Configura IAM para la solución Bare Metal
Si quieres una principal, como un usuario o una cuenta de servicio de un proyecto de Google Cloud, para obtener acceso a los recursos del entorno de la solución Bare Metal, debes otorgarles los roles y permisos adecuados. Para otorgar acceso, puedes crear una política de administración de identidades y accesos (IAM) y asignar roles predefinidos específicos a la solución Bare Metal.
Otorga roles con permisos suficientes para que tus principales puedan realizar su trabajo, pero no más, de modo que puedas seguir el principio de privilegio mínimo de seguridad de Google Cloud.
Funciones predefinidas para la solución Bare Metal
Cada rol de IAM para la solución Bare Metal contiene permisos que y otorgar a la principal acceso a recursos específicos, como se muestra en la siguiente tabla
Nombre de la función | Path | Description |
---|---|---|
Administrador de la solución Bare Metal | roles/baremetalsolution.admin (El rol básico de propietario también tiene estos permisos) |
Tiene control completo sobre todos los recursos actuales y futuros de la solución Bare Metal. Este rol recibe permisos de lectura y escritura a nivel de proyecto. |
Editor de la solución Bare Metal | roles/baremetalsolution.editor (El rol básico de editor también tiene estos permisos) |
Editor de todos los recursos actuales y futuros de la solución Bare Metal Este rol recibe permisos de lectura y escritura a nivel de proyecto. |
Visualizador de soluciones Bare Metal | roles/baremetalsolution.viewer (El rol básico de visualizador también tiene estos permisos) |
Visualizador de todos los recursos actuales y futuros de la solución Bare Metal. Este rol recibe permisos de solo lectura a nivel de proyecto. |
Administrador de instancias de la solución Bare Metal | roles/baremetalsolution.instancesadmin |
Administrador de servidores de la solución Bare Metal. |
Editor de instancias de la solución Bare Metal | roles/baremetalsolution.instanceseditor |
Editor de servidores de solución Bare Metal. Este rol recibe permisos para supervisar y administrar servidores. |
Visualizador de instancias de la solución Bare Metal | roles/baremetalsolution.instancesviewer |
Visualizador de servidores de la solución Bare Metal Este rol recibe permisos de solo lectura para ver servidores. |
Administrador de almacenamiento de la solución Bare Metal | roles/baremetalsolution.storageadmin |
Administrador de recursos de almacenamiento de la solución Bare Metal, incluidos volúmenes, LUN, instantáneas y políticas de programación de instantáneas. |
Editor de almacenamiento de la solución Bare Metal | roles/baremetalsolution.storageeditor |
Editor de recursos de almacenamiento de la solución Bare Metal, incluidos volúmenes, LUN, instantáneas y políticas de programación de instantáneas. Este rol recibe permisos para supervisar y administrar el almacenamiento. |
Visualizador de almacenamiento de la solución Bare Metal | roles/baremetalsolution.storageviewer |
Visualizador de recursos de almacenamiento de la solución Bare Metal, incluidos volúmenes, LUN, instantáneas y políticas de programación de instantáneas. Este rol recibe permisos de solo lectura para ver el almacenamiento. |
Administrador de redes de la solución Bare Metal | roles/baremetalsolution.networksadmin |
Administrador de recursos de red de la solución Bare Metal |
Editor de redes de la solución Bare Metal | roles/baremetalsolution.networkseditor |
Editor de recursos de redes de la solución Bare Metal. Este rol recibe permisos para supervisar y administrar redes. |
Visualizador de redes de la solución Bare Metal | roles/baremetalsolution.networksviewer |
Visualizador de recursos de herramientas de redes de la solución Bare Metal. Este rol recibe permisos de solo lectura para ver las redes. |
Administrador de recursos compartidos de NFS de la solución Bare Metal | roles/baremetalsolution.nfssharesadmin |
Puede administrar los recursos de NFS de la solución Bare Metal. |
Editor de recursos compartidos de NFS de la solución Bare Metal | roles/baremetalsolution.nfsshareseditor |
Puede editar los recursos de NFS de la solución Bare Metal. Este rol recibe permisos para supervisar y administrar el almacenamiento de archivos NFS. |
