En esta página, se ofrece orientación sobre qué tipo de rol (predefinido, personalizado o básico) debes usar para controlar el acceso a los recursos de Cloud de Confiance .
A continuación, se resumen nuestras recomendaciones para elegir qué tipo de rol usar:
- Te recomendamos que priorices el uso de roles predefinidos, ya que Google los administra y ofrecen un equilibrio entre seguridad y conveniencia.
- Si necesitas un rol que se ajuste estrictamente al principio de privilegio mínimo y no encuentras un rol predefinido que se adapte a tus requisitos de seguridad, usa roles personalizados.
- No uses roles básicos, a menos que no tengas otra alternativa o los uses en un entorno de prueba.
Cuándo usar roles predefinidos
En general, te recomendamos que uses roles predefinidos en lugar de roles básicos o personalizados. Las funciones predefinidas brindan acceso detallado a recursosCloud de Confiance específicos, Google las mantiene y se actualizan automáticamente cuando se agregan permisos, funciones o servicios nuevos aCloud de Confiance.
Te recomendamos que priorices los roles predefinidos que contienen todos los permisos que es probable que un usuario necesite para un caso de uso determinado. La mayoría de los servicios proporcionan roles amplios de administrador, editor y visualizador que cumplen con este propósito. Por ejemplo, el rol de administrador de Bigtable proporciona permisos administrativos para crear instancias nuevas y acceder a todos los datos de la tabla en un proyecto, y el rol de Usuario de Bigtable sin acceso a datos proporciona acceso de solo lectura a Bigtable en la consola de Cloud de Confiance .
Sin embargo, hay algunos casos en los que tal vez quieras usar roles personalizados o básicos. En las siguientes secciones, se describen estos casos.
Cuándo usar roles personalizados
A diferencia de los roles predefinidos, Google no mantiene los roles personalizados. Esto significa que, cuando Cloud de Confiance agregue permisos, funciones o servicios nuevos, tus roles personalizados no se actualizarán automáticamente. Por este motivo, te recomendamos que otorgues los roles predefinidos más limitados que satisfagan tus necesidades.
Sin embargo, podría ser adecuado crear y otorgar roles personalizados en los siguientes casos:
- Un principal necesita un permiso, pero cada rol predefinido que incluye ese permiso también incluye permisos que el principal no necesita y no debería tener.
Cuando uses roles personalizados, ten en cuenta los siguientes límites:
- Los roles personalizados pueden contener hasta 3,000 permisos.
- El tamaño total máximo del título, la descripción y los nombres de permisos para un rol personalizado es de 64 KB.
Existen límites para la cantidad de roles personalizados que puedes crear:
- Puedes crear hasta 300 roles personalizados a nivel de la organización en tu organización.
- Puedes crear hasta 300 roles personalizados a nivel de proyecto en cada proyecto de tu organización.
Cuándo usar las funciones básicas
Los roles básicos incluyen miles de permisos en todos los servicios de Cloud de Confiance . En entornos de producción, no otorgues funciones básicas, a menos que no haya alternativa. En su lugar, otorga los roles predefinidos más limitados o los roles personalizados que satisfagan tus necesidades.
Podría ser adecuado otorgar roles básicos cuando quieras otorgar permisos más amplios para un proyecto. Esto sucede a menudo cuando se otorgan permisos en entornos de desarrollo o prueba.
¿Qué sigue?
- Obtén más información para encontrar los roles predefinidos adecuados.
- Aprende cómo crear funciones personalizadas.
- Obtén más información sobre los roles básicos.