Para obtener más información, consulta las descripciones de los roles predefinidos y las definiciones de los roles.
Antes de empezar
El acceso a los roles personalizados se gestiona tanto a nivel de organización como de proyecto. El acceso con roles personalizados solo se puede conceder en la misma organización o proyecto en el que se haya creado.
Para tener los permisos necesarios para crear y gestionar roles personalizados, pide a tu administrador que te asigne uno de los siguientes roles:
Administrador de la organización con rol personalizado
Crea y gestiona roles personalizados en una organización o un proyecto. Este rol incluye la capacidad de actualizar, enumerar, ver, inhabilitar y eliminar roles personalizados.
Los usuarios administradores de gestión de identidades y accesos de la organización pueden conceder este rol.
Administrador de proyectos con rol personalizado
Crea y gestiona roles personalizados en un proyecto. Este rol incluye la capacidad de actualizar, enumerar, ver, inhabilitar y eliminar roles personalizados.
Los usuarios con el rol Administrador de IAM de proyecto pueden conceder este rol.
Consulta más información sobre cómo asignar permisos de rol a organizaciones y proyectos.
Crear una función personalizada
Un rol personalizado es un grupo de permisos que puedes asignar a los usuarios. Puedes crear un rol personalizado agrupando permisos de roles predefinidos. Los roles personalizados heredan las funciones multizona de gestión de identidades y accesos de los roles predefinidos en los que se basan.
Crea un rol personalizado con la consola de GDC o la CLI de gdcloud:
Consola
- Inicia sesión en la consola de GDC.
- En el selector de proyectos, selecciona la organización o el proyecto en el que quieras crear un rol personalizado.
- En el menú de navegación, haz clic en Identidad y acceso > Roles.
- Haz clic en Crear rol personalizado.
- En el campo Título, introduce el título del rol personalizado.
- En el campo Descripción, describe el propósito del rol personalizado.
En el campo ID, introduce el identificador único de tu rol personalizado.
Los IDs de rol personalizado pueden tener hasta 10 caracteres alfanuméricos en minúscula y no se pueden cambiar después de crear el rol.
Selecciona una Fase de lanzamiento.
Selecciona el ámbito del rol personalizado.
Si seleccionas Organización, el rol personalizado se aplicará a todos los recursos de la organización. Si seleccionas Proyectos, el rol personalizado se aplicará a todos los proyectos actuales y futuros de la organización. Puedes seleccionar Limitar a los proyectos seleccionados si quieres especificar a qué proyectos se puede asignar el rol personalizado.
Haz clic en Añadir permisos.
Marca la casilla situada junto a uno o varios de los permisos admitidos que quieras asignar a tu rol personalizado.
Los permisos disponibles se limitan al ámbito seleccionado. Si cambias el ámbito después de añadir permisos, debes confirmar que se restablezcan todos los permisos asignados anteriormente.
Haz clic en Guardar.
Haz clic en Crear.
El nuevo rol personalizado aparecerá en la página Roles.
gdcloud
- Asegúrate de que tienes instalada la CLI de gdcloud. Para obtener más información, consulta la página Información general sobre la herramienta de línea de comandos gdcloud.
Para crear un rol personalizado, sigue estos pasos:
gdcloud iam roles create ROLE_ID \ --title=TITLE \ --description=DESCRIPTION \ --permissions=PERMISSIONSSustituye los siguientes elementos obligatorios:
ROLE_ID: identificador único de tu rol personalizado. Los IDs de rol personalizado pueden tener hasta 10 caracteres alfanuméricos en minúscula y pueden contener guiones y puntos. Los IDs de los roles personalizados no se pueden cambiar después de crear el rol.TITLE: título descriptivo del rol personalizado.DESCRIPTION: una descripción de la finalidad del rol personalizado.PERMISSIONS: lista de permisos admitidos concedidos al rol personalizado.
También puedes definir el rol personalizado en un archivo YAML y usar la marca
--file:gdcloud iam roles create ROLE_ID --file=YAML_FILE_PATHSustituye
YAML_FILE_PATHpor la ruta del archivo YAML que contiene las marcas obligatorias y opcionales. Si usas la marca--file, se ignorarán todas las demás marcas, como--title,--descriptiony--permissions.Consulta gdcloud iam roles create para ver la lista completa de marcas obligatorias y opcionales, así como ejemplos de uso.
Gestionar un rol personalizado
Eres responsable de gestionar el ciclo de vida de tus roles personalizados. Cuando Distributed Cloud añade nuevos permisos, funciones o servicios, actualiza los roles predefinidos. Si se elimina un rol predefinido o se quitan permisos de un rol predefinido, los roles personalizados que dependan de esos permisos dejarán de funcionar. Debes monitorizar estas actualizaciones y ajustar manualmente los roles personalizados afectados para asegurarte de que sigan funcionando correctamente.
Puedes editar, inhabilitar o eliminar un rol personalizado, pero no puedes editar, inhabilitar ni eliminar un rol predefinido.
Ver una lista de roles
Para ver una lista de los roles predefinidos y personalizados disponibles, usa la consola de GDC o la CLI de gdcloud:
Consola
- Inicia sesión en la consola de GDC.
