Se usó la API de Cloud Translation para traducir esta página.

Autorización y control de acceso

Identity and Access Management (IAM) es una herramienta que te permite controlar quién puede hacer qué en tu Google Cloud entorno.

El acceso se controla con permisos de IAM, que son necesarios para trabajar con cualquier recurso en un entorno de Google Cloud . Cuando se te otorgan los permisos para trabajar con un recurso, estás autorizado para acceder a él. Sin la autorización adecuada, no puedes acceder a los recursos de Google Cloud.

Permisos y roles

Para trabajar con un recurso, tu cuenta de usuario debe tener los permisos pertinentes para acceder a él.

Por lo general, el administrador de IAM es responsable de controlar el acceso a los recursos. Tu administrador puede otorgarte permisos para acceder a un solo recurso o a todos los recursos de un proyecto, una carpeta o una organización. Los administradores otorgan los permisos pertinentes a tu cuenta de usuario en paquetes llamados roles. Siempre y cuando tu cuenta de usuario tenga un rol con los permisos adecuados, puedes usar ese rol para acceder a los recursos de Google Cloud .

En general, el flujo de trabajo para realizar una acción en cualquier recurso de tu entorno deGoogle Cloud se ve de la siguiente manera:

Quieres realizar una acción en un recurso (por ejemplo, subir un objeto a un bucket de Cloud Storage), pero no tienes los permisos adecuados. Sin los permisos, no podrás realizar la acción.
Puedes solicitar los permisos que necesitas a tu administrador de IAM a través de tu sistema de administración de solicitudes preferido o directamente desde el mensaje de error de permiso en la consola de Google Cloud .
Tu administrador de IAM otorga un rol que contiene los permisos adecuados a tu cuenta de usuario. Ahora puedes realizar la acción.

Usa IAM como administrador

Por lo general, los administradores son responsables de otorgar roles a los usuarios para que puedan acceder a los recursos de Google Cloud . Los usuarios se representan con identidades autenticadas conocidas como principales.

Otorgar roles a una principal en un recurso implica editar la política de permisos adjunta al recurso. Las políticas de permisos enumeran qué principales tienen acceso al recurso y qué acciones pueden realizar en él. IAM usa políticas de permisos para determinar si una principal tiene los permisos necesarios para acceder al recurso. Por lo tanto, para otorgar acceso a una principal a un recurso en particular, debes actualizar la política de permisos del recurso con la principal y los roles que deseas otorgar.

Los administradores pueden otorgar roles a las principales en los siguientes tipos de recursos:

Proyectos, carpetas y organizaciones: Estos recursos son los recursos de contenedor que se usan para estructurar tu jerarquía de recursos. Los roles que otorgas en estos recursos de contenedor se aplican a todos los recursos específicos del servicio que contienen.
Recursos específicos del servicio: Son las funciones o los componentes que ofrece un servicio. Por ejemplo, Compute Engine tiene recursos como instancias, discos y subredes. Otorgar roles en un recurso específico del servicio proporciona un control de acceso más detallado que otorgar roles en un recurso de contenedor, ya que limita el acceso de un usuario solo a ese recurso.

Control de acceso avanzado con IAM

Las políticas de permisos son el método más común para controlar el acceso a un entorno deGoogle Cloud con IAM. Sin embargo, la IAM también ofrece otras opciones más avanzadas para el control de acceso, incluidas las siguientes:

Tipos de políticas adicionales, como las políticas de denegación y de límite de acceso de las principales
Controles de acceso condicionales basados en atributos
Controles de acceso temporales, como Privileged Access Manager (PAM)

Otras formas de control de acceso

Si bien IAM es el método principal de control de acceso paraGoogle Cloud, existen otros servicios de Google Cloud que pueden afectar el acceso de un usuario a los recursos.

A continuación, se muestran algunos ejemplos de otros servicios que pueden afectar el acceso de un usuario:

Access Context Manager: Access Context Manager te permite definir un control de acceso detallado basado en atributos para proyectos y recursos en Google Cloud.
Identity-Aware Proxy (IAP): IAP usa un modelo de control de acceso a nivel de la aplicación en el que estableces una capa de autorización central para las aplicaciones a las que se accede a través de HTTPS.
Servicio de políticas de la organización: La política de la organización te permite configurar restricciones en toda la jerarquía de recursos para brindarte un control centralizado y programático sobre los recursos en la nube de tu organización.
Controles del servicio de VPC: Los Controles del servicio de VPC te permiten definir perímetros que ayudan a proteger los recursos y datos de Google Cloud los servicios de Google Cloud que especificas de forma explícita.

¿Qué sigue?

Para obtener una descripción más detallada del sistema de IAM y cómo funciona, consulta la página de descripción general de IAM en la documentación de IAM.
Para obtener información sobre los mensajes de error de IAM, consulta Soluciona problemas relacionados con los mensajes de error de permisos en la documentación de IAM.

Autorización y control de acceso Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.