Grupos de usuarios y roles de Identity and Access Management recomendados

En la siguiente tabla, se describen los roles de Identity and Access Management (IAM) que recomendamos como punto de partida para ejecutar cargas de trabajo en Google Cloud. Configura tus roles de IAM para implementar la separación de tareas en tu entorno y para que se alineen con tu apetito por el riesgo y tu estructura organizacional.

A medida que asignes estos roles a los grupos de usuarios de tu organización, considera dónde necesitas aplicar roles más detallados para abordar casos de uso específicos y requisitos de acceso a los datos. En los entornos en los que se usan datos altamente sensibles (por ejemplo, si usas datos sensibles para entrenar modelos), consulta Importa datos a un almacén de datos seguro de BigQuery para obtener más información sobre los roles que puedes usar para permitir el acceso a los datos almacenados.

En la siguiente tabla, se describen las recomendaciones de roles. Aplica las recomendaciones básicas y las recomendaciones específicas para casos de uso según corresponda.

Servicio Grupo Descripción Funciones de IAM

Básica

grp-gcp-org-admin

Este grupo administra los recursos que pertenecen a la organización. Asigna este rol con moderación. Los administradores de la organización tienen acceso a todos tus Google Cloud recursos. Como alternativa, debido a que esta función tiene muchos privilegios, considera usar cuentas individuales en lugar de crear un grupo.
  • Administrador de la organización (roles/resourcemanager.organizationAdmin)
  • Administrador de carpetas (roles/resourcemanager.folderAdmin)
  • Creador de proyectos (roles/resourcemanager.projectCreator)
  • Usuario de cuentas de facturación (roles/billing.user)
  • Administrador de roles de la organización (roles/iam.organizationRoleAdmin)
  • Administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
  • Administrador del centro de seguridad (roles/securitycenter.admin)
  • Administrador de cuentas de asistencia (roles/cloudsupport.admin)

Básica

grp-gcp-network-admins

Este grupo puede crear redes, subredes, reglas de firewall y dispositivos de red como Cloud Router, Cloud VPN y balanceadores de cargas en la nube.
  • Administrador de red de Compute (roles/compute.networkAdmin)
  • Administrador de VPC compartida de Compute (roles/compute.xpnAdmin)
  • Administrador de seguridad de Compute (roles/compute.securityAdmin)
  • Visualizador de carpetas (roles/resourcemanager.folderViewer)

Básica

grp-gcp-billing-admin

Este grupo configura las cuentas de facturación y supervisa su uso.
  • Administrador de cuentas de facturación (roles/billing.admin)
  • Creador de cuentas de facturación (roles/billing.creator)
  • Visualizador de la organización (roles/resourcemanager.organizationViewer)

Básica

grp-gcp-security-admins

Este grupo establece y administra políticas de seguridad para toda la organización, incluidas la administración de accesos y las políticas de restricciones de la organización. Para planificar tu Google Cloud infraestructura de seguridad, consulta el plano de bases empresariales.
  • Visualizador de datos de BigQuery (roles/bigquery.dataViewer)
  • Visualizador de Compute (roles/compute.viewer)
  • Administrador de IAM de carpetas (roles/resourcemanager.folderIamAdmin)
  • Visualizador de Kubernetes Engine (roles/container.viewer)
  • Escritor de configuración de registros (roles/logging.configWriter)
  • Visualizador de roles de la organización (roles/iam.organizationRoleViewer)
  • Administrador de políticas de la organización (roles/orgpolicy.policyAdmin)
  • Visualizador de políticas de la organización (roles/orgpolicy.policyViewer)
  • Visualizador de registros privados (roles/logging.privateLogViewer)
  • Administrador del centro de seguridad (roles/securitycenter.admin)
  • Revisor de seguridad (roles/iam.securityReviewer)

Básica

grp-gcp-billing-viewer

Este grupo supervisa la inversión en proyectos. Por lo general, los miembros del grupo forman parte del equipo de finanzas.
  • Visualizador de cuentas de facturación (roles/billing.viewer)

Básica

grp-gcp-platform-viewer

Este grupo revisa la información de recursos en toda la Google Cloud organización.
  • Visualizador (roles/viewer)

Básica

grp-gcp-security-reviewer

Este grupo revisa la seguridad de la nube.
  • Revisor de seguridad (roles/iam.securityReviewer)

Básica

grp-gcp-network-viewer

Este grupo revisa las configuraciones de red.
  • Visualizador de la red de Compute (roles/compute.networkViewer)

Básica

grp-gcp-audit-viewer

Este grupo visualiza los registros de auditoría.
  • Visualizador de registros privados (roles/logging.privateLogViewer)
  • Visualizador (roles/viewer)

Básica

grp-gcp-scc-admin

Este grupo administra Security Command Center.
  • Administrador del centro de seguridad (roles/securitycenter.admin)

Básica

grp-gcp-secrets-admin

Este grupo administra secretos en Secret Manager.
  • Administrador de Secret Manager (roles/secretmanager.admin)

Administradores de Agent Platform

grp-gcp-vertex-ai-admin

Este grupo tiene acceso completo a todos los recursos de Agent Platform.
  • Administrador de Vertex AI (roles/aiplatform.admin)

Visualizadores de Agent Platform

grp-gcp-vertex-ai-viewer

Este grupo visualiza todos los recursos de Agent Platform.
  • Visualizador de Vertex AI (roles/aiplatform.viewer)

Usuarios de Agent Platform

grp-gcp-vertex-ai-user

Este grupo usa todos los recursos de Agent Platform.
  • Usuario de Vertex AI (roles/aiplatform.user)

Administradores de Agent Platform Workbench

grp-gcp-vertex-ai-notebook-admin

Este grupo tiene acceso completo a todas las plantillas de entorno de ejecución y los entornos de ejecución de Agent Platform Workbench.
  • Administrador del entorno de ejecución del notebook (roles/aiplatform.notebookRuntimeAdmin)

Usuarios de Agent Platform Workbench

grp-gcp-vertex-ai-notebook-user

Este grupo crea recursos de entorno de ejecución mediante una plantilla de entorno de ejecución y administra los que hayan creado.
  • Usuario del entorno de ejecución del notebook (roles/aiplatform.notebookRuntimeUser)

¿Qué sigue?