Roles y permisos

En esta página se enumeran los permisos que requiere Certificate Manager y los roles de Gestión de Identidades y Accesos que los incluyen.

Permisos

En esta sección se indican los permisos necesarios para realizar operaciones específicas en Certificate Manager.

Funcionamiento y método Recurso Permiso
Crear un certificado

certificates.create		 Certificados certificatemanager.certs.create en el proyecto de destino Google Cloud . Si se usa la autorización de DNS, también se requiere certificatemanager.dnsauthorizations.use en cada autorización de DNS asociada.
Mostrar certificados

certificates.list		 Certificados certificatemanager.certs.list en el proyecto de destino Google Cloud
Ver certificados en la consola

serviceusage.quotas.get,
monitoring.timeSeries.list		 Certificados serviceusage.quotas.get y monitoring.timeSeries.list en el proyecto de destino Google Cloud
Recuperar un certificado

certificates.get		 Certificados certificatemanager.certs.get en el certificado de destino
Actualizar un certificado

certificates.patch		 Certificados certificatemanager.certs.update en el certificado de destino
Adjuntar un certificado a un recurso Certificados certificatemanager.certs.use en el certificado de destino
Eliminar un certificado

certificates.delete		 Certificados certificatemanager.certs.delete en el certificado de destino
Crear un mapa de certificados

certificateMaps.create		 Mapas de certificados certificatemanager.certmaps.create en el proyecto de destino Google Cloud
Mostrar mapas de certificados

certificateMaps.list		 Mapas de certificados certificatemanager.certmaps.list en el proyecto de destino Google Cloud
Recuperar un mapa de certificados

certificateMaps.get		 Mapas de certificados certificatemanager.certmaps.get en el mapa de certificados de destino
Actualizar un mapa de certificados

certificateMaps.patch		 Mapas de certificados certificatemanager.certmaps.update en el mapa de certificados de destino
Adjuntar un mapa de certificados a un recurso Mapas de certificados certificatemanager.certmaps.use en el mapa de certificados de destino
Eliminar un mapa de certificados

certificateMaps.delete		 Mapas de certificados certificatemanager.certmaps.delete en el mapa de certificados de destino
Crear una entrada de mapa de certificados

certificateMaps.certificateMapEntries.create		 Entradas de mapa de certificados certificatemanager.certmapentries.create en el mapa de certificados de destino y certificatemanager.certs.use en cada certificado asociado.
Mostrar entradas de mapa de certificados

certificateMaps.certificateMapEntries.list		 Entradas de mapa de certificados certificatemanager.certmapentries.list en el mapa de certificados de destino
Obtener una entrada de mapa de certificados

certificateMaps.certificateMapEntries.get		 Entradas de mapa de certificados certificatemanager.certmapentries.get en la entrada de mapa de certificados de destino
Actualizar una entrada de mapa de certificados

certificateMaps.certificateMapEntries.patch		 Entradas de mapa de certificados certificatemanager.certmapentries.update en la entrada del mapa de certificados de destino y certificatemanager.certs.use en cada certificado asociado.
Eliminar una entrada de un mapa de certificados

certificateMaps.certificateMapEntries.delete		 Entradas de mapa de certificados certificatemanager.certmapentries.delete en la entrada de mapa de certificados de destino
Crear una autorización de DNS

dnsAuthorizations.create		 Autorizaciones de DNS certificatemanager.dnsauthorizations.create en el proyecto de destino Google Cloud
Mostrar autorizaciones de DNS

dnsAuthorizations.list		 Autorizaciones de DNS certificatemanager.dnsauthorizations.list en el proyecto de destino Google Cloud
Recuperar una autorización de DNS

dnsAuthorizations.get		 Autorizaciones de DNS certificatemanager.dnsauthorizations.get en la autorización de DNS de destino
Actualizar una autorización de DNS

dnsAuthorizations.patch		 Autorizaciones de DNS certificatemanager.dnsauthorizations.update en la autorización de DNS de destino
Eliminar una autorización de DNS

dnsAuthorizations.delete		 Autorizaciones de DNS certificatemanager.dnsauthorizations.delete en la autorización de DNS de destino
Crear una configuración de emisión de certificados

certificateIssuanceConfigs.create		 Configuraciones de emisión de certificados certificatemanager.certissuanceconfigs.create en el proyecto de destino Google Cloud
Mostrar configuraciones de emisión de certificados

certificateIssuanceConfigs.list		 Configuraciones de emisión de certificados certificatemanager.certissuanceconfigs.list en el proyecto de destino Google Cloud
Obtener una configuración de emisión de certificados

certificateIssuanceConfigs.get		 Configuraciones de emisión de certificados certificatemanager.certissuanceconfigs.get en la configuración de emisión del certificado de destino
Eliminar una configuración de emisión de certificados

certificateIssuanceConfigs.delete		 Configuraciones de emisión de certificados certificatemanager.certissuanceconfigs.delete en la configuración de emisión del certificado de destino
Crear una configuración de confianza

