Funciones y permisos (original) (raw)
Google Cloud ofrece Identity and Access Management (IAM), que te permite brindar acceso más detallado a recursos específicos Google Cloud y evita el acceso no deseado a otros recursos. En esta página, se describen los roles de la API de Service Directory. Para ver una descripción detallada de IAM, lee la documentación de IAM.
IAM te permite adoptar elprincipio de seguridad de menor privilegio, de manera que puedes otorgar solo el acceso necesario a tus recursos.
Con IAM, puedes controlar quién tiene qué permisos para qué recursos configurando las políticas de IAM. Las políticas de IAM asignan funciones específicas a un usuario, lo que le otorga ciertos permisos.
Cada método de la API de Service Directory requiere que el llamador tenga los permisos de IAM necesarios. Puedes asignar permisos otorgando roles a un usuario, un grupo o una cuenta de servicio. Además de los roles básicos de propietario, editor y visualizador, puedes asignar roles de la API de Service Directory a los usuarios de tu proyecto.
Permisos
Puedes averiguar qué permisos se requieren para cada método en la documentación de referencia de la API deService Directory.
Funciones
| Role | Permissions |
|---|---|
| Service Directory Admin (roles/servicedirectory.admin) Full control of all Service Directory resources and permissions. | resourcemanager.projects.get resourcemanager.projects.list servicedirectory.endpoints.* servicedirectory.endpoints.create servicedirectory.endpoints.delete servicedirectory.endpoints.get servicedirectory.endpoints.getIamPolicy servicedirectory.endpoints.list servicedirectory.endpoints.setIamPolicy servicedirectory.endpoints.update servicedirectory.locations.* servicedirectory.locations.get servicedirectory.locations.list servicedirectory.namespaces.* servicedirectory.namespaces.associatePrivateZone servicedirectory.namespaces.create servicedirectory.namespaces.delete servicedirectory.namespaces.get servicedirectory.namespaces.getIamPolicy servicedirectory.namespaces.list servicedirectory.namespaces.setIamPolicy servicedirectory.namespaces.update servicedirectory.networks.attach servicedirectory.services.* servicedirectory.services.bind servicedirectory.services.create servicedirectory.services.delete servicedirectory.services.get servicedirectory.services.getIamPolicy servicedirectory.services.list servicedirectory.services.resolve servicedirectory.services.setIamPolicy servicedirectory.services.update |
| Service Directory Editor (roles/servicedirectory.editor) Edit Service Directory resources. | resourcemanager.projects.get resourcemanager.projects.list servicedirectory.endpoints.create servicedirectory.endpoints.delete servicedirectory.endpoints.get servicedirectory.endpoints.getIamPolicy servicedirectory.endpoints.list servicedirectory.endpoints.update servicedirectory.locations.* servicedirectory.locations.get servicedirectory.locations.list servicedirectory.namespaces.associatePrivateZone servicedirectory.namespaces.create servicedirectory.namespaces.delete servicedirectory.namespaces.get servicedirectory.namespaces.getIamPolicy servicedirectory.namespaces.list servicedirectory.namespaces.update servicedirectory.networks.attach servicedirectory.services.bind servicedirectory.services.create servicedirectory.services.delete servicedirectory.services.get servicedirectory.services.getIamPolicy servicedirectory.services.list servicedirectory.services.resolve servicedirectory.services.update |
| Service Directory Viewer (roles/servicedirectory.viewer) View Service Directory resources. | resourcemanager.projects.get resourcemanager.projects.list servicedirectory.endpoints.get servicedirectory.endpoints.getIamPolicy servicedirectory.endpoints.list servicedirectory.locations.* servicedirectory.locations.get servicedirectory.locations.list servicedirectory.namespaces.get servicedirectory.namespaces.getIamPolicy servicedirectory.namespaces.list servicedirectory.services.get servicedirectory.services.getIamPolicy servicedirectory.services.list servicedirectory.services.resolve |
| Service Directory Network Attacher (roles/servicedirectory.networkAttacher) Gives access to attach VPC Networks to Service Directory Endpoints | resourcemanager.projects.get resourcemanager.projects.list servicedirectory.networks.attach |
| (roles/servicedirectory.pscAuthorizedService) Gives access to VPC Networks via Service Directory | resourcemanager.projects.get resourcemanager.projects.list servicedirectory.networks.access |
Service agent roles
Service agent roles should only be granted to service agents.
| Role | Permissions |
|---|---|
| Service Directory Service Agent (roles/servicedirectory.serviceAgent) Give the Service Directory service agent access to Cloud Platform resources. | container.clusters.get gkehub.features.get gkehub.gateway.delete gkehub.gateway.generateCredentials gkehub.gateway.get gkehub.gateway.patch gkehub.gateway.post gkehub.gateway.put gkehub.locations.* gkehub.locations.get gkehub.locations.list gkehub.memberships.get gkehub.memberships.list resourcemanager.projects.get resourcemanager.projects.list servicedirectory.endpoints.create servicedirectory.endpoints.delete servicedirectory.endpoints.get servicedirectory.endpoints.getIamPolicy servicedirectory.endpoints.list servicedirectory.endpoints.update servicedirectory.locations.* servicedirectory.locations.get servicedirectory.locations.list servicedirectory.namespaces.associatePrivateZone servicedirectory.namespaces.create servicedirectory.namespaces.delete servicedirectory.namespaces.get servicedirectory.namespaces.getIamPolicy servicedirectory.namespaces.list servicedirectory.namespaces.update servicedirectory.networks.attach servicedirectory.services.bind servicedirectory.services.create servicedirectory.services.delete servicedirectory.services.get servicedirectory.services.getIamPolicy servicedirectory.services.list servicedirectory.services.resolve servicedirectory.services.update |
Control de acceso con la Google Cloud consola de
Puedes usar la Google Cloud consola depara administrar el control de acceso a tu registro.
Para configurar los controles de acceso a nivel de proyecto, sigue estos pasos:
Console
- En la Google Cloud consola de, dirígete a la página IAM.
Ir a IAM - Selecciona tu proyecto en el menú desplegable superior.
- Haz clic en Agregar.
- En Principales nuevas, ingresa la dirección de correo electrónico de una principal nueva.
- Selecciona el rol deseado en el menú desplegable:
servicedirectory.admin,servicedirectory.editoroservicedirectory.viewer. - Haz clic en Guardar.
- Verifica que la principal aparezca en la lista con el rol que le otorgaste.
Las zonas del Directorio de servicios anulan las restricciones de IAM
Cuando se asigna un espacio de nombres a una zona del Directorio de servicios, los nombres del servicio se vuelven visibles para todos los clientes en cualquier red autorizada para consultar la zona privada. No hay control de acceso de IAM para DNS, ya que el protocolo DNS no proporciona capacidad de autenticación.
¿Qué sigue?
- Para obtener información sobre la administración de identidades y accesos, consulta la documentación de IAM.
- Consulta la descripción generalpara comprender el Directorio de servicios.