Esta página se ha traducido con Cloud Translation API.

Roles y permisos

Cloud Asset Inventory usa Gestión de Identidades y Accesos (IAM) para el control de acceso. Todos los métodos de la API Cloud Asset Inventory requieren que el llamador cuente con los permisos necesarios.

Roles

Para obtener los permisos que necesitas para trabajar con metadatos de recursos, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en la organización, la carpeta o el proyecto:

Para ver los metadatos de un recurso, sigue estos pasos:
- Visor de recursos de Cloud (roles/cloudasset.viewer)
- Consumidor de uso del servicio (roles/serviceusage.serviceUsageConsumer)
Para ver los metadatos de los recursos y trabajar con feeds, siga estos pasos:
- Propietario de recursos de Cloud (roles/cloudasset.owner)
- Consumidor de uso del servicio (roles/serviceusage.serviceUsageConsumer)

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para trabajar con los metadatos de los recursos. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para trabajar con los metadatos de los recursos, se necesitan los siguientes permisos:

Para ver los metadatos de un recurso, sigue estos pasos:
- cloudasset.assets.*
- recommender.cloudAssetInsights.get
- recommender.cloudAssetInsights.list
- serviceusage.services.use
Para ver los metadatos de los recursos y trabajar con feeds, siga estos pasos:
- cloudasset.*
- recommender.cloudAssetInsights.*
- serviceusage.services.use

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Permisos

En la siguiente tabla se indican los permisos que debe tener el llamante para invocar cada método de la API Cloud Asset Inventory o para realizar tareas con Google Cloud herramientas que usan Cloud Asset Inventory, como la Google Cloud consola o la CLI de gcloud.

Los roles Lector de recursos de Cloud (roles/cloudasset.viewer) y Propietario de recursos de Cloud (roles/cloudasset.owner) incluyen muchos de estos permisos. Si al llamante se le ha asignado uno de estos roles y el rol de consumidor de uso de servicios (roles/serviceusage.serviceUsageConsumer), es posible que ya tenga los permisos que necesita para usar Cloud Asset Inventory.

RPC

Método	Permisos obligatorios
Todas las API
Todas las llamadas de Inventario de Recursos de Cloud	Todas las llamadas a Inventario de Recursos de Cloud requieren el permiso `serviceusage.services.use`.
APIs de análisis
`AnalyzeIamPolicy` `AnalyzeIamPolicyLongRunning` `BatchGetEffectiveIamPolicies`	Todos los permisos siguientes: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources` `iam.roles.get` para analizar las políticas con roles personalizados Se necesitan permisos adicionales para trabajar con Google Workspace.
`AnalyzeMove`	`cloudasset.assets.analyzeMove`
`AnalyzeOrgPolicies` `AnalyzeOrgPolicyGovernedContainers`	Todos los permisos siguientes: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`AnalyzeOrgPolicyGovernedAssets`	Todos los permisos siguientes: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
APIs de feeds
`CreateFeed`	`cloudasset.feeds.create` También necesitará uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`DeleteFeed`	`cloudasset.feeds.delete`
`GetFeed`	`cloudasset.feeds.get`
`ListFeed`	`cloudasset.feeds.list`
`UpdateFeed`	`cloudasset.feeds.update` También necesitará uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
APIs de inventario
`BatchGetAssetsHistory` `ExportAssets`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportAccessPolicy` Cuando se usa el tipo de contenido `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Cuando se usa el tipo de contenido `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Cuando se usa el tipo de contenido `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Cuando se usa el tipo de contenido `OS_INVENTORY`. `cloudasset.assets.exportResource` Cuando se usan los tipos de contenido `RELATIONSHIP` o `RESOURCE`. Limitar el acceso a los recursos Si se concede el permiso `cloudasset.assets.exportResource` a un usuario, este podrá exportar todos los tipos de recursos. Para restringir los tipos de recursos que puede exportar un usuario, puede conceder permisos para cada tipo de recurso. Por ejemplo, puede conceder el permiso `cloudasset.assets.exportComputeDisks` por sí solo para permitir que un usuario solo exporte el tipo de recurso `compute.googleapis.com/Disk`. Estos permisos granulares solo se aplican a `RESOURCE` y a los tipos de contenido sin especificar. Consulta la lista de permisos `cloudasset.assets.export*` pormenorizados.
`ListAssets`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` Cuando se usan los tipos de contenido `RELATIONSHIP` y `RESOURCE`. Limitar el acceso a los recursos Si se concede el permiso `cloudasset.assets.listResource` a un usuario, este podrá enumerar todos los tipos de recursos. Para restringir los tipos de recursos que puede enumerar un usuario, puedes conceder permisos para cada tipo de recurso. Por ejemplo, puede conceder el permiso `cloudasset.assets.listComputeDisks` por sí solo para permitir que un usuario solo pueda enumerar el tipo de recurso `compute.googleapis.com/Disk`. Estos permisos granulares solo se aplican a `RESOURCE` y a los tipos de contenido sin especificar. Consulta la lista de permisos `cloudasset.assets.list*` pormenorizados.
`QueryAssets`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` para los tipos de contenido `RELATIONSHIP` y `RESOURCE`.
APIs de búsqueda
`SearchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`SearchAllResources`	`cloudasset.assets.searchAllResources` También necesitas `cloudasset.assets.searchEnrichmentResourceOwners` si buscas información adicional sobre el propietario del recurso.

