En esta página, se muestra cómo otorgar funciones de IAM a los miembros del proyecto con Google Cloud Console.
Consulta el siguiente video para obtener una explicación rápida:
Antes de comenzar
Crea un proyecto de Google Cloud
Para esta guía de inicio rápido, necesitas un proyecto nuevo de Google Cloud.
-
En Google Cloud Console, ve a la página del selector de proyectos.
-
Para comenzar a crear un proyecto de Google Cloud, haz clic en Crear proyecto.
-
Ponle un nombre al proyecto. Toma nota de tu ID del proyecto generado.
-
Edita los otros campos según sea necesario.
-
Para crear el proyecto, haz clic en Crear.
Otorga una función de IAM
Agrega un miembro del proyecto y, luego, otórgale la función de visualizador de registros (roles/logging.viewer
).
-
En Cloud Console, ve a la página IAM.
-
Asegúrate de que el nombre del proyecto nuevo aparezca en el selector de proyectos en la parte superior de la página. El selector de proyectos te indica en qué proyecto estás trabajando en este momento.
Si no ves el nombre de tu proyecto nuevo, haz clic en el selector de proyecto y, luego, selecciona tu proyecto nuevo.
- En el área de contenido principal, haz clic en person_add Add (Agregar).
- Ingresa la dirección de correo electrónico de un miembro nuevo.
En el menú desplegable Selecciona una función (Select a role), selecciona Logging y, luego, Visualizador de registros (Logs Viewer).
- Haz clic en Guardar.
- Verifica que el miembro y la función correspondiente aparezcan en la página de IAM.
Eso es todo. Acabas de otorgar una función de IAM a un miembro del proyecto.
Observa los efectos de las funciones de IAM
Para verificar que el miembro que agregaste pueda acceder a las páginas esperadas de Cloud Console, haz lo siguiente:
- Envía la siguiente URL al miembro al que le otorgaste la función en el paso anterior:
https://console.cloud.google.com/logs?project=project-id
. - Verifica que el miembro pueda acceder y ver la URL.
El miembro no puede acceder a la página de Cloud Console si no se le otorgó la función apropiada. En cambio, verá un mensaje de error como el siguiente:
You don't have permissions to view logs.
Otorga otras funciones al mismo miembro
Otorga al miembro existente la función básica de visualizador (roles/viewer
) además de su función de visor de registros. La función de visualizador otorga acceso de solo lectura a todos los recursos y datos existentes en tu proyecto.
-
En Cloud Console, ve a la página IAM.
- Localiza al miembro al que deseas otorgarle otra función y haz clic en Editar edit.
- En el panel Editar permisos (Edit permissions), haz clic en Agregar otra función (Add another role).
- En el menú desplegable Seleccionar una función, selecciona Proyecto y, luego, Lector. Haz clic en Guardar (Save).
El miembro ahora tiene una segunda función de IAM.
Revoca las funciones otorgadas al miembro
Para revocar las funciones que le otorgaste al miembro en los pasos anteriores, haz lo siguiente:
- Localiza al miembro cuya función deseas revocar y haz clic en Editar edit.
- En el panel Edit permissions (Editar permisos), haz clic en el ícono de borrar junto a las dos funciones que se otorgaron al miembro con anterioridad.
- Haz clic en Save (Guardar).
Has quitado al miembro de ambas funciones. Si intentan visualizar alguna de las páginas a las que antes tenían acceso, verán un mensaje de error.
Realiza una limpieza
Sigue estos pasos para evitar que se apliquen cargos a tu cuenta de Google Cloud por los recursos que usaste en esta guía de inicio rápido.
- En Cloud Console, ve a la página Administrar recursos.
- En la lista de proyectos, elige el proyecto que quieres borrar y haz clic en Borrar.
- En el diálogo, escribe el ID del proyecto y, luego, haz clic en Cerrar para borrar el proyecto.
¿Qué sigue?
- Consulta Descripción general de IAM para obtener información sobre los conceptos básicos de IAM.
- Consulta Comprender las funciones para obtener una lista de todas las funciones de IAM disponibles.
- Lee Administrar políticas para aprender cómo administrar el control de acceso.