Control de acceso con la gestión de identidades y accesos

En esta página se describen los roles y permisos de Infrastructure Manager.

Infra Manager usa Gestión de Identidades y Accesos (IAM) para controlar el acceso al servicio. Para conceder acceso a la implementación de recursos con Infra Manager, asigna los roles de gestión de identidades y accesos de Infra Manager necesarios a la cuenta de servicio que uses para llamar a Infra Manager. Para obtener más información sobre cómo conceder permisos a cuentas de servicio, consulta el artículo Gestionar el acceso a cuentas de servicio.

No es necesario tener una cuenta de servicio para ver las implementaciones, las revisiones y las políticas de gestión de identidades y accesos de Infra Manager. Para ver Infra Manager, concede acceso al usuario, al grupo o a la cuenta de servicio.

Para desplegar o ver los recursos definidos en la configuración de Terraform, debes conceder a la cuenta de servicio permisos específicos para esos recursos. Google Cloud Estos permisos se suman a los permisos de administrador de infraestructura que se indican en esta página. Para ver una lista de todos los roles y los permisos que contienen, consulta la referencia de roles básicos y predefinidos de gestión de identidades y accesos.

Roles de gestor de infraestructura predefinidos

IAM proporciona roles predefinidos que conceden acceso a Google Cloud recursos Google Cloud específicos e impiden el acceso no autorizado a otros recursos.

En la siguiente tabla se indican los roles de gestión de identidades y accesos de Infra Manager y los permisos que incluyen:

Rol Descripción Permisos
Administrador de Infra Manager (roles/config.admin) Control total de los recursos de Infra Manager por parte de un usuario config.deployments.create
config.deployments.delete
config.deployments.deleteState
config.deployments.get
config.deployments.getIamPolicy
config.deployments.getLock
config.deployments.getState
config.deployments.list
config.deployments.lock
config.deployments.setIamPolicy
config.deployments.unlock
config.deployments.update
config.deployments.updateState
config.previews.create
config.previews.delete
config.previews.get
config.previews.list
config.previews.export
config.previews.upload
config.locations.get
config.locations.list
config.operations.cancel
config.operations.delete
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.resourcechanges.get
config.resourcechanges.list
config.resourcedrifts.get
config.resourcedrifts.list
config.revisions.get
config.revisions.getState
config.revisions.list
config.artifacts.import
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list
Agente de servicio de Infra Manager (roles/config.agent) Proporciona acceso a una cuenta de servicio para trabajar con Infra Manager, incluidos los despliegues, las revisiones, el registro y los archivos de estado de Terraform. storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
logging.logEntries.create
config.deployments.getState
config.deployments.updateState
config.deployments.deleteState
config.deployments.getLock
config.previews.upload
config.artifacts.import
config.revisions.getState
cloudbuild.connections.list
cloudbuild.repositories.accessReadToken
cloudbuild.repositories.list
cloudquotas.quotas.get
monitoring.timeSeries.list
Cuenta de servicio de Infra Manager (roles/cloudconfig.serviceAgent) Cuando habilitas la API Infra Manager, la cuenta de servicio de Infra Manager se crea automáticamente en el proyecto y se le asigna este rol para los recursos del proyecto. La cuenta de servicio de Infra Manager usa este rol solo cuando es necesario para realizar acciones al crear, gestionar o eliminar implementaciones y revisiones. cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update
cloudbuild.workerpools.use
iam.serviceAccounts.actAs
iam.serviceAccounts.getAccessToken
logging.logEntries.create
logging.logEntries.route
serviceusage.services.use
storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
Lector de Infra Manager (roles/config.viewer) Leer implementaciones, revisiones y políticas de gestión de identidades y accesos. config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.previews.get
config.previews.list
config.locations.get
config.locations.list
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list

Además de los roles predefinidos de gestor de infraestructura, los roles básicos de lector y propietario también incluyen permisos relacionados con el gestor de infraestructura. Sin embargo, te recomendamos que asignes roles predefinidos siempre que sea posible para cumplir el principio de seguridad de privilegio mínimo.

En la siguiente tabla se muestran los roles básicos y los roles de gestión de identidades y accesos de Infra Manager que incluyen.

Rol Incluye el rol
Lector roles/config.viewer
Propietario roles/config.admin

Permisos

Los permisos que debe tener el llamador para invocar cada método se indican en la referencia de la API REST.

Siguientes pasos