Funciones y permisos

Cloud Asset Inventory usa Identity and Access Management (IAM) para el control de acceso. Cada método de API de Cloud Asset Inventory requiere que el llamador tenga los permisos necesarios.

Funciones

Para obtener los permisos que necesitas para trabajar con metadatos de activos, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización, la carpeta o el proyecto:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para trabajar con los metadatos de los activos. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para trabajar con metadatos de activos:

  • Para ver los metadatos de un activo, haz lo siguiente:
    • cloudasset.assets.*
    • recommender.cloudAssetInsights.get
    • recommender.cloudAssetInsights.list
    • serviceusage.services.use
  • Para ver los metadatos de los activos y trabajar con feeds, haz lo siguiente:
    • cloudasset.*
    • recommender.cloudAssetInsights.*
    • serviceusage.services.use

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Permisos

En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método de la API de Cloud Asset Inventory o realizar tareas con las herramientas de Google Cloud que usan Cloud Asset Inventory, como la consola de Google Cloud o gcloud CLI.

Las funciones de visualizador de Cloud Asset (roles/cloudasset.viewer) y propietario de Cloud Asset (roles/cloudasset.owner) incluyen muchos de estos permisos. Si al llamador se le otorgó uno de estos roles y el rol de Consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer), es posible que ya tenga los permisos que necesita para usar Cloud Asset Inventory.

RPC

Método Permisos necesarios
Todas las API
Todas las llamadas a Cloud Asset Inventory

Todas las llamadas a Cloud Asset Inventory requieren el permiso serviceusage.services.use.

APIs de análisis

AnalyzeIamPolicy

AnalyzeIamPolicyLongRunning

BatchGetEffectiveIamPolicies

Todos los permisos que se indican a continuación:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
  • iam.roles.get para analizar políticas con roles personalizados

Se requieren permisos adicionales para trabajar con Google Workspace.

AnalyzeMove

 cloudasset.assets.analyzeMove

AnalyzeOrgPolicies

AnalyzeOrgPolicyGovernedContainers

Todos los permisos que se indican a continuación:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

AnalyzeOrgPolicyGovernedAssets

Todos los permisos que se indican a continuación:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
APIs de feeds

CreateFeed

cloudasset.feeds.create

También necesitas uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

DeleteFeed

 cloudasset.feeds.delete

GetFeed

 cloudasset.feeds.get

ListFeed

 cloudasset.feeds.list

UpdateFeed

cloudasset.feeds.update

También necesitas uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
APIs de Inventory

BatchGetAssetsHistory

ExportAssets

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportAccessPolicy

    Cuando se usa el tipo de contenido ACCESS_POLICY

  • cloudasset.assets.exportIamPolicy

    Cuando se usa el tipo de contenido IAM_POLICY

  • cloudasset.assets.exportOrgPolicy

    Cuando se usa el tipo de contenido ORG_POLICY

  • cloudasset.assets.exportOSInventories

    Cuando se usa el tipo de contenido OS_INVENTORY

  • cloudasset.assets.exportResource

    Cuando se usan los tipos de contenido RELATIONSHIP o RESOURCE

    Cómo limitar el acceso a los recursos

    Otorgar el permiso cloudasset.assets.exportResource a un usuario le permite exportar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede exportar, puedes otorgar permisos para cada tipo de recurso. Por ejemplo, puedes otorgar el permiso cloudasset.assets.exportComputeDisks por sí solo para permitir que un usuario solo exporte el tipo de recurso compute.googleapis.com/Disk.

    Estos permisos detallados solo se aplican a RESOURCE y a tipos de contenido no especificados.

    Consulta la lista de permisos detallados de cloudasset.assets.export*.

ListAssets

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories

  • cloudasset.assets.listResource

    Cuando se usan los tipos de contenido RELATIONSHIP y RESOURCE

    Cómo limitar el acceso a los recursos

    Otorgar el permiso cloudasset.assets.listResource a un usuario le permite enumerar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede enumerar, puedes otorgar permisos para cada tipo de recurso. Por ejemplo, puedes otorgar el permiso cloudasset.assets.listComputeDisks por sí solo para permitir que un usuario solo enumere el tipo de recurso compute.googleapis.com/Disk.

    Estos permisos detallados solo se aplican a RESOURCE y a tipos de contenido no especificados.

