Esta página se ha traducido con Cloud Translation API.

Roles y permisos

Cloud Asset Inventory usa Gestión de Identidades y Accesos (IAM) para el control de acceso. Todos los métodos de la API Cloud Asset Inventory requieren que el llamador cuente con los permisos necesarios.

Roles

Para obtener los permisos que necesitas para trabajar con metadatos de recursos, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en la organización, la carpeta o el proyecto:

Para ver los metadatos de un recurso, sigue estos pasos:
- Visor de recursos de Cloud (roles/cloudasset.viewer)
- Consumidor de uso del servicio (roles/serviceusage.serviceUsageConsumer)
Para ver los metadatos de los recursos y trabajar con feeds, siga estos pasos:
- Propietario de recursos de Cloud (roles/cloudasset.owner)
- Consumidor de uso del servicio (roles/serviceusage.serviceUsageConsumer)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para trabajar con los metadatos de los recursos. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para trabajar con los metadatos de los recursos, se necesitan los siguientes permisos:

Para ver los metadatos de un recurso, sigue estos pasos:
- cloudasset.assets.*
- recommender.cloudAssetInsights.get
- recommender.cloudAssetInsights.list
- serviceusage.services.use
Para ver los metadatos de los recursos y trabajar con feeds, siga estos pasos:
- cloudasset.*
- recommender.cloudAssetInsights.*
- serviceusage.services.use

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Permisos

En la siguiente tabla se indican los permisos que debe tener el llamante para invocar cada método de la API Cloud Asset Inventory o para realizar tareas con Google Cloud herramientas que usan Cloud Asset Inventory, como la Google Cloud consola o la CLI de gcloud.

Los roles Lector de recursos de Cloud (roles/cloudasset.viewer) y Propietario de recursos de Cloud (roles/cloudasset.owner) incluyen muchos de estos permisos. Si al llamante se le ha asignado uno de estos roles y el rol de consumidor de uso de servicios (roles/serviceusage.serviceUsageConsumer), es posible que ya tenga los permisos que necesita para usar Cloud Asset Inventory.

RPC

Método	Permisos obligatorios
Todas las API
Todas las llamadas de Inventario de Recursos de Cloud	Todas las llamadas a Inventario de Recursos de Cloud requieren el permiso `serviceusage.services.use`.
APIs de análisis
`AnalyzeIamPolicy` `AnalyzeIamPolicyLongRunning` `BatchGetEffectiveIamPolicies`	Todos los permisos siguientes: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`AnalyzeMove`	`cloudasset.assets.analyzeMove`
`AnalyzeOrgPolicies` `AnalyzeOrgPolicyGovernedContainers`	Todos los permisos siguientes: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`AnalyzeOrgPolicyGovernedAssets`	Todos los permisos siguientes: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
APIs de inventario
`BatchGetAssetsHistory` `ExportAssets`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportAccessPolicy` Cuando se usa el tipo de contenido `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Cuando se usa el tipo de contenido `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Cuando se usa el tipo de contenido `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Cuando se usa el tipo de contenido `OS_INVENTORY`. `cloudasset.assets.exportResource` Cuando se usan los tipos de contenido `RELATIONSHIP` o `RESOURCE`. Cuando exportes metadatos de un tipo de contenido no especificado o `RESOURCE`, en lugar de conceder el permiso `cloudasset.assets.exportResource` a una cuenta, puedes usar permisos para cada tipo de recurso.
`ListAssets`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` para los tipos de contenido `RELATIONSHIP` y `RESOURCE`.
`QueryAssets`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` para los tipos de contenido `RELATIONSHIP` y `RESOURCE`.
APIs de feeds
`CreateFeed`	`cloudasset.feeds.create` También necesitará uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`DeleteFeed`	`cloudasset.feeds.delete`
`GetFeed`	`cloudasset.feeds.get`
`ListFeed`	`cloudasset.feeds.list`
`UpdateFeed`	`cloudasset.feeds.update` También necesitará uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
APIs de búsqueda
`SearchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`SearchAllResources`	`cloudasset.assets.searchAllResources` También necesitas `cloudasset.assets.searchEnrichmentResourceOwners` si buscas información adicional sobre el propietario del recurso.

