Control de acceso para proyectos con la IAM

Google Cloud ofrece la función de administración de identidades y accesos (IAM), que te permite brindar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgues el acceso necesario a tus recursos.

IAM te permite configurar políticas de IAM específicas que contengan ciertos permisos para controlar quién (usuarios) tiene qué acceso (funciones) a qué recursos.

En esta página, se explican los permisos y funciones de IAM que puedes usar para administrar el acceso a los proyectos. Para ver una descripción detallada de IAM, lee la documentación de IAM. En particular, consulta la sección sobre cómo otorgar, cambiar y revocar el acceso a los recursos.

Permisos y funciones

Con IAM, cada método de Google Cloud requiere que la cuenta que realiza la solicitud a la API tenga los permisos apropiados para acceder al recurso. Los permisos permiten a los usuarios realizar acciones específicas en los recursos de Google Cloud. Por ejemplo, el permiso resourcemanager.projects.list permite que un usuario enumere los proyectos que posee, mientras que resourcemanager.projects.delete le permite borrar un proyecto.

No se les otorgan permisos a los usuarios directamente, sino funciones, que incluyen uno o más permisos. Otorgas estas funciones en un recurso en particular, pero también se aplican a todos los descendientes de ese recurso en la jerarquía de recursos.

Para administrar proyectos, el emisor debe tener una función que incluya los siguientes permisos y que se otorgue en la organización o carpeta que contiene los proyectos:

Método Permisos necesarios
resourcemanager.projects.create resourcemanager.projects.create
resourcemanager.projects.delete resourcemanager.projects.delete
resourcemanager.projects.get resourcemanager.projects.get
resourcemanager.projects.getIamPolicy resourcemanager.projects.getIamPolicy
resourcemanager.projects.list No requiere ningún permiso. El método muestra una lista de proyectos para los que el emisor que tiene el permiso resourcemanager.projects.get. Si proporcionas un filtro cuando llamas a list(), por ejemplo, byParent, el método muestra una lista de los proyectos para los que tienes el permiso resourcemanager.projects.get y que cumplen la condición del filtro.
resourcemanager.projects.setIamPolicy resourcemanager.projects.setIamPolicy
resourcemanager.projects.testIamPermissions No requiere ningún permiso.
resourcemanager.projects.undelete resourcemanager.projects.undelete
resourcemanager.projects.update Se requiere el permiso resourcemanager.projects.update a fin de actualizar los metadatos de un proyecto. Se requiere el permiso resourcemanager.projects.create en la organización para actualizar el elemento superior de un proyecto y trasladar el proyecto a una organización.
projects.move projects.move

Usa las funciones básicas

En la siguiente tabla, se enumeran las funciones básicas que puedes otorgar para acceder a un proyecto, la descripción de lo que hace y los permisos agrupados dentro de esas funciones. Evita usar funciones básicas, excepto cuando sea absolutamente necesario. Estas funciones son muy potentes y cuentan con una gran cantidad de permisos en todos los servicios de Google Cloud. Para obtener más detalles sobre cuándo debes usar funciones básicas, consulta las Preguntas frecuentes sobre la administración de identidades y accesos.

Las funciones predefinidas de IAM son mucho más detalladas y te permiten administrar con cuidado el conjunto de permisos a los que tienen acceso tus usuarios. Consulta la documentación sobre funciones para obtener una lista de las funciones que se pueden otorgar a nivel de proyecto. Crear funciones personalizadas puede aumentar aún más el control que tienes sobre los permisos de usuario.

Función Descripción Permisos
roles/owner Acceso completo a todos los recursos. Todos los permisos para todos los recursos.
roles/editor Edita el acceso a todos los recursos. Acceso para crear y actualizar todos los recursos.
roles/viewer Acceso de lectura a todos los recursos. Obtén y crea una lista de los accesos para todos los recursos.
roles/browserBetaAcceso para buscar recursos en el proyecto.
  • resourcemanager.organizations.get
  • resourcemanager.projects.get
  • resourcemanager.projects.getIamPolicy
  • resourcemanager.projects.list
  • resourcemanager.projectInvites.get

Crea funciones personalizadas

Además de las funciones predefinidas que se describen en esta documentación, también puedes crear funciones personalizadas, que son colecciones de permisos que puedes adaptar a tus necesidades. Cuando se crea una función personalizada para usar con Resource Manager, se debe prestar atención a los siguientes puntos:
  • Los permisos list y get, como resourcemanager.projects.get/list, siempre se deben otorgar como un par.
  • Cuando tu función personalizada incluye los permisos folders.list y folders.get, también debe incluir projects.list y projects.get.
  • Ten en cuenta que el permiso setIamPolicy para organizaciones, carpetas y proyectos permite al usuario otorgar todos los demás permisos, por lo que debe asignarse con cuidado.

Control de acceso a nivel de proyecto

Se pueden otorgar funciones a los usuarios a nivel de proyecto con Google Cloud Console, la API de Resource Manager y la herramienta de línea de comandos de gcloud. Para obtener instrucciones, consulta cómo otorgar, cambiar y revocar el acceso a los miembros del proyecto.

Funciones predeterminadas

Cuando creas un proyecto, se te otorga la función funciones/propietario para que el proyecto te proporcione control absoluto como creador. Consulta las secciones anteriores para obtener los permisos que proporciona esta función. Esta función predeterminada se puede cambiar con normalidad en una política de IAM.

Controles del servicio de VPC

Los Controles del servicio de VPC pueden proporcionar seguridad adicional cuando se usa la API de Resource Manager. Para obtener más información sobre los Controles del servicio de VPC, consulta la descripción general de los Controles del servicio de VPC.

Para obtener información sobre las limitaciones actuales del uso de Resource Manager con los Controles del servicio de VPC, consulta la página sobre los productos admitidos y las limitaciones.