Control de acceso con IAM

Las funciones de Identity and Access Management (IAM) prescriben cómo puede usar el servicio administrado para la API de Microsoft Active Directory (Microsoft AD administrado). A continuación, se incluye una lista de cada función de IAM disponible para Microsoft AD administrado y los métodos disponibles para ellos.

Además, las cuentas de servicio deben tener el permiso servicemanagement.services.bind para ver y habilitar Microsoft AD administrado. Obtén más información sobre las funciones y permisos de la administración de servicios.

Función Permisos

Administrador de identidades administradas de Google Cloud
(roles/managedidentities.admin)

Acceso completo a los dominios de identidades administradas de Google Cloud y de recursos relacionados. Se otorgará a nivel de proyecto.

  • managedidentities.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de copias de seguridad de identidades administradas de Google Cloud
(roles/managedidentities.backupAdmin)

Acceso completo a copias de seguridad de identidades administradas de Google Cloud y a los recursos relacionados; se otorgará a nivel de proyecto

  • managedidentities.backups.*
  • managedidentities.domains.get.
  • managedidentities.locations.*
  • managedidentities.operations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de copias de seguridad de identidades administradas de Google Cloud
(roles/managedidentities.backupViewer)

Acceso de solo lectura a la copia de seguridad de identidades administradas de Google Cloud y a los recursos relacionados.

  • managedidentities.backups.get
  • managedidentities.backups.getIamPolicy
  • managedidentities.backups.list
  • managedidentities.domains.get.
  • managedidentities.locations.*
  • managedidentities.operations.get.
  • managedidentities.operations.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Administrador de dominios de identidades administradas de Google Cloud
(roles/managedidentities.domainAdmin)

Permiso para leer, actualizar y borrar los dominios de identidades administradas de Google Cloud y de recursos relacionados. Se otorgará a nivel de recurso (dominio).

  • managedidentities.backups.*
  • managedidentities.domains.attachTrust
  • managedidentities.domains.createTagBinding
  • managedidentities.domains.delete
  • managedidentities.domains.deleteTagBinding
  • managedidentities.domains.detachTrust
  • managedidentities.domains.get.
  • managedidentities.domains.getIamPolicy
  • managedidentities.domains.listEffectiveTags
  • managedidentities.domains.listTagBindings
  • managedidentities.domains.reconfigureTrust
  • managedidentities.domains.resetpassword
  • managedidentities.domains.restore
  • managedidentities.domains.update
  • managedidentities.domains.updateLDAPSSettings
  • managedidentities.domains.validateTrust
  • managedidentities.locations.*
  • managedidentities.operations.get.
  • managedidentities.operations.list
  • managedidentities.sqlintegrations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Operador del controlador de dominio de identidades administradas por Google Cloud
(roles/managedidentities.domaincontrollerOperator)

Acceso de operador para controladores de dominio de AD administrados.

  • pubsub.schemas.attach
  • pubsub.schemas.create
  • pubsub.schemas.delete
  • pubsub.schemas.get
  • pubsub.schemas.list
  • pubsub.schemas.validate
  • pubsub.snapshots.create
  • pubsub.snapshots.delete
  • pubsub.snapshots.get
  • pubsub.snapshots.list
  • pubsub.snapshots.seek
  • pubsub.snapshots.update
  • pubsub.subscriptions.consume
  • pubsub.subscriptions.create
  • pubsub.subscriptions.delete
  • pubsub.subscriptions.get
  • pubsub.subscriptions.list
  • pubsub.subscriptions.update
  • pubsub.topics.attachSubscription
  • pubsub.topics.create
  • pubsub.topics.delete
  • pubsub.topics.detachSubscription
  • pubsub.topics.get
  • pubsub.topics.list
  • pubsub.topics.publish
  • pubsub.topics.update
  • pubsub.topics.updateTag
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • serviceusage.quotas.get
  • serviceusage.services.get
  • serviceusage.services.list
  • storage.objects.get
  • storage.objects.list

Administrador de intercambio de tráfico de identidades administradas de Google Cloud
(roles/managedidentities.peeringAdmin)

Tiene acceso completo a los dominios de identidades administradas de Google Cloud y a los recursos relacionados. Se otorgará a nivel de proyecto.

  • managedidentities.locations.*
  • managedidentities.operations.*
  • managedidentities.peerings.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de intercambio de tráfico de identidades administradas por Google Cloud
(roles/managedidentities.peeringViewer)

Acceso de solo lectura al intercambio de tráfico de identidades administradas de Google Cloud y a los recursos relacionados.

  • managedidentities.locations.*
  • managedidentities.operations.get.
  • managedidentities.operations.list
  • managedidentities.peerings.get
  • managedidentities.peerings.getIamPolicy
  • managedidentities.peerings.list
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Visualizador de identidades administradas de Google Cloud
(roles/managedidentities.viewer)

Acceso de solo lectura a los dominios de identidades administradas de Google Cloud y de recursos relacionados.

  • managedidentities.backups.get
  • managedidentities.backups.getIamPolicy
  • managedidentities.backups.list
  • managedidentities.domains.get.
  • managedidentities.domains.getIamPolicy
  • managedidentities.domains.list
  • managedidentities.domains.listEffectiveTags
  • managedidentities.domains.listTagBindings
  • managedidentities.locations.*
  • managedidentities.operations.get.
  • managedidentities.operations.list
  • managedidentities.peerings.get
  • managedidentities.peerings.getIamPolicy
  • managedidentities.peerings.list
  • managedidentities.sqlintegrations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Para obtener más información sobre las funciones de IAM, consulta Comprende las funciones.