Contenido del curso
Cómo asignar roles IAM en Google Cloud
Asignar permisos IAM en Google Cloud define quién puede hacer qué dentro de tu proyecto. Aquí aprendes a otorgar acceso a usuarios, grupos y cuentas de servicio aplicando el principio de mínimo privilegio, evitando roles primarios y priorizando los predefinidos para mantener una administración segura y sostenible.
¿Qué tipos de roles existen en Google Cloud IAM?
Google Cloud organiza los permisos en tres categorías, y elegir bien entre ellas marca la diferencia entre un proyecto seguro y uno lleno de baches.
¿Cuál es la diferencia entre un rol predefinido y uno personalizado? El predefinido lo mantiene Google y se actualiza solo cuando salen nuevas funciones. El personalizado lo administras tú y debes agregar manualmente los nuevos endpoints cada vez que cambien las APIs.
¿Por qué evitar los roles primarios y los personalizados?
La tentación de dar acceso de editor o propietario es alta porque resuelve rápido, pero rompe la seguridad. Lo mismo pasa con la complejidad excesiva en roles personalizados: lo que hoy parece flexible, mañana es un dolor de cabeza.
¿Qué buenas prácticas seguir al asignar permisos?
Un ejemplo claro: si asignas Compute Network Admin, que es un rol predefinido, y Google lanza una nueva característica de networking, ese permiso se actualiza automáticamente. En cambio, con un rol personalizado, tú tienes que agregar cada nuevo endpoint a mano.
¿Cómo otorgar acceso a un grupo desde IAM?
Antes de asignar nada, verifica que estés con la cuenta correcta y dentro del proyecto correspondiente. Desde ahí el flujo es directo.
Para este ejemplo se asocia el rol administrador de Compute, que permite crear máquinas virtuales. Puedes agregar más de un permiso usando la lupa, y también aplicar condiciones como restricciones de tiempo. Luego das clic en Guardar.
¿Qué hace el rol administrador de Compute? Otorga permisos para crear, modificar y administrar máquinas virtuales dentro del proyecto, sin dar acceso a otros recursos como bases de datos o redes.
¿Cómo asignar permisos a una cuenta de servicio?
Las cuentas de servicio también necesitan permisos para operar, y se asignan igual que a un usuario, pero con una particularidad: necesitas su correo identificador.
Al final, no importa si la identidad es un usuario como Admin, un grupo como Developers o una cuenta de servicio: todas aparecen listadas en IAM. Lo que cambia es el tipo de identidad detrás del permiso.
¿Qué son las cuentas de servicio gestionadas por Google?
Cuando habilitas servicios como Compute Engine o Kubernetes Engine, Google crea cuentas de servicio propias por detrás. Esas cuentas asignan permisos automáticamente para que cada recurso funcione a nombre de ellas, sin que tú las configures manualmente. Las verás en acción cuando trabajes con máquinas virtuales y clústeres de Kubernetes.
¿Qué rol predefinido aplicarías tú primero en tu proyecto? Cuéntame en los comentarios cómo estás organizando los permisos de tu equipo.
¿en qué momento se creó el correo de developers? no recuerdo que hayamos hecho esa parte
Creo que fue en la clase pasada, cuando creó el grupo. Al crear el grupo developers en la organización, se creó con ese correo.
Hace unos días estaba la clase incorrecta, ya lo corrigieron y ahora se puede visualizar sin problemas.
Mejores Prácticas y Recomendaciones
Para mantener un entorno seguro y manejable, se deben seguir estas reglas fundamentales:
📹 Video: Tipos de roles y permisos en Google Cloud Platform 🎓 Curso: Google Associate Cloud Engineer Certification 🕒 LÍNEA DE TIEMPO – RESUMEN CON EMOJIS ⏱️ 00:00 – 🎯 Introducción 👨🏫 El profesor explica cómo funcionan los roles y permisos en Google Cloud IAM y por qué es importante asignarlos correctamente. ⏱️ 00:10 – 🧩 Tipos de roles principales 📌 **Roles primarios**: 👑 *Propietario* → control total (incluye permisos de IAM). 🛠️ *Editor* → modificar recursos. 👀 *Visualizador* → solo ver sin editar. ⏱️ 00:10 – 🎯 **Roles predefinidos** 🔍 Son diseñados por Google con permisos específicos por servicio (por ejemplo, administrar máquinas virtuales o bases de datos). ⏱️ 00:10 – ✏️ **Roles personalizados** 🧠 Creas tu propio conjunto de permisos para cubrir necesidades específicas. Estos requieren mantenimiento manual. ⏱️ 01:12 – 🔍 Mejores prácticas de asignación ✔️ Usar **roles predefinidos** cuando sea posible. ⚠️ Evitar usar *roles primarios* en producción para disminuir riesgos. 🔑 Los roles personalizados **necesitan administración continua**. ⏱️ 02:34 – 📋 Gestión práctica de permisos 🔐 Accede a IAM → asigna roles a identidades (usuarios, cuentas de servicio, grupos). ↪️ Los permisos **heredan** desde organización y carpetas hacia proyectos. ➕ Una identidad puede tener **múltiples roles** asignados para distintos permisos. 📅 Se pueden aplicar **condiciones en tiempos** para accesos temporales. ✨ RESUMEN FINAL (EMOJIS) 👑 **Roles primarios** – control total 🔧 **Roles predefinidos** – permisos detallados por servicio ✏️ **Roles personalizados** – permisos hechos a la medida 🔑 **Principio de menor privilegio** – asigna solo lo necesario 🔁 **Herencia de permisos** – niveles organizacionales influyen en permisos
Gestión y Funcionamiento de Permisos
Existen tres categorías principales de roles que determinan el nivel de acceso a los recursos:
A. Roles Primarios (Básicos)
Son los roles originales, anteriores a la existencia de IAM avanzado. Otorgan acceso amplio a nivel de proyecto.
B. Roles Predefinidos
Son roles creados y mantenidos por Google Cloud. Ofrecen acceso específico a recursos particulares, permitiendo una mayor granularidad.
C. Roles Personalizados
Son roles creados por el usuario, definiendo permisos específicos "endpoint por endpoint" (nivel de API).
accessapproval.requests.approve.