Funciones y permisos de IAM para VMware Engine

Google Cloud VMware Engine tiene un conjunto específico de funciones de la administración de identidades y accesos (IAM). Cada función contiene un conjunto de permisos.

Cuando agregas un miembro nuevo al proyecto, puedes usar una política de IAM para otorgar a ese miembro una o más funciones de IAM. Cada función de IAM contiene permisos que otorgan al miembro acceso a los recursos de VMware Engine.

Administra el acceso a VMware Engine

En esta guía, se describe cómo administrar el acceso a VMware Engine con el principio de privilegio mínimo y otorgar acceso a recursos superiores específicos, como una organización o un proyecto de Google Cloud. Para otorgar acceso a un proyecto, debes configurar una política de IAM en el recurso. La política vincula uno o más miembros, como un usuario o una cuenta de servicio, con una o más funciones. Cada función contiene una lista de permisos que permiten la interacción del miembro con el recurso.

Existen tres tipos de funciones en IAM:

  • Funciones básicas, que incluyen las funciones de propietario, editor y visualizador que existían antes de la introducción de IAM.
  • Las funciones predefinidas proporcionan acceso detallado a un servicio específico y las administra Google Cloud. Las funciones predefinidas están diseñadas para brindar compatibilidad con patrones de control de acceso y casos de uso comunes.
  • Las funciones personalizadas proporcionan acceso detallado según una lista de permisos especificada por el usuario.

Permisos de VMware Engine

Permiso Descripción
vmwareengine.googleapis.com/services.view Acceso de lectura al portal y los recursos de VMware Engine.
vmwareengine.googleapis.com/services.use Acceso de administrador al portal y los recursos de VMware Engine.

Funciones de VMware Engine

Función Descripción
VMware Engine Service Viewer Acceso de lectura al portal y los recursos de VMware Engine.
VMware Engine Service Admin Acceso de administrador al portal y los recursos de VMware Engine.

Funciones básicas de los proyectos

De forma predeterminada, cuando se otorga acceso a un proyecto de Cloud, también se brinda acceso a las nubes privadas de VMware Engine. Cualquier usuario con la función Owner del proyecto puede otorgar, revocar o cambiar cualquier función del proyecto.

Función básica Funciones
Viewer Puede ver la consola, las nubes privadas y todos los recursos de VMware Engine. Esta función incluye la función VMware Engine Service Viewer.
Editor

Igual que Viewer, más las siguientes capacidades:

  • Puede crear, actualizar y borrar todos los recursos, incluidos todos los recursos de red y las direcciones IP externas. La función Editor también puede crear y agregar una nube privada y agregar o quitar nodos de una nube privada. Esta función incluye la función VMware Engine Service Admin.
Owner Igual que Editor.

Otorga o revoca el acceso a VMware Engine

Otorga acceso al portal de VMware Engine mediante las funciones, y las funciones se aplican a los recursos de VMware Engine a nivel de proyecto. Una función no se puede aplicar a una nube privada individual si un proyecto contiene varias nubes privadas.

Otorga acceso

Para agregar un miembro del equipo a un proyecto y otorgarle una función de VMware Engine, sigue estos pasos:

  1. En Google Cloud Console, ve a la página IAM.

    Ir a la página IAM

  2. Haz clic en Selecciona un proyecto, elige un proyecto y haz clic en Abrir.

  3. Haz clic en Agregar.

  4. Ingresa una dirección de correo electrónico. Puedes agregar personas individuales, cuentas de servicio o grupos como miembros.

  5. Selecciona una función VMware Engine Service Viewer o VMware Engine Service Admin según el tipo de acceso que necesite el usuario o grupo. Las funciones les dan a los miembros un nivel específico de permiso.

    Para garantizar la mejor seguridad, te recomendamos que otorgues la menor cantidad de privilegios necesarios a cada usuario o grupo. Los miembros con la función Owner pueden administrar todos los aspectos de los recursos de VMware Engine.

  6. Haz clic en Guardar.

Revoca acceso

Para revocar el acceso de VMware Engine a un usuario o grupo, haz lo siguiente:

  1. En Google Cloud Console, ve a la página IAM.

    Ir a la página IAM

  2. Haz clic en Selecciona un proyecto, elige un proyecto y haz clic en Abrir.

  3. Ubica el usuario o el grupo del que deseas revocar el acceso y haz clic en Editar.

  4. Por cada función que quieras revocar, haz clic en Borrar y, luego, en Guardar.