En esta página, se describen las opciones de control de acceso disponibles para la API de Cloud Asset.
Descripción general
Cloud Asset Inventory usa Identity and Access Management (IAM) para el control de acceso.
En la API de Cloud Asset, el control de acceso se puede configurar a nivel del proyecto o a nivel de la organización. Por ejemplo, puedes otorgar a un grupo de desarrolladores acceso a todos los recursos de Cloud Asset Inventory en un proyecto.
Para obtener una descripción detallada de IAM y sus características, consulta la documentación de IAM. En particular, consulta su Administra el acceso a proyectos, carpetas y organizaciones sección.
Permisos y funciones
Cada método de API de Cloud Asset Inventory requiere que el llamador tenga los permisos necesarios. En esta sección, se resumen los permisos y roles de la API de Cloud Asset que admite IAM.
Permisos necesarios
En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método de API en la API de Cloud Asset o para realizar tareas con herramientas de Google Cloud que usar la API, como la consola de Google Cloud o Google Cloud CLI.
Permiso | Métodos de la API |
---|---|
cloudasset.assets.searchAllResources y:
|
*.searchAllResources |
cloudasset.assets.searchAllIamPolicies |
*.searchAllIamPolicies |
cloudasset.assets.analyzeIamPolicy ,cloudasset.assets.searchAllResources y cloudasset.assets.searchAllIamPolicies |
*.analyzeIamPolicy |
*.analyzeIamPolicyLongrunning |
|
*.batchGetEffectiveIamPolicies |
|
cloudasset.assets.analyzeOrgPolicy y cloudasset.assets.searchAllResources |
*.analyzeOrgPolicies |
*.analyzeOrgPolicyGovernedContainers |
|
cloudasset.assets.analyzeOrgPolicy ,cloudasset.assets.searchAllResources y cloudasset.assets.searchAllIamPolicies |
*.analyzeOrgPolicyGovernedAssets |
cloudasset.feeds.get |
*.getFeed |
cloudasset.feeds.list |
*.listFeeds |
cloudasset.feeds.delete |
*.deleteFeed |
cloudasset.feeds.create ,cloudasset.assets.exportResource o cloudasset.assets.exportIamPolicy basado en content_type |
*.createFeed |
cloudasset.feeds.update ,cloudasset.assets.exportResource o cloudasset.assets.exportIamPolicy basado en content_type |
*.updateFeed |
cloudasset.assets.exportResource ,cloudasset.assets.exportIamPolicy ,cloudasset.assets.exportOrgPolicy , cloudasset.assets.exportOSInventories ocloudasset.assets.exportAccessPolicy basado en content_type
|
*.batchGetAssetsHistory |
*.exportAssets |
|
*.operations.get |
|
cloudasset.assets.listResource ,cloudasset.assets.listIamPolicy ,cloudasset.assets.listOrgPolicy , cloudasset.assets.listAccessPolicy ocloudasset.assets.listOSInventories basado en content_type
|
*.listAssets |
cloudasset.assets.analyzeMove |
*.analyzeMove |
cloudasset.savedqueries.create |
*.createSavedQuery |
cloudasset.savedqueries.get |
*.getSavedQuery |
cloudasset.savedqueries.list |
*.listSavedQueries |
cloudasset.savedqueries.update |
*.updateSavedQuery |
cloudasset.savedqueries.delete |
*.deleteSavedQuery |
Ten en cuenta que, si la API *.exportAssets
para exportar metadatos de recursos de tipos de recursos especificados con RESOURCE
o un tipo de contenido no especificado, si no se otorgó al emisor el permiso cloudasset.assets.exportResource
, un requisito alternativo es que el emisor tenga el permisos por tipo de recurso para cada tipo de recurso que se especifica en la solicitud.
Funciones
Cloud Asset Inventory tiene dos funciones de IAM:
Propietario de recursos de Cloud (
roles/cloudasset.owner
), que otorga acceso completo a los metadatos de recursos de nube. Otorga todos los permisoscloudasset.*
yrecommender.cloudAssetInsights.*
.Visualizador de Cloud Asset (
roles/cloudasset.viewer
), que otorga acceso de solo lectura a los metadatos de recursos de nube. Otorga todos loscloudasset.assets.*
(no otorgar los permisoscloudasset.feeds.*
ycloudasset.savedqueries.*
),recommender.cloudAssetInsights.get
yrecommender.cloudAssetInsights.list
.
Elige la función adecuada que contenga los permisos necesarios para tus necesidades. En general, solo la función de propietario de Cloud Asset otorga todos los permisos necesarios para llamar a la API de Cloud Asset y permite el uso completo de todos los métodos.
Las funciones básicas incluyen los siguientes permisos:
La función de propietario (
roles/owner
) otorga todos los permisoscloudasset.*
.La función de editor (
roles/editor
) otorga los permisoscloudasset.assets.search*
ycloudasset.assets.analyzeIamPolicy
.La función de visualizador (
roles/viewer
) otorga los permisoscloudasset.assets.search*
ycloudasset.assets.analyzeIamPolicy
.
Recomendamos otorgar uno de los roles de Cloud Asset en lugar de uno rol básico, porque los roles básicos contienen muchos permisos para otros servicios de Google Cloud y podría dar como resultado un permiso de acceso mayor del esperado.
Se pueden otorgar funciones a los usuarios a nivel de la organización, la carpeta o el proyecto. Consulta Administra el acceso a proyectos, carpetas y organizaciones para obtener más información.
Controles del servicio de VPC
Los Controles del servicio de VPC se pueden usar con Cloud Asset Inventory a fin de proporcionar seguridad adicional para tus elementos. Para obtener más información Consulta la Descripción general de los Controles del servicio de VPC.
Para conocer las limitaciones en el uso de Cloud Asset Inventory con Consulta los productos admitidos y las limitaciones en los Controles del servicio de VPC.