Controlar el acceso con la gestión de identidades y accesos

Cuando creas un Google Cloud proyecto, eres el único usuario del proyecto. De forma predeterminada, ningún otro usuario tiene acceso a tu proyecto ni a sus recursos. Gestión de Identidades y Accesos (IAM) gestiona el acceso a los Google Cloud recursos, como los clústeres. Los permisos se asignan a principales de gestión de identidades y accesos.

Gestión de identidades y accesos te permite conceder roles a principales. Un rol es un conjunto de permisos que, cuando se concede a una entidad principal, controla el acceso a uno o varios Google Cloud recursos. Puedes usar los siguientes tipos de roles:

  • Los roles básicos proporcionan permisos generales limitados a Propietario, Editor y Lector.
  • Los roles predefinidos ofrecen un acceso más granular que los roles básicos y se adaptan a muchos casos de uso habituales.
  • Los roles personalizados le permiten crear combinaciones únicas de permisos.

Un principal puede ser cualquiera de los siguientes:

  • Cuenta de usuario
  • Cuenta de servicio
  • Grupo de Google de Google Workspace
  • Dominio de Google Workspace
  • Dominio de Cloud Identity

Tipos de políticas de gestión de identidades y accesos

Gestión de identidades y accesos admite los siguientes tipos de políticas:

  • Permitir políticas: concede roles a los principales. Para obtener más información, consulta Política de permitir.
  • Políticas de denegación: impiden que los principales usen permisos de gestión de identidades y accesos específicos, independientemente de los roles que se les hayan concedido. Si quieres obtener más información, consulta el artículo sobre políticas de denegación.

Usa políticas de denegación para impedir que determinadas entidades realicen acciones específicas en tu proyecto, carpeta u organización, aunque una política de permiso de gestión de identidades y accesos les asigne un rol que contenga los permisos pertinentes.

Funciones predefinidas

IAM proporciona roles predefinidos para conceder acceso granular a recursos Google Cloud específicos Google Cloud y evitar el acceso no deseado a otros recursos. Google Cloud crea y mantiene estos roles, y actualiza automáticamente sus permisos según sea necesario, por ejemplo, cuando Google Cloud Observability añade nuevas funciones.

Los roles predefinidos de Observabilidad de Google Cloud contienen permisos para funciones que abarcan varias áreas de productos. Por este motivo, es posible que veas algunos permisos, como observability.scopes.get, incluidos en roles predefinidos para esas áreas de producto. Por ejemplo, el rol Lector de registros (roles/logging.viewer) incluye el permiso observability.scopes.get, además de muchos otros permisos específicos de los registros.

En la siguiente tabla se enumeran los roles predefinidos de Google Cloud Observability. En cada rol, la tabla muestra el título, la descripción, los permisos incluidos y el tipo de recurso de nivel más bajo en el que se pueden conceder los roles. Puedes asignar los roles predefinidos a nivel de proyecto o, en la mayoría de los casos, a cualquier tipo superior en la jerarquía de recursos. Google Cloud

Para obtener una lista de todos los permisos individuales que contiene un rol, consulta Obtener los metadatos del rol.

Roles de observabilidad

Role Permissions

(roles/observability.admin)

Full access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.buckets.create
  • observability.buckets.delete
  • observability.buckets.get
  • observability.buckets.list
  • observability.buckets.undelete
  • observability.buckets.update
  • observability.datasets.create
  • observability.datasets.delete
  • observability.datasets.get
  • observability.datasets.list
  • observability.datasets.undelete
  • observability.datasets.update
  • observability.links.create
  • observability.links.delete
  • observability.links.get
  • observability.links.list
  • observability.links.update
  • observability.operations.cancel
  • observability.operations.delete
  • observability.operations.get
  • observability.operations.list
  • observability.scopes.get
  • observability.scopes.update
  • observability.traceScopes.create
  • observability.traceScopes.delete
  • observability.traceScopes.get
  • observability.traceScopes.list
  • observability.traceScopes.update
  • observability.views.access
  • observability.views.create
  • observability.views.delete
  • observability.views.get
  • observability.views.list
  • observability.views.update

