Se usó la API de Cloud Translation para traducir esta página.

Control de acceso con IAM

En esta página, se describen las opciones de control de acceso disponibles para la API de Cloud Asset.

Descripción general

Cloud Asset Inventory usa Identity and Access Management (IAM) para el control de acceso.

En la API de Cloud Asset, el control de acceso se puede configurar a nivel del proyecto o a nivel de la organización. Por ejemplo, puedes otorgar a un grupo de desarrolladores acceso a todos los recursos de Cloud Asset Inventory en un proyecto.

Para obtener una descripción detallada de IAM y sus características, consulta la documentación de IAM. En particular, consulta su Administra el acceso a proyectos, carpetas y organizaciones sección.

Permisos y funciones

Cada método de API de Cloud Asset Inventory requiere que el llamador tenga los permisos necesarios. En esta sección, se resumen los permisos y roles de la API de Cloud Asset que admite IAM.

Permisos necesarios

En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método de API en la API de Cloud Asset o para realizar tareas con herramientas de Google Cloud que usar la API, como la consola de Google Cloud o Google Cloud CLI.

Permiso	Métodos de la API
`cloudasset.assets.searchAllResources` y: `cloudasset.assets.searchEnrichmentResourceOwners` si se busca enriquecimiento del propietario de recursos	`*.searchAllResources`
`cloudasset.assets.searchAllIamPolicies`	`*.searchAllIamPolicies`
`cloudasset.assets.analyzeIamPolicy`, `cloudasset.assets.searchAllResources` y `cloudasset.assets.searchAllIamPolicies`	`*.analyzeIamPolicy`
	`*.analyzeIamPolicyLongrunning`
	`*.batchGetEffectiveIamPolicies`
`cloudasset.assets.analyzeOrgPolicy` y `cloudasset.assets.searchAllResources`	`*.analyzeOrgPolicies`
	`*.analyzeOrgPolicyGovernedContainers`
`cloudasset.assets.analyzeOrgPolicy`, `cloudasset.assets.searchAllResources` y `cloudasset.assets.searchAllIamPolicies`	`*.analyzeOrgPolicyGovernedAssets`
`cloudasset.feeds.get`	`*.getFeed`
`cloudasset.feeds.list`	`*.listFeeds`
`cloudasset.feeds.delete`	`*.deleteFeed`
`cloudasset.feeds.create`, `cloudasset.assets.exportResource` o `cloudasset.assets.exportIamPolicy` basado en `content_type`	`*.createFeed`


`cloudasset.feeds.update`, `cloudasset.assets.exportResource` o `cloudasset.assets.exportIamPolicy` basado en `content_type`	`*.updateFeed`


`cloudasset.assets.exportResource`, `cloudasset.assets.exportIamPolicy`, `cloudasset.assets.exportOrgPolicy`, `cloudasset.assets.exportOSInventories` o `cloudasset.assets.exportAccessPolicy` basado en `content_type`	`*.batchGetAssetsHistory`
	`*.exportAssets`
	`*.operations.get`





`cloudasset.assets.listResource`, `cloudasset.assets.listIamPolicy`, `cloudasset.assets.listOrgPolicy`, `cloudasset.assets.listAccessPolicy` o `cloudasset.assets.listOSInventories` basado en `content_type`	`*.listAssets`
`cloudasset.assets.analyzeMove`	`*.analyzeMove`
`cloudasset.savedqueries.create`	`*.createSavedQuery`
`cloudasset.savedqueries.get`	`*.getSavedQuery`
`cloudasset.savedqueries.list`	`*.listSavedQueries`
`cloudasset.savedqueries.update`	`*.updateSavedQuery`
`cloudasset.savedqueries.delete`	`*.deleteSavedQuery`

Ten en cuenta que, si la API *.exportAssets para exportar metadatos de recursos de tipos de recursos especificados con RESOURCE o un tipo de contenido no especificado, si no se otorgó al emisor el permiso cloudasset.assets.exportResource, un requisito alternativo es que el emisor tenga el permisos por tipo de recurso para cada tipo de recurso que se especifica en la solicitud.

Funciones

Cloud Asset Inventory tiene dos funciones de IAM:

Propietario de recursos de Cloud (roles/cloudasset.owner), que otorga acceso completo a los metadatos de recursos de nube. Otorga todos los permisos cloudasset.* y recommender.cloudAssetInsights.*.
Visualizador de Cloud Asset (roles/cloudasset.viewer), que otorga acceso de solo lectura a los metadatos de recursos de nube. Otorga todos los cloudasset.assets.* (no otorgar los permisos cloudasset.feeds.* y cloudasset.savedqueries.*), recommender.cloudAssetInsights.get y recommender.cloudAssetInsights.list.

Elige la función adecuada que contenga los permisos necesarios para tus necesidades. En general, solo la función de propietario de Cloud Asset otorga todos los permisos necesarios para llamar a la API de Cloud Asset y permite el uso completo de todos los métodos.

Las funciones básicas incluyen los siguientes permisos:

La función de propietario (roles/owner) otorga todos los permisos cloudasset.*.
La función de editor (roles/editor) otorga los permisos cloudasset.assets.search* y cloudasset.assets.analyzeIamPolicy.
La función de visualizador (roles/viewer) otorga los permisos cloudasset.assets.search* y cloudasset.assets.analyzeIamPolicy.

Recomendamos otorgar uno de los roles de Cloud Asset en lugar de uno rol básico, porque los roles básicos contienen muchos permisos para otros servicios de Google Cloud y podría dar como resultado un permiso de acceso mayor del esperado.

Se pueden otorgar funciones a los usuarios a nivel de la organización, la carpeta o el proyecto. Consulta Administra el acceso a proyectos, carpetas y organizaciones para obtener más información.

Controles del servicio de VPC

Los Controles del servicio de VPC se pueden usar con Cloud Asset Inventory a fin de proporcionar seguridad adicional para tus elementos. Para obtener más información Consulta la Descripción general de los Controles del servicio de VPC.

Para conocer las limitaciones en el uso de Cloud Asset Inventory con Consulta los productos admitidos y las limitaciones en los Controles del servicio de VPC.