- En el selector de proyectos, selecciona la organización o el proyecto en el que quieras ver los roles.
En el menú de navegación, haz clic en Identidad y acceso > Roles.
Aparecerá una lista de los roles predefinidos y personalizados disponibles.
gdcloud
- Asegúrate de que tienes instalada la CLI de gdcloud. Para obtener más información, consulta la página Información general sobre la herramienta de línea de comandos gdcloud.
Mostrar roles:
gdcloud iam roles list ROLE_TYPE \ --project=PROJECTSustituye los siguientes elementos:
ROLE_TYPE:predefined,customoall.PROJECT: el espacio de nombres del proyecto en el que quieres ver los roles. Si no se especifica la marca--project, se mostrarán los roles con ámbito de organización.
Consulta gdcloud iam roles list para obtener más información y ejemplos de uso.
Editar un rol personalizado
Edita un rol personalizado con la consola de GDC o la CLI de gdcloud:
Consola
- Inicia sesión en la consola de GDC.
- En el selector de proyectos, selecciona la organización o el proyecto en el que quieras editar un rol personalizado.
- En el menú de navegación, haz clic en Identidad y acceso > Roles.
- En la lista de roles, selecciona el rol personalizado que quieras editar.
- En la página de detalles del rol personalizado, haz clic en Editar.
- Edita los detalles del rol personalizado, como el título, la descripción, el ID o la fase de lanzamiento.
- Si quiere, puede añadir o quitar permisos asignados.
- Haga clic en Añadir permisos para seleccionar uno de la lista de permisos disponibles.
- Para quitar un permiso asignado, selecciona la casilla situada junto al permiso que quieras quitar y haz clic en Quitar.
Haz clic en Guardar.
Aparecerá un mensaje para confirmar que has guardado los cambios.
gdcloud
- Asegúrate de que tienes instalada la CLI de gdcloud. Para obtener más información, consulta la página Información general sobre la herramienta de línea de comandos gdcloud.
Para editar un rol personalizado, sigue estos pasos:
gdcloud iam roles update ROLE_ID \ --title=TITLE \ --description=DESCRIPTION \ --permissions=PERMISSIONSSustituye los siguientes elementos obligatorios:
ROLE_ID: identificador único de tu rol personalizado.TITLE: título descriptivo del rol personalizado.DESCRIPTION: una descripción de la finalidad del rol personalizado.PERMISSIONS: lista de permisos admitidos concedidos al rol personalizado.
También puedes actualizar el rol personalizado en su archivo YAML y usar la marca
--file:gdcloud iam roles update ROLE_ID --file=YAML_FILE_PATHSustituye
YAML_FILE_PATHpor la ruta al archivo YAML que contiene las marcas obligatorias y opcionales actualizadas. Si usas la marca--file, se ignorarán todas las demás marcas, como--title,--descriptiony--permissions.Consulta la actualización de los roles de IAM de Google Cloud para ver una lista completa de las marcas obligatorias y opcionales, así como ejemplos de uso.
Inhabilitar un rol personalizado
Los roles personalizados inhabilitados permanecen en la lista de roles y se pueden seguir asignando a los usuarios, pero no tienen ningún efecto. Puedes volver a habilitar el rol personalizado en cualquier momento.
Para inhabilitar un rol personalizado, usa la consola de GDC o la CLI de gdcloud:
Consola
- Inicia sesión en la consola de GDC.
- En el selector de proyectos, selecciona la organización o el proyecto en el que quieras inhabilitar un rol personalizado.
- En el menú de navegación, haz clic en Identidad y acceso > Roles.
- En la lista de roles, selecciona el rol personalizado que quieras inhabilitar.
- En la página de detalles del rol personalizado, haz clic en Inhabilitar.
gdcloud
- Asegúrate de que tienes instalada la CLI de gdcloud. Para obtener más información, consulta la página Información general sobre la herramienta de línea de comandos gdcloud.
Para inhabilitar un rol personalizado, sigue estos pasos:
gdcloud iam roles update ROLE_ID --stage=DISABLEDSustituye el siguiente elemento obligatorio:
ROLE_ID: identificador único de tu rol personalizado.
Consulta más información en gdcloud iam roles update.
Eliminar un rol personalizado
Solo se pueden eliminar roles personalizados mediante la CLI de gdcloud. Los roles eliminados se quitan del sistema de forma permanente. Sin embargo, puedes crear un rol con el mismo nombre.
Para eliminar un rol personalizado con la CLI de gdcloud, sigue estos pasos:
- Asegúrate de que tienes instalada la CLI de gdcloud. Para obtener más información, consulta la página Información general sobre la herramienta de línea de comandos gdcloud.
Para eliminar un rol personalizado, sigue estos pasos:
gdcloud iam roles delete ROLE_ID --project=PROJECTHaz los cambios siguientes:
ROLE_ID: identificador único de tu rol personalizado.PROJECT: el espacio de nombres del proyecto en el que quieras eliminar el rol personalizado. Si no se especifica la marca--project, se elimina el rol con ámbito de organización.
Consulta gdcloud iam roles delete para obtener más información y ejemplos de uso.