Control de acceso

En esta página, se explica cómo otorgar y administrar el acceso a Private Catalog con Identity and Access Management (IAM).

Antes de comenzar

¿Qué es Identity and Access Management (IAM)?

Google Cloud ofrece la administración de identidades y accesos (IAM), que te permite brindar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que puedes otorgar solo el acceso necesario a tus recursos.

IAM te permite configurar políticas para controlar quién (identidad) tiene qué (funciones) permisos sobre qué recursos. Las políticas de IAM otorgan funciones específicas a un miembro del proyecto, ya que otorga a la identidad ciertos permisos.

Por ejemplo, para un recurso determinado, como un proyecto, puedes asignar la función roles/compute.networkAdmin a una Cuenta de Google, y esa cuenta puede controlar los recursos relacionados con la red en el proyecto, pero no puede administrar otros recursos, como instancias y discos.

Funciones de IAM de catálogo privado

Con la IAM, cada método de API en la API de catálogo privado y la API de productores de catálogo privado requiere que la identidad que realiza la solicitud a la API tenga los permisos adecuados para usar el recurso. Para otorgar los permisos, se configuran políticas que otorgan funciones a un usuario, un grupo o una cuenta de servicio como miembro de tu proyecto. Además de las funciones básicas, propietario, editor y visualizador, puedes asignar las funciones de catálogo privado y productor de catálogo privado que se describen en esta página a los miembros de tu proyecto.

En las siguientes tablas, se enumeran las funciones de IAM disponibles para los usuarios de catálogo privado. Las tablas están organizadas en funciones diferentes.

Administrador de la organización del catálogo

Nombre de la función Descripción Permisos incluidos
roles/cloudprivatecatalogproducer.orgAdmin

Administra la configuración del catálogo privado a nivel de la organización de Google Cloud. Crea y administra recursos de Private Catalog, como soluciones y catálogos.

  • cloudprivatecatalogproducer.settings.*
  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Administrador de catálogos

Nombre de la función Descripción Permisos incluidos
roles/cloudprivatecatalogproducer.admin

Crea y administra recursos de Private Catalog, como soluciones y catálogos.

  • cloudprivatecatalogproducer.catalogs.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.producerCatalogs.*
  • cloudprivatecatalogproducer.catalogAssociations.*
  • cloudprivatecatalogproducer.products.*
  • cloudprivatecatalog.targets.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Administrador de catálogos

Nombre de la función Descripción Permisos incluidos
roles/cloudprivatecatalogproducer.manager

Visualiza soluciones y catálogos, y comparte catálogos con los usuarios de Private Catalog.

  • cloudprivatecatalog.targets.get
  • cloudprivatecatalogproducer.catalogs.get
  • cloudprivatecatalogproducer.catalogs.list
  • cloudprivatecatalogproducer.targets.*
  • cloudprivatecatalogproducer.associations.*
  • cloudprivatecatalogproducer.producerCatalogs.get
  • cloudprivatecatalogproducer.producerCatalogs.list
  • cloudprivatecatalogproducer.catalogAssociations.*
  • resourcemanager.projects.get
  • resourcemanager.projects.list
  • resourcemanager.folders.get
  • resourcemanager.folders.list
  • resourcemanager.organizations.get

Consumidor de catálogos

Nombre de la función Descripción Permisos incluidos
roles/cloudprivatecatalog.consumer Explora los catálogos. Visualiza y lanza soluciones. Opera con un recurso de Google Cloud de destino, como una organización, un proyecto o una carpeta.
  • cloudprivatecatalog.targets.get
  • resourcemanager.projects.get
  • resourcemanager.projects.list

Agrega usuarios a funciones de IAM de catálogo privado

Los usuarios, los Grupos de Google o los dominios deben tener el permiso resourcemanager.organizations.setIamPolicy en la organización para agregar usuarios a las funciones de IAM de catálogo privado. Puedes otorgarle a un usuario o grupo ese permiso mediante la función de administrador de la organización (roles/resourcemanager.organizationAdmin).

Por ejemplo, si tu organización desea que los usuarios que tengan la función de administrador de catálogo para que también puedan agregar y quitar usuarios y grupos de las otras funciones de IAM de catálogo privado, el administrador de la organización puede hacer lo siguiente:

  • Crea un Grupo de Google para los usuarios (MyCompanyCatalogAdmins).
  • Asigna la función de administrador de la organización al Grupo de Google (MyCompanyCatalogAdmins).
  • Asigna al Grupo de Google (MyCompanyCatalogAdmins) la función de administrador de catálogos

En el ejemplo, los miembros del Grupo de Google (MyCompanyCatalogAdmins) pueden asignar usuarios y grupos a funciones de IAM en la organización porque se les otorgó el permiso setIamPolicy cuando se les asignó la función de administrador de la organización. A medida que los nuevos administradores de catálogo se unan a la organización, agrégalos al grupo de Google (MyCompanyCatalogAdmins) para otorgarles las funciones deseadas.

Para agregar un usuario, grupo o dominio a una función de IAM de catálogo privado, sigue estos pasos.

  1. Accede a la página IAM y administración de Google Cloud Console como administrador de la organización.
    Ir a la página IAM y administración de Cloud Console
  2. Selecciona Catálogo privado de Cloud en el menú lateral.
  3. Selecciona la función que deseas asignar:
    • Administrador de catálogos
    • Administrador de catálogos
    • Consumidor de catálogos
  4. Especifica los usuarios, grupos o dominios que deseas agregar.

¿Qué sigue?