Sistema de gestión de identidades y acceso de Google Cloud. Permite asignar roles (primitivos: Owner/Editor/Viewer, predefinidos o personalizados) a miembros (usuarios, grupos, cuentas de servicio) sobre recursos GCP.
En CDL es fundamental para seguridad. Principio de mínimo privilegio. Diferencia con AWS IAM: en GCP los permisos se asignan a nivel de recurso específico o de proyecto/carpeta/organización. Las cuentas de servicio son identidades para aplicaciones.