Han cambiado los nombres de algunos paquetes de control de Assured Workloads. Para obtener información sobre el cambio de nombre, consulta Controlar el aviso de cambio de nombre del paquete.

Esta página se ha traducido con Cloud Translation API.

Roles de gestión de identidades y accesos

En esta página se describen los roles de Gestión de Identidades y Accesos (IAM) que puedes usar para configurar Assured Workloads. Los roles limitan la capacidad de una entidad principal para acceder a los recursos. Concede a una entidad principal solo los permisos que necesite para interactuar con las APIs, las funciones o los recursos aplicables. Google Cloud

Para poder crear una carpeta de Assured Workloads, debes tener asignado uno de los roles que se indican a continuación con esa capacidad, así como un rol de control de acceso de Cloud Billing. También debes tener una cuenta de facturación activa y válida. Para obtener más información, consulta el artículo Introducción al control de acceso de Facturación de Cloud.

Roles obligatorios

A continuación, se indican los roles mínimos necesarios relacionados con Assured Workloads. Para saber cómo conceder, cambiar o revocar el acceso a los recursos mediante roles de gestión de identidades y accesos, consulta Conceder, cambiar y revocar el acceso a los recursos.

Administrador de Assured Workloads (roles/assuredworkloads.admin): para crear y eliminar carpetas de Assured Workloads.
Visor de organización de Resource Manager (roles/resourcemanager.organizationViewer): acceso para ver todos los recursos que pertenecen a una organización.

Roles de Assured Workloads

A continuación, se indican los roles de gestión de identidades y accesos asociados a Assured Workloads y cómo asignar estos roles mediante la CLI de Google Cloud. Para obtener información sobre cómo conceder estos roles en laGoogle Cloud consola o mediante programación, consulta el artículo Conceder, cambiar y revocar el acceso a los recursos de la documentación de gestión de identidades y accesos.

Sustituye el marcador de posición ORGANIZATION_ID por el identificador de la organización y example@customer.org por la dirección de correo del usuario. Para obtener el ID de tu organización, consulta Obtener el ID de tu organización.

`roles/assuredworkloads.admin`

Para crear y eliminar carpetas de Assured Workloads. Permite el acceso de lectura y escritura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.admin"

`roles/assuredworkloads.editor`

Permite el acceso de lectura y escritura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.editor"

`roles/assuredworkloads.reader`

Para obtener y mostrar listas de carpetas de Assured Workloads. Permite el acceso de solo lectura.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
  --member="user:example@customer.org" \
  --role="roles/assuredworkloads.reader"

Roles personalizados

Si quieres definir tus propios roles para que contengan conjuntos de permisos que especifiques, usa roles personalizados.

Prácticas recomendadas de gestión de identidades y accesos de Assured Workloads

Proteger correctamente los roles de IAM para seguir el principio de privilegio mínimo es una Google Cloud práctica recomendada de seguridad. Este principio sigue la regla de que los usuarios solo deben tener acceso a los productos, servicios y aplicaciones que requiera su rol. Actualmente, los usuarios no tienen restricciones para usar servicios fuera del ámbito con proyectos de Assured Workloads al desplegar productos y servicios fuera de una carpeta de Assured Workloads.

La lista de productos incluidos en el ámbito por paquete de control ayuda a los administradores de seguridad a la hora de crear roles personalizados que limiten el acceso de los usuarios solo a los productos incluidos en el ámbito de la carpeta de Assured Workloads. Los roles personalizados pueden ayudar a obtener y mantener el cumplimiento en una carpeta de Assured Workloads.