Configura políticas de IAM

En esta página, se describe cómo configurar políticas de Identity and Access Management (IAM) que permiten a los miembros crear y administrar recursos de Certificate Authority Service. Para obtener más información sobre IAM, consulta Descripción general de IAM.

Políticas generales de IAM

En el servicio de CA, otorgas roles de IAM a usuarios o cuentas de servicio para crear y administrar recursos del servicio de CA. Puedes agregar estas vinculaciones de roles en los siguientes niveles:

  • Nivel de grupo de CA para administrar el acceso a un grupo de CA específico y a las CAs de ese grupo de CA
  • Nivel de proyecto o de organización para otorgar acceso a todos los grupos de CA en ese alcance

Los roles se heredan si se otorgan en un nivel de recursos superior. Por ejemplo, un usuario al que se le otorga el rol de auditor (roles/privateca.auditor) a nivel de proyecto puede ver todos los recursos del proyecto. Las políticas de IAM que se establecen en un grupo de autoridades certificadoras (CA) son heredadas por todas las CAs de ese grupo de CA.

No se pueden otorgar roles de IAM en certificados ni recursos de CA.

Políticas condicionales de IAM

Si tienes un grupo de CA compartido que pueden usar varios usuarios autorizados para solicitar diferentes tipos de certificados, puedes definir condiciones de IAM para aplicar el acceso basado en atributos para realizar ciertas operaciones en un grupo de CA.

Las vinculaciones de roles condicionales de IAM te permiten otorgar acceso a las entidades solo si se cumplen las condiciones especificadas. Por ejemplo, si el rol de solicitante de certificados está vinculado al usuario alice@example.com en un grupo de CA con la condición de que los SAN de DNS solicitados sean un subconjunto de ['alice@example.com', 'bob@example.com'], ese usuario puede solicitar certificados del mismo grupo de CA solo si el SAN solicitado es uno de esos dos valores permitidos. Puedes establecer condiciones en las vinculaciones de IAM con expresiones de Common Expression Language (CEL). Estas condiciones pueden ayudarte a restringir aún más el tipo de certificados que un usuario puede solicitar. Para obtener información sobre el uso de expresiones CEL para condiciones de IAM, consulta Dialecto de Common Expression Language (CEL) para políticas de IAM.

Antes de comenzar

  • Habilita la API.
  • Para crear una CA y un grupo de CA, sigue las instrucciones de cualquiera de las guías de inicio rápido.
  • Lee sobre los roles de IAM disponibles para Certificate Authority Service.

Configura vinculaciones de políticas de IAM a nivel de proyecto

En las siguientes situaciones, se describe cómo puedes otorgar a los usuarios acceso a los recursos del servicio de CA a nivel de proyecto.

Administrar recursos

Un administrador del servicio de CA (roles/privateca.admin) tiene los permisos para administrar todos los recursos del servicio de CA y establecer políticas de IAM en grupos de CA y plantillas de certificados.

Para asignar el rol de administrador del servicio de CA (roles/privateca.admin) a un usuario a nivel de proyecto, sigue estas instrucciones:

Console

  1. En la Google Cloud consola de, dirígete a la página IAM.

    Ir a Identity and Access Management

  2. Selecciona el proyecto.

  3. Haz clic en Grant access.

  4. En el campo Nuevas principales, ingresa la dirección de correo electrónico del principal o algún otro identificador.

  5. En la lista Seleccionar un rol, selecciona el rol de administrador del servicio de CA.

  6. Haz clic en Guardar.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

Reemplaza lo siguiente:

  • PROJECT_ID: Es el identificador único del proyecto.
  • MEMBER: Es el usuario o la cuenta de servicio a la que deseas asignar el rol de administrador del servicio de CA.

La marca --role especifica el rol de IAM que deseas asignar al miembro.

Crea recursos

Un administrador de operaciones del servicio de CA (roles/privateca.caManager) puede crear, actualizar y borrar grupos de CA y CAs. Este rol también permite que la persona que realiza la llamada revoque los certificados emitidos por las CAs del grupo de CA.

