Looker (Google Cloud Core) usa Identity and Access Management (IAM) para aprovisionar acceso de usuarios y administradores a través de un conjunto de roles de IAM. Para ver una descripción detallada de Google Cloud IAM, consulta la documentación de IAM.
¿Qué es Identity and Access Management (IAM)?
IAM te permite controlar quién tiene acceso a los recursos de tu proyecto de Google Cloud. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgues el acceso necesario a tus recursos.
Los directores son “quién” de IAM. Los principales pueden ser usuarios individuales, grupos o dominios de Workspace. A los principales se les otorgan roles, que les dan la capacidad de realizar acciones con Looker (Google Cloud Core) y con Google Cloud de forma más general. Cada rol es una colección de uno o más permisos. Los permisos son las unidades básicas de IAM: cada uno permite que una principal realice una acción determinada.
Por ejemplo, el permiso looker.instances.login permite que un principal acceda a las instancias de Looker (Google Cloud Core). Este permiso se incluye en varios roles predefinidos, incluido el rol Administrador de Looker (roles/looker.admin) y el rol Usuario de instancias de Looker (roles/looker.instanceUser).
Función requerida
Para obtener los permisos que necesitas para asignar roles de IAM de Looker (Google Cloud Core),
pídele a tu administrador que te otorgue el rol de IAM de
Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) en el proyecto en el que se creó la instancia.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Roles de IAM frente a roles de Looker
Dos tipos diferentes de roles otorgan permisos para Looker (Google Cloud Core): los roles de IAM y los de Looker.
Roles de IAM de Looker (Google Cloud Core): Estos tipos de roles rigen las siguientes funciones:
- Usuarios capacidades dentro de la consola de Google Cloud con respecto a Looker (Google Cloud Core)
Cuando se usan junto con OAuth, también rigen las siguientes capacidades:
- Usuarios habilidades para acceder a una instancia de Looker (Google Cloud Core)
- El rol predeterminado de Looker que se otorga a los usuarios una vez que acceden a una instancia de Looker (Google Cloud Core)
Consulta la documentación de IAM para obtener información sobre cómo otorgar roles de IAM.
Roles de Looker: Estos tipos de roles determinan lo que pueden hacer los usuarios una vez que acceden a una instancia de Looker (Google Cloud Core). Consulta las páginas de documentación de Roles y Grupos para obtener información sobre cómo otorgar roles de Looker.
Cuando los roles de Looker se asignan en una instancia de Looker (Google Cloud Core), anulan los roles predeterminados de Looker que otorga IAM.
Roles de IAM de Looker (Google Cloud Core)
Hay tres roles predefinidos disponibles para los usuarios de Looker (Google Cloud Core). Estos roles se otorgan a nivel de proyecto de Google Cloud y controlarán el acceso de manera uniforme a todas las instancias de Looker (Google Cloud Core) dentro de un proyecto de Google Cloud.
| Nombre del rol | Permisos |
|---|---|
Visualizador de Looker
Acceso de solo lectura a todos los recursos de Looker (Google Cloud Core). |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Usuario de la instancia de Looker
Acceso para acceder a una instancia de Looker (Google Cloud Core). |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Administrador de Looker
Tiene acceso completo a todos los recursos de Looker (Google Cloud Core). |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Al menos una principal debe tener el rol de IAM Administrador de Looker (roles/looker.admin).
Si los roles predefinidos no proporcionan el conjunto de permisos que deseas, también puedes crear tus propios roles personalizados.
¿Qué sigue?
- Usa la autenticación de usuarios de Google OAuth para Looker (Google Cloud Core)
- Administra usuarios en Looker (Google Cloud Core)
- Configura una instancia de Looker (Google Cloud core)
- Configuración para administradores de Looker (Google Cloud Core)
- Administra una instancia de Looker (Google Cloud Core) desde la consola de Google Cloud