Visualizador de recursos compartidos de NFS de la solución Bare Metal | roles/baremetalsolution.nfssharesviewer |
Puede visualizar los recursos de NFS de la solución Bare Metal. Este rol recibe permisos de solo lectura para ver el almacenamiento de archivos NFS. |
Para las funciones mencionadas anteriormente, recomendamos aplicarlas de la siguiente manera:
Completa un formulario de admisión
- Funciones de la solución Bare Metal: administrador, editor o administrador de instancias Y visualizador de red de Compute
- Roles básicos: propietario o editor
Reinicia un servidor de la solución Bare Metal
- Funciones de la solución Bare Metal: administrador o editor
- Roles básicos: propietario o editor
Muestra una lista de servidores o solicita un estado
- Funciones de la solución Bare Metal: Visualizador o visualizador de instancias
- Función básica: Visualizador
Administra componentes de almacenamiento
- Roles de la solución Bare Metal: administrador, editor o administrador de almacenamiento
- Roles básicos: propietario o editor
Administra componentes de herramientas de redes
- Roles de la solución Bare Metal: administrador, editor o administrador de redes
- Roles básicos: propietario o editor
Para obtener una lista completa de los roles de la solución Bare Metal, consulta Roles predefinidos y, luego, ingresa
baremetalsolution.
en el cuadro de búsqueda.
Para obtener una lista completa de los permisos de la solución Bare Metal, consulta Buscar un permiso y, luego, ingresa
baremetalsolution.
en el cuadro de búsqueda.
Otorga una función de IAM
Agrega una política de IAM para otorgarle un rol de la solución Bare Metal una principal. El rol contiene permisos que le permiten a la principal realizar determinadas acciones. Para otorgar una función:
Console
Asegúrate de tener una función que contenga los permisos de IAM adecuados para asignar funciones a otros, comopropietario, Administrador de IAM de proyecto o Administrador de seguridad. Para obtener más información sobre este requisito, consulta Roles obligatorios.
En la consola de Google Cloud, ve a IAM en la página de permisos.
Haz clic en Otorgar acceso.
Ingresa la siguiente información:
En Agregar principales, ingresa tus usuarios. Puedes agregar usuarios individuales usuarios, Grupos de Google, cuentas de servicio o Google Workspace dominios.
En Asignar roles, elige un rol del menú Selecciona un rol. para otorgar este rol a las principales.
Haz clic en
Agregar otro rol si debes asignar varios roles a las principales.Haz clic en Guardar.
Tus principales y sus roles asignados aparecen en la sección IAM permisos.
gcloud
Asegúrate de tener un rol que contenga los permisos de IAM adecuados para otorgar roles a otras personas, como Propietario, Administrador de IAM del proyecto Administrador de seguridad. Para obtener más información sobre este requisito, consulta Roles requeridos.
Abre una ventana de Cloud Shell en tu proyecto de Google Cloud.
Agrega tu ID del proyecto de Google Cloud y la dirección de correo electrónico de tu la cuenta de Google Cloud de la principal y la solución Bare Metal deseada del rol de IAM en el siguiente comando:
gcloud projects add-iam-policy-binding PROJECT_ID \ --member=user:username@example.com \ --role=roles/baremetalsolution.admin
Copia el comando y pégalo en tu ventana de Cloud Shell.
Presiona las teclas Intro o Volver.
En algunos casos, se abrirá una ventana Autorizar Cloud Shell que solicitará que permitas una llamada a la API. Si ves esto, haz clic en Autorizar.
Cuando hayas escrito los comandos correctamente, el resultado obtenido se verá así:
Updated IAM policy for project [PROJECT_ID]. bindings: - members: - user:username@example.com role: roles/baremetalsolution.admin - members: - serviceAccount:service-PROJECT_NUMBER@compute-system.iam.gserviceaccount.com role: roles/compute.serviceAgent - members: - serviceAccount:PROJECT_NUMBER-compute@developer.gserviceaccount.com - serviceAccount:PROJECT_NUMBER@cloudservices.gserviceaccount.com role: roles/editor - members: - user:username@example.com role: roles/owner etag: ETAG_NUMBER version: 1
Si quieres obtener más información sobre IAM, consulta Administración de identidades y accesos.