Looker (Google Cloud core) usa Gestión de Identidades y Accesos (IAM) para aprovisionar el acceso de usuarios y administradores a través de un conjunto de roles de IAM. Para obtener una descripción detallada de Google Cloud IAM, consulta la documentación de IAM.
¿Qué es la gestión de identidades y accesos (IAM)?
La gestión de identidades y accesos te permite controlar quién tiene acceso a los recursos de tu Google Cloud proyecto. IAM te permite adoptar el principio de seguridad de mínimos accesos, por lo que solo concedes el acceso necesario a tus recursos.
Las entidades son el "quién" de IAM. Las entidades principales pueden ser usuarios individuales, grupos o dominios de Workspace. A las entidades se les asignan roles, que les permiten realizar acciones con Looker (servicio principal de Google Cloud) y, en general, Google Cloud más. Cada rol es un conjunto de uno o varios permisos. Los permisos son las unidades básicas de gestión de identidades y accesos: cada permiso permite a una entidad realizar una acción determinada.
Por ejemplo, el permiso looker.instances.login permite que una entidad inicie sesión en instancias de Looker (Google Cloud Core). Este permiso se incluye en varios roles predefinidos, como el rol Administrador de Looker (roles/looker.admin) y el rol Usuario de la instancia de Looker (roles/looker.instanceUser).
Rol necesario
Para obtener los permisos que necesitas para asignar roles de gestión de identidades y accesos de Looker (Google Cloud core),
pide a tu administrador que te conceda el rol de gestión de identidades y accesos
Administrador de gestión de identidades y accesos de proyectos (roles/resourcemanager.projectIamAdmin)
en el proyecto en el que se creó la instancia.
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Roles de gestión de identidades y accesos frente a roles de Looker
Hay dos tipos de roles que conceden permisos para Looker (servicio principal de Google Cloud): los roles de gestión de identidades y accesos y los roles de Looker.
Roles de IAM de Looker: estos roles rigen las siguientes funciones:
- Funciones de los usuarios en la consola de Google Cloud en relación con Looker (en la infraestructura de Google Cloud)
Si se usan junto con OAuth, también rigen las siguientes funciones:
- Posibilidad de los usuarios de iniciar sesión en una instancia de Looker (Google Cloud Core)
- Indica si se asigna automáticamente a los usuarios el rol de Looker Administrador a través de gestión de identidades y accesos cuando inician sesión en una instancia de Looker (servicio principal de Google Cloud). Para obtener más información, consulta la documentación sobre autenticación y autorización con OAuth y gestión de identidades y accesos.
Consulta la documentación de gestión de identidades y accesos para obtener información sobre cómo conceder roles de gestión de identidades y accesos.
Roles de Looker: estos roles rigen lo que pueden hacer los usuarios una vez que inician sesión en una instancia de Looker (servicio principal de Google Cloud). Consulta las páginas de documentación sobre roles y grupos para obtener información sobre cómo asignar roles de Looker.
Los roles de Looker se asignan o revocan en una instancia de Looker (en la infraestructura de Google Cloud), excepto el rol de Looker Administrador mediante gestión de identidades y accesos, que solo se puede asignar o revocar a través de gestión de identidades y accesos. Los roles de gestión de identidades y accesos solo se pueden asignar o revocar en la Google Cloud consola.
Roles de IAM de Looker (servicio principal de Google Cloud)
.Hay tres roles predefinidos disponibles para los usuarios de Looker (servicio principal de Google Cloud). Estos roles se conceden a nivel de Google Cloud proyecto y controlan el acceso de forma uniforme a todas las instancias de Looker (Google Cloud core) de un Google Cloud proyecto. Si un usuario se autentica con OAuth, el rol de gestión de identidades y accesos asignado a cada principal también afecta a los roles de Looker que se asignan al iniciar sesión en la instancia.
| Nombre de función | Permisos |
|---|---|
Looker Viewer
Acceso de solo lectura a todos los recursos de Looker (en la infraestructura de Google Cloud) en la Google Cloud consola. |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Usuario de instancia de Looker
Acceso para iniciar sesión en una instancia de Looker (Google Cloud Core). |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Administrador de Looker
Acceso completo a todos los recursos de Looker (Google Cloud core). |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Al menos una cuenta principal debe tener el rol de gestión de identidades y accesos Administrador de Looker (roles/looker.admin).
Si los roles predefinidos no te ofrecen el conjunto de permisos que quieres, también puedes crear tus propios roles personalizados.
Siguientes pasos
- Usar OAuth de Google para la autenticación de usuarios de Looker (servicio principal de Google Cloud)
- Gestionar usuarios en Looker (servicio principal de Google Cloud)
- Configurar una instancia de Looker (Google Cloud Core)
- Ajustes de administrador de Looker (servicio principal de Google Cloud)
- Administrar una instancia de Looker (Google Cloud core) desde la consola de Google Cloud