Descripción general

En este lab, configurarás Identity and Access Management (IAM) para otorgar roles y crear roles personalizados. IAM te permite crear y administrar permisos para los recursos de Google Cloud. Además, unifica el control de acceso para los servicios de Google Cloud en un solo sistema y presenta un conjunto coherente de operaciones.

Objetivos

En este lab, aprenderás a hacer lo siguiente:

• Usar IAM para implementar el control de acceso
• Restringir el acceso a funciones o recursos específicos
• Usar roles predefinidos para brindar acceso a Google Cloud
• Crear roles personalizados de IAM para otorgar permisos según tus propios puestos
• Modificar roles personalizados

Configuración y requisitos

En cada lab, recibirá un proyecto de Google Cloud y un conjunto de recursos nuevos por tiempo limitado y sin costo adicional.

1. Accede a Qwiklabs desde una ventana de incógnito.

2. Ten en cuenta el tiempo de acceso del lab (por ejemplo, 1:15:00) y asegúrate de finalizarlo en el plazo asignado.
   No existe una función de pausa. Si lo necesita, puede reiniciar el lab, pero deberá hacerlo desde el comienzo.

3. Cuando esté listo, haga clic en Comenzar lab.

4. Anote las credenciales del lab (el nombre de usuario y la contraseña). Las usarás para acceder a la consola de Google Cloud.

5. Haga clic en Abrir Google Console.

6. Haga clic en Usar otra cuenta, copie las credenciales para este lab y péguelas en el mensaje emergente que aparece.
   Si usa otras credenciales, se generarán errores o incurrirá en cargos.

7. Acepta las condiciones y omite la página de recursos de recuperación.

Tarea 1: Accede con dos cuentas de usuario

En esta tarea, accederás con dos cuentas de usuario diferentes. Estas se usarán más adelante en el lab para explorar el acceso de IAM a recursos específicos.

Accede a la consola de Google Cloud como el primer usuario

En este lab, Qwiklabs te aprovisionó dos nombres de usuario que se encuentran disponibles en el diálogo Detalles de la conexión.

1. Usa una ventana de incógnito de Chrome y accede a la consola de Cloud con el Username 1 proporcionado en Qwiklabs. Ten en cuenta que ambos nombres de usuario usan la misma contraseña.
2. Acepta los Términos y Condiciones en tu Cuenta de Google temporal.
3. Dado que la cuenta es temporal, no agregues datos de opciones de recuperación ni te registres en pruebas gratuitas.
4. Cuando se te solicite, acepta los Términos y Condiciones de Google Cloud.

Accede a la consola de Cloud como el segundo usuario

1. Abre otra pestaña del navegador en tu ventana de incógnito.
2. Navega a la consola de Cloud.
3. Haz clic en el ícono de usuario en la esquina superior derecha de la pantalla y, luego, en Agregar cuenta.
4. Accede a la consola de Cloud con el usuario Username 2 proporcionado por Qwiklabs.

Nota: En algunos puntos de este lab, si sales de la cuenta de Username 1, Qwiklabs borrará la cuenta de Username 2. Por lo tanto, asegúrate de permanecer en la cuenta de Username 1.

Tarea 2: Explora los roles actuales en la consola de IAM

En esta tarea, explorarás los roles actuales de Username 1 y Username 2.

Navega a la consola de IAM y explora los roles

Asegúrate de estar en la pestaña de Username 1 en la consola de Cloud.

1. Para ver la consola de IAM, haz clic en IAM y administración > IAM en el menú de navegación.
2. En la consola de IAM, localiza la línea que corresponde a Username 1. Observa que Username 1 tiene algunos roles, incluido Propietario del proyecto.
3. Busca la línea que corresponde a Username 2. Observa que Username 2 tiene el rol de Visualizador del proyecto.

Nota: En los siguientes tres pasos, asegúrate de NO cambiar ninguno de los permisos. Usarás la función de edición solo para ver los roles asignados.

4. Haz clic en el botón Editar cuenta principal en la línea de Username 2.
5. Haz clic en Visualizador para expandir la lista de posibles roles. Todavía no cambies ningún rol, pero ten en cuenta que puedes hacerlo porque Username 1 es el propietario del proyecto.
6. Haz clic fuera de la lista de roles para contraerla y, luego, en Cancelar.
7. Ve a la pestaña Consola de Cloud para Username 2.
8. Haz clic en IAM y administración > IAM en el menú de navegación.
9. Haz clic en el botón Editar cuenta principal en la línea de Username 2. No podrás editar el rol. Actualmente, Username 2 tiene acceso para visualizar el proyecto (Visualizador del proyecto), pero no tiene permisos para cambiar nada.

