Crea un rol personalizado

En esta página, se describe cómo crear y administrar roles personalizados en Google Distributed Cloud (GDC) aislado. Los roles personalizados te permiten administrar el acceso más allá de los conjuntos de permisos estándar disponibles en los roles predefinidos, lo que te permite configurar permisos para cumplir con tus criterios específicos.

Los roles personalizados siguen el principio de privilegio mínimo y son útiles para otorgar el menor acceso requerido para tareas sensibles, mitigar los riesgos de seguridad y evitar conflictos de intereses.

Crear un rol personalizado te permite hacer lo siguiente:

  • Define el alcance del acceso: Elige si deseas aplicar permisos en toda tu organización, en todos los proyectos o restringirlos a proyectos específicos.
  • Personaliza el acceso detallado: Selecciona uno o más permisos ya disponibles a través de roles predefinidos para personalizar el acceso a tareas o responsabilidades específicas.

Consulta las descripciones de los roles predefinidos y las definiciones de roles para obtener más información.

Antes de comenzar

El acceso a los roles personalizados se administra a nivel de la organización y del proyecto. El acceso a roles personalizados solo se puede otorgar dentro de la misma organización o proyecto en el que se creó.

Para tener los permisos necesarios para crear y administrar roles personalizados, pídele a tu administrador que te otorgue uno de los siguientes roles:

  • Administrador de la organización con rol personalizado

    Crea y administra roles personalizados dentro de una organización o un proyecto. Este rol incluye la capacidad de actualizar, enumerar, visualizar, inhabilitar y borrar roles personalizados.

    Los usuarios administradores de IAM de la organización pueden otorgar este rol.

  • Administrador del proyecto con rol personalizado

    Crea y administra roles personalizados dentro de un proyecto. Este rol incluye la capacidad de actualizar, enumerar, ver, inhabilitar y borrar roles personalizados.

    Los usuarios administradores de IAM del proyecto pueden otorgar este rol.

Obtén más información para asignar permisos de roles a organizaciones y proyectos.

Crea un rol personalizado

Un rol personalizado es un grupo de permisos que puedes asignar a los usuarios. Puedes crear un rol personalizado nuevo agrupando permisos de roles predefinidos. Las funciones personalizadas heredan las capacidades multizona de IAM de las funciones predefinidas en las que se basan.

Crea un rol personalizado con la consola de GDC o la CLI de gdcloud:

Console

  1. Accede a la consola de GDC.
  2. En el selector de proyectos, selecciona la organización o el proyecto en el que deseas crear un rol personalizado.
  3. En el menú de navegación, haz clic en Identity & Access > Roles.
  4. Haz clic en Crear rol personalizado.
  5. En el campo Título, ingresa el título de tu rol personalizado.
  6. En el campo Descripción, proporciona una descripción del propósito de tu rol personalizado.

  7. En el campo ID, ingresa el identificador único de tu rol personalizado.

    Los IDs de roles personalizados pueden tener hasta 10 caracteres alfanuméricos en minúscula y no se pueden cambiar después de la creación del rol.

  8. Selecciona una etapa de lanzamiento.

  9. Selecciona el alcance de tu rol personalizado.

    Si seleccionas Organización, el rol personalizado se aplica a todos los recursos de la organización. Si seleccionas Proyectos, el rol personalizado se aplicará a todos los proyectos actuales y futuros de la organización. Puedes seleccionar Limitar a los proyectos seleccionados si deseas especificar qué proyectos pueden acceder al rol personalizado.

  10. Haz clic en Agregar permisos.

  11. Selecciona la casilla de verificación junto a uno o más de los permisos admitidos que quieras asignar a tu rol personalizado.

    Los permisos disponibles se limitan al alcance que seleccionaste. Si cambias el alcance después de agregar permisos, debes confirmar que se restablecieron todos los permisos asignados anteriormente.

  12. Haz clic en Save.

  13. Haga clic en Crear.

    Tu nuevo rol personalizado aparecerá en la página Roles.

gdcloud

  1. Asegúrate de tener instalada la CLI de gdcloud. Para obtener más información, consulta la página Descripción general de la CLI de gcloud.

  2. Sigue estos pasos para crear un rol personalizado:

    gdcloud iam roles create ROLE_ID \
  --title=TITLE \
  --description=DESCRIPTION \
  --permissions=PERMISSIONS

    Reemplaza los siguientes elementos obligatorios:

    • ROLE_ID: Es el identificador único de tu rol personalizado. Los IDs de roles personalizados pueden tener hasta 10 caracteres alfanuméricos en minúscula y pueden contener guiones y puntos. Los IDs de roles personalizados no se pueden cambiar después de la creación del rol.
    • TITLE: Es un título descriptivo para el rol personalizado.
    • DESCRIPTION: Es una descripción del propósito del rol personalizado.
    • PERMISSIONS: Es una lista de los permisos admitidos que se otorgan para el rol personalizado.

    Como alternativa, puedes definir el rol personalizado en un archivo YAML y usar la marca --file:

    gdcloud iam roles create ROLE_ID --file=YAML_FILE_PATH

    Reemplaza YAML_FILE_PATH por la ruta de acceso al archivo YAML que contiene las marcas obligatorias y opcionales. Si usas la marca --file, se ignoran todas las demás marcas, como --title, --description y --permissions.

    Consulta gcloud iam roles create para obtener una lista completa de las marcas obligatorias y opcionales, así como ejemplos de uso.

Administra un rol personalizado

Eres responsable de administrar el ciclo de vida de tus roles personalizados. Cuando Distributed Cloud agrega permisos, funciones o servicios nuevos, actualiza los roles predefinidos. Las actualizaciones, como borrar un rol predefinido o quitar permisos de un rol predefinido, pueden hacer que los roles personalizados que dependen de esos permisos dejen de funcionar. Debes supervisar estas actualizaciones y ajustar manualmente los roles personalizados afectados para asegurarte de que sigan funcionando según lo previsto.

