Looker (Google Cloud Core) usa la administración de identidades y accesos (IAM) para aprovisionar el acceso de usuarios y administradores a través de un conjunto de roles de IAM. Para ver una descripción detallada de Google Cloud IAM, consulta la documentación de IAM.
¿Qué es Identity and Access Management (IAM)?
IAM te permite controlar quién tiene acceso a los recursos de tu proyecto de Google Cloud. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgues el acceso necesario a tus recursos.
Los principales son “quiénes” están en IAM. Los principales pueden ser usuarios individuales, grupos o dominios de Workspace. A los principales se les otorgan roles, lo que les permite realizar acciones con Looker (Google Cloud Core) y Google Cloud de manera más general. Cada rol es una colección de uno o más permisos. Los permisos son las unidades básicas de IAM. Cada uno permite que un principal realice una acción determinada.
Por ejemplo, el permiso looker.instances.login permite que un principal acceda a las instancias de Looker (Google Cloud Core). Este permiso se incluye en varios roles predefinidos, incluidos el rol de administrador de Looker (roles/looker.admin) y el rol de usuario de la instancia de Looker (roles/looker.instanceUser).
Función requerida
Para obtener los permisos que necesitas para asignar roles de IAM de Looker (Google Cloud Core), pídele a tu administrador que te otorgue el rol de IAM Administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) en el proyecto en el que se creó la instancia.
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.
Roles de IAM en comparación con roles de Looker
Existen dos tipos de roles diferentes que otorgan permisos para Looker (núcleo de Google Cloud): roles de IAM y roles de Looker.
Roles de IAM de Looker: Estos tipos de roles rigen las siguientes funciones:
- Funciones de los usuarios en la consola de Google Cloud con respecto a Looker (Google Cloud Core)
Cuando se usan junto con OAuth, también rigen las siguientes funciones:
- Habilidades de los usuarios para acceder a una instancia de Looker (Google Cloud Core)
- Si a los usuarios se les asigna automáticamente el rol de Administrador a través de IAM de Looker una vez que acceden a una instancia de Looker (Google Cloud Core) Para obtener más información, consulta la documentación sobre autenticación y autorización con OAuth y IAM.
Consulta la documentación de IAM para obtener información sobre cómo otorgar roles de IAM.
Roles de Looker: Estos tipos de roles rigen lo que los usuarios pueden hacer una vez que acceden a una instancia de Looker (Google Cloud Core). Consulta las páginas de documentación Roles y Grupos para obtener información sobre cómo otorgar roles de Looker.
Los roles de Looker se asignan o revocan dentro de una instancia de Looker (Google Cloud Core), a excepción del rol de administrador a través de IAM, que solo se puede asignar o revocar a través de IAM. Los roles de IAM solo se pueden asignar o revocar en la consola de Google Cloud.
Roles de IAM de Looker (Google Cloud Core)
Hay tres roles predefinidos para los usuarios de Looker (Google Cloud Core). Estos roles se otorgan a nivel del proyecto de Google Cloud y controlarán el acceso de forma uniforme para todas las instancias de Looker (Google Cloud Core) dentro de un proyecto de Google Cloud. Si un usuario se autentica con OAuth, el rol de IAM asignado a cada principal también afecta a los roles de Looker que se asignan cuando se accede a la instancia.
| Nombre del rol | Permisos |
|---|---|
Visualizador de Looker
Acceso de solo lectura a todos los recursos de Looker (núcleo de Google Cloud) en la consola de Google Cloud |
looker.backups.get looker.backups.list looker.instances.get looker.instances.list looker.instances.login looker.locations.get looker.locations.list looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Usuario de la instancia de Looker
Acceso para acceder a una instancia de Looker (Google Cloud Core). |
looker.instances.get looker.instances.login resourcemanager.projects.get resourcemanager.projects.list |
Administrador de Looker
Tiene acceso completo a todos los recursos de Looker (Google Cloud Core). |
looker.backups.create looker.backups.delete looker.backups.get looker.backups.list looker.instances.create looker.instances.delete looker.instances.export looker.instances.get looker.instances.import looker.instances.list looker.instances.login looker.instances.update looker.locations.get looker.locations.list looker.operations.cancel looker.operations.delete looker.operations.get looker.operations.list resourcemanager.projects.get resourcemanager.projects.list |
Al menos una principal debe tener el rol de IAM de administrador de Looker (roles/looker.admin).
Si los roles predefinidos no proporcionan el conjunto de permisos que deseas, también puedes crear tus propios roles personalizados.
¿Qué sigue?
- Usa OAuth de Google para la autenticación de usuarios de Looker (Google Cloud Core)
- Administra usuarios en Looker (Google Cloud Core)
- Configura una instancia de Looker (Google Cloud core)
- Configuración del administrador de Looker (Google Cloud Core)
- Administra una instancia de Looker (Google Cloud Core) desde la consola de Google Cloud