Roles y permisos de IAM para VMware Engine

Google Cloud VMware Engine tiene un conjunto específico de funciones de la administración de identidades y accesos (IAM). Cada función contiene un conjunto de permisos.

Cuando agregas un miembro nuevo al proyecto, puedes usar una política de IAM para otorgar a ese miembro una o más funciones de IAM. Cada función de IAM contiene permisos que otorgan al miembro acceso a los recursos de VMware Engine.

Administra el acceso a VMware Engine

En esta guía, se describe cómo administrar el acceso a VMware Engine con el principio de privilegio mínimo y otorgar acceso a recursos superiores específicos, como una organización o un proyecto de Google Cloud. Para otorgar acceso a un proyecto, debes configurar una política de IAM en el recurso. La política vincula uno o más miembros, como un usuario o una cuenta de servicio, con una o más funciones. Cada función contiene una lista de permisos que permiten la interacción del miembro con el recurso.

Existen tres tipos de funciones en IAM:

  • Funciones básicas, que incluyen las funciones de propietario, editor y visualizador que existían antes de la introducción de IAM.
  • Las funciones predefinidas proporcionan acceso detallado a un servicio específico y las administra Google Cloud. Las funciones predefinidas están diseñadas para brindar compatibilidad con patrones de control de acceso y casos de uso comunes.
  • Las funciones personalizadas proporcionan acceso detallado según una lista de permisos especificada por el usuario.

Permisos de VMware Engine

En la siguiente tabla, se enumeran los permisos y las descripciones de VMware Engine:

Permiso Descripción
vmwareengine.googleapis.com/services.view Acceso de lectura al portal y los recursos de VMware Engine*
vmwareengine.googleapis.com/services.use Acceso de administrador al portal y los recursos de VMware Engine.

* Una función con este permiso también puede ver las credenciales de acceso de vCenter y NSX-T.

Funciones de VMware Engine

En la siguiente tabla, se enumeran los roles y las descripciones de VMware Engine:

Rol Descripción
VMware Engine Service Viewer Acceso de lectura al portal y los recursos de VMware Engine*
VMware Engine Service Admin Acceso de administrador al portal y los recursos de VMware Engine.

* Una función con este permiso también puede ver las credenciales de acceso de vCenter y NSX-T.

Roles básicos de los proyectos

De forma predeterminada, cuando se otorga acceso a un proyecto de Google Cloud, también se otorga acceso a las nubes privadas de VMware Engine. Cualquier usuario con la función Owner del proyecto puede otorgar, revocar o cambiar cualquier función del proyecto.

Función básica Funciones
Viewer Puede ver la consola, las nubes privadas y todos los recursos de VMware Engine. Esta función incluye la función VMware Engine Service Viewer.
Editor Igual que Viewer, más las siguientes capacidades:
  • Puede crear, actualizar y borrar todos los recursos, incluidos todos los recursos de red y las direcciones IP externas. La función Editor también puede crear y agregar una nube privada y agregar o quitar nodos de una nube privada. Esta función incluye la función VMware Engine Service Admin.
Owner Igual que Editor.

Otorga o revoca el acceso a VMware Engine

Otorga acceso al portal de VMware Engine mediante las funciones, y las funciones se aplican a los recursos de VMware Engine a nivel de proyecto. Una función no se puede aplicar a una nube privada individual si un proyecto contiene varias nubes privadas.

Otorga acceso

Para agregar un miembro del equipo a un proyecto y otorgarle un rol de VMware Engine, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página IAM.

    Ve a la página IAM

  2. Haz clic en Selecciona un proyecto, elige un proyecto y haz clic en Abrir.

  3. Haz clic en Agregar.

  4. Ingrese una dirección de correo electrónico. Puedes agregar personas individuales, cuentas de servicio o Grupos de Google como miembros.

  5. Selecciona un rol de VMware Engine Service Viewer o VMware Engine Service Admin en función del tipo de acceso que necesita el usuario o el grupo. Los roles les dan a los miembros un nivel específico de permiso.

    Para garantizar la mejor seguridad, te recomendamos que otorgues la menor cantidad de privilegios necesarios a cada usuario o grupo. Los miembros con la función Owner pueden administrar todos los aspectos de los recursos de VMware Engine.

  6. Haz clic en Guardar.

Revoca acceso

Para revocar el acceso a VMware Engine de un usuario o un grupo, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página IAM.

    Ve a la página IAM

  2. Haz clic en Selecciona un proyecto, elige un proyecto y haz clic en Abrir.

  3. Ubica el usuario o el grupo del que deseas revocar el acceso y haz clic en Editar.

  4. Por cada función que quieras revocar, haz clic en Borrar y, luego, en Guardar.