Funciones y permisos

Cloud Asset Inventory usa Identity and Access Management (IAM) para el control de acceso. Cada método de API de Cloud Asset Inventory requiere que el llamador tenga los permisos necesarios.

Funciones

Para obtener los permisos que necesitas para trabajar con metadatos de activos, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización, la carpeta o el proyecto:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para trabajar con los metadatos de los activos. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para trabajar con metadatos de activos:

  • Para ver los metadatos del activo, haz lo siguiente:
    • cloudasset.assets.*
    • recommender.cloudAssetInsights.get
    • recommender.cloudAssetInsights.list
    • serviceusage.services.use
  • Para ver los metadatos de los activos y trabajar con feeds, haz lo siguiente:
    • cloudasset.*
    • recommender.cloudAssetInsights.*
    • serviceusage.services.use

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Permisos

En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método de la API de Cloud Asset Inventory o realizar tareas con las herramientas de Google Cloud que usan Cloud Asset Inventory, como la consola de Google Cloud o gcloud CLI.

Las funciones de visualizador de Cloud Asset (roles/cloudasset.viewer) y propietario de Cloud Asset (roles/cloudasset.owner) incluyen muchos de estos permisos. Si al llamador se le otorgó uno de estos roles y el rol de Consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer), es posible que ya tenga los permisos que necesita para usar Cloud Asset Inventory.

RPC

Método Permisos necesarios
Todas las API
Todas las llamadas a Cloud Asset Inventory

Todas las llamadas a Cloud Asset Inventory requieren el permiso serviceusage.services.use.

APIs de análisis

AnalyzeIamPolicy

AnalyzeIamPolicyLongRunning

BatchGetEffectiveIamPolicies

Todos los permisos siguientes:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources

AnalyzeMove

 cloudasset.assets.analyzeMove

AnalyzeOrgPolicies

AnalyzeOrgPolicyGovernedContainers

Todos los permisos que se indican a continuación:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

AnalyzeOrgPolicyGovernedAssets

Todos los permisos siguientes:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
APIs de Inventory

BatchGetAssetsHistory

ExportAssets

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportAccessPolicy

    Cuando se usa el tipo de contenido ACCESS_POLICY

  • cloudasset.assets.exportIamPolicy

    Cuando se usa el tipo de contenido IAM_POLICY

  • cloudasset.assets.exportOrgPolicy

    Cuando se usa el tipo de contenido ORG_POLICY

  • cloudasset.assets.exportOSInventories

    Cuando se usa el tipo de contenido OS_INVENTORY

  • cloudasset.assets.exportResource

    Cuando se usan los tipos de contenido RELATIONSHIP o RESOURCE

Cuando exportes metadatos de un tipo de contenido no especificado o RESOURCE, en lugar de otorgar el permiso cloudasset.assets.exportResource a una cuenta, puedes usar permisos para cada tipo de recurso.

ListAssets

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • cloudasset.assets.listResource para los tipos de contenido RELATIONSHIP y RESOURCE

QueryAssets

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource para los tipos de contenido RELATIONSHIP y RESOURCE
APIs de feeds

CreateFeed

cloudasset.feeds.create

También necesitas uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

DeleteFeed

 cloudasset.feeds.delete

GetFeed

 cloudasset.feeds.get

ListFeed

 cloudasset.feeds.list

UpdateFeed

cloudasset.feeds.update

También necesitas uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
API de Búsqueda

SearchAllIamPolicies

 cloudasset.assets.searchAllIamPolicies

SearchAllResources

cloudasset.assets.searchAllResources

También necesitas cloudasset.assets.searchEnrichmentResourceOwners si buscas el enriquecimiento del propietario del recurso.

REST

Método Permisos necesarios
Todas las API
Todas las llamadas a Cloud Asset Inventory

Todas las llamadas a Cloud Asset Inventory requieren el permiso serviceusage.services.use.

