Control de acceso con IAM
En esta página, se explica cómo otorgar y administrar el acceso al catálogo de servicios con Identity and Access Management (IAM).
Antes de comenzar
- Debes tener el catálogo de servicios habilitado para tu organización de Google Cloud.
- Para otorgar roles de IAM del catálogo de servicios, debes tener el rol Organization Administrator (
roles/resourcemanager.organizationAdmin) en tu organización de Google Cloud.
¿Qué es Identity and Access Management (IAM)?
Google Cloud ofrece la administración de identidades y accesos (IAM), que te permite brindar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que puedes otorgar solo el acceso necesario a tus recursos.
IAM te permite controlar quién (identidad) tiene qué (funciones) permisos sobre qué recursos mediante la configuración de políticas de IAM. Las políticas de IAM otorgan funciones específicas a una principal y otorgan algunos permisos a la identidad.
Por ejemplo, para un recurso determinado, como un proyecto, puedes asignar la función roles/compute.networkAdmin a una Cuenta de Google, y esa cuenta puede controlar los recursos relacionados con la red en el proyecto, pero no puede administrar otros recursos, como instancias y discos.
Roles de IAM del catálogo de servicios
Con IAM, cada método de API en la API del catálogo de servicios y la API de productores del catálogo de servicios requiere que la identidad que realiza la solicitud a la API tenga los permisos adecuados para usar el recurso. Para otorgar los permisos, se configuran políticas que asignan funciones a una principal, como un usuario, un grupo o una cuenta de servicio. Además de los roles básicos, Owner, Editor y Viewer, puedes asignar los roles del catálogo de servicios y de productor del catálogo de servicios que se describen en esta página a las principales.
En las siguientes tablas, se enumeran los roles de IAM disponibles para los usuarios del catálogo de servicios. Las tablas están organizadas en funciones diferentes.
Administrador de la organización del catálogo
| Nombre de la función | Descripción | Permisos incluidos |
|---|---|---|
roles/cloudprivatecatalogproducer.orgAdmin
|
Administra la configuración del catálogo de servicios a nivel de la organización de Google Cloud. Crea y administra recursos del catálogo de servicios, como soluciones y catálogos. |
|
Administrador de catálogos
| Nombre de la función | Descripción | Permisos incluidos |
|---|---|---|
roles/cloudprivatecatalogproducer.admin
|
Crea y administra recursos del catálogo de servicios, como soluciones y catálogos. |
|
Administrador de catálogos
| Nombre de la función | Descripción | Permisos incluidos |
|---|---|---|
roles/cloudprivatecatalogproducer.manager |
Visualiza soluciones y catálogos, y comparte catálogos con usuarios del catálogo de servicios. |
|
Consumidor de catálogos
| Nombre de la función | Descripción | Permisos incluidos |
|---|---|---|
roles/cloudprivatecatalog.consumer |
Explora catálogos. Visualiza y también inicia soluciones. Funciona en un recurso de destino de Google Cloud, como una organización, un proyecto o una carpeta. |
|
Agrega usuarios a los roles de IAM del catálogo de servicios
Los usuarios, los Grupos de Google o los dominios deben tener el permiso resourcemanager.organizations.setIamPolicy en la organización para agregar usuarios a los roles de IAM del catálogo de servicios. Puedes otorgarle a un usuario o grupo ese permiso mediante la función de administrador de la organización (roles/resourcemanager.organizationAdmin).
Por ejemplo, si tu organización desea que los usuarios que tengan el rol Catalog Admin también puedan agregar y quitar usuarios y grupos de los otros roles de IAM del catálogo de servicios, el administrador de la organización puede hacer lo siguiente:
- Crea un Grupo de Google para los usuarios (
MyCompanyCatalogAdmins). - Asigna la función de administrador de la organización al Grupo de Google (
MyCompanyCatalogAdmins). - Asigna al Grupo de Google (
MyCompanyCatalogAdmins) la función de administrador de catálogos
En el ejemplo, los miembros del Grupo de Google (MyCompanyCatalogAdmins) pueden asignar usuarios y grupos a funciones de IAM en la organización porque se les otorgó el permiso setIamPolicy cuando se les asignó la función de administrador de la organización. A medida que nuevos administradores de catálogo se unan a la organización, agrégalos al grupo de Google (MyCompanyCatalogAdmins) para otorgarles las funciones deseadas.
Para agregar un usuario, grupo o dominio a un rol de IAM del catálogo de servicios, sigue estos pasos.
- Accede a la página de administración y IAM de Google Cloud Console como administrador de la organización.
Ir a la página de administración de IAM de Cloud Console - Selecciona Catálogo privado de Cloud en el menú lateral.
- Selecciona la función que deseas asignar:
- Administrador de catálogos
- Administrador de catálogos
- Consumidor de catálogos
- Especifica los usuarios, grupos o dominios que deseas agregar.