Cuando usas Cloud Load Balancing, se realizan solicitudes a la API. Cada solicitud a la API requiere que el miembro de administración de identidades y accesos (IAM) que realiza la solicitud tenga el permiso adecuado para crear, modificar o borrar los recursos asociados.
En IAM, el permiso para acceder a un recurso de Google Cloud no se otorga directamente al usuario final. En su lugar, los permisos se agrupan en funciones, y estas se otorgan a los miembros autenticados. Los miembros pueden ser de los siguientes tipos: un usuario, un grupo, una cuenta de servicio o un dominio de Google. Una política de IAM define qué funciones se otorgan a qué miembros y las aplica. Luego, esta política se conecta a un recurso.
En esta página, se proporciona una descripción general de las funciones y los permisos de IAM relevantes para Cloud Load Balancing. Para ver una descripción detallada de IAM, consulta la documentación de IAM.
Funciones y permisos
Para seguir los ejemplos de las guías prácticas del balanceo de cargas, los miembros deben crear instancias, reglas de firewall y redes de VPC. Se pueden proporcionar los permisos necesarios de una de las siguientes maneras:
Otorga las funciones predefinidas que están relacionadas con el balanceo de cargas. Para ver los permisos específicos incluidos en las funciones predefinidas, consulta las siguientes secciones:
- Función de administrador de balanceadores de cargas de Compute (
roles/compute.loadBalancerAdmin) - Función de administrador de redes de Compute (
roles/compute.networkAdmin) - Función de administrador de seguridad de Compute (
roles/compute.securityAdmin) - Función de administrador de instancias de Compute (
roles/compute.instanceAdmin)
- Función de administrador de balanceadores de cargas de Compute (
Crea y otorga funciones personalizadas que contengan, al menos, los permisos incluidos en las funciones predefinidas.
Usa funciones básicas, que hacen que los miembros sean propietarios o editores del proyecto. Siempre que sea posible, evita usar las funciones básicas; otorgan una gran cantidad de permisos, lo que infringe el principio de privilegio mínimo.
Latencia del cambio de función
Cloud Load Balancing almacena en caché los permisos de IAM durante cinco minutos, por lo que el cambio de función toma hasta cinco minutos en entrar en vigor.
Administra el control de acceso para Cloud Load Balancing mediante IAM
Puedes obtener y configurar políticas de IAM mediante Google Cloud Console, la API de IAM o la herramienta de línea de comandos de gcloud. Consulta Otorga, cambia y revoca el acceso de los miembros del proyecto para obtener detalles.
Próximos pasos
- Obtén más información sobre IAM.
- Asigna funciones de IAM.
- Obtén información sobre las condiciones de IAM para las reglas de reenvío.
- Obtén información sobre las restricciones de las políticas de la organización para Cloud Load Balancing.