REST

Método	Permisos obligatorios
Todas las API
Todas las llamadas de Inventario de Recursos de Cloud	Todas las llamadas a Inventario de Recursos de Cloud requieren el permiso `serviceusage.services.use`.
APIs de análisis
`analyzeIamPolicy` `analyzeIamPolicyLongRunning` `effectiveIamPolicies.batchGet`	Todos los permisos siguientes: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources` `iam.roles.get` para analizar las políticas con roles personalizados Se necesitan permisos adicionales para trabajar con Google Workspace.
`analyzeMove`	`cloudasset.assets.analyzeMove`
`analyzeOrgPolicies` `analyzeOrgPolicyGovernedContainers`	Todos los permisos siguientes: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyzeOrgPolicyGovernedAssets`	Todos los permisos siguientes: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
APIs de feeds
`feeds.create`	`cloudasset.feeds.create` También necesitará uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds.delete`	`cloudasset.feeds.delete`
`feeds.get`	`cloudasset.feeds.get`
`feeds.list`	`cloudasset.feeds.list`
`feeds.patch`	`cloudasset.feeds.update` También necesitará uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
APIs de inventario
`batchGetAssetsHistory` `exportAssets`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportAccessPolicy` Cuando se usa el tipo de contenido `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Cuando se usa el tipo de contenido `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Cuando se usa el tipo de contenido `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Cuando se usa el tipo de contenido `OS_INVENTORY`. `cloudasset.assets.exportResource` Cuando se usan los tipos de contenido `RELATIONSHIP` o `RESOURCE`. Limitar el acceso a los recursos Si se concede el permiso `cloudasset.assets.exportResource` a un usuario, este podrá exportar todos los tipos de recursos. Para restringir los tipos de recursos que puede exportar un usuario, puede conceder permisos para cada tipo de recurso. Por ejemplo, puede conceder el permiso `cloudasset.assets.exportComputeDisks` por sí solo para permitir que un usuario solo exporte el tipo de recurso `compute.googleapis.com/Disk`. Estos permisos granulares solo se aplican a `RESOURCE` y a los tipos de contenido sin especificar. Consulta la lista de permisos `cloudasset.assets.export*` pormenorizados.
`assets.list`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` Cuando se usan los tipos de contenido `RELATIONSHIP` y `RESOURCE`. Limitar el acceso a los recursos Si se concede el permiso `cloudasset.assets.listResource` a un usuario, este podrá enumerar todos los tipos de recursos. Para restringir los tipos de recursos que puede enumerar un usuario, puedes conceder permisos para cada tipo de recurso. Por ejemplo, puede conceder el permiso `cloudasset.assets.listComputeDisks` por sí solo para permitir que un usuario solo pueda enumerar el tipo de recurso `compute.googleapis.com/Disk`. Estos permisos granulares solo se aplican a `RESOURCE` y a los tipos de contenido sin especificar. Consulta la lista de permisos `cloudasset.assets.list*` pormenorizados.
`queryAssets`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` para los tipos de contenido `RELATIONSHIP` y `RESOURCE`.
APIs de búsqueda
`searchAllIamPolicies`	`cloudasset.assets.searchAllIamPolicies`
`searchAllResources`	`cloudasset.assets.searchAllResources` También necesitas `cloudasset.assets.searchEnrichmentResourceOwners` si buscas información adicional sobre el propietario del recurso.

