En este tema, se muestra cómo configurar los permisos y las credenciales que son necesarios para llamar a la API de Cloud Asset Inventory.
Autenticar
Antes de que puedas llamar a la API de Cloud Asset Inventory, debes autenticarte como un usuario final o como una cuenta de servicio. Para obtener más información sobre la autenticación, consulta Descripción general de la autenticación.
Otorga los permisos necesarios para gcloud CLI
Para usar gcloud CLI y acceder a la API de Cloud Asset Inventory, debes
otorgar los permisos necesarios en el elemento superior del recurso de destino, que pueden
en una organización, un proyecto o una carpeta. Debes especificar este superior en la
parent
de tus solicitudes a la API.
Si tu cuenta tiene la función Propietario de Cloud Asset (roles/cloudasset.owner
) o la función básica de propietario (roles/owner
) en el superior del recurso, tiene permisos suficientes para llamar a la API de Cloud Asset Inventory y puedes pasar a la sección
Descarga credenciales. Para obtener más información acerca de las funciones de Cloud Asset Inventory, consulta Funciones.
Otorgando funciones
Para otorgar un rol a una cuenta, completa los siguientes pasos con el Google Cloud CLI. Descubre cómo instalar y, luego, inicializar gcloud CLI.
Cuenta de usuario
Para otorgar las funciones necesarias a una cuenta de usuario, completa los siguientes pasos.
Para acceder con tu cuenta de usuario, ejecuta el siguiente comando.
gcloud auth login USER_ACCOUNT_EMAIL
Otorga a tu cuenta de usuario el rol de visualizador de recursos de Cloud (
roles/cloudasset.viewer
) o el rol de propietario de Cloud Asset (roles/cloudasset.owner
) en el recurso raíz (superior). Este proyecto puede ser el proyecto en el que está habilitada la API de Cloud Asset Inventory.Para otorgar la función de visualizador de Cloud Asset a tu cuenta de usuario, ejecuta el siguiente comando.
gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \ --member user:USER_ACCOUNT_EMAIL \ --role roles/cloudasset.viewer
Puedes agregar la marca
--billing-project
al comandogcloud asset
para especificar el proyecto de facturación en el que está habilitada la API de Cloud Asset Inventory.--billing-project PROJECT_ID
Si especificas esta marca, tu cuenta necesita la El permiso
serviceusage.services.use
en el proyectoPROJECT_ID
Consulta Comprende los roles. para obtener una lista de roles predefinidos que incluyen este permiso.
Cuenta de servicio
Para otorgar las funciones necesarias a una cuenta de servicio, completa los siguientes pasos. Para obtener más información sobre las cuentas de servicio, consulta la página sobre cómo crear y administrar cuentas de servicio.
Para crear una cuenta de servicio nueva, ejecuta el siguiente comando: Si ya tienes una cuenta de servicio en un proyecto en el que está habilitada la API de Cloud Asset Inventory, puedes omitir este paso.
gcloud iam service-accounts create SERVICE_ACCOUNT_NAME \ --display-name "SERVICE_ACCOUNT_DISPLAY_NAME"
Otorga a tu cuenta de servicio la función de Visualizador de Cloud Asset (
roles/cloudasset.viewer
) o propietario de Cloud Asset (roles/cloudasset.owner
) en el recurso raíz (principal). Este proyecto puede ser igual que el proyecto en el que la API de Cloud Asset Inventory está habilitada.Para otorgar a tu cuenta de servicio el rol Visualizador de recursos de Cloud, ejecuta el siguiente comando: siguiente comando.
gcloud projects add-iam-policy-binding TARGET_PROJECT_ID \ --member serviceAccount:SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com \ --role roles/cloudasset.viewer