Tarea 3: Prepara un recurso para probar el acceso

En esta tarea, crearás un bucket de Cloud Storage y un archivo de texto de muestra. Probarás el acceso al archivo de muestra con Username 2.

Crea un bucket y sube un archivo de muestra

1. Abre la pestaña correspondiente a Username 1 en la consola de Cloud.
2. En la barra de título de la consola de Google Cloud, haz clic en Activar Cloud Shell (). Si se te solicita, haz clic en Continuar.
3. Ejecuta el siguiente comando para crear un nuevo bucket de almacenamiento en :

gcloud storage buckets create -l {{{project_0.default_region | Region}}} gs://$DEVSHELL_PROJECT_ID

4. Ejecuta el siguiente comando para crear un archivo de texto de muestra en tu Cloud Shell:

echo "this is a sample file" > sample.txt

5. Ejecuta el siguiente comando para copiar el archivo en el bucket que acabas de crear:

gcloud storage cp sample.txt gs://$DEVSHELL_PROJECT_ID

Haz clic en Revisar mi progreso para verificar el objetivo. Preparar un recurso para probar el acceso

Verifica el acceso del rol Visualizador del proyecto

1. Abre la pestaña correspondiente a Username 2 en la consola de Cloud.
2. Haz clic en Activar Cloud Shell () para abrir Cloud Shell. Si se te solicita, haz clic en Continuar.
3. Ejecuta el siguiente comando para verificar que Username 2 pueda visualizar el archivo en el bucket:

gcloud storage ls gs://$DEVSHELL_PROJECT_ID

4. Ejecuta los siguientes comandos para crear un archivo y, luego, intentar subirlo al bucket:

echo "this is another file" > sample2.txt gcloud storage cp sample2.txt gs://$DEVSHELL_PROJECT_ID

Username 2 no puede subir el archivo a Cloud Storage porque solo tiene el rol Visualizador del proyecto.

Resultado:

Copying file://sample2.txt ERROR: User xxx does not have permission to access b instance (or it may not exist): student-xx-xxxx@qwiklabs.net does not have storage.objects.create access to the Google Cloud Storage object.

Tarea 4. Quita el acceso al proyecto

En esta tarea, quitarás el rol Visualizador del proyecto a Username 2. Luego, comprobarás que Username 2 perdió acceso al bucket de Cloud Storage.

Quita el rol Visualizador del proyecto para Username 2

1. Abre la pestaña correspondiente a Username 1 en la consola de Cloud.
2. Haz clic en IAM y administración > IAM en el menú de navegación.
3. En Username 2, haz clic en el lápiz del botón de edición ().
4. Haz clic en el ícono para borrar junto al rol asignado.
5. Haz clic en Guardar.

Podrás ver que el usuario desapareció de la lista, por lo que ya no tiene acceso. Username 2 aún tiene una cuenta de Google Cloud, pero no tiene acceso al proyecto.

Comprueba que Username 2 ya no tenga acceso

1. Abre la pestaña correspondiente a Username 2 en la consola de Cloud.
2. Ejecuta el siguiente comando en Cloud Shell para verificar que Username 2 ya no puede ver el archivo en el bucket:

gcloud storage ls gs://$DEVSHELL_PROJECT_ID

Resultado:

ERROR: User xxx does not have permission to access b instance (or it may not exist): student-xx-xxxx@qwiklabs.net does not have storage.objects.list access to the Google Cloud Storage bucket.

3. Si todavía puedes ver el archivo, significa que aún no se aplicó el cambio en el acceso. Espera un minuto y vuelve a ejecutar el comando hasta que veas Permission denied on resource .
4. En la consola de Username 2, intenta acceder al servicio Compute Engine. En el menú de navegación, haz clic en Compute Engine > Instancias de VM. Ni siquiera podrás ver el panel de Compute Engine.

Nota: Username 2 todavía tiene una cuenta de Google Cloud, pero no tiene acceso al proyecto desde la consola de Cloud ni desde la CLI.

Tarea 5: Agrega acceso al almacenamiento

En esta tarea, agregarás permisos de visualización de lectura de Storage para Username 2 y verificarás que pueda ver el contenido del bucket de Cloud Storage.

