Configure el control de acceso para su jerarquía de recursos

En esta tarea, configura el control de acceso para su jerarquía de recursos agregando políticas de IAM a los recursos. Una política de IAM es una colección de declaraciones que definen quién tiene qué tipo de acceso. Una política se adjunta a un recurso y se utiliza para hacer cumplir el control de acceso cada vez que se accede a ese recurso.

Para establecer permisos, realiza el mismo procedimiento básico, pero lo hace para recursos en diferentes niveles de la jerarquía (organización, carpetas y proyectos). Le recomendamos que utilice el principio de privilegio mínimo y otorgue la menor cantidad de acceso necesaria a los recursos en cada nivel. Los roles que recomendamos en los siguientes procedimientos le ayudarán a hacer cumplir el principio de privilegio mínimo.

¿Quién realiza esta tarea?

Un usuario con permisos de Administrador de la Organización.

¿Qué haces?

Establezca políticas de IAM a nivel de organización, carpeta y proyecto.

¿Por qué recomendamos esta tarea?

Establecer políticas de IAM en su jerarquía de recursos le permite controlar de manera escalable el acceso a sus recursos en la nube.

Establecer políticas de IAM a nivel de organización

Las políticas que establezca en el nivel de la organización se aplican a todas las carpetas y proyectos de la organización. La siguiente tabla enumera los miembros y las funciones que les asigna a nivel de organización. Los pasos para realizar este procedimiento se enumeran después de la tabla.

Miembro Roles a otorgar gcp-network-admins@.com

Compute Engine > Administrador de red de Compute . Esto otorga permisos para crear, modificar y eliminar recursos de red, excepto las reglas de firewall y los certificados SSL.
Compute Engine > Administrador de VPC compartida de Compute . Esto otorga permisos para administrar proyectos de host de VPC compartida.
Compute Engine > Administrador de seguridad de Compute . Esto otorga permisos para crear, modificar y eliminar reglas de firewall y certificados SSL.
Administrador de recursos > Visor de carpetas . Esto otorga permisos para ver carpetas.

gcp-security-admins@.com

Política de la organización > Administrador de políticas de la organización . Esto otorga permisos para establecer políticas de IAM a nivel de organización.
Política de la organización > Visor de políticas de la organización . Esto otorga permisos para ver las políticas de IAM que se aplican a la organización.
IAM > Revisor de seguridad . Esto otorga permisos para ver todos los recursos de la organización y ver las políticas de IAM que se les aplican.
Roles > Visor de roles de organización . Esto otorga permisos para ver todos los roles de IAM personalizados en la organización y para ver los proyectos a los que se aplican.
Centro de seguridad > Administrador del centro de seguridad . Esto otorga acceso de administrador al centro de comando de seguridad.
Administrador de recursos > Administrador de IAM de carpetas . Esto otorga permisos para establecer políticas de IAM a nivel de carpeta.
Registro > Visor de registros privados . Esto otorga acceso de solo lectura a las funciones de Cloud Logging, incluida la capacidad de leer registros privados.
Registro > Escritor de configuración de registros . Esto otorga permisos para crear métricas basadas en registros y exportar sumideros.
Kubernetes Engine > Visor de Kubernetes Engine . Esto otorga acceso de solo lectura a los recursos de Google Kubernetes Engine.
Compute Engine > Compute Viewer . Esto otorga acceso de solo lectura a los recursos de Compute Engine.
BigQuery > Visor de datos de BigQuery . Esto otorga permisos para los conjuntos de datos de BigQuery.

gcp-devops@.com Administrador de recursos > Visor de carpetas . Esto otorga permisos para ver carpetas.

