En esta página, se ofrece orientación sobre qué tipo de rol (predefinido, personalizado o básico) debes usar para controlar el acceso a los recursos de Google Cloud .
A continuación, se resumen nuestras recomendaciones para elegir qué tipo de rol usar:
- Te recomendamos que priorices el uso de roles predefinidos, ya que Google los administra y ofrecen un equilibrio entre seguridad y conveniencia.
- Si necesitas un rol que se ajuste estrictamente al principio de privilegio mínimo y no encuentras un rol predefinido que cumpla con tus requisitos de seguridad, usa roles personalizados.
- No uses roles básicos, a menos que no tengas otra alternativa o los uses en un entorno de prueba.
Cuándo usar roles predefinidos
En general, te recomendamos que uses roles predefinidos en lugar de roles básicos o personalizados. Los roles predefinidos brindan acceso detallado a recursosGoogle Cloud específicos, Google los mantiene y se actualizan automáticamente cuando se agregan permisos, funciones o servicios nuevos aGoogle Cloud.
Sin embargo, hay algunos casos en los que tal vez quieras usar roles básicos o personalizados. En las siguientes secciones, se describen estos casos.
Cuándo usar roles personalizados
A diferencia de los roles predefinidos, Google no mantiene los roles personalizados. Esto significa que, cuando Google Cloud agregue permisos, funciones o servicios nuevos, tus roles personalizados no se actualizarán automáticamente. Por este motivo, te recomendamos que otorgues los roles predefinidos más limitados que satisfagan tus necesidades.
Sin embargo, podría ser adecuado crear y otorgar roles personalizados en los siguientes casos:
- Un principal necesita un permiso, pero cada rol predefinido que incluye ese permiso también incluye permisos que el principal no necesita y no debería tener.
- Usa las recomendaciones de roles para reemplazar las asignaciones de roles demasiado permisivos con roles más adecuados. En algunos casos, es posible que recibas una recomendación para crear un rol personalizado.
Cuando uses roles personalizados, ten en cuenta los siguientes límites:
- Los roles personalizados pueden contener hasta 3,000 permisos.
- El tamaño total máximo del título, la descripción y los nombres de permisos para un rol personalizado es de 64 KB.
Existen límites para la cantidad de roles personalizados que puedes crear:
- Puedes crear hasta 300 roles personalizados a nivel de la organización en tu organización.
- Puedes crear hasta 300 roles personalizados a nivel de proyecto en cada proyecto de tu organización.
Cuándo usar las funciones básicas
Los roles básicos incluyen miles de permisos en todos los servicios de Google Cloud . En entornos de producción, no otorgues funciones básicas, a menos que no haya alternativa. En su lugar, otorga los roles predefinidos más limitados o los roles personalizados que satisfagan tus necesidades.
Si necesitas reemplazar un rol básico, puedes usar las recomendaciones de roles para determinar qué roles otorgar en su lugar. También puedes usar Policy Simulator para asegurarte de que el cambio de rol no afecte el acceso de la principal.
Podría ser adecuado otorgar roles básicos cuando quieras otorgar permisos más amplios para un proyecto. Esto sucede a menudo cuando se otorgan permisos en entornos de desarrollo o prueba.
¿Qué sigue?
- Obtén más información para encontrar los roles predefinidos adecuados.
- Aprende cómo crear funciones personalizadas.
- Obtén más información sobre las funciones básicas.