Control de acceso con la gestión de identidades y accesos
En esta página se explica cómo conceder y gestionar el acceso a Service Catalog mediante Gestión de Identidades y Accesos (IAM).
Antes de empezar
- Debes tener el catálogo de servicios habilitado en tu Google Cloud organización.
- Para conceder roles de gestión de identidades y accesos de Service Catalog, debes tener el rol Administrador de la organización (
roles/resourcemanager.organizationAdmin) de tuGoogle Cloud organización.
¿Qué es la gestión de identidades y accesos (IAM)?
Google Cloud ofrece Gestión de Identidades y Accesos (IAM), que te permite dar un acceso más granular a recursos Google Cloud específicos e impide el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de privilegio mínimo para que solamente concedas el acceso necesario a tus recursos.
La gestión de identidades y accesos te permite controlar quién (identidad) tiene qué (roles) permisos para qué recursos mediante la configuración de políticas de gestión de identidades y accesos. Las políticas de gestión de identidades y accesos asignan roles específicos a una entidad principal, lo que otorga a la identidad determinados permisos.
Por ejemplo, en el caso de un recurso concreto, como un proyecto, puedes asignar el rol roles/compute.networkAdmin a una cuenta de Google para que pueda controlar los recursos relacionados con la red del proyecto, pero no gestionar otros recursos, como instancias y discos.
Roles de gestión de identidades y accesos de Service Catalog
Con Gestión de Identidades y Accesos, todos los métodos de la API Service Catalog y de la API Service Catalog Producer requieren que la identidad que realiza la solicitud a la API tenga los permisos adecuados para usar el recurso. Los permisos se conceden configurando políticas que asignan roles a una entidad principal, como un usuario, un grupo o una cuenta de servicio. Además de los roles básicos Propietario, Editor y Lector, puedes asignar a los principales los roles Catálogo de servicios y Productor de Catálogo de servicios que se describen en esta página.
En las siguientes tablas se indican los roles de gestión de identidades y accesos disponibles para los usuarios de Service Catalog. Las tablas se organizan en diferentes roles.
Administrador de la organización de catálogos
| Nombre del rol | Descripción | Incluye permisos |
|---|---|---|
roles/cloudprivatecatalogproducer.orgAdmin
|
Gestiona los ajustes del catálogo de servicios a nivel de organización Google Cloud. Crea y gestiona recursos de Service Catalog, como soluciones y catálogos. |
|
Administrador de catálogos
| Nombre del rol | Descripción | Incluye permisos |
|---|---|---|
roles/cloudprivatecatalogproducer.admin
|
Crea y gestiona recursos de Service Catalog, como soluciones y catálogos. |
|
Administrador de catálogos
| Nombre del rol | Descripción | Incluye permisos |
|---|---|---|
roles/cloudprivatecatalogproducer.manager |
Consulta soluciones y catálogos, y comparte catálogos con usuarios del catálogo de servicios. |
|
Consumidor de catálogos
| Nombre del rol | Descripción | Incluye permisos |
|---|---|---|
roles/cloudprivatecatalog.consumer |
Consulta catálogos. Ver y lanzar soluciones. Funciona en un Google Cloud recurso de destino, como una organización, un proyecto o una carpeta. |
|
Añadir usuarios a roles de gestión de identidades y accesos de Service Catalog
Los usuarios, los grupos de Google o los dominios deben tener el permiso resourcemanager.organizations.setIamPolicy
en la organización para añadir usuarios a los roles de gestión de identidades y accesos del catálogo de servicios. Para conceder ese permiso a un usuario o grupo, debes asignarle el rol Administrador de la organización (roles/resourcemanager.organizationAdmin).
Por ejemplo, si tu organización quiere que los usuarios a los que se les ha concedido el rol CatalogAdmin también puedan añadir y quitar usuarios y grupos de los demás roles de gestión de identidades y accesos de Service Catalog, un administrador de la organización puede hacer lo siguiente:
- Crea un grupo de Google para los usuarios (
MyCompanyCatalogAdmins). - Asigna al grupo de Google (
MyCompanyCatalogAdmins) el rol Administrador de la organización. - Asigna el rol Administrador de catálogo al grupo de Google (
MyCompanyCatalogAdmins).
En el ejemplo, los miembros del grupo de Google (MyCompanyCatalogAdmins) pueden asignar usuarios y grupos a roles de gestión de identidades y accesos en la organización porque se le ha concedido el permiso setIamPolicy al asignarle el rol Administrador de la organización. A medida que se unan nuevos administradores del catálogo a la organización, añádelos al grupo de Google (MyCompanyCatalogAdmins) para concederles los roles que quieras.
Para añadir un usuario, un grupo o un dominio a un rol de gestión de identidades y accesos de Service Catalog, sigue estos pasos.
- Inicia sesión en la página IAM y administración de la Google Cloud consola como administrador de la organización.
Ve a la Google Cloud página IAM y administración de la consola. - Selecciona Catálogo privado de Cloud en el menú lateral.
- Selecciona el rol que quieras asignar:
- Administrador de catálogos
- Administrador de catálogos
- Catalog Consumer
- Especifica los usuarios, grupos o dominios que quieras añadir.