trustConfigs.create		 Configuraciones de confianza certificatemanager.trustconfigs.create en el proyecto de destino Google Cloud
Mostrar configuraciones de confianza

trustConfigs.list		 Configuraciones de confianza certificatemanager.trustconfigs.list en el proyecto de destino Google Cloud
Actualizar una configuración de confianza

trustConfigs.patch		 Configuraciones de confianza certificatemanager.trustconfigs.update en la configuración de confianza de destino
Obtener el estado de una configuración de confianza

trustConfigs.get		 Configuraciones de confianza certificatemanager.trustconfigs.get en la configuración de confianza de destino
Adjuntar una configuración de confianza a un recurso Configuraciones de confianza certificatemanager.trustconfigs.use en la configuración de confianza de destino
Eliminar una configuración de confianza

trustConfigs.delete		 Configuraciones de confianza certificatemanager.trustconfigs.delete en la configuración de confianza de destino
Crear una clave de cuenta externa

externalAccountKeys.create		 Claves de cuentas externas publicca.externalAccountKeys.create en el proyecto de destino Google Cloud

Roles

En esta sección se enumeran los roles de gestión de identidades y accesos que encapsulan los permisos de Certificate Manager.

Roles de Certificate Manager para proyectos de Google Cloud

En la siguiente tabla se indican los roles de Google Cloud proyecto y los permisos de Certificate Manager que incluyen.

Role Permissions

(roles/certificatemanager.editor)

Edit access to Certificate Manager all resources.

certificatemanager.certissuanceconfigs.create

certificatemanager.certissuanceconfigs.createTagBinding

certificatemanager.certissuanceconfigs.deleteTagBinding

certificatemanager.certissuanceconfigs.get

certificatemanager.certissuanceconfigs.list

certificatemanager.certissuanceconfigs.listEffectiveTags

certificatemanager.certissuanceconfigs.listTagBindings

certificatemanager.certissuanceconfigs.update

certificatemanager.certissuanceconfigs.use

certificatemanager.certmapentries.create

certificatemanager.certmapentries.createTagBinding

certificatemanager.certmapentries.deleteTagBinding

certificatemanager.certmapentries.get

certificatemanager.certmapentries.list

certificatemanager.certmapentries.listEffectiveTags

certificatemanager.certmapentries.listTagBindings

certificatemanager.certmapentries.update

certificatemanager.certmaps.create

certificatemanager.certmaps.createTagBinding

certificatemanager.certmaps.deleteTagBinding

certificatemanager.certmaps.get

certificatemanager.certmaps.list

certificatemanager.certmaps.listEffectiveTags

certificatemanager.certmaps.listTagBindings

certificatemanager.certmaps.update

certificatemanager.certmaps.use

certificatemanager.certs.create

certificatemanager.certs.createTagBinding

certificatemanager.certs.deleteTagBinding

certificatemanager.certs.get

certificatemanager.certs.list

certificatemanager.certs.listEffectiveTags

certificatemanager.certs.listTagBindings

certificatemanager.certs.update

certificatemanager.certs.use

certificatemanager.dnsauthorizations.create

certificatemanager.dnsauthorizations.createTagBinding

certificatemanager.dnsauthorizations.deleteTagBinding

certificatemanager.dnsauthorizations.get

certificatemanager.dnsauthorizations.list

certificatemanager.dnsauthorizations.listEffectiveTags

certificatemanager.dnsauthorizations.listTagBindings

certificatemanager.dnsauthorizations.update

certificatemanager.dnsauthorizations.use

certificatemanager.locations.*

  • certificatemanager.locations.get
  • certificatemanager.locations.list

certificatemanager.operations.get

certificatemanager.operations.list

certificatemanager.trustconfigs.create

certificatemanager.trustconfigs.createTagBinding

certificatemanager.trustconfigs.deleteTagBinding

certificatemanager.trustconfigs.get

certificatemanager.trustconfigs.list

certificatemanager.trustconfigs.listEffectiveTags

certificatemanager.trustconfigs.listTagBindings

certificatemanager.trustconfigs.update

certificatemanager.trustconfigs.use

resourcemanager.projects.get

resourcemanager.projects.list

(roles/certificatemanager.owner)

Full access to Certificate Manager all resources.