gcloud

Declaración de posicionamiento	Permisos obligatorios
Todas las API
Todas las llamadas de Inventario de Recursos de Cloud	Todas las llamadas a Inventario de Recursos de Cloud requieren el permiso `serviceusage.services.use`.
APIs de análisis
`analyze-iam-policy` `analyze-iam-policy-longrunning` `get-effective-iam-policy`	Todos los permisos siguientes: `cloudasset.assets.analyzeIamPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources` `iam.roles.get` para analizar las políticas con roles personalizados Se necesitan permisos adicionales para trabajar con Google Workspace.
`analyze-move`	`cloudasset.assets.analyzeMove`
`analyze-org-policies` `analyze-org-policy-governed-containers`	Todos los permisos siguientes: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllResources`
`analyze-org-policy-governed-assets`	Todos los permisos siguientes: `cloudasset.assets.analyzeOrgPolicy` `cloudasset.assets.searchAllIamPolicies` `cloudasset.assets.searchAllResources`
APIs de feeds
`feeds create`	`cloudasset.feeds.create` También necesitará uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
`feeds delete`	`cloudasset.feeds.delete`
`feeds describe`	`cloudasset.feeds.get`
`feeds list`	`cloudasset.feeds.list`
`feeds update`	`cloudasset.feeds.update` También necesitará uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportIamPolicy` `cloudasset.assets.exportResource`
APIs de inventario
`export` `get-history`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.exportAccessPolicy` Cuando se usa el tipo de contenido `ACCESS_POLICY`. `cloudasset.assets.exportIamPolicy` Cuando se usa el tipo de contenido `IAM_POLICY`. `cloudasset.assets.exportOrgPolicy` Cuando se usa el tipo de contenido `ORG_POLICY`. `cloudasset.assets.exportOSInventories` Cuando se usa el tipo de contenido `OS_INVENTORY`. `cloudasset.assets.exportResource` Cuando se usan los tipos de contenido `RELATIONSHIP` o `RESOURCE`. Limitar el acceso a los recursos Si se concede el permiso `cloudasset.assets.exportResource` a un usuario, este podrá exportar todos los tipos de recursos. Para restringir los tipos de recursos que puede exportar un usuario, puede conceder permisos para cada tipo de recurso. Por ejemplo, puede conceder el permiso `cloudasset.assets.exportComputeDisks` por sí solo para permitir que un usuario solo exporte el tipo de recurso `compute.googleapis.com/Disk`. Estos permisos granulares solo se aplican a `RESOURCE` y a los tipos de contenido sin especificar. Consulta la lista de permisos `cloudasset.assets.export*` pormenorizados.
`list`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.listAccessPolicy` `cloudasset.assets.listIamPolicy` `cloudasset.assets.listOrgPolicy` `cloudasset.assets.listOSInventories` `cloudasset.assets.listResource` Cuando se usan los tipos de contenido `RELATIONSHIP` y `RESOURCE`. Limitar el acceso a los recursos Si se concede el permiso `cloudasset.assets.listResource` a un usuario, este podrá enumerar todos los tipos de recursos. Para restringir los tipos de recursos que puede enumerar un usuario, puedes conceder permisos para cada tipo de recurso. Por ejemplo, puede conceder el permiso `cloudasset.assets.listComputeDisks` por sí solo para permitir que un usuario solo pueda enumerar el tipo de recurso `compute.googleapis.com/Disk`. Estos permisos granulares solo se aplican a `RESOURCE` y a los tipos de contenido sin especificar. Consulta la lista de permisos `cloudasset.assets.list*` pormenorizados.
`query`	Uno de los siguientes permisos, en función del tipo de contenido: `cloudasset.assets.queryAccessPolicy` `cloudasset.assets.queryIamPolicy` `cloudasset.assets.queryOSInventories` `cloudasset.assets.queryResource` para los tipos de contenido `RELATIONSHIP` y `RESOURCE`.
APIs de búsqueda
`search-all-iam-policies`	`cloudasset.assets.searchAllIamPolicies`
`search-all-resources`	`cloudasset.assets.searchAllResources` También necesitas `cloudasset.assets.searchEnrichmentResourceOwners` si buscas información adicional sobre el propietario del recurso.

Consola

La consola Google Cloud usa la API SearchAllResources para solicitar datos. Para usar Inventario de Recursos de Cloud en la Google Cloud consola, concede los siguientes permisos:

cloudasset.assets.searchAllResources
serviceusage.services.use

Controles de Servicio de VPC

Controles de Servicio de VPC se puede usar con Inventario de Recursos de Cloud para proporcionar seguridad adicional a tus recursos. Para obtener más información sobre Controles de Servicio de VPC, consulta la información general sobre Controles de Servicio de VPC.

Para obtener información sobre las limitaciones de uso de Inventario de Recursos de Cloud con Controles de Servicio de VPC, consulta los productos admitidos y las limitaciones.

Roles y permisos

Roles

Permisos obligatorios

Permisos

RPC

Limitar el acceso a los recursos

Limitar el acceso a los recursos

REST

Limitar el acceso a los recursos

Limitar el acceso a los recursos

gcloud

Limitar el acceso a los recursos

Limitar el acceso a los recursos

Consola

Controles de Servicio de VPC