REST

Método	Permisos obligatorios
Todas las API
Todas las llamadas de Inventario de Recursos de Cloud	Todas las llamadas a Inventario de Recursos de Cloud requieren el permiso `serviceusage.services.use`.
APIs de análisis
`analyzeIamPolicy` `analyzeIamPolicyLongRunning` `effectiveIamPolicies.batchGet`	Todos los permisos siguientes: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyzeMove`	`cloudasset.assets.analyzeMove`
`analyzeOrgPolicies` `analyzeOrgPolicyGovernedContainers`	Todos los permisos siguientes: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyzeOrgPolicyGovernedAssets`	Todos los permisos siguientes: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
APIs de inventario
`batchGetAssetsHistory` `exportAssets`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportAccessPolicy` Cuando se usa el tipo de contenido `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Cuando se usa el tipo de contenido `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Cuando se usa el tipo de contenido `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Cuando se usa el tipo de contenido `OS_INVENTORY`. `cloudasset.assets.exportResource` Cuando se usan los tipos de contenido `RELATIONSHIP` o `RESOURCE`. Cuando exportes metadatos de un tipo de contenido no especificado o `RESOURCE`, en lugar de conceder el permiso `cloudasset.assets.exportResource` a una cuenta, puedes usar permisos para cada tipo de recurso.
`assets.list`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` para los tipos de contenido `RELATIONSHIP` y `RESOURCE`.
`queryAssets`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` para los tipos de contenido `RELATIONSHIP` y `RESOURCE`.
APIs de feeds
`feeds.create`	`cloudasset.feeds.create` También necesitará uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds.delete`	`cloudasset.feeds.delete`
`feeds.get`	`cloudasset.feeds.get`
`feeds.list`	`cloudasset.feeds.list`
`feeds.patch`	`cloudasset.feeds.update` También necesitará uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
APIs de búsqueda
`searchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`searchAllResources`	`cloudasset.assets.searchAllResources` También necesitas `cloudasset.assets.searchEnrichmentResourceOwners` si buscas información adicional sobre el propietario del recurso.

gcloud

Declaración de posicionamiento	Permisos obligatorios
Todas las API
Todas las llamadas de Inventario de Recursos de Cloud	Todas las llamadas a Inventario de Recursos de Cloud requieren el permiso `serviceusage.services.use`.
APIs de análisis
`analyze-iam-policy` `analyze-iam-policy-longrunning` `get-effective-iam-policy`	Todos los permisos siguientes: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
`analyze-move`	`cloudasset.assets.analyzeMove`
`analyze-org-policies` `analyze-org-policy-governed-containers`	Todos los permisos siguientes: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyze-org-policy-governed-assets`	Todos los permisos siguientes: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
APIs de inventario
`get-history` `export`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportAccessPolicy` Cuando se usa el tipo de contenido `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Cuando se usa el tipo de contenido `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Cuando se usa el tipo de contenido `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Cuando se usa el tipo de contenido `OS_INVENTORY`. `cloudasset.assets.exportResource` Cuando se usan los tipos de contenido `RELATIONSHIP` o `RESOURCE`. Cuando exportes metadatos de un tipo de contenido no especificado o `RESOURCE`, en lugar de conceder el permiso `cloudasset.assets.exportResource` a una cuenta, puedes usar permisos para cada tipo de recurso.
`list`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` para los tipos de contenido `RELATIONSHIP` y `RESOURCE`.
`query`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` para los tipos de contenido `RELATIONSHIP` y `RESOURCE`.
APIs de feeds
`feeds create`	`cloudasset.feeds.create` También necesitará uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds delete`	`cloudasset.feeds.delete`
`feeds describe`	`cloudasset.feeds.get`
`feeds list`	`cloudasset.feeds.list`
`feeds update`	`cloudasset.feeds.update` También necesitará uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
APIs de búsqueda
`search-all-iam-policies`	`cloudasset.assets.searchAllIamPolicies`
`search-all-resources`	`cloudasset.assets.searchAllResources` También necesitas `cloudasset.assets.searchEnrichmentResourceOwners` si buscas información adicional sobre el propietario del recurso.

Exportar permisos de cada tipo de recurso

Si se concede el permiso cloudasset.assets.exportResource a un usuario, este podrá exportar todos los tipos de recursos. Para restringir los tipos de recursos que puede exportar un usuario, puede conceder permisos para cada tipo de recurso.

Por ejemplo, si se concede a un usuario el permiso cloudasset.assets.exportComputeDisks, no podrá exportar nada excepto el tipo de recurso compute.googleapis.com/Disk.

Los permisos de exportación de recursos solo se aplican a RESOURCE y a tipos de contenido no especificados.