(roles/observability.analyticsUser)

Grants permissions to use Cloud Observability Analytics.

logging.queries.getShared

logging.queries.listShared

logging.queries.usePrivate

observability.analyticsViews.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update

observability.buckets.get

observability.buckets.list

observability.datasets.get

observability.datasets.list

observability.links.get

observability.links.list

observability.operations.get

observability.operations.list

observability.scopes.get

observability.traceScopes.get

observability.traceScopes.list

observability.views.get

observability.views.list

(roles/observability.editor)

Edit access to Observability resources.

observability.analyticsViews.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update

observability.buckets.create

observability.buckets.get

observability.buckets.list

observability.buckets.update

observability.datasets.create

observability.datasets.get

observability.datasets.list

observability.datasets.update

observability.links.*

  • observability.links.create
  • observability.links.delete
  • observability.links.get
  • observability.links.list
  • observability.links.update

observability.operations.*

  • observability.operations.cancel
  • observability.operations.delete
  • observability.operations.get
  • observability.operations.list

observability.scopes.*

  • observability.scopes.get
  • observability.scopes.update

observability.traceScopes.*

  • observability.traceScopes.create
  • observability.traceScopes.delete
  • observability.traceScopes.get
  • observability.traceScopes.list
  • observability.traceScopes.update

observability.views.create

observability.views.delete

observability.views.get

observability.views.list

observability.views.update

(roles/observability.scopesEditor)

Grants permission to view and edit Observability, Logging, Trace, and Monitoring scopes

logging.logScopes.*

  • logging.logScopes.create
  • logging.logScopes.delete
  • logging.logScopes.get
  • logging.logScopes.list
  • logging.logScopes.update

monitoring.metricsScopes.link

observability.scopes.*

  • observability.scopes.get
  • observability.scopes.update

observability.traceScopes.*

  • observability.traceScopes.create
  • observability.traceScopes.delete
  • observability.traceScopes.get
  • observability.traceScopes.list
  • observability.traceScopes.update

(roles/observability.serviceAgent)

Grants Observability service account the ability to list, create and link datasets in the consumer project.

bigquery.datasets.create

bigquery.datasets.get

bigquery.datasets.link

(roles/observability.viewAccessor)

Read only access to data defined by an Observability View.

observability.views.access

(roles/observability.viewer)

Read only access to Observability resources.

observability.analyticsViews.get

observability.analyticsViews.list

observability.buckets.get

observability.buckets.list

observability.datasets.get

observability.datasets.list

observability.links.get

observability.links.list

observability.operations.get

observability.operations.list

observability.scopes.get

observability.traceScopes.get

observability.traceScopes.list

observability.views.get

observability.views.list

Roles de la API Telemetry

Role Permissions

(roles/telemetry.metricsWriter)

Access to write metrics.

telemetry.metrics.write

(roles/telemetry.serviceLogsWriter)

Allows an onboarded service to write log data to a destination.

telemetry.consumers.writeLogs

(roles/telemetry.serviceMetricsWriter)

Allows an onboarded service to write metrics data to a destination.

telemetry.consumers.writeMetrics

(roles/telemetry.serviceTelemetryWriter)

Allows an onboarded service to write all telemetry data to a destination.

telemetry.consumers.*

  • telemetry.consumers.writeLogs
  • telemetry.consumers.writeMetrics
  • telemetry.consumers.writeTraces

(roles/telemetry.serviceTracesWriter)

Allows an onboarded service to write trace data to a destination.

telemetry.consumers.writeTraces

(roles/telemetry.tracesWriter)

Access to write trace spans.

telemetry.traces.write

(roles/telemetry.writer)

Full access to write all telemetry data.

telemetry.metrics.write

telemetry.traces.write

Siguientes pasos