Cómo usar roles IAM predefinidos de Google Cloud específicos para Google Maps y reforzar la gobernanza de estas actividades.
Los recursos de Google Maps Platform se aprovisionan y se gestionan desde la interfaz de Google Maps Platform en la Google Cloud Console. Esta interfaz permite ejecutar múltiples actividades y funciones, cuya cantidad y nivel de sofisticación aumentan con el tiempo. Esa funcionalidad suele tener consecuencias en la productividad, la interactividad y los costos de cualquier organización, por lo que conviene contar con un enfoque que habilite una gobernanza efectiva mediante permisos de acceso adecuados a cada función y actividad.
Algunos ejemplos: la activación de APIs o SDKs de Maps, la creación de claves y credenciales de la API de Maps, la creación y edición de estilos personalizados de visualización de Maps, y la carga y administración de conjuntos de datos geoespaciales personalizados.
En este artículo se analiza el uso de roles IAM predefinidos de Google Cloud orientados a Google Maps, que permiten gobernar estas actividades de forma más efectiva según el protocolo de permisos de cada organización.
Por otro lado, los roles predeterminados de Google Cloud IAM Project Owner y Project Editor le dan al usuario acceso a todos los demás recursos del proyecto de Google Cloud que no están relacionados con Maps, lo cual puede no encajar con el protocolo de permisos del cliente.
Estos roles se asignan desde la página del menú IAM & Admin en la GCP Console:
Google Cloud cuenta con dos roles IAM predefinidos principales para Google Maps Platform, que otorgan los siguientes permisos:
- Maps API Admin: concede acceso de lectura y escritura a todos los recursos de la API de Maps.
- Maps API Viewer: concede acceso de solo lectura a todos los recursos de la API de Maps.
A continuación se muestra la lista detallada de permisos de cada rol:
Fíjate en lo limitado que es el acceso del Maps API Viewer frente a la amplia variedad de funcionalidades disponibles en la Maps Platform Console. En esencia, un Maps API Viewer solo puede ver y usar los Map IDs y los Maps Styles ya existentes del proyecto de GCP correspondiente, sin posibilidad de agregar, modificar ni eliminar nada. Estas restricciones encajan a la perfección, por ejemplo, con el rol de un programador junior al que se le encarga escribir código que incluya basemaps predefinidos con un estilo cartográfico personalizado y debe usarlos tal cual, sin alterar el estilo. Por ejemplo:
Como es lógico, esta restricción se extiende a otras capacidades de la Maps Platform Console, como el acceso a la interfaz de claves de API o la activación de APIs adicionales. Este es el mensaje que recibe un Maps API Viewer cuando intenta acceder a esas opciones de menú restringidas:
Si quieres ver qué roles están asociados a cada permiso específico, puedes consultarlos en la referencia de permisos de IAM (busca mapsadmin). Por ejemplo:
Además de los roles Maps API Admin y Viewer ya descritos, con el reciente lanzamiento de la nueva Maps Datasets API se incorporaron dos nuevos roles predefinidos dedicados:
- Maps Platform Datasets Admin: concede acceso de lectura y escritura a todos los recursos de la Maps Platform Datasets API.
- Maps Platform Datasets Viewer: concede acceso de solo lectura a todos los recursos de la Maps Platform Datasets API.
Estos dos roles tan específicos permiten gestionar y controlar con precisión el acceso a los conjuntos de datos geoespaciales propios de la organización, además de aprovechar las nuevas capacidades de Data-driven Styling (DDS) para aplicar estilos cartográficos a esos datasets.
A continuación se muestra la lista detallada de permisos de cada rol predefinido de Datasets:
Por último, hay dos roles IAM predefinidos adicionales relacionados con Maps que pueden pasar desapercibidos, pero que influyen mucho en la gestión segura de las claves de la API de Maps. La interfaz de Maps Platform en la Google Cloud Console ofrece insights y recomendaciones actualizadas, por proyecto de GCP, sobre cómo restringir las claves de API para evitar usos no autorizados. Aquí un ejemplo:
Los roles IAM específicos para consultar y aplicar estos insights y recomendaciones son:
Google Maps Platform Insights/Recommendations Admin- admin de todos los insights y recomendaciones de Google Maps Platform.
Google Maps Platform Insights/Recommendations Viewer- viewer de todos los insights y recomendaciones de Google Maps Platform.
Todos los roles IAM predefinidos de Maps descritos arriba son muy potentes y útiles, pero los roles IAM personalizados pueden ofrecer un control aún más granular sobre los permisos que se asignan a los usuarios. Si te interesa conocer roles IAM personalizados y altamente granulares para gestionar de forma efectiva las actividades de tu equipo en Google Maps Platform, escríbeme a [email protected]