certificatemanager.*

  • certificatemanager.certissuanceconfigs.create
  • certificatemanager.certissuanceconfigs.createTagBinding
  • certificatemanager.certissuanceconfigs.delete
  • certificatemanager.certissuanceconfigs.deleteTagBinding
  • certificatemanager.certissuanceconfigs.get
  • certificatemanager.certissuanceconfigs.list
  • certificatemanager.certissuanceconfigs.listEffectiveTags
  • certificatemanager.certissuanceconfigs.listTagBindings
  • certificatemanager.certissuanceconfigs.update
  • certificatemanager.certissuanceconfigs.use
  • certificatemanager.certmapentries.create
  • certificatemanager.certmapentries.createTagBinding
  • certificatemanager.certmapentries.delete
  • certificatemanager.certmapentries.deleteTagBinding
  • certificatemanager.certmapentries.get
  • certificatemanager.certmapentries.list
  • certificatemanager.certmapentries.listEffectiveTags
  • certificatemanager.certmapentries.listTagBindings
  • certificatemanager.certmapentries.update
  • certificatemanager.certmaps.create
  • certificatemanager.certmaps.createTagBinding
  • certificatemanager.certmaps.delete
  • certificatemanager.certmaps.deleteTagBinding
  • certificatemanager.certmaps.get
  • certificatemanager.certmaps.list
  • certificatemanager.certmaps.listEffectiveTags
  • certificatemanager.certmaps.listTagBindings
  • certificatemanager.certmaps.update
  • certificatemanager.certmaps.use
  • certificatemanager.certs.create
  • certificatemanager.certs.createTagBinding
  • certificatemanager.certs.delete
  • certificatemanager.certs.deleteTagBinding
  • certificatemanager.certs.get
  • certificatemanager.certs.list
  • certificatemanager.certs.listEffectiveTags
  • certificatemanager.certs.listTagBindings
  • certificatemanager.certs.update
  • certificatemanager.certs.use
  • certificatemanager.dnsauthorizations.create
  • certificatemanager.dnsauthorizations.createTagBinding
  • certificatemanager.dnsauthorizations.delete
  • certificatemanager.dnsauthorizations.deleteTagBinding
  • certificatemanager.dnsauthorizations.get
  • certificatemanager.dnsauthorizations.list
  • certificatemanager.dnsauthorizations.listEffectiveTags
  • certificatemanager.dnsauthorizations.listTagBindings
  • certificatemanager.dnsauthorizations.update
  • certificatemanager.dnsauthorizations.use
  • certificatemanager.locations.get
  • certificatemanager.locations.list
  • certificatemanager.operations.cancel
  • certificatemanager.operations.delete
  • certificatemanager.operations.get
  • certificatemanager.operations.list
  • certificatemanager.trustconfigs.create
  • certificatemanager.trustconfigs.createTagBinding
  • certificatemanager.trustconfigs.delete
  • certificatemanager.trustconfigs.deleteTagBinding
  • certificatemanager.trustconfigs.get
  • certificatemanager.trustconfigs.list
  • certificatemanager.trustconfigs.listEffectiveTags
  • certificatemanager.trustconfigs.listTagBindings
  • certificatemanager.trustconfigs.update
  • certificatemanager.trustconfigs.use

resourcemanager.projects.get

resourcemanager.projects.list

(roles/certificatemanager.serviceAgent)

Grants Certificate Manager access to services and APIs in the user project.

certificatemanager.locations.get

(roles/certificatemanager.viewer)

Read-only access to Certificate Manager all resources.

certificatemanager.certissuanceconfigs.get

certificatemanager.certissuanceconfigs.list

certificatemanager.certissuanceconfigs.listEffectiveTags

certificatemanager.certissuanceconfigs.listTagBindings

certificatemanager.certmapentries.get

certificatemanager.certmapentries.list

certificatemanager.certmapentries.listEffectiveTags

certificatemanager.certmapentries.listTagBindings

certificatemanager.certmaps.get

certificatemanager.certmaps.list

certificatemanager.certmaps.listEffectiveTags

certificatemanager.certmaps.listTagBindings

certificatemanager.certs.get

certificatemanager.certs.list

certificatemanager.certs.listEffectiveTags

certificatemanager.certs.listTagBindings

certificatemanager.dnsauthorizations.get

certificatemanager.dnsauthorizations.list

certificatemanager.dnsauthorizations.listEffectiveTags

certificatemanager.dnsauthorizations.listTagBindings

certificatemanager.locations.*

  • certificatemanager.locations.get
  • certificatemanager.locations.list

certificatemanager.operations.get

certificatemanager.operations.list

certificatemanager.trustconfigs.get

certificatemanager.trustconfigs.list

certificatemanager.trustconfigs.listEffectiveTags

certificatemanager.trustconfigs.listTagBindings

resourcemanager.projects.get

resourcemanager.projects.list

Roles de AC pública para Google Cloud proyectos

Se requieren los siguientes roles y los permisos que incluyen específicamente para las operaciones de la AC pública:

Rol Permisos
Creador de claves de cuenta externa de AC pública
(roles/publicca.externalAccountKeyCreator)

Crea acceso a los recursos de la cuenta de clave externa de la CA pública.

 resourcemanager.projects.get
resourcemanager.projects.list
publicca.externalAccountKeys.create

Roles personalizados

Google Cloud también te permite crear roles personalizados que incluyan permisos específicos para las necesidades de tu empresa, como el principio de mínimos privilegios. Para obtener instrucciones, consulta el artículo Crear y gestionar roles personalizados.

Siguientes pasos