    Consulta la lista de permisos detallados de cloudasset.assets.list*.

QueryAssets

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource para los tipos de contenido RELATIONSHIP y RESOURCE
API de Búsqueda

SearchAllIamPolicies

 cloudasset.assets.searchAllIamPolicies

SearchAllResources

cloudasset.assets.searchAllResources

También necesitas cloudasset.assets.searchEnrichmentResourceOwners si buscas el enriquecimiento del propietario del recurso.

REST

Método Permisos necesarios
Todas las API
Todas las llamadas a Cloud Asset Inventory

Todas las llamadas a Cloud Asset Inventory requieren el permiso serviceusage.services.use.

APIs de análisis

analyzeIamPolicy

analyzeIamPolicyLongRunning

effectiveIamPolicies.batchGet

Todos los permisos que se indican a continuación:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
  • iam.roles.get para analizar políticas con roles personalizados

Se requieren permisos adicionales para trabajar con Google Workspace.

analyzeMove

 cloudasset.assets.analyzeMove

analyzeOrgPolicies

analyzeOrgPolicyGovernedContainers

Todos los permisos que se indican a continuación:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyzeOrgPolicyGovernedAssets

Todos los permisos que se indican a continuación:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
APIs de feeds

feeds.create

cloudasset.feeds.create

También necesitas uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds.delete

 cloudasset.feeds.delete

feeds.get

 cloudasset.feeds.get

feeds.list

 cloudasset.feeds.list

feeds.patch

cloudasset.feeds.update

También necesitas uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
APIs de Inventory

batchGetAssetsHistory

exportAssets

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportAccessPolicy

    Cuando se usa el tipo de contenido ACCESS_POLICY

  • cloudasset.assets.exportIamPolicy

    Cuando se usa el tipo de contenido IAM_POLICY

  • cloudasset.assets.exportOrgPolicy

    Cuando se usa el tipo de contenido ORG_POLICY

  • cloudasset.assets.exportOSInventories

    Cuando se usa el tipo de contenido OS_INVENTORY

  • cloudasset.assets.exportResource

    Cuando se usan los tipos de contenido RELATIONSHIP o RESOURCE

    Cómo limitar el acceso a los recursos

    Otorgar el permiso cloudasset.assets.exportResource a un usuario le permite exportar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede exportar, puedes otorgar permisos para cada tipo de recurso. Por ejemplo, puedes otorgar el permiso cloudasset.assets.exportComputeDisks por sí solo para permitir que un usuario solo exporte el tipo de recurso compute.googleapis.com/Disk.

    Estos permisos detallados solo se aplican a RESOURCE y a tipos de contenido no especificados.

    Consulta la lista de permisos detallados de cloudasset.assets.export*.

assets.list

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories

  • cloudasset.assets.listResource

    Cuando se usan los tipos de contenido RELATIONSHIP y RESOURCE

    Cómo limitar el acceso a los recursos

    Otorgar el permiso cloudasset.assets.listResource a un usuario le permite enumerar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede enumerar, puedes otorgar permisos para cada tipo de recurso. Por ejemplo, puedes otorgar el permiso cloudasset.assets.listComputeDisks por sí solo para permitir que un usuario solo enumere el tipo de recurso compute.googleapis.com/Disk.

    Estos permisos detallados solo se aplican a RESOURCE y a tipos de contenido no especificados.

    Consulta la lista de permisos detallados de cloudasset.assets.list*.

queryAssets

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource para los tipos de contenido RELATIONSHIP y RESOURCE
API de Búsqueda

searchAllIamPolicies

 cloudasset.assets.searchAllIamPolicies

searchAllResources

cloudasset.assets.searchAllResources

También necesitas cloudasset.assets.searchEnrichmentResourceOwners si buscas el enriquecimiento del propietario del recurso.

gcloud

Declaración de posicionamiento Permisos necesarios
Todas las API
Todas las llamadas a Cloud Asset Inventory

Todas las llamadas a Cloud Asset Inventory requieren el permiso serviceusage.services.use.

