Asigna roles de administrador específicos

Si no quieres otorgar acceso total a un usuario en la Consola del administrador de Google, puedes permitir que realice únicamente un subconjunto de tareas administrativas. Para ello, asigna un rol de administrador. Puedes asignar más de un rol de administrador a un usuario.

También puedes asignar un rol de administrador a un grupo o una cuenta de servicio, en lugar de a un usuario. Por ejemplo, puedes usar un administrador de cuentas de servicio para crear y actualizar grupos y membresías de grupos con aplicaciones fuera de la Consola del administrador mediante la API de Grupos de Cloud Identity.

Cómo funcionan los roles de administrador

En la Consola del administrador, los administradores solo pueden ver la información y realizar las tareas que tengan permitidas según los privilegios de sus roles. Por ejemplo, si le asignas el rol predefinido Administrador de administración de usuarios a alguien, solo podrá ver y modificar parámetros de configuración específicos de usuarios que no son administradores.

Cómo funcionan los límites de asignación de roles

Puedes configurar cualquier rol para que se aplique en todas tus unidades organizativas. Para estos roles, puedes realizar hasta 1,000 asignaciones en total, independientemente de la cantidad de roles. Por ejemplo, puedes asignar un rol a 300 usuarios y otro rol a 700 usuarios.

También puedes aplicar algunos roles a las unidades organizativas. Para estos roles, puedes realizar hasta 1,000 asignaciones en total para cada unidad organizativa, independientemente de la cantidad de roles. Para ver si puedes aplicar un rol a las unidades organizativas , ve a la página de asignación de roles del usuario y, junto a Todas las unidades organizativas , busca Editar . Entre los ejemplos, se incluyen el rol predefinido Administrador de administración de usuarios o un rol personalizado que tenga al menos un privilegio de usuario. 

Si aún necesitas asignar más de 1,000 roles, puedes agregar varios miembros a un grupo y asignarle un rol. La asignación de un rol a un grupo cuenta como una asignación, independientemente de la cantidad de miembros.

Antes de comenzar

Paso 1: Revisa los roles predefinidos o personalizados que ya se usaron

Debes acceder como administrador avanzado para realizar esta tarea.

  1. En la Consola del administrador de Google, ve a Menú y luego Cuenta y luego Roles de administrador.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Coloca el cursor sobre el rol y, luego, haz clic en Ver privilegios o Ver administradores para ver los administradores asignados al rol.

Paso 2: Decide el tipo de rol

Decide si quieres hacer lo siguiente:

Asignar roles

Debes acceder como administrador avanzado para realizar esta tarea.

Puedes asignar un rol a usuarios y grupos al mismo tiempo siguiendo cualquiera de los procedimientos para asignar un rol a varios usuarios o a un grupo.

Asigna roles a un usuario

Para asignar a un usuario el rol de Lector de Grupos o Editor de Grupos con privilegios limitados a grupos de seguridad o que no son de seguridad, o a grupos bloqueados o desbloqueados, ve a Asigna un rol a varios usuarios a la vez.

  1. En la Consola del administrador de Google, ve a Menú y luego Directorio y luego Usuarios.

    Requiere tener el privilegio de administración de usuarios adecuado. Sin el privilegio correcto, no verás todos los controles necesarios para completar estos pasos.

  2. Abre la página de la cuenta del usuario: Haz clic en el nombre del usuario. O bien, en la parte superior, en el cuadro de búsqueda, ingresa el nombre del usuario y abre la página de su cuenta. Para obtener más opciones, consulta Cómo buscar una cuenta de usuario
  3. Desplázate hacia abajo y haz clic en Roles y privilegios de administrador.
  4. Junto al rol predefinido o personalizado, haz clic en Asignado .

    Si no ves Asignado , haz clic en cualquier lugar debajo de Roles para mostrar los botones de activación.

  5. (Opcional) Para restringir el rol del administrador a una unidad organizativa específica, junto a Todas las unidades organizativas, haz clic en Editar , selecciona las unidades organizativas y haz clic en Listo.

    Si no ves Editar , no puedes aplicar el rol a las unidades organizativas.

  6. Haz clic en Guardar.

Sugerencias:

  • En la sección Privilegios, puedes ver todos los privilegios del usuario de todos los roles de administrador que se le asignaron.
  • Para volver a la página de la cuenta del usuario, haz clic en la flecha hacia arriba en la esquina superior derecha .

Asigna un rol a varios usuarios a la vez

  1. En la Consola del administrador de Google, ve a Menú y luego Cuenta y luego Roles de administrador.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Coloca el cursor sobre el rol que deseas asignar y, a la derecha, haz clic en Asignar administrador.