Agrega permisos de solo visualización de objetos de Storage para Username 2

1. Copia el valor de Username 2 que aparece en el diálogo Detalles de la conexión de Qwiklabs.
2. Abre la pestaña correspondiente a Username 1 en la consola de Cloud.
3. Haz clic en IAM y administración > IAM en el menú de navegación.
4. Haz clic en OTORGAR ACCESO para agregar un usuario.
5. En Principales nuevas, pega el valor de Username 2 que copiaste del diálogo Detalles de conexión de Qwiklabs.

En el siguiente paso, usarás un rol predefinido para otorgar permisos de Visualizador de objetos de Storage a Username 2. Si quieres, puedes explorar los roles predefinidos disponibles.

6. En Selecciona un rol, selecciona Cloud Storage > Visualizador de objetos de Storage.

7. Haz clic en Guardar.

Verifica que Username 2 tenga acceso al almacenamiento

1. Abre la pestaña correspondiente a Username 2 en la consola de Cloud.

Nota: Username 2 no tiene el rol Visualizador del proyecto, por lo que todavía no puede ver el proyecto ni ninguno de sus recursos en la consola de Cloud. Por ejemplo, Username 2 todavía no puede visualizar el panel de Compute Engine. Sin embargo, sí tiene acceso específico para visualizar Cloud Storage y puede realizar llamadas a la API para visualizar el almacenamiento.

2. Ejecuta el siguiente comando en Cloud Shell para ver el contenido del bucket que creaste anteriormente:

gcloud storage ls gs://$DEVSHELL_PROJECT_ID

Como puedes ver, Username 2 ahora tiene acceso limitado para visualizar Cloud Storage.

Tarea 6: Crea roles personalizados

En esta tarea, crearás un rol personalizado para un puesto de Revisor de privacidad. Este rol realiza revisiones de privacidad de los datos de rendimiento y necesita permisos para ver datos en distintos servicios, como Cloud Storage, Cloud Bigtable y Cloud Spanner.

Google Cloud también permite la creación de roles personalizados. Estos se pueden usar para asignar los puestos específicos de tu organización a permisos de Google Cloud. Un rol personalizado puede combinar permisos de múltiples servicios de Google Cloud en un rol y, luego, compartir ese rol nuevo en toda tu organización.

Nota: Generalmente, se recomienda comenzar con roles predefinidos, ya que Google los administra. Crear y usar roles personalizados permite establecer permisos específicos, pero agrega sobrecarga operativa porque se deben administrar de forma manual.

Los roles personalizados también se pueden crear según un rol existente predefinido. Sin embargo, si el rol predefinido en el que está basado tu rol personalizado cambia después de crear el rol personalizado, este rol no heredará aquellos cambios.

Para crear un rol personalizado, un llamador debe poseer iam.roles.createpermission. De forma predeterminada, el propietario de un proyecto o una organización tiene este permiso y puede crear y administrar funciones personalizadas. En este lab, Username 1 es propietario del proyecto.

Crea un rol personalizado con la consola de Cloud

1. Abre la pestaña correspondiente a Username 1 en la consola de Cloud.
2. En el menú de navegación, haz clic en IAM y administración > Roles. En esta página, actualmente se muestran todos los roles predefinidos. Ten en cuenta que hay muchos de ellos (son cientos de páginas).
3. Haz clic en Crear rol.
4. Usa los siguientes valores para las propiedades del rol:

Title	Description	ID	Role launch stage
Privacy Reviewer	Custom role to perform data reviews	privacyreviewer	Alpha

Cada uno de los valores de marcador de posición se describe a continuación:

• Title es un título descriptivo para el rol, como “Visualizador de funciones”.
• Description es una descripción corta del rol, como “Descripción de mi rol personalizado”.
• El ID debe ser único.
• Role launch stage indica la etapa del rol en el ciclo de vida del lanzamiento, como alfa, beta, DG o inhabilitado.

5. Haz clic en Agregar permisos.
6. En el campo Filtrar, escribe storage y, luego, presiona Intro.
7. Selecciona storage.buckets.list, storage.objects.list y storage.objects.get y, luego, haz clic en Agregar.

Nota: Para agregar los permisos solicitados, es posible que debas consultar las siguientes páginas.

8. Vuelve a hacer clic en Agregar permisos.
9. En el campo Filtrar, escribe spanner y, luego, presiona Intro.
10. Selecciona spanner.databases.get y spanner.databases.list y, luego, haz clic en Agregar.
11. Vuelve a hacer clic en Agregar permisos.
12. En el campo Filtrar, escribe bigtable y, luego, presiona Intro.
13. Selecciona bigtable.tables.get, bigtable.tables.list y bigtable.tables.readRows y, luego, haz clic en Agregar.