Servicio	Tipo de recurso	Permiso de exportación de recursos
App Engine	`appengine.googleapis.com/Application`	`cloudasset.assets.exportAppengineApplications`
	`appengine.googleapis.com/Service`	`cloudasset.assets.exportAppengineServices`
	`appengine.googleapis.com/Version`	`cloudasset.assets.exportAppengineVersions`
BigQuery	`bigquery.googleapis.com/Dataset`	`cloudasset.assets.exportBigqueryDatasets`
BigQuery	`bigquery.googleapis.com/Table`	`cloudasset.assets.exportBigqueryTables`
Bigtable	`bigtableadmin.googleapis.com/Cluster`	`cloudasset.assets.exportBigtableCluster`
	`bigtableadmin.googleapis.com/Instance`	`cloudasset.assets.exportBigtableInstance`
	`bigtableadmin.googleapis.com/Table`	`cloudasset.assets.exportBigtableTable`
Facturación de Cloud	`cloudbilling.googleapis.com/BillingAccount`	`cloudasset.assets.exportCloudbillingBillingAccounts`
Cloud DNS	`dns.googleapis.com/ManagedZone`	`cloudasset.assets.exportDnsManagedZones`
Cloud DNS	`dns.googleapis.com/Policy`	`cloudasset.assets.exportDnsPolicies`
Cloud Key Management Service	`cloudkms.googleapis.com/CryptoKey`	`cloudasset.assets.exportCloudkmsCryptoKeys`
	`cloudkms.googleapis.com/CryptoKeyVersion`	`cloudasset.assets.exportCloudkmsCryptoKeyVersions`
	`cloudkms.googleapis.com/ImportJob`	`cloudasset.assets.exportCloudkmsImportJobs`
	`cloudkms.googleapis.com/KeyRing`	`cloudasset.assets.exportCloudkmsKeyRings`
Configuración del SO de Cloud	`osconfig.googleapis.com/PatchDeployment`	`cloudasset.assets.exportPatchDeployments`
Spanner	`spanner.googleapis.com/Backup`	`cloudasset.assets.exportSpannerBackups`
	`spanner.googleapis.com/Database`	`cloudasset.assets.exportSpannerDatabases`
	`spanner.googleapis.com/Instance`	`cloudasset.assets.exportSpannerInstances`
Cloud SQL	`sqladmin.googleapis.com/Instance`	`cloudasset.assets.exportSqladminInstances`
Cloud Storage	`storage.googleapis.com/Bucket`	`cloudasset.assets.exportStorageBuckets`
Compute Engine	`compute.googleapis.com/Address`	`cloudasset.assets.exportComputeAddress`
	`compute.googleapis.com/Autoscaler`	`cloudasset.assets.exportComputeAutoscalers`
	`compute.googleapis.com/BackendBucket`	`cloudasset.assets.exportComputeBackendBuckets`
	`compute.googleapis.com/BackendService`	`cloudasset.assets.exportComputeBackendServices`
	`compute.googleapis.com/Disk`	`cloudasset.assets.exportComputeDisks`
	`compute.googleapis.com/Firewall`	`cloudasset.assets.exportComputeFirewalls`
	`compute.googleapis.com/ForwardingRule`	`cloudasset.assets.exportComputeForwardingRules`
	`compute.googleapis.com/GlobalAddress`	`cloudasset.assets.exportComputeGlobalAddress`
	`compute.googleapis.com/HealthCheck`	`cloudasset.assets.exportComputeHealthChecks`
	`compute.googleapis.com/HttpHealthCheck`	`cloudasset.assets.exportComputeHttpHealthChecks`
	`compute.googleapis.com/HttpsHealthCheck`	`cloudasset.assets.exportComputeHttpsHealthChecks`
	`compute.googleapis.com/Image`	`cloudasset.assets.exportComputeImages`
	`compute.googleapis.com/Instance`	`cloudasset.assets.exportComputeInstances`
	`compute.googleapis.com/InstanceGroup`	`cloudasset.assets.exportComputeInstanceGroups`
	`compute.googleapis.com/InstanceGroupManager`	`cloudasset.assets.exportComputeInstanceGroupManagers`
	`compute.googleapis.com/InstanceTemplate`	`cloudasset.assets.exportComputeInstanceTemplates`
	`compute.googleapis.com/Interconnect`	`cloudasset.assets.exportComputeInterconnect`
	`compute.googleapis.com/InterconnectAttachment`	`cloudasset.assets.exportComputeInterconnectAttachment`
	`compute.googleapis.com/License`	`cloudasset.assets.exportComputeLicenses`