APIs de análisis

analyzeIamPolicy

analyzeIamPolicyLongRunning

effectiveIamPolicies.batchGet

Todos los permisos siguientes:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources

analyzeMove

 cloudasset.assets.analyzeMove

analyzeOrgPolicies

analyzeOrgPolicyGovernedContainers

Todos los permisos que se indican a continuación:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyzeOrgPolicyGovernedAssets

Todos los permisos siguientes:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
APIs de Inventory

batchGetAssetsHistory

exportAssets

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportAccessPolicy

    Cuando se usa el tipo de contenido ACCESS_POLICY

  • cloudasset.assets.exportIamPolicy

    Cuando se usa el tipo de contenido IAM_POLICY

  • cloudasset.assets.exportOrgPolicy

    Cuando se usa el tipo de contenido ORG_POLICY

  • cloudasset.assets.exportOSInventories

    Cuando se usa el tipo de contenido OS_INVENTORY

  • cloudasset.assets.exportResource

    Cuando se usan los tipos de contenido RELATIONSHIP o RESOURCE

Cuando exportas metadatos de un tipo de contenido no especificado o RESOURCE, en lugar de otorgar el permiso cloudasset.assets.exportResource a una cuenta, puedes usar permisos para cada tipo de recurso.

assets.list

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • cloudasset.assets.listResource para los tipos de contenido RELATIONSHIP y RESOURCE

queryAssets

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource para los tipos de contenido RELATIONSHIP y RESOURCE
APIs de feeds

feeds.create

cloudasset.feeds.create

También necesitas uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds.delete

 cloudasset.feeds.delete

feeds.get

 cloudasset.feeds.get

feeds.list

 cloudasset.feeds.list

feeds.patch

cloudasset.feeds.update

También necesitas uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
API de Búsqueda

searchAllIamPolicies

 cloudasset.assets.searchAllIamPolicies

searchAllResources

cloudasset.assets.searchAllResources

También necesitas cloudasset.assets.searchEnrichmentResourceOwners si buscas el enriquecimiento del propietario del recurso.

gcloud

Declaración de posicionamiento Permisos necesarios
Todas las API
Todas las llamadas a Cloud Asset Inventory

Todas las llamadas a Cloud Asset Inventory requieren el permiso serviceusage.services.use.

APIs de análisis

analyze-iam-policy

analyze-iam-policy-longrunning

get-effective-iam-policy

Todos los permisos siguientes:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources

analyze-move

 cloudasset.assets.analyzeMove

analyze-org-policies

analyze-org-policy-governed-containers

Todos los permisos que se indican a continuación:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyze-org-policy-governed-assets

Todos los permisos siguientes:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
APIs de Inventory

get-history

export

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportAccessPolicy

    Cuando se usa el tipo de contenido ACCESS_POLICY

  • cloudasset.assets.exportIamPolicy

    Cuando se usa el tipo de contenido IAM_POLICY

  • cloudasset.assets.exportOrgPolicy

    Cuando se usa el tipo de contenido ORG_POLICY

  • cloudasset.assets.exportOSInventories

    Cuando se usa el tipo de contenido OS_INVENTORY

  • cloudasset.assets.exportResource

    Cuando se usan los tipos de contenido RELATIONSHIP o RESOURCE

Cuando exportas metadatos de un tipo de contenido no especificado o RESOURCE, en lugar de otorgar el permiso cloudasset.assets.exportResource a una cuenta, puedes usar permisos para cada tipo de recurso.

list

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories
  • cloudasset.assets.listResource para los tipos de contenido RELATIONSHIP y RESOURCE

query

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource para los tipos de contenido RELATIONSHIP y RESOURCE
APIs de feeds

feeds create

cloudasset.feeds.create

También necesitas uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds delete

 cloudasset.feeds.delete

feeds describe

 cloudasset.feeds.get

feeds list

 cloudasset.feeds.list

feeds update

cloudasset.feeds.update

También necesitas uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
API de Búsqueda

search-all-iam-policies

 cloudasset.assets.searchAllIamPolicies

search-all-resources

cloudasset.assets.searchAllResources

También necesitas cloudasset.assets.searchEnrichmentResourceOwners si buscas el enriquecimiento del propietario del recurso.

