Funciones y permisos

Google Cloud ofrece Identity and Access Management (IAM) para permitirte brindar acceso más detallado a recursos específicos de Google Cloud y evitar el acceso a otros recursos. En esta página, se describen los roles y permisos de las Service Extensions.

IAM te permite adoptar el principio de seguridad de privilegio mínimo, de manera que solo otorgues el acceso necesario a tus recursos.

Los roles son colecciones de permisos de IAM. Para que los permisos estén disponibles para las principales, incluidos los usuarios, los grupos y las cuentas de servicio, debes otorgar roles a las principales. Puedes controlar quién tiene qué permisos para cuáles recursos configurando políticas de IAM. Las políticas de IAM otorgan roles específicos a las principales, lo que les otorga ciertos permisos.

Para obtener información detallada sobre los roles de IAM, consulta Roles y permisos.

Roles y permisos predefinidos para las extensiones de servicio

Las extensiones de servicio admiten permisos de IAM a nivel del proyecto.

En la siguiente tabla, se enumeran las funciones de IAM de Service Extensions y los permisos que incluye cada función.

Funciones Permisos

Administrador de extensiones del servicio

(roles/networkservices.serviceExtensionsAdmin)

Permisos para crear, actualizar, enumerar, ver y borrar extensiones

networkservices.authzExtensions.create
networkservices.authzExtensions.delete
networkservices.authzExtensions.get
networkservices.authzExtensions.list
networkservices.authzExtensions.update
networkservices.authzExtensions.use
networkservices.lbEdgeExtensions.create
networkservices.lbEdgeExtensions.delete
networkservices.lbEdgeExtensions.get
networkservices.lbEdgeExtensions.list
networkservices.lbEdgeExtensions.update
networkservices.lbRouteExtensions.create
networkservices.lbRouteExtensions.delete
networkservices.lbRouteExtensions.get
networkservices.lbRouteExtensions.list
networkservices.lbRouteExtensions.update
networkservices.lbTrafficExtensions.create
networkservices.lbTrafficExtensions.delete
networkservices.lbTrafficExtensions.get
networkservices.lbTrafficExtensions.list
networkservices.lbTrafficExtensions.update
networkservices.wasmActions.get
networkservices.wasmActions.list
networkservices.wasmActions.create
networkservices.wasmActions.delete
networkservices.wasmPlugins.get
networkservices.wasmPlugins.list
networkservices.wasmPlugins.create
networkservices.wasmPlugins.update
networkservices.wasmPlugins.delete
networkservices.wasmPlugins.use

Visualizador de extensiones del servicio

(roles/networkservices.serviceExtensionsViewer)

Permisos para enumerar y ver extensiones.

networkservices.authzExtensions.get
networkservices.authzExtensions.list
networkservices.lbEdgeExtensions.get
networkservices.lbEdgeExtensions.list
networkservices.lbRouteExtensions.get
networkservices.lbRouteExtensions.list
networkservices.lbTrafficExtensions.get
networkservices.lbTrafficExtensions.list
networkservices.wasmActions.get
networkservices.wasmActions.list
networkservices.wasmPlugins.get
networkservices.wasmPlugins.list

En la siguiente tabla, se enumeran los roles de IAM que necesitas para otros servicios y los permisos que incluye cada rol.

Funciones Permisos

Administrador de balanceador de cargas de Compute

(roles/compute.loadBalancerAdmin)

Permisos para actualizar las reglas de reenvío Se requiere al crear y actualizar extensiones que se adjuntan a reglas de reenvío.

compute.forwardingRules.update
compute.globalForwardingRules.update

Usuario de servicios del balanceador de cargas de Compute

(roles/compute.loadBalancerServiceUser)

Permisos para usar servicios de backend Se requiere al crear y actualizar extensiones que usan servicios de backend como servicios de extensión.

compute.backendServices.use
compute.regionBackendBuckets.use

Administra el control de acceso

Para configurar los controles de acceso a nivel de proyecto, sigue estos pasos:

  1. En la consola de Google Cloud , dirígete a la página IAM.

    Ir a IAM

  2. Elige tu proyecto.

  3. Haz clic en Agregar.

  4. En Principales nuevas, ingresa la dirección de correo electrónico de una principal nueva.

  5. Selecciona el rol requerido.

  6. Haz clic en Guardar.

  7. Verifica que la principal aparezca en la lista con el rol que le otorgaste.

Identifica los permisos en un rol

Para determinar si se incluyen uno o más permisos en un rol, puedes usar uno de los siguientes métodos:

¿Qué sigue?