	`compute.googleapis.com/Network`	`cloudasset.assets.exportComputeNetworks`
	`compute.googleapis.com/Project`	`cloudasset.assets.exportComputeProjects`
	`compute.googleapis.com/RegionDisk`	`cloudasset.assets.exportComputeRegionDisk`
	`compute.googleapis.com/Route`	`cloudasset.assets.exportComputeRoutes`
	`compute.googleapis.com/Router`	`cloudasset.assets.exportComputeRouters`
	`compute.googleapis.com/Snapshot`	`cloudasset.assets.exportComputeSnapshots`
	`compute.googleapis.com/SslCertificate`	`cloudasset.assets.exportComputeSslCertificates`
	`compute.googleapis.com/Subnetwork`	`cloudasset.assets.exportComputeSubnetworks`
	`compute.googleapis.com/TargetHttpProxy`	`cloudasset.assets.exportComputeTargetHttpProxies`
	`compute.googleapis.com/TargetHttpsProxy`	`cloudasset.assets.exportComputeTargetHttpsProxies`
	`compute.googleapis.com/TargetInstance`	`cloudasset.assets.exportComputeTargetInstances`
	`compute.googleapis.com/TargetPool`	`cloudasset.assets.exportComputeTargetPools`
	`compute.googleapis.com/TargetTcpProxy`	`cloudasset.assets.exportComputeTargetTcpProxies`
	`compute.googleapis.com/TargetSslProxy`	`cloudasset.assets.exportComputeTargetSslProxies`
	`compute.googleapis.com/TargetVpnGateway`	`cloudasset.assets.exportComputeTargetVpnGateways`
	`compute.googleapis.com/UrlMap`	`cloudasset.assets.exportComputeUrlMaps`
	`compute.googleapis.com/VpnTunnel`	`cloudasset.assets.exportComputeVpnTunnels`
Dataproc	`dataproc.googleapis.com/Cluster`	`cloudasset.assets.exportDataprocClusters`
Dataproc	`dataproc.googleapis.com/Job`	`cloudasset.assets.exportDataprocJobs`
Google Kubernetes Engine	`container.googleapis.com/Cluster`	`cloudasset.assets.exportContainerClusters`
	`container.googleapis.com/NodePool`	`cloudasset.assets.exportContainerNodepool`
	`k8s.io/Namespace`	`cloudasset.assets.exportContainerNamespace`
	`k8s.io/Node`	`cloudasset.assets.exportContainerNode`
	`k8s.io/Pod`	`cloudasset.assets.exportContainerPod`
	`rbac.authorization.k8s.io/ClusterRole`	`cloudasset.assets.exportContainerClusterrole`
	`rbac.authorization.k8s.io/ClusterRoleBinding`	`cloudasset.assets.exportContainerClusterrolebinding`
	`rbac.authorization.k8s.io/Role`	`cloudasset.assets.exportContainerRole`
	`rbac.authorization.k8s.io/RoleBinding`	`cloudasset.assets.exportContainerRolebinding`
IAM	`iam.googleapis.com/Role`	`cloudasset.assets.exportIamRoles`
IAM	`iam.googleapis.com/ServiceAccount`	`cloudasset.assets.exportIamServiceAccounts`
Pub/Sub	`pubsub.googleapis.com/Subscription`	`cloudasset.assets.exportPubsubSubscriptions`
Pub/Sub	`pubsub.googleapis.com/Topic`	`cloudasset.assets.exportPubsubTopics`
Resource Manager	`cloudresourcemanager.googleapis.com/Folder`	`cloudasset.assets.exportCloudresourcemanagerFolders`
	`cloudresourcemanager.googleapis.com/Organization`	`cloudasset.assets.exportCloudresourcemanagerOrganizations`
	`cloudresourcemanager.googleapis.com/Project`	`cloudasset.assets.exportCloudresourcemanagerProjects`

Controles de Servicio de VPC

Controles de Servicio de VPC se puede usar con Inventario de Recursos de Cloud para proporcionar seguridad adicional a tus recursos. Para obtener más información sobre Controles de Servicio de VPC, consulta la información general sobre Controles de Servicio de VPC.

Para obtener información sobre las limitaciones de uso de Inventario de Recursos de Cloud con Controles de Servicio de VPC, consulta los productos admitidos y las limitaciones.

Roles y permisos Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.