Conceder un rol de gestión de identidades y accesos mediante la Cloud de Confiance consola

Consulta cómo usar la Cloud de Confiance consola para asignar roles de IAM a principales a nivel de proyecto.

En este vídeo se explica brevemente cómo hacerlo:

Vídeo que muestra cómo asignar roles de IAM a entidades principales mediante la consolaCloud de Confiance .

Antes de empezar

Crear un Cloud de Confiance proyecto

Para esta guía de inicio rápido, necesitas un proyecto Cloud de Confiance nuevo.

  1. Ensure that you have the Project Creator IAM role (roles/resourcemanager.projectCreator). Learn how to grant roles.

  2. In the Cloud de Confiance console, go to the project selector page.

    Go to project selector

  3. Click Create project.

  4. Name your project. Make a note of your generated project ID.

  5. Edit the other fields as needed.

  6. Click Create.

Asegúrate de que tienes los roles necesarios

    Make sure that you have the following role or roles on the project: Project IAM Admin

    Check for the roles

    1. In the Cloud de Confiance console, go to the IAM page.

      Go to IAM
    2. Select the project.

    3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

    4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

    Grant the roles

    1. In the Cloud de Confiance console, go to the IAM page.

      Ir a Gestión de Identidades y Accesos
    2. Selecciona el proyecto.
    3. Haz clic en Conceder acceso.

    4. En el campo Nuevos principales, introduce tu identificador de usuario. Normalmente, es el identificador de un usuario en un grupo de identidades de la plantilla. Para obtener más información, consulta el artículo Representar a los usuarios de un grupo de trabajadores en políticas de gestión de identidades y accesos o ponte en contacto con tu administrador.

    5. Haz clic en Selecciona un rol y busca el rol.
    6. Para conceder más roles, haz clic en Añadir otro rol y añade cada rol adicional.
    7. Haz clic en Guardar.

    Habilitar las APIs

    Enable the IAM and Resource Manager APIs.

    Roles required to enable APIs

    To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.

    Enable the APIs

Conceder un rol de gestión de identidades y accesos

Asigna el rol Visor de registros a un principal en el proyecto.

  1. En la consola de Cloud de Confiance , ve a la página Gestión de identidades y accesos.

    Ir a IAM

  2. Selecciona el nuevo proyecto.

  3. Haz clic en Conceder acceso.

  4. Introduce un identificador para la entidad de seguridad. Por ejemplo, //iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com.

  5. En el menú desplegable Seleccionar un rol, busca Lector de registros y haz clic en Lector de registros.

  6. Haz clic en Guardar.

  7. Comprueba que la entidad de seguridad y el rol correspondiente aparezcan en la página de gestión de identidades y accesos.

Has concedido correctamente un rol de gestión de identidades y accesos a un principal.

Observar los efectos de los roles de gestión de identidades y accesos

Para verificar que la entidad a la que has asignado un rol puede acceder a las páginas de la consolaCloud de Confiance esperadas, haz lo siguiente:

  1. Envía la siguiente URL a la entidad a la que has concedido el rol en el paso anterior:

    https://console.cloud.s3nscloud.fr/logs?project=PROJECT_ID

    Esta URL lleva al principal a la página Explorador de registros de tu proyecto.

  2. Comprueba que la entidad de seguridad puede acceder a la URL y verla.

Si la entidad intenta acceder a otra página de la consola Cloud de Confiance a la que no tiene acceso, verá un mensaje de error.

Asignar roles adicionales a la misma cuenta principal

Concede al principal el rol Lector de Compute además del rol Lector de registros.

  1. En la consola de Cloud de Confiance , ve a la página Gestión de identidades y accesos.

    Ir a IAM

  2. Busque la fila que contiene la cuenta principal a la que quiere asignar otro rol y haga clic en Editar cuenta principal en esa fila.

  3. En el panel Editar permisos, haz clic en Añadir otro rol.

  4. En el menú desplegable Seleccionar un rol, busca Lector de Compute y haz clic en Lector de Compute. Haz clic en Guardar.

  5. Haz clic en Guardar.

Ahora, la entidad de seguridad tiene un segundo rol de IAM.

Revocar roles de gestión de identidades y accesos

Revoca los roles que has concedido al principal en los pasos anteriores haciendo lo siguiente:

  1. Busca la fila que contiene la cuenta principal a la que has concedido roles y haz clic en Editar cuenta principal en esa fila.

  2. En el panel Editar permisos, haz clic en el icono de eliminar situado junto a los roles Lector de registros y Lector de Compute.

  3. Haz clic en Guardar.

Ahora has quitado el principal de ambos roles. Si intentan ver la página Explorador de registros, verán el siguiente mensaje de error:

You don't have permissions to view logs.

Limpieza

Para evitar que se apliquen cargos en tu cuenta de Cloud de Confiance por los recursos utilizados en esta página, sigue estos pasos.

Para limpiar, elimina el proyecto que has creado para esta guía de inicio.

  1. In the Cloud de Confiance console, go to the Manage resources page.

    Go to Manage resources

  2. In the project list, select the project that you want to delete, and then click Delete.
  3. In the dialog, type the project ID, and then click Shut down to delete the project.

Siguientes pasos