Puedes editar, inhabilitar o borrar un rol personalizado, pero no puedes editar, inhabilitar ni borrar un rol predefinido.

Cómo ver una lista de roles

Consulta una lista de los roles predefinidos y personalizados disponibles con la consola de GDC o la CLI de gdcloud:

Console

  1. Accede a la consola de GDC.
  2. En el selector de proyectos, selecciona la organización o el proyecto en el que deseas ver los roles.

  3. En el menú de navegación, haz clic en Identity & Access > Roles.

    Aparecerá una lista de los roles predefinidos y personalizados disponibles.

gdcloud

  1. Asegúrate de tener instalada la CLI de gdcloud. Para obtener más información, consulta la página Descripción general de la CLI de gcloud.

  2. Enumera roles:

    gdcloud iam roles list ROLE_TYPE \
  --project=PROJECT

    Reemplaza los siguientes elementos:

    • ROLE_TYPE: Puede ser predefined, custom o all.
    • PROJECT: Es el espacio de nombres del proyecto en el que deseas ver los roles. Si no se especifica la marca --project, se enumeran los roles con alcance de la organización.

    Consulta gcloud iam roles list para obtener más información y ejemplos de uso.

Edita una función personalizada

Edita un rol personalizado con la consola de GDC o la CLI de gdcloud:

Console

  1. Accede a la consola de GDC.
  2. En el selector de proyectos, selecciona la organización o el proyecto en el que deseas editar un rol personalizado.
  3. En el menú de navegación, haz clic en Identity & Access > Roles.
  4. En la lista de roles, selecciona el rol personalizado que deseas editar.
  5. En la página de detalles del rol personalizado, haz clic en Editar.
  6. Edita los detalles de tu rol personalizado, como el título, la descripción, el ID o la etapa de lanzamiento.
  7. De manera opcional, agrega o quita permisos asignados.
    1. Haz clic en Agregar permisos para seleccionar permisos de la lista disponible.
    2. Para quitar un permiso asignado, selecciona la casilla de verificación junto al permiso que deseas quitar y haz clic en Quitar.

  8. Haz clic en Save.

    Aparecerá un mensaje para confirmar que se guardaron los cambios.

gdcloud

  1. Asegúrate de tener instalada la CLI de gdcloud. Para obtener más información, consulta la página Descripción general de la CLI de gcloud.

  2. Sigue estos pasos para editar un rol personalizado:

    gdcloud iam roles update ROLE_ID \
  --title=TITLE \
  --description=DESCRIPTION \
  --permissions=PERMISSIONS

    Reemplaza los siguientes elementos obligatorios:

    • ROLE_ID: Es el identificador único de tu rol personalizado.
    • TITLE: Es un título descriptivo para el rol personalizado.
    • DESCRIPTION: Es una descripción del propósito del rol personalizado.
    • PERMISSIONS: Es una lista de los permisos admitidos que se otorgan para el rol personalizado.

    Como alternativa, puedes actualizar el rol personalizado en su archivo YAML y usar la marca --file:

    gdcloud iam roles update ROLE_ID --file=YAML_FILE_PATH

    Reemplaza YAML_FILE_PATH por la ruta de acceso al archivo YAML que contiene las marcas obligatorias y opcionales actualizadas. Si usas la marca --file, se ignoran todas las demás marcas, como --title, --description y --permissions.

    Consulta gcloud iam roles update para obtener una lista completa de las marcas obligatorias y opcionales, así como ejemplos de uso.

Inhabilita un rol personalizado

Los roles personalizados inhabilitados permanecen en tu lista de roles y se pueden seguir asignando a los usuarios, pero no tienen ningún efecto. Puedes volver a habilitar el rol personalizado en cualquier momento.

Inhabilita un rol personalizado con la consola de GDC o la CLI de gdcloud:

Console

  1. Accede a la consola de GDC.
  2. En el selector de proyectos, selecciona la organización o el proyecto en el que deseas inhabilitar un rol personalizado.
  3. En el menú de navegación, haz clic en Identity & Access > Roles.
  4. En la lista de roles, selecciona el rol personalizado que deseas inhabilitar.
  5. En la página de detalles del rol personalizado, haz clic en Inhabilitar.

gdcloud

  1. Asegúrate de tener instalada la CLI de gdcloud. Para obtener más información, consulta la página Descripción general de la CLI de gcloud.

  2. Inhabilita un rol personalizado:

    gdcloud iam roles update ROLE_ID --stage=DISABLED

    Reemplaza el siguiente elemento obligatorio:

    • ROLE_ID: Es el identificador único de tu rol personalizado.

    Consulta gcloud iam roles update para obtener más información.

Borra un rol personalizado

Solo se admite el borrado de un rol personalizado con la CLI de gcloud. Los roles borrados se quitan de forma permanente del sistema. Sin embargo, puedes crear un rol nuevo con el mismo nombre.

Borra un rol personalizado con la CLI de gcloud:

  1. Asegúrate de tener instalada la CLI de gdcloud. Para obtener más información, consulta la página Descripción general de la CLI de gcloud.

  2. Sigue estos pasos para borrar un rol personalizado:

    gdcloud iam roles delete ROLE_ID --project=PROJECT

    Reemplaza lo siguiente:

    • ROLE_ID: Es el identificador único de tu rol personalizado.
    • PROJECT: Es el espacio de nombres del proyecto en el que deseas borrar el rol personalizado. Si no se especifica la marca --project, se borrará el rol con alcance de la organización.

    Consulta gcloud iam roles delete para obtener más información y ejemplos de uso.