APIs de análisis

analyze-iam-policy

analyze-iam-policy-longrunning

get-effective-iam-policy

Todos los permisos que se indican a continuación:

  • cloudasset.assets.analyzeIamPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
  • iam.roles.get para analizar políticas con roles personalizados

Se requieren permisos adicionales para trabajar con Google Workspace.

analyze-move

 cloudasset.assets.analyzeMove

analyze-org-policies

analyze-org-policy-governed-containers

Todos los permisos que se indican a continuación:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllResources

analyze-org-policy-governed-assets

Todos los permisos que se indican a continuación:

  • cloudasset.assets.analyzeOrgPolicy
  • cloudasset.assets.searchAllIamPolicies
  • cloudasset.assets.searchAllResources
APIs de feeds

feeds create

cloudasset.feeds.create

También necesitas uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource

feeds delete

 cloudasset.feeds.delete

feeds describe

 cloudasset.feeds.get

feeds list

 cloudasset.feeds.list

feeds update

cloudasset.feeds.update

También necesitas uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportIamPolicy
  • cloudasset.assets.exportResource
APIs de Inventory

export

get-history

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.exportAccessPolicy

    Cuando se usa el tipo de contenido ACCESS_POLICY

  • cloudasset.assets.exportIamPolicy

    Cuando se usa el tipo de contenido IAM_POLICY

  • cloudasset.assets.exportOrgPolicy

    Cuando se usa el tipo de contenido ORG_POLICY

  • cloudasset.assets.exportOSInventories

    Cuando se usa el tipo de contenido OS_INVENTORY

  • cloudasset.assets.exportResource

    Cuando se usan los tipos de contenido RELATIONSHIP o RESOURCE

    Cómo limitar el acceso a los recursos

    Otorgar el permiso cloudasset.assets.exportResource a un usuario le permite exportar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede exportar, puedes otorgar permisos para cada tipo de recurso. Por ejemplo, puedes otorgar el permiso cloudasset.assets.exportComputeDisks por sí solo para permitir que un usuario solo exporte el tipo de recurso compute.googleapis.com/Disk.

    Estos permisos detallados solo se aplican a RESOURCE y a tipos de contenido no especificados.

    Consulta la lista de permisos detallados de cloudasset.assets.export*.

list

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.listAccessPolicy
  • cloudasset.assets.listIamPolicy
  • cloudasset.assets.listOrgPolicy
  • cloudasset.assets.listOSInventories

  • cloudasset.assets.listResource

    Cuando se usan los tipos de contenido RELATIONSHIP y RESOURCE

    Cómo limitar el acceso a los recursos

    Otorgar el permiso cloudasset.assets.listResource a un usuario le permite enumerar todos los tipos de recursos. Para restringir los tipos de recursos que un usuario puede enumerar, puedes otorgar permisos para cada tipo de recurso. Por ejemplo, puedes otorgar el permiso cloudasset.assets.listComputeDisks por sí solo para permitir que un usuario solo enumere el tipo de recurso compute.googleapis.com/Disk.

    Estos permisos detallados solo se aplican a RESOURCE y a tipos de contenido no especificados.

    Consulta la lista de permisos detallados de cloudasset.assets.list*.

query

Uno de los siguientes permisos, según el tipo de contenido:

  • cloudasset.assets.queryAccessPolicy
  • cloudasset.assets.queryIamPolicy
  • cloudasset.assets.queryOSInventories
  • cloudasset.assets.queryResource para los tipos de contenido RELATIONSHIP y RESOURCE
API de Búsqueda

search-all-iam-policies

 cloudasset.assets.searchAllIamPolicies

search-all-resources

cloudasset.assets.searchAllResources

También necesitas cloudasset.assets.searchEnrichmentResourceOwners si buscas el enriquecimiento del propietario del recurso.

Console

La consola de Google Cloud usa la API de SearchAllResourcespara solicitar datos. Para usar Cloud Asset Inventory en la consola de Google Cloud , otorga los siguientes permisos:

  • cloudasset.assets.searchAllResources
  • serviceusage.services.use

Controles del servicio de VPC

Los Controles del servicio de VPC se pueden usar con Cloud Asset Inventory a fin de proporcionar seguridad adicional para tus elementos. Para obtener más información sobre los Controles del servicio de VPC, consulta la Descripción general de los Controles del servicio de VPC.

Para conocer las limitaciones en el uso de Cloud Asset Inventory con los Controles del servicio de VPC, consulta la página sobre los productos admitidos y las limitaciones.