Tus permisos deberían verse así:

14. Haz clic en Crear.

Tu nuevo rol personalizado debería aparecer en la parte superior de la tabla Roles.

Crea un rol personalizado con la CLI y un archivo YAML

• Los roles también se pueden crear con la CLI y un archivo YAML. El archivo YAML contiene la definición del rol y se ve así:

title: [ROLE_TITLE] description: [ROLE_DESCRIPTION] stage: [LAUNCH_STAGE] includedPermissions: - [PERMISSION_1] - [PERMISSION_2]

• Y el YAML para el rol que creaste en la consola de Cloud debería verse así:

title: Privacy Reviewer description: Custom role to perform data reviews stage: ALPHA includedPermissions: - storage.buckets.list - storage.objects.list - storage.objects.get - spanner.databases.get- spanner.databases.list - bigtable.tables.get - bigtable.tables.list - bigtable.tables.readRows

No copies el archivo YAML anterior porque usarás la CLI para crear un rol diferente.

1. Verifica que todavía estés en la pestaña del navegador de Username 1 y, si todavía no lo hiciste, abre Cloud Shell.

2. Ejecuta el siguiente comando para crear un archivo nuevo llamado role.yaml:

nano role.yaml

3. Copia la siguiente definición de rol y pégala en el editor nano en Cloud Shell:

title: App Viewer description: Custom role to view apps stage: ALPHA includedPermissions: - compute.instances.get - compute.instances.list - appengine.versions.get - appengine.versions.list

4. Presiona CTRL + X, luego, Y y, por último, Intro para guardar el archivo.
5. Para crear un nuevo rol, ejecuta el siguiente comando:

gcloud iam roles create app_viewer --project \ $DEVSHELL_PROJECT_ID --file role.yaml

Verás el siguiente resultado.

Resultado:

Created role [app_viewer]. description: Custom role to view apps etag: BwVshqVuvBs= includedPermissions: - appengine.versions.get - appengine.versions.list - compute.instances.get - compute.instances.list name: projects/xxxxxxxxxx/roles/app_viewer stage: ALPHA title: App Viewer

6. Para mostrar una lista de todos los roles personalizados en tu proyecto, ejecuta el siguiente comando:

gcloud iam roles list --project $DEVSHELL_PROJECT_ID

Verás ambos roles que creaste.

Haz clic en Revisar mi progreso para verificar el objetivo. Crear roles personalizados

Tarea 7: Usa un rol personalizado

En esta tarea, crearás un rol personalizado y lo asignarás a Username 2.

1. Asegúrate de estar en la pestaña de Username 1 en la consola de Cloud.
2. Haz clic en IAM y administración > IAM en el menú de navegación.
3. En la consola de IAM, localiza la línea que corresponde a Username 2 y haz clic en el botón Editar cuenta principal (). Actualmente, Username 2 debería tener el rol Visualizador de objetos de Storage.
4. Haz clic en Agregar otro rol y, luego, en Selecciona un rol.
5. En la categoría Personalizados, selecciona uno de los roles que acabas de crear.
6. Haz clic en Guardar.

Asignaste Username 2 a uno de tus roles personalizados.

Tarea 8: Haz mantenimiento a los roles personalizados

En esta tarea, modificarás, inhabilitarás, borrarás y recuperarás un rol personalizado.

Cuando uses roles personalizados, es importante hacer un seguimiento de qué permisos están asociados con los roles que creas, ya que los permisos disponibles para los servicios de Google Cloud evolucionan y cambian con el tiempo. A diferencia de los roles predefinidos de Google Cloud, tú controlas si los permisos se agregan o quitan, y cuándo.

Modifica los permisos de los roles

Para modificar un rol existente, primero debes obtener la definición del rol, actualizar la definición y, luego, actualizar el rol.

1. Asegúrate de estar en la pestaña de Username 1 en la consola de Cloud.
2. Para recuperar la definición del rol app_viewer, ejecuta el siguiente comando en Cloud Shell:

gcloud iam roles describe app_viewer --project \ $DEVSHELL_PROJECT_ID

El comando describe muestra el siguiente resultado.

