Funciones y permisos de IAM para VMware Engine

Cuando agregas un miembro nuevo a tu proyecto, puedes usar una política de Identity and Access Management (IAM) para darle a ese miembro una o más funciones de IAM. Cada función de IAM contiene permisos que otorgan al miembro acceso a los recursos de VMware Engine.

En este documento, se describen los permisos de IAM relevantes para VMware Engine y los roles de IAM que otorgan esos permisos. Para obtener una descripción detallada de IAM y sus funciones, consulta Descripción general de Identity and Access Management y Otorga, cambia y revoca el acceso a los recursos.

Tipos de funciones

Para otorgar acceso a un recurso, configura una política de Cloud IAM en el recurso. La política vincula a uno o más miembros, como un usuario o una cuenta de servicio, con una o más funciones. Cada función contiene una lista de permisos que permiten la interacción del miembro con el recurso.

Existen tres tipos de funciones en IAM:

  • Las funciones predefinidas proporcionan acceso detallado a un servicio específico y las administra Google Cloud. Las funciones predefinidas están diseñadas para brindar compatibilidad con patrones de control de acceso y casos de uso comunes.
  • Los roles personalizados proporcionan acceso detallado según una lista de permisos especificada por el usuario.
  • Los roles básicos son roles a nivel de proyecto, que incluyen permisos amplios que se aplican a todos los recursos de Google Cloud. Los roles básicos, que incluyen las de propietario, editor y visualizador que existían antes de la introducción de IAM.

Recomendamos usar un rol predefinido o un rol personalizado siempre que sea posible, ya que incluyen permisos más detallados que se aplican solo a VMware Engine.

Funciones predefinidas

Un rol predefinido contiene un conjunto de permisos que es adecuado para una tarea específica. Los permisos y roles específicos solo se aplican a Google Cloud CLI y a la API de VMware Engine. Para ver una lista completa de los roles predefinidos de VMware Engine, ve a la referencia de roles de VMware Engine en la documentación de IAM.

Funciones personalizadas

Si los roles predefinidos de VMware Engine no satisfacen tus necesidades, puedes crear un rol personalizado que contenga solo los permisos que especifiques. Identifica las tareas que necesitas realizar y, luego, agrega los permisos necesarios para cada tarea al rol personalizado.

Para ver una lista completa de los permisos de VMware Engine, ve a la Referencia de permisos y busca el prefijo vmwareengine.

Para obtener más detalles sobre cómo crear un rol personalizado, consulta Crea y administra roles personalizados.

Otorga o revoca el acceso a VMware Engine

Los roles se aplican a los recursos de VMware Engine a nivel de proyecto. Una función no se puede aplicar a una nube privada individual si un proyecto contiene varias nubes privadas.

Otorgar acceso

Para agregar un miembro del equipo a un proyecto y otorgarle un rol de VMware Engine, haz lo siguiente:

  1. En la consola de Google Cloud, ve a IAM y administración  > IAM.

    Ve a la página IAM

  2. Haga clic en Add.

  3. Ingresa una dirección de correo electrónico. Puedes agregar personas individuales, cuentas de servicio o Grupos de Google como miembros.

  4. Selecciona el rol VMware Engine Service Viewer o VMware Engine Service Admin según el tipo de acceso que necesita el usuario o el grupo.

  5. Haz clic en Guardar.

Revocar el acceso

Para quitar un rol y sus permisos correspondientes de un usuario o grupo, haz lo siguiente:

  1. En la consola de Google Cloud, ve a IAM y administración  > IAM.

    Ve a la página IAM

  2. Ubica el usuario o el grupo del que deseas revocar el acceso y haz clic en Editar miembro.

  3. Para cada rol que deseas revocar, haz clic en Borrar.

  4. Haz clic en Guardar.

Permisos de VMware Engine

Para ver una lista completa de los permisos de VMware Engine, ve a la Referencia de permisos y busca el prefijo vmwareengine.

Los permisos permiten a los usuarios realizar acciones específicas en los recursos de VMware Engine. No se otorgan permisos directamente a los usuarios; en su lugar, se otorgan roles predefinidos o roles personalizados, que tienen uno o más permisos asociados con ellos.