Permisos de exportación para cada tipo de recurso

Otorgar el permiso cloudasset.assets.exportResource a un usuario le permite exportar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede exportar, puedes otorgar permisos para cada tipo de recurso.

Por ejemplo, otorgar a un usuario el permiso cloudasset.assets.exportComputeDisks significa que no puede exportar nada, excepto el tipo de recurso compute.googleapis.com/Disk.

Los permisos de exportación de recursos solo se aplican a los tipos de contenido RESOURCE y no especificados.

Servicio Tipo de recurso Permiso de exportación de recursos
App Engine appengine.googleapis.com/Application cloudasset.assets.exportAppengineApplications
appengine.googleapis.com/Service cloudasset.assets.exportAppengineServices
appengine.googleapis.com/Version cloudasset.assets.exportAppengineVersions
BigQuery bigquery.googleapis.com/Dataset cloudasset.assets.exportBigqueryDatasets
bigquery.googleapis.com/Table cloudasset.assets.exportBigqueryTables
Bigtable bigtableadmin.googleapis.com/Cluster cloudasset.assets.exportBigtableCluster
bigtableadmin.googleapis.com/Instance cloudasset.assets.exportBigtableInstance
bigtableadmin.googleapis.com/Table cloudasset.assets.exportBigtableTable
Facturación de Cloud cloudbilling.googleapis.com/BillingAccount cloudasset.assets.exportCloudbillingBillingAccounts
Cloud DNS dns.googleapis.com/ManagedZone cloudasset.assets.exportDnsManagedZones
dns.googleapis.com/Policy cloudasset.assets.exportDnsPolicies
Cloud Key Management Service cloudkms.googleapis.com/CryptoKey cloudasset.assets.exportCloudkmsCryptoKeys
cloudkms.googleapis.com/CryptoKeyVersion cloudasset.assets.exportCloudkmsCryptoKeyVersions
cloudkms.googleapis.com/ImportJob cloudasset.assets.exportCloudkmsImportJobs
cloudkms.googleapis.com/KeyRing cloudasset.assets.exportCloudkmsKeyRings
Configuración del SO de Cloud osconfig.googleapis.com/PatchDeployment cloudasset.assets.exportPatchDeployments
Spanner spanner.googleapis.com/Backup cloudasset.assets.exportSpannerBackups
spanner.googleapis.com/Database cloudasset.assets.exportSpannerDatabases
spanner.googleapis.com/Instance cloudasset.assets.exportSpannerInstances
Cloud SQL sqladmin.googleapis.com/Instance cloudasset.assets.exportSqladminInstances
Cloud Storage storage.googleapis.com/Bucket cloudasset.assets.exportStorageBuckets
Compute Engine compute.googleapis.com/Address cloudasset.assets.exportComputeAddress
compute.googleapis.com/Autoscaler cloudasset.assets.exportComputeAutoscalers
compute.googleapis.com/BackendBucket cloudasset.assets.exportComputeBackendBuckets
compute.googleapis.com/BackendService cloudasset.assets.exportComputeBackendServices
compute.googleapis.com/Disk cloudasset.assets.exportComputeDisks
compute.googleapis.com/Firewall cloudasset.assets.exportComputeFirewalls
compute.googleapis.com/ForwardingRule cloudasset.assets.exportComputeForwardingRules
compute.googleapis.com/GlobalAddress cloudasset.assets.exportComputeGlobalAddress
compute.googleapis.com/HealthCheck cloudasset.assets.exportComputeHealthChecks
compute.googleapis.com/HttpHealthCheck cloudasset.assets.exportComputeHttpHealthChecks
compute.googleapis.com/HttpsHealthCheck cloudasset.assets.exportComputeHttpsHealthChecks
compute.googleapis.com/Image cloudasset.assets.exportComputeImages
compute.googleapis.com/Instance cloudasset.assets.exportComputeInstances
compute.googleapis.com/InstanceGroup cloudasset.assets.exportComputeInstanceGroups
compute.googleapis.com/InstanceGroupManager cloudasset.assets.exportComputeInstanceGroupManagers