Para asignar el rol de administrador de operaciones del servicio de CA (roles/privateca.caManager) a un usuario a nivel de proyecto, sigue estas instrucciones:

Console

  1. En la Google Cloud consola de, dirígete a la página IAM.

    Ir a Identity and Access Management

  2. Selecciona el proyecto.

  3. Haz clic en Grant access.

  4. En el campo Nuevas principales, ingresa la dirección de correo electrónico del principal o algún otro identificador.

  5. En la lista Seleccionar un rol, selecciona el rol de administrador de operaciones del servicio de CA.

  6. Haz clic en Guardar.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

Reemplaza lo siguiente:

  • PROJECT_ID: Es el identificador único del proyecto.
  • MEMBER: Es el usuario o la cuenta de servicio para la que deseas agregar el rol de IAM.

La marca --role especifica el rol de IAM que deseas asignar al miembro.

Para obtener más información sobre el comando gcloud projects add-iam-policy-binding, consulta gcloud projects add-iam-policy-binding.

De manera opcional, crear una CA con una clave de Cloud KMS existente también requiere que la persona que realiza la llamada sea un administrador de la clave de Cloud KMS.

El administrador de Cloud KMS (roles/cloudkms.admin) tiene acceso completo a todos los recursos de Cloud KMS, excepto a las operaciones de encriptación y desencriptación. Para obtener más información sobre los roles de IAM para Cloud KMS, consulta Cloud KMS: Permisos y roles.

Para otorgar el rol de administrador de Cloud KMS (roles/cloudkms.admin) a un usuario, sigue estas instrucciones:

Console

  1. En la Google Cloud consola de, ve a la página Cloud Key Management Service.

    Ir a Cloud Key Management Service

  2. En Llaveros de claves, haz clic en el llavero de claves que contiene la clave de firma de CA.

  3. Haz clic en la clave que es la clave de firma de CA.

  4. Si el panel de información no está visible, haz clic en Mostrar panel de información. Luego, haz clic en Permisos.

  5. Haz clic en Agregar principal.

  6. En el campo Nuevas principales, ingresa la dirección de correo electrónico del principal o algún otro identificador.

  7. En la lista Seleccionar un rol, selecciona el rol de administrador de Cloud KMS.

  8. Haz clic en Guardar.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

Reemplaza lo siguiente:

  • KEY: Es el identificador único de la clave.
  • KEYRING: Es el llavero de claves que contiene la clave. Para obtener más información sobre los llaveros de claves, consulta Llaveros de claves.
  • MEMBER: Es el usuario o la cuenta de servicio para la que deseas agregar la vinculación de IAM .

La marca --role especifica el rol de IAM que deseas asignar al miembro.

Para obtener más información sobre el comando gcloud kms keys add-iam-policy-binding, consulta gcloud kms keys add-iam-policy-binding.

Recurso de auditoría

Un auditor del servicio de CA (roles/privateca.auditor) tiene acceso de lectura a todos los recursos del servicio de CA. Cuando se otorga para un grupo de CA específico, otorga acceso de lectura al grupo de CA. Si el grupo de CA está en el nivel Enterprise, el usuario con este rol también puede ver los certificados y las CRL emitidas por las CAs del grupo de CA. Asigna este rol a las personas responsables de validar la seguridad y las operaciones del grupo de CA.

Para asignar el rol de auditor del servicio de CA (roles/privateca.auditor) a un usuario a nivel de proyecto, sigue estas instrucciones:

Console

  1. En la Google Cloud consola de, dirígete a la página IAM.

    Ir a Identity and Access Management

  2. Selecciona el proyecto.

  3. Haz clic en Grant access.

  4. En el campo Nuevas principales, ingresa la dirección de correo electrónico del principal o algún otro identificador.

  5. En la lista Seleccionar un rol, selecciona el rol de auditor del servicio de CA.

  6. Haz clic en Guardar.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

Reemplaza lo siguiente:

  • PROJECT_ID: Es el identificador único del proyecto.
  • MEMBER: Es el identificador único del usuario al que deseas asignar el rol de auditor del servicio de CA (roles/privateca.auditor).

La marca --role especifica el rol de IAM que deseas asignar al miembro.

