Identidades integradas para recursos

En esta página, se describen las identidades integradas para los recursos, que te permiten otorgar roles a los recursos en tus políticas de permisos de IAM.

Identidades integradas

Algunos recursos tienen identidades integradas. Estas identidades permiten que los recursos actúen como principales. Como resultado, los recursos con identidades integradas pueden hacer lo siguiente:

Por ejemplo, considera los parámetros del Administrador de parámetros, que tienen identidades integradas. A veces, los parámetros necesitan acceso a Secret Manager para funcionar correctamente. Para permitir que un parámetro acceda a Secret Manager, debes usar su identificador para otorgarle el rol de descriptor de acceso a secretos de Secret Manager (roles/secretmanager.secretAccessor). Luego, el parámetro puede acceder a los secretos de Secret Manager en tu nombre.

Para obtener una lista de los recursos con identidades integradas, consulta Recursos con identidades integradas.

No puedes usar la identidad integrada de un recurso para autenticar cargas de trabajo que administra el cliente, como las que se ejecutan en instancias de Compute Engine. Si necesitas autenticar una carga de trabajo, usa uno de los métodos descritos en Métodos de autenticación de Google.

Otorga roles a recursos con identidades integradas

Si un recurso tiene una identidad integrada, puedes otorgarle roles. Para ello, incluye el identificador principal del recurso en tus políticas de permisos. Para ver qué formato usar para el identificador principal de cada recurso, consulta Identificadores principales de recursos individuales.

IAM también ofrece identificadores para conjuntos de recursos con identidades integradas que comparten ciertas características, como el tipo o el ancestro. Puedes usar estos identificadores en tus políticas de permisos para otorgar el mismo rol a varios recursos. Para ver qué formatos se admiten, consulta Identificadores principales para conjuntos de recursos.