Resultado:

description: Custom role to view apps etag: [Etag value] includedPermissions: - appengine.versions.get - appengine.versions.list - compute.instances.get - compute.instances.list name: projects/[Project_ID]/roles/app_viewer stage: DISABLED title: App Viewer

3. Copia el resultado de tu comando describe. Asegúrate de copiar la línea description en la línea title.
4. Ejecuta el siguiente comando para crear un nuevo archivo YAML:

nano update-role.yaml

5. Pega el resultado del comando describe en el editor nano.
6. Agrega las siguientes dos líneas justo debajo de las líneas includedPermissions::

- container.clusters.get - container.clusters.list

7. Presiona CTRL + X, luego, Y y, por último, Intro para guardar el archivo.
8. Para actualizar el rol app_viewer, ejecuta el siguiente comando:

gcloud iam roles update app_viewer --project \ $DEVSHELL_PROJECT_ID --file update-role.yaml

Se actualizó el rol app_viewer y se agregaron dos permisos.

Haz clic en Revisar mi progreso para verificar el objetivo. Modificar los permisos de los roles

Inhabilita un rol

Puedes inhabilitar un rol personalizado. Cuando un rol está inhabilitado, todas las vinculaciones de políticas relacionadas con él se desactivan, lo que significa que no se concederán los permisos en el rol, incluso si lo asignas a un usuario.

1. Asegúrate de estar en la pestaña de Username 1 en la consola de Cloud.
2. Para inhabilitar el rol app_viewer que creaste anteriormente en este lab, ejecuta el siguiente comando en Cloud Shell:

gcloud iam roles update app_viewer --project \ $DEVSHELL_PROJECT_ID --stage DISABLED

Borra un rol

Los roles que se borran se suspenden y no se pueden usar para crear nuevas vinculaciones de políticas de IAM. Después de que hayas borrado el rol, las vinculaciones existentes permanecen, pero están inactivas. El rol se puede recuperar dentro de siete días. Después de este plazo, se inicia un proceso de eliminación permanente que dura 30 días.

1. Asegúrate de estar en la pestaña de Username 1 en la consola de Cloud.
2. Para borrar el rol app_viewer que creaste anteriormente en este lab, ejecuta el siguiente comando en Cloud Shell:

gcloud iam roles delete app_viewer --project \ $DEVSHELL_PROJECT_ID

3. Para enumerar todos los roles del proyecto, ejecuta el siguiente comando:

gcloud iam roles list --project $DEVSHELL_PROJECT_ID

Observa que el rol app_viewer borrado ya no aparece en la lista.

4. Para hacer una lista de todos los roles del proyecto, incluidos los borrados, ejecuta el siguiente comando:

gcloud iam roles list --project $DEVSHELL_PROJECT_ID \ --show-deleted

Recupera un rol

Los roles se pueden recuperar dentro de siete días después de ser borrados.

1. Para recuperar el rol app_viewer, ejecuta el siguiente comando en Cloud Shell:

gcloud iam roles undelete app_viewer --project \ $DEVSHELL_PROJECT_ID

2. Para enumerar todos los roles del proyecto, ejecuta el siguiente comando:

gcloud iam roles list --project $DEVSHELL_PROJECT_ID

Observa que el rol app_viewer aparece en la lista otra vez.

Repaso

En este lab, realizaste las siguientes tareas:

1. Usaste IAM para implementar el control de acceso.

2. Restringiste el acceso a roles o recursos específicos.

3. Usaste roles predefinidos para brindar acceso a Google Cloud.

4. Creaste roles personalizados de IAM para otorgar permisos según tus propios puestos.

5. Modificaste roles personalizados.

Finalice su lab

Cuando haya completado el lab, haga clic en Finalizar lab. Google Cloud Skills Boost quitará los recursos que usó y limpiará la cuenta.

Tendrá la oportunidad de calificar su experiencia en el lab. Seleccione la cantidad de estrellas que corresponda, ingrese un comentario y haga clic en Enviar.

La cantidad de estrellas indica lo siguiente:

• 1 estrella = Muy insatisfecho
• 2 estrellas = Insatisfecho
• 3 estrellas = Neutral
• 4 estrellas = Satisfecho
• 5 estrellas = Muy satisfecho

Puede cerrar el cuadro de diálogo si no desea proporcionar comentarios.

Para enviar comentarios, sugerencias o correcciones, use la pestaña Asistencia.

Copyright 2025 Google LLC. Todos los derechos reservados. Google y el logotipo de Google son marcas de Google LLC. El resto de los nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que están asociados.