Control de acceso con la IAM

En esta página, se describen las opciones de control de acceso que están disponibles en Cloud Scheduler.

Descripción general

Cloud Scheduler usa Identity and Access Management (IAM) para el control de acceso.

Para obtener una introducción a IAM y sus funciones, consulta la Descripción general de IAM. Si deseas obtener información para otorgar y revocar el acceso, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Para obtener una lista de los permisos y funciones que admite Cloud Scheduler, consulta las siguientes secciones.

Habilita la API de Cloud Scheduler

Para ver y asignar funciones de IAM para Cloud Scheduler, debes habilitar la API de Cloud Scheduler en tu proyecto. No podrás ver las funciones de Cloud Scheduler en la Google Cloud console hasta que habilites la API.

Roles necesarios para habilitar las APIs

Para habilitar las APIs, necesitas el rol de IAM de administrador de Service Usage (roles/serviceusage.serviceUsageAdmin), que contiene el permiso serviceusage.services.enable. Obtén más información para otorgar roles.

Habilitar la API

Funciones predefinidas

En la siguiente tabla, se muestran las funciones predefinidas de IAM para Cloud Scheduler con la lista correspondiente de todos los permisos que incluye cada una.

Las funciones predefinidas abordan los casos de uso más típicos. Si las funciones predefinidas no cubren tu caso de uso, puedes crear una función personalizada de IAM.

Funciones de Cloud Scheduler

Role Permissions

Role	Permissions
Cloud Scheduler Admin (`roles/cloudscheduler.admin`) Full access to jobs and executions. Note that a Cloud Scheduler Admin (or any custom role with the permission cloudscheduler.jobs.create) can create jobs that publish to any Pub/Sub topics within the project.	`appengine.applications.get` `cloudscheduler.` `cloudscheduler.jobs.create` `cloudscheduler.jobs.delete` `cloudscheduler.jobs.enable` `cloudscheduler.jobs.fullView` `cloudscheduler.jobs.get` `cloudscheduler.jobs.list` `cloudscheduler.jobs.pause` `cloudscheduler.jobs.run` `cloudscheduler.jobs.update` `cloudscheduler.locations.get` `cloudscheduler.locations.list` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.consumerpolicy.analyze` `serviceusage.consumerpolicy.get` `serviceusage.effectivepolicy.get` `serviceusage.groups.` `serviceusage.groups.list` `serviceusage.groups.listExpandedMembers` `serviceusage.groups.listMembers` `serviceusage.services.get` `serviceusage.services.list` `serviceusage.values.test`
Cloud Scheduler Viewer (`roles/cloudscheduler.viewer`) Get and list access to jobs, executions, and locations.	`appengine.applications.get` `cloudscheduler.jobs.fullView` `cloudscheduler.jobs.get` `cloudscheduler.jobs.list` `cloudscheduler.locations.` `cloudscheduler.locations.get` `cloudscheduler.locations.list` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.consumerpolicy.analyze` `serviceusage.consumerpolicy.get` `serviceusage.effectivepolicy.get` `serviceusage.groups.` `serviceusage.groups.list` `serviceusage.groups.listExpandedMembers` `serviceusage.groups.listMembers` `serviceusage.services.get` `serviceusage.services.list` `serviceusage.values.test`
Cloud Scheduler Job Runner (`roles/cloudscheduler.jobRunner`) Access to run jobs.	`appengine.applications.get` `cloudscheduler.jobs.fullView` `cloudscheduler.jobs.run` `resourcemanager.projects.get` `resourcemanager.projects.list` `serviceusage.consumerpolicy.analyze` `serviceusage.consumerpolicy.get` `serviceusage.effectivepolicy.get` `serviceusage.groups.*` `serviceusage.groups.list` `serviceusage.groups.listExpandedMembers` `serviceusage.groups.listMembers` `serviceusage.services.get` `serviceusage.services.list` `serviceusage.values.test`

Cloud Scheduler Admin

(roles/cloudscheduler.admin)

Full access to jobs and executions.

Note that a Cloud Scheduler Admin (or any custom role with the permission cloudscheduler.jobs.create) can create jobs that publish to any Pub/Sub topics within the project.

appengine.applications.get

cloudscheduler.*

cloudscheduler.jobs.create
cloudscheduler.jobs.delete
cloudscheduler.jobs.enable
cloudscheduler.jobs.fullView
cloudscheduler.jobs.get
cloudscheduler.jobs.list
cloudscheduler.jobs.pause
cloudscheduler.jobs.run
cloudscheduler.jobs.update
cloudscheduler.locations.get
cloudscheduler.locations.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.consumerpolicy.analyze

serviceusage.consumerpolicy.get

serviceusage.effectivepolicy.get

serviceusage.groups.*

serviceusage.groups.list
serviceusage.groups.listExpandedMembers
serviceusage.groups.listMembers

serviceusage.services.get

serviceusage.services.list

serviceusage.values.test

Cloud Scheduler Viewer

(roles/cloudscheduler.viewer)

Get and list access to jobs, executions, and locations.

appengine.applications.get

cloudscheduler.jobs.fullView

cloudscheduler.jobs.get

cloudscheduler.jobs.list

cloudscheduler.locations.*

cloudscheduler.locations.get
cloudscheduler.locations.list

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.consumerpolicy.analyze

serviceusage.consumerpolicy.get

serviceusage.effectivepolicy.get

serviceusage.groups.*

serviceusage.groups.list
serviceusage.groups.listExpandedMembers
serviceusage.groups.listMembers

serviceusage.services.get

serviceusage.services.list

serviceusage.values.test

Cloud Scheduler Job Runner

(roles/cloudscheduler.jobRunner)

Access to run jobs.

appengine.applications.get

cloudscheduler.jobs.fullView

cloudscheduler.jobs.run

resourcemanager.projects.get

resourcemanager.projects.list

serviceusage.consumerpolicy.analyze

serviceusage.consumerpolicy.get

serviceusage.effectivepolicy.get

serviceusage.groups.*

serviceusage.groups.list
serviceusage.groups.listExpandedMembers
serviceusage.groups.listMembers

serviceusage.services.get

serviceusage.services.list

serviceusage.values.test

Service agent roles

Service agent roles should only be granted to service agents.

Role Permissions

Role	Permissions
Cloud Scheduler Service Agent (`roles/cloudscheduler.serviceAgent`) Grants Cloud Scheduler Service Account access to manage resources. Warning: Do not grant service agent roles to any principals except service agents.	`iam.serviceAccounts.getAccessToken` `iam.serviceAccounts.getOpenIdToken` `logging.logEntries.create` `logging.logEntries.route` `pubsub.topics.publish`

Cloud Scheduler Service Agent

(roles/cloudscheduler.serviceAgent)

Grants Cloud Scheduler Service Account access to manage resources.

iam.serviceAccounts.getAccessToken

iam.serviceAccounts.getOpenIdToken

logging.logEntries.create

logging.logEntries.route

pubsub.topics.publish

Administración de IAM a nivel de proyecto

A nivel de proyecto, puedes otorgar, cambiar y revocar roles de IAM con la Google Cloud console, la API de IAM o Google Cloud CLI. Para obtener instrucciones, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Control de acceso con la IAM Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Descripción general

Habilita la API de Cloud Scheduler

Funciones predefinidas

Funciones de Cloud Scheduler

Cloud Scheduler Admin

Cloud Scheduler Viewer

Cloud Scheduler Job Runner

Service agent roles

Cloud Scheduler Service Agent

Administración de IAM a nivel de proyecto

Control de acceso con la IAM