Control de acceso con IAM

reCAPTCHA ofrece el control de acceso basado en funciones (RBAC) con administración de identidades y accesos (IAM) y el control de acceso para las APIs de reCAPTCHA mediante los Controles del servicio de VPC.

Control de acceso basado en roles con la IAM

IAM te permite otorgar acceso detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos, como registros y estadísticas.

En esta sección, se describen los roles de IAM para reCAPTCHA.

Para obtener más información sobre cómo asignar funciones de IAM a un usuario o una cuenta de servicio, consulta la sección sobre cómo otorgar, cambiar y revocar el acceso a los recursos en la documentación de IAM.

Funciones y permisos

En la siguiente tabla, se enumeran los roles de IAM necesarios y sus permisos para reCAPTCHA:

Role Permissions

(roles/recaptchaenterprise.admin)

Access to view and modify reCAPTCHA Enterprise keys

monitoring.timeSeries.list

recaptchaenterprise.firewallpolicies.*

  • recaptchaenterprise.firewallpolicies.create
  • recaptchaenterprise.firewallpolicies.delete
  • recaptchaenterprise.firewallpolicies.get
  • recaptchaenterprise.firewallpolicies.list
  • recaptchaenterprise.firewallpolicies.update

recaptchaenterprise.keys.*

  • recaptchaenterprise.keys.create
  • recaptchaenterprise.keys.delete
  • recaptchaenterprise.keys.get
  • recaptchaenterprise.keys.list
  • recaptchaenterprise.keys.retrievelegacysecretkey
  • recaptchaenterprise.keys.update

recaptchaenterprise.metrics.get

recaptchaenterprise.projectmetadata.*

  • recaptchaenterprise.projectmetadata.get
  • recaptchaenterprise.projectmetadata.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/recaptchaenterprise.agent)

Access to create and annotate reCAPTCHA Enterprise assessments

recaptchaenterprise.assessments.*

  • recaptchaenterprise.assessments.annotate
  • recaptchaenterprise.assessments.create

recaptchaenterprise.firewallpolicies.list

recaptchaenterprise.relatedaccountgroupmemberships.list

recaptchaenterprise.relatedaccountgroups.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/recaptchaenterprise.viewer)

Access to view reCAPTCHA Enterprise keys and metrics

monitoring.timeSeries.list

recaptchaenterprise.firewallpolicies.get

recaptchaenterprise.firewallpolicies.list

recaptchaenterprise.keys.get

recaptchaenterprise.keys.list

recaptchaenterprise.metrics.get

recaptchaenterprise.projectmetadata.get

resourcemanager.projects.get

resourcemanager.projects.list

Roles personalizados

Es posible que necesites roles personalizados para casos de uso como requisitos reglamentarios. Para crear un rol personalizado que incluya permisos de reCAPTCHA, realiza la acción adecuada como se muestra en la siguiente tabla:

Descripción del rol Acción
Rol que solo otorga permisos para la API de reCAPTCHA Enterprise Elige los permisos en la sección Permisos de la API.
Rol que otorga permisos para la API y la consola de reCAPTCHA Enterprise Elige los grupos de permisos en la sección Funciones y permisos.
Rol que otorga la capacidad de crear y anotar evaluaciones Incluye los permisos en la función roles/recaptchaenterprise.agent en la sección Funciones y permisos.

Para obtener más información sobre funciones personalizadas, ve a Crea y administra funciones personalizadas.

Permisos de la API

La siguiente tabla enumera los permisos que debe tener el llamador para llamar a cada método en la API de reCAPTCHA Enterprise, recaptchaenterprise.googleapis.com/v1:

Método (REST/RPC) Permisos necesarios Para el tipo de recurso
[recaptchaenterprise.assessments.annotate] / [AnnotateAssessmentRequest] recaptchaenterprise.assessments.annotate proyecto
[recaptchaenterprise.assessments.create] / [CreateAssessmentRequest] recaptchaenterprise.assessments.create project
[recaptchaenterprise.keys.create] / [CreateKeyRequest] recaptchaenterprise.keys.create project
[recaptchaenterprise.keys.delete] / [DeleteKeyRequest] recaptchaenterprise.keys.delete project
[recaptchaenterprise.keys.get] / [GetKeyRequest] recaptchaenterprise.keys.get project
[recaptchaenterprise.keys.list] / [ListKeysRequest] recaptchaenterprise.keys.list project
[recaptchaenterprise.keys.update] / [UpdateKeyRequest] recaptchaenterprise.keys.update project

Controles del servicio de VPC

Los Controles del servicio de VPC admiten reCAPTCHA para proporcionar control de acceso adicional a las APIs de reCAPTCHA. Para obtener más información, consulta Productos admitidos y limitaciones > reCAPTCHA Enterprise.