Funciones y permisos de IAM para VMware Engine

Google Cloud VMware Engine tiene un conjunto específico de funciones de la administración de identidades y accesos (IAM). Cada función predefinida contiene un conjunto de permisos.

Cuando agregas un miembro nuevo al proyecto, puedes usar una política de IAM para otorgar a ese miembro una o más funciones de IAM. Cada función de IAM contiene permisos que otorgan al miembro acceso a los recursos de VMware Engine.

Administra el acceso a VMware Engine

En esta guía, se describe cómo acceder a VMware Engine con el principio de privilegio mínimo y cómo otorgar acceso a recursos superiores específicos, como una organización o un proyecto de Google Cloud. Para otorgar acceso a un proyecto, debes configurar una política de IAM en el recurso. La política vincula uno o más miembros, como un usuario o una cuenta de servicio, con una o más funciones. Cada función contiene una lista de permisos que permiten la interacción del miembro con el recurso.

Existen tres tipos de funciones en IAM:

  • Las funciones básicas, que incluyen las de propietario, editor y visualizador que existían antes de la introducción de IAM.

  • Las funciones predefinidas, que proporcionan acceso detallado a un servicio específico y las administra Google Cloud. Las funciones predefinidas están destinadas a brindar compatibilidad con patrones de control de acceso y casos de uso comunes.

  • Las funciones personalizadas, que proporcionan acceso detallado según una lista de permisos especificada por el usuario.

Permisos de VMware Engine

Permiso Descripción
vmwareengine.googleapis.com/services.view Acceso de lectura al portal y los recursos de VMware Engine.
vmwareengine.googleapis.com/services.use Acceso de administrador al portal y los recursos de VMware Engine.

Funciones de VMware Engine

Función Descripción
VMware Engine Service Viewer Acceso de lectura al portal y los recursos de VMware Engine.
VMware Engine Service Admin Acceso de administrador al portal y los recursos de VMware Engine.

Funciones básicas para proyectos

De forma predeterminada, cuando se otorga acceso a un proyecto de Cloud, también se brinda acceso a las nubes privadas de VMware Engine. Cualquier usuario con la función de propietario del proyecto puede revocar o cambiar las funciones del proyecto.

Función básica Capacidades
Viewer Puede ver la consola, las nubes privadas y todos los recursos de VMware Engine.
Owner Igual que Viewer, más las siguientes capacidades:
  • Puede crear, actualizar y borrar todos los recursos, incluidos todos los recursos de red y las direcciones IP externas. La función Owner también puede crear y agregar una nube privada y agregar o quitar nodos de una nube privada.
Editor Igual que Owner.

Otorga o revoca el acceso a VMware Engine

El acceso al portal de VMware Engine es por función y se aplica a nivel del proyecto. Una función no se puede aplicar a una nube privada individual si un proyecto contiene varias nubes privadas.

Otorga acceso

Para agregar un miembro del equipo a un proyecto y otorgarle una función de VMware Engine, haz lo siguiente:

  1. En los grupos de Google Cloud Console, ve a la página IAM.

    Ir a la página IAM

  2. Haz clic en Selecciona un proyecto, elige un proyecto y haz clic en Abrir.

  3. Haz clic en Agregar.

  4. Ingresa una dirección de correo electrónico. Puedes agregar personas individuales, cuentas de servicio o grupos como miembros.

  5. Selecciona la función de visualizador de servicios de VMware Engine o de administrador de servicios de VMware Engine en función del tipo de acceso que necesita el usuario o el grupo. Las funciones les dan a los miembros el nivel adecuado de permisos. Para garantizar la mejor seguridad, te recomendamos que otorgues la menor cantidad de privilegios necesarios a cada usuario o grupo. Los miembros con permisos de propietario pueden administrar todos los aspectos de los recursos de VMware Engine.

  6. Haz clic en Guardar.

Revoca el acceso

Para revocar el acceso a VMware Engine de un usuario o un grupo, haz lo siguiente:

  1. En Google Cloud Console, ve a la página IAM.

    Ir a la página IAM

  2. Haz clic en Selecciona un proyecto, elige un proyecto y haz clic en Abrir.

  3. Ubica el usuario o el grupo del que deseas revocar el acceso y haz clic en Editar.

  4. Por cada función que quieras revocar, haz clic en Borrar y, luego, en Guardar.

Próximos pasos