Cloud Asset Inventory usa Identity and Access Management (IAM) para el control de acceso. Cada método de API de Cloud Asset Inventory requiere que el llamador tenga los permisos necesarios.
Funciones
Para obtener los permisos que
necesitas para trabajar con metadatos de activos,
pídele a tu administrador que te otorgue los
siguientes roles de IAM en la organización, la carpeta o el proyecto:
-
Para ver los metadatos de un activo, haz lo siguiente:
-
Para ver los metadatos de los activos y trabajar con feeds, haz lo siguiente:
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para trabajar con los metadatos de los activos. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para trabajar con metadatos de activos:
-
Para ver los metadatos de un activo, haz lo siguiente:
-
cloudasset.assets.*
-
recommender.cloudAssetInsights.get
-
recommender.cloudAssetInsights.list
-
serviceusage.services.use
-
Para ver los metadatos de los activos y trabajar con feeds, haz lo siguiente:
-
cloudasset.*
-
recommender.cloudAssetInsights.*
-
serviceusage.services.use
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
Permisos
En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método de la API de Cloud Asset Inventory o realizar tareas con las herramientas de Google Cloud que usan Cloud Asset Inventory, como la consola de Google Cloud o gcloud CLI.
Las funciones de visualizador de Cloud Asset (roles/cloudasset.viewer) y propietario de Cloud Asset (roles/cloudasset.owner) incluyen muchos de estos permisos. Si al llamador se le otorgó uno de estos roles y el rol de Consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer), es posible que ya tenga los permisos que necesita para usar Cloud Asset Inventory.
RPC
| Método |
Permisos necesarios |
| Todas las API |
| Todas las llamadas a Cloud Asset Inventory |
Todas las llamadas a Cloud Asset Inventory requieren el permiso serviceusage.services.use.
|
| APIs de análisis |
AnalyzeIamPolicy
AnalyzeIamPolicyLongRunning
BatchGetEffectiveIamPolicies
|
Todos los permisos que se indican a continuación:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
para analizar políticas con roles personalizados
Se requieren permisos adicionales para trabajar con Google Workspace.
|
AnalyzeMove
|
cloudasset.assets.analyzeMove
|
AnalyzeOrgPolicies
AnalyzeOrgPolicyGovernedContainers
|
Todos los permisos que se indican a continuación:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
AnalyzeOrgPolicyGovernedAssets
|
Todos los permisos que se indican a continuación:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| APIs de feeds |
CreateFeed
|
cloudasset.feeds.create
También necesitas uno de los siguientes permisos, según el
tipo de contenido:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
DeleteFeed
|
cloudasset.feeds.delete
|
GetFeed
|
cloudasset.feeds.get
|
ListFeed
|
cloudasset.feeds.list
|
UpdateFeed
|
cloudasset.feeds.update
También necesitas uno de los siguientes permisos, según el
tipo de contenido:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| APIs de Inventory |
BatchGetAssetsHistory
ExportAssets
|
Uno de los siguientes permisos, según el
tipo de contenido:
-
cloudasset.assets.exportAccessPolicy
Cuando se usa el tipo de contenido ACCESS_POLICY
-
cloudasset.assets.exportIamPolicy
Cuando se usa el tipo de contenido IAM_POLICY
-
cloudasset.assets.exportOrgPolicy
Cuando se usa el tipo de contenido ORG_POLICY
-
cloudasset.assets.exportOSInventories
Cuando se usa el tipo de contenido OS_INVENTORY
-
cloudasset.assets.exportResource
Cuando se usan los tipos de contenido RELATIONSHIP o RESOURCE
Cómo limitar el acceso a los recursos
Otorgar el permiso
cloudasset.assets.exportResource
a un usuario le permite exportar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede exportar, puedes otorgar permisos para cada tipo de recurso. Por ejemplo, puedes otorgar el permiso cloudasset.assets.exportComputeDisks por sí solo para permitir que un usuario solo exporte el tipo de recurso compute.googleapis.com/Disk.
Estos permisos detallados solo se aplican a RESOURCE y a
tipos de contenido no especificados.
Consulta la lista de permisos detallados de cloudasset.assets.export*.
|
ListAssets
|
Uno de los siguientes permisos, según el
tipo de contenido:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Cuando se usan los tipos de contenido RELATIONSHIP y RESOURCE
Cómo limitar el acceso a los recursos
Otorgar el permiso
cloudasset.assets.listResource
a un usuario le permite enumerar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede enumerar, puedes otorgar permisos para cada tipo de recurso. Por ejemplo, puedes otorgar el permiso cloudasset.assets.listComputeDisks por sí solo para permitir que un usuario solo enumere el tipo de recurso compute.googleapis.com/Disk.