Configura vinculaciones de políticas de IAM a nivel de recurso

En esta sección, se describe cómo puedes configurar vinculaciones de políticas de IAM para un recurso en particular en el servicio de CA.

Administrar grupos de CA

Puedes otorgar el rol de administrador del servicio de AC (roles/privateca.admin) a nivel de recurso para administrar un grupo de AC o una plantilla de certificado específicos.

Console

  1. En la Google Cloud consola, ve a la página Certificate Authority Service.

    Ir a Certificate Authority Service

  2. Haz clic en la pestaña Administrador de grupos de CA y, luego, selecciona el grupo de CA para el que deseas otorgar permisos.

  3. Si el panel de información no está visible, haz clic en Mostrar panel de información. Luego, haz clic en Permisos.

  4. Haz clic en Agregar principal.

  5. En el campo Nuevas principales, ingresa la dirección de correo electrónico del principal o algún otro identificador.

  6. En la lista Seleccionar un rol, selecciona el rol de administrador del servicio de CA.

  7. Haz clic en Guardar. A la principal se le otorga el rol seleccionado en el recurso del grupo de CA.

gcloud

Para establecer la política de IAM, ejecuta el siguiente comando:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

Reemplaza lo siguiente:

  • POOL_ID: Es el identificador único del grupo de CA para el que deseas establecer la política de IAM.
  • LOCATION: Es la ubicación del grupo de CA. Para obtener la lista completa de ubicaciones, consulta Ubicaciones.
  • MEMBER: Es el usuario o la cuenta de servicio a la que deseas asignar el rol de IAM.

La marca --role especifica el rol de IAM que deseas asignar al miembro.

Para obtener más información sobre el comando gcloud privateca pools add-iam-policy-binding, consulta gcloud privateca pools add-iam-policy-binding.

Sigue los mismos pasos para otorgar el rol de administrador del servicio de AC en una plantilla de certificado.

También puedes otorgar el rol de administrador de operaciones del servicio de CA (roles/privateca.caManager) en un grupo de CA específico. Este rol permite que la persona que realiza la llamada revoque los certificados emitidos por las CAs de ese grupo de CA.

Console

  1. En la Google Cloud consola, ve a la página Certificate Authority Service.

    Ir a Certificate Authority Service

  2. Haz clic en la pestaña Administrador de grupos de CA y, luego, selecciona el grupo de CA para el que deseas otorgar permisos.

  3. Si el panel de información no está visible, haz clic en Mostrar panel de información. Luego, haz clic en Permisos.

  4. Haz clic en Agregar principal.

  5. En el campo Nuevas principales, ingresa la dirección de correo electrónico del principal o algún otro identificador.

  6. En la lista Seleccionar un rol, selecciona el rol de administrador de operaciones del servicio de CA.

  7. Haz clic en Guardar. A la principal se le otorga el rol seleccionado en el recurso del grupo de CA al que pertenece la CA.

gcloud

Para otorgar el rol para un grupo de AC específico, ejecuta el siguiente comando gcloud:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

Reemplaza lo siguiente:

  • POOL_ID: Es el identificador único del grupo de CA.
  • LOCATION: Es la ubicación del grupo de CA. Para obtener la lista completa de ubicaciones, consulta Ubicaciones.
  • MEMBER: Es el identificador único del usuario al que deseas asignar el rol de administrador de operaciones del servicio de CA (roles/privateca.caManager).

La marca --role especifica el rol de IAM que deseas asignar al miembro.

Para obtener más información sobre el comando gcloud privateca pools add-iam-policy-binding, consulta gcloud privateca pools add-iam-policy-binding.

Crea certificados

Otorga el rol de Administrador de certificados del servicio de AC (roles/privateca.certificateManager) a los usuarios para permitirles enviar solicitudes de emisión de certificados a un grupo de AC. Este rol también otorga acceso de lectura a los recursos del servicio de CA. Para permitir solo la creación de certificados sin acceso de lectura, otorga el rol de solicitante de certificados del servicio de AC (roles/privateca.certificateRequester). Para obtener más información sobre los roles de IAM para el servicio de CA, consulta Control de acceso con IAM.

Para otorgar al usuario acceso para crear certificados para una CA específica, sigue estas instrucciones.

