Funciones y permisos de IAM para VMware Engine

Google Cloud VMware Engine tiene un conjunto específico de funciones de la administración de identidades y accesos (IAM). Cada función contiene un conjunto de permisos.

Cuando agregas un miembro nuevo al proyecto, puedes usar una política de IAM para otorgar a ese miembro una o más funciones de IAM. Cada función de IAM contiene permisos que otorgan al miembro acceso a los recursos de VMware Engine.

Administra el acceso a VMware Engine

En esta guía, se describe cómo administrar el acceso a VMware Engine con el principio de privilegio mínimo y otorgar acceso a recursos superiores específicos, como una organización o un proyecto de Google Cloud. Para otorgar acceso a un proyecto, debes configurar una política de IAM en el recurso. La política vincula a uno o más miembros, como un usuario o una cuenta de servicio, con una o más funciones. Cada función contiene una lista de permisos que permiten la interacción del miembro con el recurso.

Existen tres tipos de funciones en IAM:

  • Funciones básicas, que incluyen las funciones de propietario, editor y visualizador que existían antes de la introducción de IAM.
  • Las funciones predefinidas proporcionan acceso detallado a un servicio específico y las administra Google Cloud. Las funciones predefinidas están diseñadas para brindar compatibilidad con patrones de control de acceso y casos de uso comunes.
  • Las funciones personalizadas proporcionan acceso detallado según una lista de permisos especificada por el usuario.

Permisos de VMware Engine

Permiso Descripción
vmwareengine.googleapis.com/services.view Acceso de lectura al portal y los recursos de VMware Engine.
vmwareengine.googleapis.com/services.use Acceso de administrador al portal y los recursos de VMware Engine.

Funciones de VMware Engine

Función Descripción
VMware Engine Service Viewer Acceso de lectura al portal y los recursos de VMware Engine.
VMware Engine Service Admin Acceso de administrador al portal y los recursos de VMware Engine.

Funciones básicas de los proyectos

De forma predeterminada, cuando se otorga acceso a un proyecto de Cloud, también se brinda acceso a las nubes privadas de VMware Engine. Cualquier usuario con la función de propietario del proyecto puede otorgar, revocar o cambiar cualquier función del proyecto.

Función básica Funciones
Viewer Puede ver la consola, las nubes privadas y todos los recursos de VMware Engine. Esta función incluye la función VMware Engine Service Viewer.
Editor

Igual que Viewer, más las siguientes capacidades:

  • Puede crear, actualizar y borrar todos los recursos, incluidos todos los recursos de red y las direcciones IP externas. La función Editor también puede crear y agregar una nube privada y agregar o quitar nodos de una nube privada. Esta función incluye la función VMware Engine Service Admin.
Owner Igual que Editor.

Otorga o revoca el acceso a VMware Engine

Otorga acceso al portal de VMware Engine mediante las funciones, y las funciones se aplican a los recursos de VMware Engine a nivel de proyecto. Una función no se puede aplicar a una nube privada individual si un proyecto contiene varias nubes privadas.

Para obtener información sobre cómo otorgar o revocar el acceso a VMware Engine, consulta Otorga o revoca el acceso a VMware Engine.

¿Qué sigue?