Estos permisos detallados solo se aplican a RESOURCE y a
tipos de contenido no especificados.
Consulta la lista de permisos detallados de cloudasset.assets.list*.
|
QueryAssets
|
Uno de los siguientes permisos, según el
tipo de contenido:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
para los tipos de contenido RELATIONSHIP y RESOURCE
|
| API de Búsqueda |
SearchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
SearchAllResources
|
cloudasset.assets.searchAllResources
También necesitas
cloudasset.assets.searchEnrichmentResourceOwners
si buscas el enriquecimiento del propietario del recurso.
|
REST
| Método |
Permisos necesarios |
| Todas las API |
| Todas las llamadas a Cloud Asset Inventory |
Todas las llamadas a Cloud Asset Inventory requieren el permiso serviceusage.services.use.
|
| APIs de análisis |
analyzeIamPolicy
analyzeIamPolicyLongRunning
effectiveIamPolicies.batchGet
|
Todos los permisos que se indican a continuación:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
para analizar políticas con roles personalizados
Se requieren permisos adicionales para trabajar con Google Workspace.
|
analyzeMove
|
cloudasset.assets.analyzeMove
|
analyzeOrgPolicies
analyzeOrgPolicyGovernedContainers
|
Todos los permisos que se indican a continuación:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyzeOrgPolicyGovernedAssets
|
Todos los permisos que se indican a continuación:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| APIs de feeds |
feeds.create
|
cloudasset.feeds.create
También necesitas uno de los siguientes permisos, según el
tipo de contenido:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds.delete
|
cloudasset.feeds.delete
|
feeds.get
|
cloudasset.feeds.get
|
feeds.list
|
cloudasset.feeds.list
|
feeds.patch
|
cloudasset.feeds.update
También necesitas uno de los siguientes permisos, según el
tipo de contenido:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| APIs de Inventory |
batchGetAssetsHistory
exportAssets
|
Uno de los siguientes permisos, según el
tipo de contenido:
-
cloudasset.assets.exportAccessPolicy
Cuando se usa el tipo de contenido ACCESS_POLICY
-
cloudasset.assets.exportIamPolicy
Cuando se usa el tipo de contenido IAM_POLICY
-
cloudasset.assets.exportOrgPolicy
Cuando se usa el tipo de contenido ORG_POLICY
-
cloudasset.assets.exportOSInventories
Cuando se usa el tipo de contenido OS_INVENTORY
-
cloudasset.assets.exportResource
Cuando se usan los tipos de contenido RELATIONSHIP o RESOURCE
Cómo limitar el acceso a los recursos
Otorgar el permiso
cloudasset.assets.exportResource
a un usuario le permite exportar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede exportar, puedes otorgar permisos para cada tipo de recurso. Por ejemplo, puedes otorgar el permiso cloudasset.assets.exportComputeDisks por sí solo para permitir que un usuario solo exporte el tipo de recurso compute.googleapis.com/Disk.
Estos permisos detallados solo se aplican a RESOURCE y a
tipos de contenido no especificados.
Consulta la lista de permisos detallados de cloudasset.assets.export*.
|
assets.list
|
Uno de los siguientes permisos, según el
tipo de contenido:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Cuando se usan los tipos de contenido RELATIONSHIP y RESOURCE
Cómo limitar el acceso a los recursos
Otorgar el permiso
cloudasset.assets.listResource
a un usuario le permite enumerar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede enumerar, puedes otorgar permisos para cada tipo de recurso. Por ejemplo, puedes otorgar el permiso cloudasset.assets.listComputeDisks por sí solo para permitir que un usuario solo enumere el tipo de recurso compute.googleapis.com/Disk.
Estos permisos detallados solo se aplican a RESOURCE y a
tipos de contenido no especificados.
Consulta la lista de permisos detallados de cloudasset.assets.list*.
|
queryAssets
|
Uno de los siguientes permisos, según el
tipo de contenido:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
para los tipos de contenido RELATIONSHIP y RESOURCE
|
| API de Búsqueda |
searchAllIamPolicies
|
cloudasset.assets.searchAllIamPolicies
|
searchAllResources
|
cloudasset.assets.searchAllResources
También necesitas
cloudasset.assets.searchEnrichmentResourceOwners
si buscas el enriquecimiento del propietario del recurso.
|
gcloud
| Declaración de posicionamiento |
Permisos necesarios |
| Todas las API |
| Todas las llamadas a Cloud Asset Inventory |
Todas las llamadas a Cloud Asset Inventory requieren el permiso serviceusage.services.use.