Asegúrese de haber iniciado sesión en Cloud Console como usuario con permisos de Administrador de la Organización
Ve a la página Administrar recursos en Cloud Console
Seleccione su organización en la cuadrícula del árbol de la organización.
Si el panel del panel de información de la derecha está oculto, haga clic en Mostrar panel de información en la esquina superior derecha.
Seleccione la casilla de verificación de la organización.
En el panel del Panel de información , en la pestaña Permisos , haga clic en Agregar miembro .
En el campo Nuevos miembros , ingrese el nombre de un miembro de la tabla. Por ejemplo, comience ingresando gcp-network-admins@.com, como se indica en la tabla anterior.
En la lista Seleccionar un rol , seleccione el primer rol para ese miembro como se muestra en la tabla. Por ejemplo, para el primer miembro, la primera función que seleccione es Compute Engine > Administrador de red de Compute .
Haga clic en Agregar otra función y luego agregue la siguiente función para ese miembro.
Agregue el siguiente rol para ese miembro.
Cuando haya agregado todas las funciones de un miembro, haga clic en Guardar .
Repita los pasos del 2 al 7 para los demás miembros enumerados en la tabla.

Establecer políticas de IAM a nivel de carpeta

Las políticas establecidas en el nivel de carpeta también se aplican a los proyectos de las carpetas. El procedimiento es similar al que hizo para su organización, excepto que selecciona un nivel diferente en la jerarquía.

Desmarque la casilla de verificación de la organización y de cualquier otro recurso que esté seleccionado.
Seleccione la casilla de verificación de la Productioncarpeta.
En el panel del Panel de información , en la pestaña Permisos , haga clic en Agregar miembro .
En el campo Nuevos miembros , ingrese gcp-devops@.com.
Siguiendo los mismos pasos que usó para agregar roles a miembros de la organización, agregue los siguientes roles al gcp-devops@.commiembro:
- Registro > Administrador de registro . Esto otorga permisos completos a Cloud Logging.
- Informe de errores > Administrador de informes de errores . Esto otorga permisos completos para los datos de informes de errores.
- Gestión de servicios > Administrador de cuotas . Esto otorga acceso para administrar cuotas de servicio.
- Supervisión > Administrador de supervisión . Esto otorga permisos completos para monitorear datos.
- Compute Engine > Administrador de Compute . Esto otorga permisos completos a los recursos de Compute Engine.
- Kubernetes Engine > Administrador de Kubernetes Engine . Esto otorga permisos completos a los clústeres de contenedores de Google Kubernetes Engine.
Cuando haya terminado de agregar roles, haga clic en Guardar .
Desmarque la casilla de verificación de la Productioncarpeta.
Seleccione la casilla de verificación de la Non-Productioncarpeta.
Agregar gcp-developers@.comcomo miembro nuevo.
Asigne las siguientes funciones de IAM al gcp-developers@.commiembro:
- Compute Engine > Administrador de Compute . Esto otorga permisos completos a los recursos de Compute Engine.
- Kubernetes Engine > Administrador de Kubernetes Engine . Esto otorga permisos completos a los clústeres de contenedores de Google Kubernetes Engine.

Establecer políticas de IAM a nivel de proyecto

Las políticas que establezca a nivel de proyecto se aplican solo a los proyectos a los que se aplican. Esto le permite establecer permisos detallados para proyectos individuales.

Desmarque la casilla de verificación de las carpetas y de cualquier otro recurso que se haya seleccionado.
Seleccione las casillas de verificación de los siguientes proyectos:
- example-vpc-host-nonprod
- example-vpc-host-prod
Agregar gcp-network-admins@.comcomo miembro.
Asigne el siguiente rol al gcp-network-admins@.com miembro:
- Proyecto > Propietario . Esto otorga permisos completos a todos los recursos en los proyectos seleccionados.
Haga clic en Guardar .
Desmarque las casillas de verificación de los proyectos seleccionados.
Seleccione las casillas de verificación de los siguientes proyectos:
- example-monitoring-nonprod
- example-monitoring-prod
- example-logging-nonprod
- example-logging-prod
Agregar gcp-devops@.comcomo miembro nuevo.
Asigne el siguiente rol al gcp-devops@.commiembro:
- Proyecto > Propietario . Esto otorga permisos completos a todos los recursos en los proyectos seleccionados.
Haga clic en Guardar .