Visualiza las funciones otorgables en los recursos

Antes de otorgar una función de administración de identidades y accesos (IAM) a un usuario para un recurso, es posible que quieras saber qué funciones se pueden otorgar a un recurso en particular.

Antes de comenzar

Habilita IAM API.
Habilita la API

Roles obligatorios

Para obtener el permiso que necesitas a fin de generar una lista de los roles que se pueden otorgar, pídele a tu administrador que te otorgue el rol de IAM de revisor de seguridad (roles/iam.securityReviewer) en el recurso para el que deseas generar una lista de los roles que se pueden otorgar. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Este rol predefinido contiene los permisos getIamPolicy para todos los tipos de recursos. Para generar una lista de los roles que se pueden otorgar, necesitas el permiso getIamPolicy del recurso para el que deseas generar una lista de los roles que se pueden otorgar (por ejemplo, a fin de generar una lista de los roles otorgables de un proyecto, necesitas el permiso resourcemanager.projects.getIamPolicy). También puedes obtener este permiso con roles personalizados o con otros roles predefinidos.

Comprende qué funciones se pueden otorgar

Una función es otorgable en un recurso, o por encima de él, si contiene algún permiso para ese tipo de recurso. Por ejemplo, la función storage.admin otorga permisos a las API de storage.buckets.get y storage.objects.get, de modo que se puede otorgar en los tipos de recursos de Depósito de almacenamiento y Objetos de almacenamiento.

Las funciones también se pueden otorgar “por encima” de los tipos de recursos para los que se definen sus permisos. En otras palabras, se pueden otorgar funciones para recursos de nivel inferior en un recurso que es superior en la jerarquía de recursos de Google Cloud. Por ejemplo, la función storage.admin también se puede otorgar a nivel del proyecto o de la organización, además de los Depósitos de almacenamiento.

Los permisos otorgados por una función solo afectan a los recursos en el nivel especificado o inferior; no afectan a los recursos de un nivel superior o de pares. Además, cuando se otorga una función en un recurso, solo se otorgan los permisos aplicables al recurso dado, independientemente del nombre de la función, la descripción o de otros permisos que contenga. Por ejemplo, si asignas la función resourcemanager.organizationAdmin (que otorga el permiso resourcemanager.projects.list) a un usuario en el nivel del proyecto, solo le otorgas permisos para ese proyecto específico. No podrán enumerar o administrar todos los proyectos de la organización. Del mismo modo, si asignas la función compute.admin a una instancia de Compute Engine específica, solo otorgas permisos para esa instancia, no para otras en el proyecto.

Enumera las funciones que se pueden otorgar

Antes de enumerar las funciones que se pueden otorgar, asegúrate de que el servicio se haya habilitado en el proyecto. Si no se habilitó un servicio, sus funciones no se mostrarán.

Console

En la consola de Google Cloud, ve a la página IAM.

Ve a la página IAM
Haz clic en el menú desplegable "Seleccionar un proyecto" en la parte superior de la página.
Selecciona el proyecto o la organización para los que deseas ver las funciones.
Haz clic en Grant access.
Ingresa la dirección de correo electrónico de la principal, el dominio o algún otro identificador en Principales.

En el menú desplegable Selecciona un rol, se muestran todos los roles (incluidos los roles personalizados) que puedes otorgar a la principal en este recurso.

gcloud CLI

Usa el comando gcloud iam list-grantable-roles para mostrar una lista de todas las funciones que se pueden aplicar a un recurso determinado.

gcloud iam list-grantable-roles full-resource-name

Según el recurso deseado, se puede mostrar una gran cantidad de funciones. Para limitar los resultados, puedes especificar una expresión de filtro.

El resultado se verá similar a lo siguiente:

description: Full control of all Compute Engine resources.
name: roles/compute.admin
title: Compute Admin
---
description: Full control of Compute Engine instance resources.
name: roles/compute.instanceAdmin
title: Compute Instance Admin

# Additional results here...

REST

Mediante el método roles.queryGrantableRoles, se muestra una lista de todas las funciones que se pueden otorgar en un recurso.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

full-resource-name: Un URI que consiste en el nombre del servicio y la ruta al recurso. Para ver ejemplos, consulta Nombres completos de recursos.

Método HTTP y URL:

POST https://iam.googleapis.com/v1/roles:queryGrantableRoles

Cuerpo JSON de la solicitud:

{
  "fullResourceName": "full-resource-name"
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login, o mediante el uso de Cloud Shell, que accede automáticamente a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "https://iam.googleapis.com/v1/roles:queryGrantableRoles"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://iam.googleapis.com/v1/roles:queryGrantableRoles" | Select-Object -Expand Content

Explorador de API (navegador)

Copia el cuerpo de la solicitud y abre la página de referencia del método. El panel del Explorador de API se abre en la parte derecha de la página. Puedes interactuar con esta herramienta para enviar solicitudes. Pega el cuerpo de la solicitud en esta herramienta, completa cualquier otro campo obligatorio y haz clic en Ejecutar.

