Funciones y permisos

Google Cloud ofrece Identity and Access Management (IAM) para permitirte brindar acceso más detallado a recursos específicos de Google Cloud y evitar el acceso a otros recursos. En esta página, se describen los roles y permisos de las Service Extensions.

IAM te permite adoptar el principio de seguridad de privilegio mínimo, de manera que solo otorgues el acceso necesario a tus recursos.

Los roles son colecciones de permisos de IAM. Para que los permisos estén disponibles para las principales, incluidos los usuarios, los grupos y las cuentas de servicio, debes otorgar roles a las principales. Puedes controlar quién tiene qué permisos para cuáles recursos configurando políticas de IAM. Las políticas de IAM otorgan roles específicos a las principales, lo que les otorga ciertos permisos.

Para obtener información detallada sobre los roles de IAM, consulta Roles y permisos.

Roles y permisos predefinidos para las extensiones de servicio

Las extensiones de servicio admiten permisos de IAM a nivel del proyecto.

En la siguiente tabla, se enumeran las funciones de IAM de Service Extensions y los permisos que incluye cada función.

Funciones	Permisos
Administrador de extensiones del servicio (roles/networkservices.serviceExtensionsAdmin) Permisos para crear, actualizar, enumerar, ver y borrar extensiones	networkservices.authzExtensions.create networkservices.authzExtensions.delete networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.authzExtensions.update networkservices.authzExtensions.use networkservices.lbEdgeExtensions.create networkservices.lbEdgeExtensions.delete networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbEdgeExtensions.update networkservices.lbRouteExtensions.create networkservices.lbRouteExtensions.delete networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbRouteExtensions.update networkservices.lbTrafficExtensions.create networkservices.lbTrafficExtensions.delete networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.lbTrafficExtensions.update networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmActions.create networkservices.wasmActions.delete networkservices.wasmPlugins.get networkservices.wasmPlugins.list networkservices.wasmPlugins.create networkservices.wasmPlugins.update networkservices.wasmPlugins.delete networkservices.wasmPlugins.use
Visualizador de extensiones del servicio (roles/networkservices.serviceExtensionsViewer) Permisos para enumerar y ver extensiones.	networkservices.authzExtensions.get networkservices.authzExtensions.list networkservices.lbEdgeExtensions.get networkservices.lbEdgeExtensions.list networkservices.lbRouteExtensions.get networkservices.lbRouteExtensions.list networkservices.lbTrafficExtensions.get networkservices.lbTrafficExtensions.list networkservices.wasmActions.get networkservices.wasmActions.list networkservices.wasmPlugins.get networkservices.wasmPlugins.list

En la siguiente tabla, se enumeran los roles de IAM que necesitas para otros servicios y los permisos que incluye cada rol.

Funciones	Permisos
Administrador de balanceador de cargas de Compute (roles/compute.loadBalancerAdmin) Permisos para actualizar las reglas de reenvío Se requiere al crear y actualizar extensiones que se adjuntan a reglas de reenvío.	compute.forwardingRules.update compute.globalForwardingRules.update
Usuario de servicios del balanceador de cargas de Compute (roles/compute.loadBalancerServiceUser) Permisos para usar servicios de backend Se requiere al crear y actualizar extensiones que usan servicios de backend como servicios de extensión.	compute.backendServices.use compute.regionBackendBuckets.use

Administra el control de acceso

Para configurar los controles de acceso a nivel de proyecto, sigue estos pasos:

1. En la consola de Google Cloud , dirígete a la página IAM.

   Ir a IAM

2. Elige tu proyecto.

3. Haz clic en Agregar.

4. En Principales nuevas, ingresa la dirección de correo electrónico de una principal nueva.

5. Selecciona el rol requerido.

6. Haz clic en Guardar.

7. Verifica que la principal aparezca en la lista con el rol que le otorgaste.

Identifica los permisos en un rol

Para determinar si se incluyen uno o más permisos en un rol, puedes usar uno de los siguientes métodos:

• La referencia de búsqueda en los permisos de IAM
• El comando de gcloud iam roles describe
• El método roles.get() en la API de IAM

¿Qué sigue?

• Consulta la descripción general de las extensiones del servicio.
• Aprende a preparar el código del complemento para crear complementos.
• Obtén más información para crear un complemento.
• Obtén más información para administrar complementos.