    Nota: Puedes alternar entre los administradores que asignas al rol y los privilegios. En la parte superior, haz clic en Administradores o Privilegios.

  3. Haz clic en Asignar miembros.
  4. (Opcional) Para el rol de Lector de Grupos o Editor de Grupos, puedes otorgar privilegios de administrador solo a grupos de seguridad o que no son de seguridad, o solo a grupos bloqueados o desbloqueados. Para limitar los privilegios, haz lo siguiente:
    1. Haz clic en Establecer condiciones.
    2. Selecciona una opción para otorgar privilegios de administrador solo a lo siguiente:
      • Grupos de seguridad: Selecciona La etiqueta contiene el término "Seguridad".
      • Grupos que no son de seguridad: Selecciona La etiqueta no contiene el término "Seguridad".
      • Grupos desbloqueados: Selecciona La etiqueta no contiene el término "Bloqueado".
    3. Haz clic en Guardar.
  5. Ingresa las primeras letras de la dirección de correo electrónico del usuario (no el nombre de usuario) y selecciona la dirección entre las opciones.

    Puedes asignar un rol para hasta 20 usuarios y grupos a la vez.

  6. Haz clic en Asignar rol.
  7. (Opcional) Para restringir el rol del administrador a una unidad organizativa específica, junto a Todas las unidades organizativas, haz clic en Editar , selecciona las unidades organizativas y haz clic en Listo.

    Si no ves Editar , no puedes aplicar el rol a las unidades organizativas.

Asigna un rol a un grupo

Asignar roles a grupos te permite otorgar privilegios de rol a una gran cantidad de usuarios.

Administras los grupos con roles asignados de la misma manera que cualquier otro grupo. Para obtener información, consulta Grupos.

Limitaciones en la asignación de roles de grupo

  • Puedes asignar cualquier rol, excepto Administrador avanzado o Administrador de revendedor.
  • El grupo debe ser un grupo de seguridad de tu organización que no sea también un grupo dinámico. Para obtener información sobre los grupos de seguridad, consulta Controla el acceso a datos sensibles con grupos de seguridad.
    Para ver si un grupo es dinámico, en la Consola del administrador, haz clic en Grupos y luego el nombre del grupo. Ve a Miembros y, si ves Miembros dinámicos o Editar consulta de membresía, el grupo es dinámico.
  • Asignar un rol a un grupo cuenta como una asignación para el límite de asignación de roles.
  • Puedes realizar hasta 250 asignaciones de roles a grupos en total a nivel general de la organización y dentro de cada unidad organizativa.
  • Para asignar un rol a muchos grupos y no superar el límite, elige un grupo que necesite el rol para que sea el grupo superior y agrega los otros grupos que necesiten el rol como miembros del superior. Luego, asigna un rol al grupo superior. Esta asignación cuenta como una asignación de rol y permite que todos los grupos secundarios reciban el rol. Para obtener más información, consulta Agrega un grupo a otro grupo.
  • Si le asignas a un grupo el rol de Administrador de revendedor, los miembros del grupo obtendrán los privilegios del rol solo en la organización del revendedor. No obtendrán privilegios sobre ninguno de los clientes del revendedor.
  • Te recomendamos que restrinjas la pertenencia a un grupo de los usuarios de tu organización. Puedes agregar usuarios externos a tu organización o usuarios consumidores, pero es posible que no obtengan los privilegios del rol. Para obtener más información, consulta Restringe la pertenencia a un grupo.
  • Se aplican los límites estándar de pertenencia a un grupo. Para obtener más información, consulta Pertenencia.

Asigna un rol

  1. En la Consola del administrador de Google, ve a Menú y luego Cuenta y luego Roles de administrador.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Coloca el cursor sobre el rol que deseas asignar y, a la derecha, haz clic en Asignar administrador.

    Nota: Puedes alternar entre los administradores que asignas al rol y los privilegios. En la parte superior, haz clic en Administradores o Privilegios.

  3. Haz clic en Asignar miembros.
  4. (Opcional) Para el rol de Lector de Grupos o Editor de Grupos, puedes otorgar privilegios de administrador solo a grupos de seguridad o que no son de seguridad, o solo a grupos bloqueados o desbloqueados. Para limitar los privilegios, haz lo siguiente:
    1. Haz clic en Establecer condiciones.
    2. Selecciona una opción para otorgar privilegios de administrador solo a lo siguiente:
      • Grupos de seguridad: Selecciona La etiqueta contiene el término "Seguridad".
      • Grupos que no son de seguridad: Selecciona La etiqueta no contiene el término "Seguridad".
      • Grupos desbloqueados: Selecciona La etiqueta no contiene el término "Bloqueado".
    3. Haz clic en Guardar.
  5. Ingresa las primeras letras de la dirección de correo electrónico o el nombre del grupo, y selecciona la dirección entre las opciones.

