Control de acceso

En este documento, se describen las opciones de control de acceso para Pub/Sub Lite. Pub/Sub Lite usa la administración de identidades y accesos para el control de acceso.

Para otorgar a un usuario o a una aplicación acceso a los recursos de Pub/Sub Lite, otorga al menos una función predefinida o personalizada al usuario o la cuenta de servicio que la aplicación use. Las funciones incluyen permisos para realizar acciones específicas en los recursos de Pub/Sub Lite.

Funciones predefinidas

En la siguiente tabla, se enumeran las funciones predefinidas que te otorgan acceso a los recursos de Pub/Sub Lite:

Función Título Descripción Permisos
roles/pubsublite.admin Administrador de Pub/Sub Lite Beta Acceso completo a temas y suscripciones Lite. pubsublite.*
roles/pubsublite.editor Editor de Pub/Sub Lite Beta Modifica los temas y suscripciones Lite, publica y recibe mensajes en temas y suscripciones Lite. pubsublite.*
roles/pubsublite.publisher Publicador de Pub/Sub Lite Beta Publica mensajes en temas Lite. pubsublite.topics.publish
roles/pubsublite.subscriber Suscriptor de Pub/Sub Lite Beta Recibe mensajes de suscripciones Lite.
  • pubsublite.subscriptions.getCursor
  • pubsublite.subscriptions.setCursor
  • pubsublite.subscriptions.subscribe
  • pubsublite.topics.getPartitions
  • pubsublite.topics.subscribe
roles/pubsublite.viewer Visualizador de Pub/Sub Lite Beta Visualiza temas y suscripciones Lite
  • pubsublite.subscriptions.get
  • pubsublite.subscriptions.getCursor
  • pubsublite.subscriptions.list
  • pubsublite.topics.get
  • pubsublite.topics.getPartitions
  • pubsublite.topics.list
  • pubsublite.topics.listSubscriptions

Funciones personalizadas

Las funciones personalizadas pueden incluir cualquier permiso que especifiques. Puedes crear funciones personalizadas que incluyan permisos para realizar operaciones administrativas específicas, como actualizar temas de Lite o borrar suscripciones de Lite. Para crear funciones personalizadas, consulta Crea y administra funciones personalizadas.

En la siguiente tabla, se enumeran ejemplos de funciones personalizadas:

Descripción Permisos
Crea y administra temas Lite.
  • pubsublite.topics.create
  • pubsublite.topics.update
  • pubsublite.topics.get
  • pubsublite.topics.getPartitions
  • pubsublite.topics.list
  • pubsublite.topics.listSubscriptions
  • pubsublite.topics.delete
Crea y administra suscripciones Lite.
  • pubsublite.subscriptions.create
  • pubsublite.topics.subscribe
  • pubsublite.subscriptions.update
  • pubsublite.subscriptions.get
  • pubsublite.subscriptions.list
  • pubsublite.subscriptions.delete
Crea temas y suscripciones Lite.
  • pubsublite.topics.create
  • pubsublite.subscriptions.create
  • pubsublite.topics.subscribe
Modifica los temas y las suscripciones Lite.
  • pubsublite.topics.update
  • pubsublite.subscriptions.update
Borra temas y suscripciones Lite.
  • pubsublite.topics.delete
  • pubsublite.subscriptions.delete

Otorga funciones

Puedes otorgar funciones para acceder a los recursos de Pub/Sub Lite a nivel de proyecto. Por ejemplo, puedes otorgarle a una cuenta de servicio acceso para ver cualquier tema básico de un proyecto, pero no puedes otorgarle a una cuenta de servicio acceso para ver un solo tema de Lite.

Para otorgar una función en un proyecto, puedes usar Cloud Console o la herramienta de línea de comandos de gcloud.

Console

Para otorgar una función a un usuario, una cuenta de servicio o cualquier otro miembro, sigue estos pasos:

  1. En Cloud Console, ve a la página IAM.

    Ir a IAM

  2. Haga clic en Add.

  3. Ingresa la dirección de correo electrónico de un usuario, cuenta de servicio o algún otro miembro.

  4. Selecciona una función.

  5. Haga clic en Save.

gcloud

Para otorgar una función a un usuario, cuenta de servicio u otro miembro, ejecuta el comando gcloud projects add-iam-policy-binding:

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=ROLE_ID

Reemplaza lo siguiente:

También puedes obtener un archivo JSON o YAML con la política de IAM actual, agregar varias funciones o miembros al archivo y, luego, actualizar la política. Para leer y administrar la política, usa la herramienta de línea de comandos de gcloud, la API de IAM o IAM. Para obtener más información, consulta Controla el acceso de manera programática.

Qué sigue