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "roles": [
    {
      "name": "roles/compute.admin",
      "title": "Compute Admin",
      "description": "Full control of all Compute Engine resources."
    },
    {
      "name": "roles/compute.instanceAdmin",
      "title": "Compute Instance Admin (beta)",
      "description": "Full control of Compute Engine instance resources."
    }
  ]
}

C++

Para obtener más obtener información sobre cómo instalar y usar la biblioteca cliente de IAM, consulta Bibliotecas cliente de IAM. Para obtener más información, consulta la documentación de referencia de la API de IAM C++.

Ver en GitHub Comentarios

namespace iam = ::google::cloud::iam;
[](std::string const& resource) {
  iam::IAMClient client(iam::MakeIAMConnection());
  int count = 0;
  for (auto& role : client.QueryGrantableRoles(resource)) {
    if (!role) throw std::move(role).status();
    std::cout << "Role successfully retrieved: " << role->name() << "\n";
    ++count;
  }
  if (count == 0) {
    std::cout << "No grantable roles found in resource: " << resource << "\n";
  }
}

C#

Ver en GitHub Comentarios


using System;
using System.Collections.Generic;
using Google.Apis.Auth.OAuth2;
using Google.Apis.Iam.v1;
using Google.Apis.Iam.v1.Data;

public partial class CustomRoles
{
    public static IList<Role> ViewGrantableRoles(string fullResourceName)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(IamService.Scope.CloudPlatform);
        var service = new IamService(new IamService.Initializer
        {
            HttpClientInitializer = credential
        });

        var request = new QueryGrantableRolesRequest
        {
            FullResourceName = fullResourceName
        };
        var response = service.Roles.QueryGrantableRoles(request).Execute();
        foreach (var role in response.Roles)
        {
            Console.WriteLine("Title: " + role.Title);
            Console.WriteLine("Name: " + role.Name);
            Console.WriteLine("Description: " + role.Description);
            Console.WriteLine();
        }
        return response.Roles;
    }
}

Go

Ver en GitHub Comentarios

import (
	"context"
	"fmt"
	"io"

	iam "google.golang.org/api/iam/v1"
)

// viewGrantableRoles lists roles grantable on a resource.
func viewGrantableRoles(w io.Writer, fullResourceName string) ([]*iam.Role, error) {
	ctx := context.Background()
	service, err := iam.NewService(ctx)
	if err != nil {
		return nil, fmt.Errorf("iam.NewService: %v", err)
	}

	request := &iam.QueryGrantableRolesRequest{
		FullResourceName: fullResourceName,
	}
	response, err := service.Roles.QueryGrantableRoles(request).Do()
	if err != nil {
		return nil, fmt.Errorf("Roles.QueryGrantableRoles: %v", err)
	}
	for _, role := range response.Roles {
		fmt.Fprintf(w, "Found grantable role: %v\n", role.Name)
	}
	return response.Roles, err
}

Java

Ver en GitHub Comentarios

QueryGrantableRolesRequest request = new QueryGrantableRolesRequest();
request.setFullResourceName(fullResourceName);

QueryGrantableRolesResponse response = service.roles().queryGrantableRoles(request).execute();

for (Role role : response.getRoles()) {
  System.out.println("Title: " + role.getTitle());
  System.out.println("Name: " + role.getName());
  System.out.println("Description: " + role.getDescription());
  System.out.println();
}

Python

Ver en GitHub Comentarios

def view_grantable_roles(full_resource_name):
    roles = service.roles().queryGrantableRoles(body={
        'fullResourceName': full_resource_name
    }).execute()

    for role in roles['roles']:
        if 'title' in role:
            print('Title: ' + role['title'])
        print('Name: ' + role['name'])
        if 'description' in role:
            print('Description: ' + role['description'])
        print(' ')

En los ejemplos anteriores, el nombre completo del recurso es una URI sin esquema que consiste en un nombre de servicio de API compatible con DNS y una ruta de acceso a recursos.

Por ejemplo, para mostrar todas las funciones que se pueden conceder en un proyecto, usa lo siguiente:

//cloudresourcemanager.googleapis.com/projects/project-id

Los recursos de nivel inferior tienen un nombre calificado completo más detallado. Por ejemplo, usa lo siguiente para mostrar todas las funciones que se pueden conceder en una instancia de Compute Engine:

//compute.googleapis.com/projects/project-id/zones/zone-name/instances/instance-id

Próximos pasos

Lee acerca de las funciones de IAM disponibles.
Descubre cómo elegir las funciones predefinidas más adecuadas.
Consulta cómo otorgar, cambiar y revocar el acceso de la principal.
Consulta la página sobre los ejemplos de nombres de recursos para los diferentes tipos de recursos.