Roles y permisos de IAM para VMware Engine
Google Cloud VMware Engine tiene un conjunto específico de funciones de la administración de identidades y accesos (IAM). Cada función contiene un conjunto de permisos.
Cuando agregas un miembro nuevo al proyecto, puedes usar una política de IAM para otorgar a ese miembro una o más funciones de IAM. Cada función de IAM contiene permisos que otorgan al miembro acceso a los recursos de VMware Engine.
Administra el acceso a VMware Engine
En esta guía, se describe cómo administrar el acceso a VMware Engine con el principio de privilegio mínimo y otorgar acceso a recursos superiores específicos, como una organización o un proyecto de Google Cloud. Para otorgar acceso a un proyecto, debes configurar una política de IAM en el recurso. La política vincula uno o más miembros, como un usuario o una cuenta de servicio, con una o más funciones. Cada función contiene una lista de permisos que permiten la interacción del miembro con el recurso.
Existen tres tipos de funciones en IAM:
- Funciones básicas, que incluyen las funciones de propietario, editor y visualizador que existían antes de la introducción de IAM.
- Las funciones predefinidas proporcionan acceso detallado a un servicio específico y las administra Google Cloud. Las funciones predefinidas están diseñadas para brindar compatibilidad con patrones de control de acceso y casos de uso comunes.
- Las funciones personalizadas proporcionan acceso detallado según una lista de permisos especificada por el usuario.
Permisos de VMware Engine
En la siguiente tabla, se enumeran los permisos y las descripciones de VMware Engine:
Permiso | Descripción |
---|---|
vmwareengine.googleapis.com/services.view |
Acceso de lectura al portal y los recursos de VMware Engine* |
vmwareengine.googleapis.com/services.use |
Acceso de administrador al portal y los recursos de VMware Engine. |
* Una función con este permiso también puede ver las credenciales de acceso de vCenter y NSX-T.
Funciones de VMware Engine
En la siguiente tabla, se enumeran los roles y las descripciones de VMware Engine:
Rol | Descripción |
---|---|
VMware Engine Service Viewer |
Acceso de lectura al portal y los recursos de VMware Engine* |
VMware Engine Service Admin |
Acceso de administrador al portal y los recursos de VMware Engine. |
* Una función con este permiso también puede ver las credenciales de acceso de vCenter y NSX-T.
Roles básicos de los proyectos
De forma predeterminada, cuando se otorga acceso a un proyecto de Google Cloud, también se otorga acceso a las nubes privadas de VMware Engine. Cualquier usuario con la función Owner
del proyecto puede otorgar, revocar o cambiar cualquier función del proyecto.
Función básica | Funciones |
---|---|
Viewer |
Puede ver la consola, las nubes privadas y todos los recursos de VMware Engine. Esta función incluye la función VMware Engine Service
Viewer . |
Editor |
Igual que Viewer , más las siguientes capacidades:
|
Owner |
Igual que Editor . |
Otorga o revoca el acceso a VMware Engine
Otorga acceso al portal de VMware Engine mediante las funciones, y las funciones se aplican a los recursos de VMware Engine a nivel de proyecto. Una función no se puede aplicar a una nube privada individual si un proyecto contiene varias nubes privadas.
Otorga acceso
Para agregar un miembro del equipo a un proyecto y otorgarle un rol de VMware Engine, haz lo siguiente:
En la consola de Google Cloud, ve a la página IAM.
Haz clic en Selecciona un proyecto, elige un proyecto y haz clic en Abrir.
Haz clic en Agregar.
Ingrese una dirección de correo electrónico. Puedes agregar personas individuales, cuentas de servicio o Grupos de Google como miembros.
Selecciona un rol de
VMware Engine Service Viewer
oVMware Engine Service Admin
en función del tipo de acceso que necesita el usuario o el grupo. Los roles les dan a los miembros un nivel específico de permiso.Para garantizar la mejor seguridad, te recomendamos que otorgues la menor cantidad de privilegios necesarios a cada usuario o grupo. Los miembros con la función
Owner
pueden administrar todos los aspectos de los recursos de VMware Engine.Haz clic en Guardar.
Revoca acceso
Para revocar el acceso a VMware Engine de un usuario o un grupo, haz lo siguiente:
En la consola de Google Cloud, ve a la página IAM.
Haz clic en Selecciona un proyecto, elige un proyecto y haz clic en Abrir.
Ubica el usuario o el grupo del que deseas revocar el acceso y haz clic en Editar.
Por cada función que quieras revocar, haz clic en Borrar y, luego, en Guardar.