    Puedes asignar un rol para hasta 20 grupos y usuarios a la vez.

  6. Haz clic en Asignar rol.
  7. (Opcional) Para restringir el rol del administrador a una unidad organizativa específica, junto a Todas las unidades organizativas, haz clic en Editar , selecciona las unidades organizativas y haz clic en Listo.

    Si no ves Editar , no puedes aplicar el rol a las unidades organizativas.

Asigna un rol a una cuenta de servicio

Puedes asignar cualquier rol predefinido o personalizado, excepto Administrador avanzado, a una cuenta de servicio. La asignación de un rol a una cuenta de servicio cuenta para el límite de asignación de roles.

Antes de comenzar: Configura una cuenta de servicio en Google Cloud. Ve a Crea y administra cuentas de servicio.

  1. En la Consola del administrador de Google, ve a Menú y luego Cuenta y luego Roles de administrador.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Coloca el cursor sobre el rol que deseas asignar y luego haz clic en Asignar administrador.
  3. Haz clic en Asignar cuentas de servicio.
  4. (Opcional) Para el rol de Lector de Grupos o Editor de Grupos, puedes otorgar privilegios de administrador solo a grupos de seguridad o que no son de seguridad, o solo a grupos bloqueados o desbloqueados. Para limitar los privilegios, haz lo siguiente:
    1. Haz clic en Establecer condiciones.
    2. Selecciona una opción para otorgar privilegios de administrador solo a lo siguiente:
      • Grupos de seguridad: Selecciona La etiqueta contiene el término "Seguridad".
      • Grupos que no son de seguridad: Selecciona La etiqueta no contiene el término "Seguridad".
      • Grupos desbloqueados: Selecciona La etiqueta no contiene el término "Bloqueado".
    3. Haz clic en Guardar.
  5. Ingresa la dirección de correo electrónico de la cuenta de servicio.

    Para encontrar la dirección de correo electrónico, abre la consola de Google Cloud y haz clic en Menú y luego IAM y administración y luego Cuentas de servicio.

  6. Haz clic en Agregar y luego Asignar rol. 

¿Qué sucede después? 

En el registro de auditoría del administrador, puedes ver cuándo se aplicó un rol de administrador a una cuenta de servicio y un registro de las acciones realizadas por los administradores de cuentas de servicio. Para obtener más información, consulta Eventos de registro del administrador

Si aplicaste el rol predefinido Administrador de grupos a una cuenta de servicio, también puedes ver las acciones en el registro de auditoría de grupos de Enterprise. Es posible que el administrador de la cuenta de servicio aparezca en Descripción del evento o Usuario. Para obtener más información, consulta Eventos de registro de grupos de Enterprise.

Tema relacionado

Después de asignar un rol, cuando el usuario vuelva a acceder, llegará a la página principal de la Consola del administrador. Los cambios pueden tardar hasta 24 horas, pero suelen ocurrir más rápido. Más información

Anular la asignación de roles

No puedes anular la asignación de un rol por tu cuenta.

Anula la asignación del rol de un usuario

Para anular la asignación de un rol a un usuario, sigue todos los pasos anteriores en Asigna roles a un usuario. En el paso 6, en lugar de activar el rol, haz clic en Desactivar .

Anula la asignación de varios roles o roles de cuentas de servicio

Anula la asignación de un rol a varios usuarios o a una cuenta de servicio en la página Roles de administrador.

  1. En la Consola del administrador de Google, ve a Menú y luego Cuenta y luego Roles de administrador.

    Debes acceder como administrador avanzado para realizar esta tarea.

  2. Coloca el cursor sobre el rol cuya asignación deseas anular y, a la derecha, haz clic en Asignar administrador.
  3. Elige una opción:
    • Marca la casilla junto a cada usuario o cuenta de servicio que desees.
    • Para anular la asignación del rol de todos los usuarios y las cuentas de servicio, marca la casilla junto al encabezado de la columna Administrador.
  4. Haz clic en Anular la asignación de rol y luego Anular la asignación de rol para confirmar.

Próximos pasos

Los administradores pueden agregar opciones de recuperación a su cuenta.