Controla el acceso con IAM

Cuando creas un proyecto de Google Cloud , eres el único usuario en el proyecto. De forma predeterminada, ningún otro usuario tiene acceso a tu proyecto ni a sus recursos. La administración de identidades y accesos (IAM) administra Google Cloud recursos, como los clústeres. Los permisos se asignan a las principales de IAM.

IAM te permite otorgar roles a las principales. Una función es una recopilación de permisos y, cuando se le otorga a una principal, controla el acceso a uno o más Google Cloud recursos. Puedes usar los siguientes tipos de roles:

  • Las funciones básicas proporcionan permisos generales limitados a permisos de propietario, de editor y de visualizador.
  • Las funciones predefinidas proporcionan un acceso más detallado que las funciones básicas y abordan muchos casos de uso comunes.
  • Las funciones personalizadas te permiten crear combinaciones de permisos únicas.

Una principal puede ser cualquiera de las siguientes opciones:

  • Cuenta de usuario
  • Cuenta de servicio
  • Grupo de Google de Google Workspace
  • Dominio de Google Workspace
  • Dominio de Cloud Identity

Tipos de políticas de IAM

IAM admite los siguientes tipos de políticas:

  • Políticas de permisos: Otorga roles a las principales. Para obtener más información, consulta Política de permisos.
  • Políticas de denegación: Evita que las principales usen permisos de IAM específicos, sin importar las funciones que se les otorguen. Para obtener más detalles, consulta Políticas de denegación.

Usa políticas de denegación para evitar que principales específicas realicen acciones específicas en tu proyecto, organización o carpeta, incluso si una política de permisos de IAM otorga a esas principales un rol que contenga los permisos relevantes.

Funciones predefinidas

IAM proporciona roles predefinidos para otorgar acceso detallado a recursos Google Cloud específicos y evitar el acceso no deseado a otros recursos. Google Cloud crea y mantiene estos roles, y actualiza automáticamente sus permisos según sea necesario, como cuando Google Cloud Observability agrega funciones nuevas.

Los roles predefinidos de Google Cloud Observability contienen permisos para funciones que abarcan varias áreas de productos. Por este motivo, es posible que veas algunos permisos, como observability.scopes.get, incluidos en roles predefinidos para esas áreas de productos. Por ejemplo, el rol de visualizador de registros (roles/logging.viewer) incluye el permiso observability.scopes.get, además de muchos permisos específicos de registro.

En la siguiente tabla, se enumeran los roles predefinidos de la Observabilidad de Google Cloud. Para cada rol, la tabla muestra el título, la descripción, los permisos contenidos y el tipo de recurso de nivel más bajo en el que se pueden otorgar los roles. Puedes otorgar los roles predefinidos a nivel del proyecto de Google Cloud o, en la mayoría de los casos, a cualquier tipo superior en la jerarquía de recursos.

Para obtener una lista de todos los permisos individuales que contiene un rol, consulta Cómo obtener los metadatos de la función.

Role Permissions

(roles/observability.admin)

Full access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.scopes.get
  • observability.scopes.update

(roles/observability.analyticsUser)

Grants permissions to use Cloud Observability Analytics.

observability.analyticsViews.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update

observability.scopes.get

(roles/observability.editor)

Edit access to Observability resources.

observability.*

  • observability.analyticsViews.create
  • observability.analyticsViews.delete
  • observability.analyticsViews.get
  • observability.analyticsViews.list
  • observability.analyticsViews.update
  • observability.scopes.get
  • observability.scopes.update

(roles/observability.viewer)

Read only access to Observability resources.

observability.analyticsViews.get

observability.analyticsViews.list

observability.scopes.get

¿Qué sigue?