Console

  1. En la Google Cloud consola, ve a la página Certificate Authority Service.

    Ir a Certificate Authority Service

  2. Haz clic en Administrador de grupos de AC y, luego, selecciona el grupo de AC para el que deseas otorgar permisos.

  3. Si el panel de información no está visible, haz clic en Mostrar panel de información. Luego, haz clic en Permisos.

  4. Haz clic en Agregar principal.

  5. En el campo Nuevas principales, ingresa la dirección de correo electrónico del principal o algún otro identificador.

  6. En la lista Seleccionar un rol, selecciona el rol de administrador de certificados del servicio de CA.

  7. Haz clic en Guardar. A la principal se le otorga el rol seleccionado en el recurso del grupo de CA al que pertenece la CA.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

Reemplaza lo siguiente:

  • POOL_ID: Es el identificador único del grupo de CA.
  • LOCATION: Es la ubicación del grupo de CA. Para obtener la lista completa de ubicaciones, consulta Ubicaciones.
  • MEMBER: Es el identificador único del usuario al que deseas asignar el rol de administrador de certificados del servicio de CA (roles/privateca.certificateManager).

La marca --role especifica el rol de IAM que deseas asignar al miembro.

Agrega vinculaciones de políticas de IAM a una plantilla de certificado

Para agregar una política de IAM en una plantilla de certificado en particular, sigue estas instrucciones:

Console

  1. En la Google Cloud consola, ve a la página Certificate Authority Service.

    Ir a Certificate Authority Service

  2. Haz clic en la pestaña Administrador de plantillas y, luego, selecciona la plantilla de certificado para la que deseas otorgar permisos.

  3. Si el panel de información no está visible, haz clic en Mostrar panel de información. Luego, haz clic en Permisos.

  4. Haz clic en Agregar principal.

  5. En el campo Nuevas principales, ingresa la dirección de correo electrónico del principal o algún otro identificador.

  6. Elige un rol para otorgar de la lista desplegable Seleccionar un rol.

  7. Haz clic en Guardar.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Reemplaza lo siguiente:

  • LOCATION: Es la ubicación de la plantilla de certificado. Para obtener la lista completa de ubicaciones, consulta Ubicaciones.
  • MEMBER: Es el usuario o la cuenta de servicio para la que tú deseas agregar la vinculación de políticas de IAM.
  • ROLE: Es el rol que deseas otorgar al miembro.

Para obtener más información sobre el comando gcloud privateca templates add-iam-policy-binding, consulta gcloud privateca templates add-iam-policy-binding.

Para obtener más información sobre cómo modificar el rol de IAM de un usuario, consulta Otorga acceso.

Quita vinculaciones de políticas de IAM

Puedes quitar una vinculación de políticas de IAM existente con el comando remove-iam-policy-binding de Google Cloud CLI.

Para quitar una política de IAM en un grupo de CA en particular, usa el siguiente comando gcloud:

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Reemplaza lo siguiente:

  • LOCATION: Es la ubicación del grupo de CA. Para obtener la lista completa de ubicaciones, consulta Ubicaciones.
  • MEMBER: Es el usuario o la cuenta de servicio para la que deseas quitar la vinculación de políticas de IAM.
  • ROLE: Es el rol que deseas quitar para el miembro.

Para obtener más información sobre el comando gcloud privateca pools remove-iam-policy-binding, consulta gcloud privateca pools remove-iam-policy-binding.

Para quitar una política de IAM en una plantilla de certificado en particular, usa el siguiente comando gcloud:

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Reemplaza lo siguiente:

  • LOCATION: Es la ubicación de la plantilla de certificado. Para obtener la lista completa de ubicaciones, consulta Ubicaciones.
  • MEMBER: Es el usuario o la cuenta de servicio para la que deseas quitar la vinculación de políticas de IAM.
  • ROLE: Es el rol que deseas quitar para el miembro.

Para obtener más información sobre el comando gcloud privateca templates remove-iam-policy-binding, consulta gcloud privateca templates remove-iam-policy-binding.

Para obtener más información sobre cómo quitar el rol de IAM de un usuario, consulta Revoca el acceso.

¿Qué sigue?