Control de acceso con IAM

En esta página, se describen los roles y permisos de Infrastructure Manager.

Infra Manager usa Identity and Access Management (IAM) para controlar el acceso al servicio. Para otorgar acceso a la implementación de recursos con Infra Manager, asigna los roles de IAM necesarios de Infra Manager a la cuenta de servicio que usas para llamar a Infra Manager. Para obtener detalles sobre cómo otorgar permisos a las cuentas de servicio, consulta Administra el acceso a las cuentas de servicio.

No se requiere una cuenta de servicio para ver las implementaciones, las revisiones y las políticas de IAM de Infra Manager. Para ver Infra Manager, otorga acceso al usuario, al grupo o a la cuenta de servicio.

Para implementar o ver los recursos Google Cloud definidos en la configuración de Terraform, debes otorgar a la cuenta de servicio permisos específicos para estos recursos. Estos permisos se suman a los permisos de Infra Manager que se indican en esta página. Para obtener una lista de todos los roles y los permisos que contienen, consulta la referencia de los roles básicos y predefinidos de Identity and Access Management.

Roles predefinidos de Infra Manager

IAM proporciona roles predefinidos que otorgan acceso a recursos Google Cloud específicos y evitan el acceso no autorizado a otros recursos.

En la siguiente tabla, se enumeran los roles de IAM de Infra Manager y los permisos que incluyen:

Rol Descripción Permisos
Administrador de Infra Manager (roles/config.admin) Para un usuario, control total de los recursos de Infra Manager config.deployments.create
config.deployments.delete
config.deployments.deleteState
config.deployments.get
config.deployments.getIamPolicy
config.deployments.getLock
config.deployments.getState
config.deployments.list
config.deployments.lock
config.deployments.setIamPolicy
config.deployments.unlock
config.deployments.update
config.deployments.updateState
config.previews.create
config.previews.delete
config.previews.get
config.previews.list
config.previews.export
config.previews.upload
config.locations.get
config.locations.list
config.operations.cancel
config.operations.delete
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.resourcechanges.get
config.resourcechanges.list
config.resourcedrifts.get
config.resourcedrifts.list
config.revisions.get
config.revisions.getState
config.revisions.list
config.artifacts.import
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list
Agente de servicio de Infra Manager (roles/config.agent) Proporciona acceso a una cuenta de servicio para trabajar con Infra Manager, lo que incluye implementaciones, revisiones, registros y archivos de estado de Terraform. storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
logging.logEntries.create
config.deployments.getState
config.deployments.updateState
config.deployments.deleteState
config.deployments.getLock
config.previews.upload
config.artifacts.import
config.revisions.getState
cloudbuild.connections.list
cloudbuild.repositories.accessReadToken
cloudbuild.repositories.list
cloudquotas.quotas.get
monitoring.timeSeries.list
Cuenta de servicio de Infra Manager (roles/cloudconfig.serviceAgent) Cuando habilitas la API de Infra Manager, la cuenta de servicio de Infra Manager se crea automáticamente en el proyecto y se le otorga este rol para los recursos del proyecto. La cuenta de servicio de Infra Manager usa este rol solo cuando es necesario para realizar acciones cuando se crean, administran o borran implementaciones y revisiones. cloudbuild.builds.get
cloudbuild.builds.list
cloudbuild.builds.create
cloudbuild.builds.update
cloudbuild.workerpools.use
iam.serviceAccounts.actAs
iam.serviceAccounts.getAccessToken
logging.logEntries.create
logging.logEntries.route
serviceusage.services.use
storage.buckets.get
storage.buckets.list
storage.buckets.create
storage.buckets.update
storage.buckets.delete
storage.objects.get
storage.objects.list
storage.objects.create
storage.objects.update
storage.objects.delete
Visualizador de Infra Manager (roles/config.viewer) Lee las implementaciones, las revisiones y las políticas de IAM. config.deployments.get
config.deployments.getIamPolicy
config.deployments.list
config.previews.get
config.previews.list
config.locations.get
config.locations.list
config.operations.get
config.operations.list
config.resources.get
config.resources.list
config.revisions.get
config.revisions.list
config.terraformversions.get
config.terraformversions.list
resourcemanager.projects.get
resourcemanager.projects.list

Además de los roles predefinidos de Infra Manager, los roles básicos de visualizador y propietario también incluyen permisos relacionados con Infra Manager. Sin embargo, te recomendamos otorgar roles predefinidos siempre que sea posible para cumplir con el principio de privilegio mínimo de seguridad.

En la siguiente tabla, se enumeran los roles básicos y los roles de IAM de Infra Manager que incluyen.

Rol incluye la función
Lector roles/config.viewer
Propietario roles/config.admin

Permisos

Los permisos que debe tener el emisor para llamar a cada método se enumeran en la referencia de la API de REST.

¿Qué sigue?