En esta página, se describen los roles de Identity and Access Management (IAM) que puedes usar para configurar Secret Manager. Los roles limitan la capacidad de una principal para acceder a los recursos. Siempre otorga el conjunto mínimo de permisos necesarios para realizar una tarea determinada.
Funciones de administrador secreto
A continuación, se muestran los roles de IAM asociados con Secret Manager. Para obtener información sobre cómo otorgar, cambiar o revocar el acceso a los recursos mediante roles de IAM, consulta Otorga, cambia y revoca el acceso a los recursos.
Role | Permissions |
---|---|
Secret Manager Admin( Full access to administer Secret Manager resources. Lowest-level resources where you can grant this role:
|
|
Secret Manager Secret Accessor( Allows accessing the payload of secrets. Lowest-level resources where you can grant this role:
|
|
Secret Manager Secret Version Adder( Allows adding versions to existing secrets. Lowest-level resources where you can grant this role:
|
|
Secret Manager Secret Version Manager( Allows creating and managing versions of existing secrets. Lowest-level resources where you can grant this role:
|
|
Secret Manager Viewer( Allows viewing metadata of all Secret Manager resources Lowest-level resources where you can grant this role:
|
|
Principio de privilegio mínimo
Cuando sigues el principio de privilegio mínimo, otorgas el nivel mínimo de acceso a los recursos necesarios para realizar una tarea determinada. Por ejemplo, si un principal necesita acceso a un solo secreto, no le otorgues acceso a otros secretos o a todos los secretos del proyecto o la organización. Si un principal solo necesita leer un secreto, no le otorgues al principal la capacidad de modificar el secreto.
Puedes usar IAM para otorgar funciones y permisos de IAM a nivel del secreto, el proyecto, la carpeta o la organización de Google Cloud. Aplica siempre los permisos en el nivel más bajo en la jerarquía de recursos.
En la siguiente tabla, se muestran las capacidades efectivas de una cuenta de servicio, según el nivel de la jerarquía de recursos en la que se otorga el rol de descriptor de acceso a secretos de Secret Manager (roles/secretmanager.secretAccessor
).
Jerarquía de recursos | Función |
---|---|
Secret | Accede solo a ese secreto |
Proyecto | Accede a todos los secretos del proyecto. |
Carpeta | Accede a todos los secretos de todos los proyectos de la carpeta |
Organización | Accede a todos los secretos de todos los proyectos de la organización |
El rol roles/owner
incluye el permiso "secretmanager.versions.access", pero roles/editor
y roles/viewer
no.
Si una principal solo necesita acceder al valor de un solo secreto, no le otorgues al principal la capacidad de acceder a todos los secretos. Por ejemplo, puedes otorgar a una cuenta de servicio la función de descriptor de acceso a secretos de Secret Manager (roles/secretmanager.secretAccessor
) en un solo secreto.
Si un principal solo necesita administrar un único secreto, no otorgues a ese principal la capacidad de administrar todos los secretos. Por ejemplo, puedes otorgar el rol de administrador de Secret Manager (roles/secretmanager.admin
) a una cuenta de servicio en un solo secreto.
Condiciones de IAM
Las condiciones de IAM te permiten definir y aplicar el control de acceso condicional basado en atributos para algunos recursos de Google Cloud, incluidos los recursos de Secret Manager.
En Secret Manager, puedes aplicar el acceso condicional según los siguientes atributos:
- Atributos de fecha y hora: Se usan para configurar el acceso programado, con vencimiento o de duración limitada a los recursos de Secret Manager. Por ejemplo, puedes permitir que un usuario acceda a un secreto hasta una fecha específica.
- Atributos de recursos: Se usa para configurar el acceso condicional según el nombre, el tipo o los atributos del servicio de recursos. En Secret Manager, puedes usar atributos de secretos y versiones de secretos para configurar el acceso condicional. Por ejemplo, puedes permitir que un usuario administre versiones de secretos solo en secretos que comienzan con un prefijo específico o que puede acceder a una versión del secreto específica.
Para obtener más información sobre las Condiciones de IAM, consulta la descripción general de las Condiciones.
¿Qué sigue?
- Obtén más información para administrar el acceso a secretos regionales.
- Obtén información para aplicar el principio de privilegio mínimo cuando administras recursos de Secret Manager mediante la creación y administración de funciones personalizadas.
- Obtén información sobre las condiciones de IAM.