Control de acceso

En esta página, se explica cómo otorgar y administrar el acceso a Private Catalog con Identity and Access Management (IAM).

Antes de comenzar

¿Qué es Identity and Access Management (IAM)?

Google Cloud ofrece la administración de identidades y accesos (IAM), que te permite brindar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que puedes otorgar solo el acceso necesario a tus recursos.

IAM te permite controlar quién (identidad) tiene qué (funciones) permisos sobre qué recursos mediante la configuración de políticas de IAM. Las políticas de IAM otorgan funciones específicas a un miembro del proyecto, ya que otorga a la identidad ciertos permisos.

Por ejemplo, para un recurso determinado, como un proyecto, puedes asignar la función roles/compute.networkAdmin a una Cuenta de Google, y esa cuenta puede controlar los recursos relacionados con la red en el proyecto, pero no puede administrar otros recursos, como instancias y discos.

Funciones de IAM de catálogo privado

Con la IAM, cada método de API en la API de catálogo privado y la API de productores de catálogo privado requiere que la identidad que realiza la solicitud a la API tenga los permisos adecuados para usar el recurso. Para otorgar los permisos, se configuran políticas que otorgan funciones a un usuario, un grupo o una cuenta de servicio como miembro de tu proyecto. Además de las funciones básicas, propietario, editor y visualizador, puedes asignar las funciones de catálogo privado y productor de catálogo privado que se describen en esta página a los miembros de tu proyecto.

En las siguientes tablas, se enumeran las funciones de IAM disponibles para los usuarios de catálogo privado. Las tablas están organizadas en funciones diferentes.

Administrador de la organización del catálogo

Nombre de la función Descripción Permisos incluidos
roles/cloudprivatecatalogproducer.orgAdmin

Permisos para administrar la configuración de Private Catalog a nivel de la organización.

  • cloudprivatecatalogproducer.settings.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Administrador de catálogos

Nombre de la función Descripción Permisos incluidos
roles/cloudprivatecatalogproducer.admin

Permisos para controlar todos los recursos de productor y consumidor de Private Catalog.

  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Administrador de catálogos

Nombre de la función Descripción Permisos incluidos
roles/cloudprivatecatalogproducer.manager

Permisos para administrar asociaciones con el productor de catálogo privado y recursos de destino.

  • cloudprivatecatalog.targets.get
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.catalogAssociations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Consumidor de catálogos

Nombre de la función Descripción Permisos incluidos
roles/cloudprivatecatalog.consumer Permisos para explorar catálogos en un contexto de recursos objetivo.
  • cloudprivatecatalog.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Agrega usuarios a funciones de IAM de catálogo privado

Los usuarios, los Grupos de Google o los dominios deben tener el permiso resourcemanager.organizations.setIamPolicy en la organización para agregar usuarios a las funciones de IAM de catálogo privado. Puedes otorgarle a un usuario o grupo ese permiso mediante la función de administrador de la organización (roles/resourcemanager.organizationAdmin).

Por ejemplo, si tu organización desea que los usuarios que tengan la función de administrador de catálogo para que también puedan agregar y quitar usuarios y grupos de las otras funciones de IAM de catálogo privado, el administrador de la organización puede hacer lo siguiente:

  • Crea un Grupo de Google para los usuarios (MyCompanyCatalogAdmins).
  • Asigna la función de administrador de la organización al Grupo de Google (MyCompanyCatalogAdmins).
  • Asigna al Grupo de Google (MyCompanyCatalogAdmins) la función de administrador de catálogos

En el ejemplo, los miembros del Grupo de Google (MyCompanyCatalogAdmins) pueden asignar usuarios y grupos a funciones de IAM en la organización porque se les otorgó el permiso setIamPolicy cuando se les asignó la función de administrador de la organización. A medida que nuevos administradores de catálogo se unan a la organización, agrégalos al grupo de Google (MyCompanyCatalogAdmins) para otorgarles las funciones deseadas.

Para agregar un usuario, grupo o dominio a una función de IAM de catálogo privado, sigue estos pasos.

  1. Accede a la página IAM y administración de Google Cloud Console como administrador de la organización.
    Ir a la página IAM y administración de Cloud Console
  2. Selecciona Catálogo privado de Cloud en el menú lateral.
  3. Selecciona la función que deseas asignar:
    • Administrador de catálogos
    • Administrador de catálogos
    • Consumidor de catálogos
  4. Especifica los usuarios, grupos o dominios que deseas agregar.

¿Qué sigue?