Control de acceso con la IAM

En esta página, se describen las funciones y los permisos de Infrastructure Manager.

Infra Manager usa Identity and Access Management (IAM) para controlar el acceso al servicio. Para otorgar acceso a la implementación de recursos con Infra Manager, asigna los roles de IAM de Infra Manager necesarios a la cuenta de servicio que usas para llamar a Infra Manager. Para obtener detalles sobre cómo otorgar permisos a las cuentas de servicio, consulta Administra el acceso a las cuentas de servicio.

No se requiere una cuenta de servicio para ver las implementaciones, las revisiones y las políticas de IAM de Infra Manager. Para ver Infra Manager, otorga acceso al usuario, al grupo o a la cuenta de servicio.

Para implementar o ver los Google Cloud recursos definidos en la configuración de Terraform, debes otorgar a la cuenta de servicio permisos específicos para estos recursos. Estos permisos se suman a los permisos de Infra Manager que se enumeran en esta página. Para obtener una lista de todos los roles y los permisos que contienen, consulta la referencia de roles básicos y predefinidos de Identity and Access Management.

Roles predefinidos de Infra Manager

IAM proporciona roles predefinidos que otorgan acceso a recursos específicos Google Cloud y evitan el acceso no autorizado a otros recursos.

En la siguiente tabla, se enumeran los roles de IAM de Infra Manager y los permisos que estas incluyen:

Rol Descripción Permisos
Administrador de Infra Manager (roles/config.admin) Para un usuario, control total de los recursos de Infra Manager config.deployments.create
config.deployments.delete
config.deployments.deleteState
config.deployments.get
config.deployments.getIamPolicy
config.deployments.getLock
config.deployments.getState
config.deployments.list
config.deployments.lock
config.deployments.setIamPolicy
config.deploymentgroups.create
config.deploymentgroups.update
config.deploymentgroups.delete
config.deploymentgroups.get
config.deploymentgroups.list
config.deploymentgroups.provision
config.deploymentgroups.deprovision
config.deploymentgrouprevisions.get
config.deploymentgrouprevisions.list
config.deployments.unlock
config.deployments.update
config.deployments.updateState
config.automigrationconfig.get
config.automigrationconfig.update
config.previews.create
config.previews.delete
config.previews.get
config.previews.list
config.previews.export
config.previews.upload
config.locations.get
config.locations.list
config.operations.cancel
config.operations.delete
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.resourcechanges.get
config.resourcechanges.list
config.resourcedrifts.get
config.resourcedrifts.list
config.revisions.get
config.revisions.getState
config.revisions.list
config.artifacts.import
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list
Agente de servicio de Infra Manager (roles/config.agent) Proporciona acceso a una cuenta de servicio para trabajar con Infra Manager, incluidas las implementaciones, las revisiones, el registro y los archivos de estado de Terraform. storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
logging.logEntries.create
config.deployments.getState
config.deployments.updateState
config.deployments.deleteState
config.deployments.getLock
config.previews.upload
config.artifacts.import
config.revisions.getState
cloudbuild.connections.list
cloudbuild.repositories.accessReadToken
cloudbuild.repositories.list
cloudquotas.quotas.get
monitoring.timeSeries.list
Cuenta de servicio de Infra Manager (roles/cloudconfig.serviceAgent) Cuando habilitas la API de Infra Manager, la cuenta de servicio de Infra Manager se crea automáticamente en el proyecto y se le otorga este rol para los recursos del proyecto. La cuenta de servicio de Infra Manager usa este rol solo según sea necesario para realizar acciones cuando se crean, administran o borran implementaciones y revisiones. cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update
cloudbuild.workerpools.use
iam.serviceAccounts.actAs
iam.serviceAccounts.getAccessToken
logging.logEntries.create
logging.logEntries.route
serviceusage.services.use
storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
Lector de Infra Manager (roles/config.viewer) Lee implementaciones, revisiones y políticas de IAM. config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.deploymentgroups.get
config.deploymentgroups.list
config.deploymentgrouprevisions.get
config.deploymentgrouprevisions.list
config.previews.get
config.previews.list
config.locations.get
config.locations.list
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list

Además de los roles predefinidos de Infra Manager, los básicos roles de visualizador y propietario también incluyen permisos relacionados con Infra Manager. Sin embargo, te recomendamos otorgar roles predefinidos siempre que sea posible para cumplir con el principio de privilegio mínimo.

En la siguiente tabla, se enumeran los roles básicos y los roles de IAM de Infra Manager que estas incluyen.

Rol incluye la función
Visualizador roles/config.viewer
Propietario roles/config.admin

Permisos

Los permisos que debe tener el emisor para llamar a cada método se enumeran en la referencia de la API de REST.

¿Qué sigue?