|
| APIs de análisis |
analyze-iam-policy
analyze-iam-policy-longrunning
get-effective-iam-policy
|
Todos los permisos que se indican a continuación:
cloudasset.assets.analyzeIamPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
-
iam.roles.get
para analizar políticas con roles personalizados
Se requieren permisos adicionales para trabajar con Google Workspace.
|
analyze-move
|
cloudasset.assets.analyzeMove
|
analyze-org-policies
analyze-org-policy-governed-containers
|
Todos los permisos que se indican a continuación:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllResources
|
analyze-org-policy-governed-assets
|
Todos los permisos que se indican a continuación:
cloudasset.assets.analyzeOrgPolicy
cloudasset.assets.searchAllIamPolicies
cloudasset.assets.searchAllResources
|
| APIs de feeds |
feeds create
|
cloudasset.feeds.create
También necesitas uno de los siguientes permisos, según el
tipo de contenido:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
feeds delete
|
cloudasset.feeds.delete
|
feeds describe
|
cloudasset.feeds.get
|
feeds list
|
cloudasset.feeds.list
|
feeds update
|
cloudasset.feeds.update
También necesitas uno de los siguientes permisos, según el
tipo de contenido:
cloudasset.assets.exportIamPolicy
cloudasset.assets.exportResource
|
| APIs de Inventory |
export
get-history
|
Uno de los siguientes permisos, según el
tipo de contenido:
-
cloudasset.assets.exportAccessPolicy
Cuando se usa el tipo de contenido ACCESS_POLICY
-
cloudasset.assets.exportIamPolicy
Cuando se usa el tipo de contenido IAM_POLICY
-
cloudasset.assets.exportOrgPolicy
Cuando se usa el tipo de contenido ORG_POLICY
-
cloudasset.assets.exportOSInventories
Cuando se usa el tipo de contenido OS_INVENTORY
-
cloudasset.assets.exportResource
Cuando se usan los tipos de contenido RELATIONSHIP o RESOURCE
Cómo limitar el acceso a los recursos
Otorgar el permiso
cloudasset.assets.exportResource
a un usuario le permite exportar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede exportar, puedes otorgar permisos para cada tipo de recurso. Por ejemplo, puedes otorgar el permiso cloudasset.assets.exportComputeDisks por sí solo para permitir que un usuario solo exporte el tipo de recurso compute.googleapis.com/Disk.
Estos permisos detallados solo se aplican a RESOURCE y a
tipos de contenido no especificados.
Consulta la lista de permisos detallados de cloudasset.assets.export*.
|
list
|
Uno de los siguientes permisos, según el
tipo de contenido:
cloudasset.assets.listAccessPolicy
cloudasset.assets.listIamPolicy
cloudasset.assets.listOrgPolicy
cloudasset.assets.listOSInventories
-
cloudasset.assets.listResource
Cuando se usan los tipos de contenido RELATIONSHIP y RESOURCE
Cómo limitar el acceso a los recursos
Otorgar el permiso
cloudasset.assets.listResource
a un usuario le permite enumerar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede enumerar, puedes otorgar permisos para cada tipo de recurso. Por ejemplo, puedes otorgar el permiso cloudasset.assets.listComputeDisks por sí solo para permitir que un usuario solo enumere el tipo de recurso compute.googleapis.com/Disk.
Estos permisos detallados solo se aplican a RESOURCE y a
tipos de contenido no especificados.
Consulta la lista de permisos detallados de cloudasset.assets.list*.
|
query
|
Uno de los siguientes permisos, según el
tipo de contenido:
cloudasset.assets.queryAccessPolicy
cloudasset.assets.queryIamPolicy
cloudasset.assets.queryOSInventories
-
cloudasset.assets.queryResource
para los tipos de contenido RELATIONSHIP y RESOURCE
|
| API de Búsqueda |
search-all-iam-policies
|
cloudasset.assets.searchAllIamPolicies
|
search-all-resources
|
cloudasset.assets.searchAllResources
También necesitas
cloudasset.assets.searchEnrichmentResourceOwners
si buscas el enriquecimiento del propietario del recurso.
|
Console
La consola de Google Cloud usa la API de SearchAllResourcespara solicitar datos. Para usar Cloud Asset Inventory en la consola de Google Cloud , otorga los siguientes permisos:
cloudasset.assets.searchAllResources
serviceusage.services.use
Controles del servicio de VPC
Los Controles del servicio de VPC se pueden usar con Cloud Asset Inventory a fin de proporcionar seguridad adicional para tus elementos. Para obtener más información sobre los Controles del servicio de VPC, consulta la Descripción general de los Controles del servicio de VPC.
Para conocer las limitaciones en el uso de Cloud Asset Inventory con los Controles del servicio de VPC, consulta la página sobre los productos admitidos y las limitaciones.