compute.googleapis.com/InstanceTemplate cloudasset.assets.exportComputeInstanceTemplates
compute.googleapis.com/Interconnect cloudasset.assets.exportComputeInterconnect
compute.googleapis.com/InterconnectAttachment cloudasset.assets.exportComputeInterconnectAttachment
compute.googleapis.com/License cloudasset.assets.exportComputeLicenses
compute.googleapis.com/Network cloudasset.assets.exportComputeNetworks
compute.googleapis.com/Project cloudasset.assets.exportComputeProjects
compute.googleapis.com/RegionDisk cloudasset.assets.exportComputeRegionDisk
compute.googleapis.com/Route cloudasset.assets.exportComputeRoutes
compute.googleapis.com/Router cloudasset.assets.exportComputeRouters
compute.googleapis.com/Snapshot cloudasset.assets.exportComputeSnapshots
compute.googleapis.com/SslCertificate cloudasset.assets.exportComputeSslCertificates
compute.googleapis.com/Subnetwork cloudasset.assets.exportComputeSubnetworks
compute.googleapis.com/TargetHttpProxy cloudasset.assets.exportComputeTargetHttpProxies
compute.googleapis.com/TargetHttpsProxy cloudasset.assets.exportComputeTargetHttpsProxies
compute.googleapis.com/TargetInstance cloudasset.assets.exportComputeTargetInstances
compute.googleapis.com/TargetPool cloudasset.assets.exportComputeTargetPools
compute.googleapis.com/TargetTcpProxy cloudasset.assets.exportComputeTargetTcpProxies
compute.googleapis.com/TargetSslProxy cloudasset.assets.exportComputeTargetSslProxies
compute.googleapis.com/TargetVpnGateway cloudasset.assets.exportComputeTargetVpnGateways
compute.googleapis.com/UrlMap cloudasset.assets.exportComputeUrlMaps
compute.googleapis.com/VpnTunnel cloudasset.assets.exportComputeVpnTunnels
Dataproc dataproc.googleapis.com/Cluster cloudasset.assets.exportDataprocClusters
dataproc.googleapis.com/Job cloudasset.assets.exportDataprocJobs
Google Kubernetes Engine container.googleapis.com/Cluster cloudasset.assets.exportContainerClusters
container.googleapis.com/NodePool cloudasset.assets.exportContainerNodepool
k8s.io/Namespace cloudasset.assets.exportContainerNamespace
k8s.io/Node cloudasset.assets.exportContainerNode
k8s.io/Pod cloudasset.assets.exportContainerPod
rbac.authorization.k8s.io/ClusterRole cloudasset.assets.exportContainerClusterrole
rbac.authorization.k8s.io/ClusterRoleBinding cloudasset.assets.exportContainerClusterrolebinding
rbac.authorization.k8s.io/Role cloudasset.assets.exportContainerRole
rbac.authorization.k8s.io/RoleBinding cloudasset.assets.exportContainerRolebinding
IAM iam.googleapis.com/Role cloudasset.assets.exportIamRoles
iam.googleapis.com/ServiceAccount cloudasset.assets.exportIamServiceAccounts
Pub/Sub pubsub.googleapis.com/Subscription cloudasset.assets.exportPubsubSubscriptions
pubsub.googleapis.com/Topic cloudasset.assets.exportPubsubTopics
Resource Manager cloudresourcemanager.googleapis.com/Folder cloudasset.assets.exportCloudresourcemanagerFolders
cloudresourcemanager.googleapis.com/Organization cloudasset.assets.exportCloudresourcemanagerOrganizations
cloudresourcemanager.googleapis.com/Project cloudasset.assets.exportCloudresourcemanagerProjects

Controles del servicio de VPC

Los Controles del servicio de VPC se pueden usar con Cloud Asset Inventory a fin de proporcionar seguridad adicional para tus elementos. Para obtener más información sobre los Controles del servicio de VPC, consulta la Descripción general de los Controles del servicio de VPC.

Para conocer las limitaciones en el uso de Cloud Asset Inventory con los Controles del servicio de VPC, consulta la página sobre los productos admitidos y las limitaciones.