Los roles IAM
Existen tres tipos de Roles predefinidos en GCP:
- Primitive
- Predefined
- Custom
Hay tres tipos de funciones en Cloud IAM. Hablemos de cada uno de ellos…
Los roles primitivos
Las funciones primitivas de IAM se aplican a todos los servicios de GCP en un proyecto.
Los roles primitivos son amplios. Los aplicamos a un proyecto de GCP y afectan a todos recursos en ese proyecto.
Los roles predefinidos
Los roles predefinidos de IAM se aplican a un servicio de GCP particular en un proyecto.
Los servicios de GCP ofrecen sus propios conjuntos de roles predefinidos y definen dónde se pueden aplicar esos roles. Esta es la gestión de roles que debe usar cualquier inicio de etapa inicial.
Sin embargo, estos roles a menudo se mejoran a nivel de carpeta, en lugar de a nivel de usuario en una organización, ya que estos son privilegios muy precisos y mantenerlos a nivel de usuario se convertiría en una tarea tediosa a medida que la organización crece y el número de empleados aumenta. Mantener esto a nivel de usuario no es una opción viable o factible en absoluto.
Los roles personalizados
Estos roles le permiten definir un conjunto preciso de permisos.
Muchas empresas utilizan un modelo de “privilegio mínimo”, en el que cada persona de su organización tiene la cantidad mínima de privilegios necesaria para hacer su trabajo. Por ejemplo, tal vez quiere definir un rol de “instancia de operador” para permitir que algunos usuarios detengan e inicien máquinas virtuales de Compute Engine, pero no las reconfiguren. Los roles personalizados me permiten hacer eso.
El uso de roles personalizados se incluyen en la categoría del nivel más alto de administración de roles de IAM y las startups de fase temprana deben evitarlos, ya que mantenerlos y configurarlos es una tarea hercúlea y necesitaría un buen equipo sólido para configurarlo y administrarlo.
Si decide usar roles personalizados. deberá administrar los permisos que los componen. Algunas compañías deciden que prefieren seguir con los roles predefinidos.
En segundo lugar, los roles personalizados solo se pueden usar a nivel de proyecto u organización. No se pueden usar en el nivel de carpeta.
Las cuentas de servicio
Las cuentas de servicios se utilizan en el caso de que desee dar acceso a un recurso en lugar de a una persona. Por ejemplo, tal vez tenga una aplicación ejecutándose en una máquina virtual que necesita almacenar datos de Google Cloud Storage, pero no desea permitir que cualquiera en Internet tenga acceso a esos datos; solo una máquina virtual. Po lo tanto, crearía una cuenta de servicio para autenticar su VM en Cloud Storage.
Las cuentas se servicio se nombran con una dirección de correo electrónico, pero en lugar de contraseñas, usan claves criptográficas para acceder a los recursos.