Control de acceso con la gestión de identidades y accesos

reCAPTCHA ofrece control de acceso basado en roles (RBAC) con Gestión de Identidades y Accesos (IAM) y control de acceso para las APIs de reCAPTCHA mediante Controles de Servicio de VPC.

Control de acceso basado en roles con la gestión de identidades y accesos

IAM te permite conceder acceso granular a recursos específicos y evita el acceso no deseado a otros recursos, como registros y analíticas.Google Cloud

En esta sección se describen los roles de gestión de identidades y accesos de reCAPTCHA.

Para saber cómo asignar roles de gestión de identidades y accesos a un usuario o una cuenta de servicio, consulta el artículo Conceder, cambiar y revocar acceso a recursos de la documentación de gestión de identidades y accesos.

Roles y permisos

En la siguiente tabla se indican los roles de gestión de identidades y accesos necesarios y sus permisos para reCAPTCHA:

Role Permissions

(roles/recaptchaenterprise.admin)

Access to view and modify reCAPTCHA Enterprise keys

monitoring.timeSeries.list

recaptchaenterprise.firewallpolicies.*

  • recaptchaenterprise.firewallpolicies.create
  • recaptchaenterprise.firewallpolicies.delete
  • recaptchaenterprise.firewallpolicies.get
  • recaptchaenterprise.firewallpolicies.list
  • recaptchaenterprise.firewallpolicies.update

recaptchaenterprise.keys.*

  • recaptchaenterprise.keys.create
  • recaptchaenterprise.keys.createTagBinding
  • recaptchaenterprise.keys.delete
  • recaptchaenterprise.keys.deleteTagBinding
  • recaptchaenterprise.keys.get
  • recaptchaenterprise.keys.list
  • recaptchaenterprise.keys.listEffectiveTags
  • recaptchaenterprise.keys.listTagBindings
  • recaptchaenterprise.keys.retrievelegacysecretkey
  • recaptchaenterprise.keys.update

recaptchaenterprise.metrics.get

recaptchaenterprise.projectmetadata.*

  • recaptchaenterprise.projectmetadata.get
  • recaptchaenterprise.projectmetadata.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/recaptchaenterprise.agent)

Access to create and annotate reCAPTCHA Enterprise assessments

recaptchaenterprise.assessments.*

  • recaptchaenterprise.assessments.annotate
  • recaptchaenterprise.assessments.create

recaptchaenterprise.firewallpolicies.list

recaptchaenterprise.relatedaccountgroupmemberships.list

recaptchaenterprise.relatedaccountgroups.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/recaptchaenterprise.viewer)

Access to view reCAPTCHA Enterprise keys and metrics

monitoring.timeSeries.list

recaptchaenterprise.firewallpolicies.get

recaptchaenterprise.firewallpolicies.list

recaptchaenterprise.keys.get

recaptchaenterprise.keys.list

recaptchaenterprise.keys.listEffectiveTags

recaptchaenterprise.keys.listTagBindings

recaptchaenterprise.metrics.get

recaptchaenterprise.projectmetadata.get

resourcemanager.projects.get

resourcemanager.projects.list

Roles personalizados

Es posible que necesites roles personalizados para casos prácticos, como los requisitos normativos. Para crear un rol personalizado que incluya permisos de reCAPTCHA, realiza la acción adecuada tal como se muestra en la siguiente tabla:

Descripción del rol Acción
Rol que solo concede permisos para la API de reCAPTCHA Enterprise Elige los permisos que quieras en la sección Permisos de API.
Rol que concede permisos para la API y la consola de reCAPTCHA Enterprise Elige grupos de permisos en la sección Roles y permisos.
Rol que permite crear y anotar evaluaciones. Incluya los permisos en el rol roles/recaptchaenterprise.agent de la sección Roles y permisos.

Para obtener más información sobre los roles personalizados, consulta el artículo Crear y gestionar roles personalizados.

Permisos de APIs

En la siguiente tabla se indican los permisos que debe tener el llamante para invocar cada método de la API reCAPTCHA Enterprise, recaptchaenterprise.googleapis.com/v1:

Método (REST/RPC) Permisos obligatorios Tipo de recurso
[recaptchaenterprise.assessments.annotate] / [AnnotateAssessmentRequest] recaptchaenterprise.assessments.annotate proyecto
[recaptchaenterprise.assessments.create] / [CreateAssessmentRequest] recaptchaenterprise.assessments.create proyecto
[recaptchaenterprise.keys.create] / [CreateKeyRequest] recaptchaenterprise.keys.create proyecto
[recaptchaenterprise.keys.delete] / [DeleteKeyRequest] recaptchaenterprise.keys.delete proyecto
[recaptchaenterprise.keys.get] / [GetKeyRequest] recaptchaenterprise.keys.get proyecto
[recaptchaenterprise.keys.list] / [ListKeysRequest] recaptchaenterprise.keys.list proyecto
[recaptchaenterprise.keys.update] / [UpdateKeyRequest] recaptchaenterprise.keys.update proyecto

Controles de Servicio de VPC

Controles de Servicio de VPC es compatible con reCAPTCHA para proporcionar un control de acceso adicional a las APIs de reCAPTCHA. Para obtener más información, consulta Productos admitidos y limitaciones > reCAPTCHA Enterprise.