Usar políticas de organización personalizadas para las políticas de permiso

En esta página se explica cómo usar las restricciones personalizadas del servicio de políticas de organización para restringir operaciones específicas en los siguientes recursos: Google Cloud

  • iam.googleapis.com/AllowPolicy

Para obtener más información sobre la política de organización, consulta Políticas de organización personalizadas.

Acerca de las políticas y las restricciones de organización

El Google Cloud servicio de políticas de organización te ofrece un control centralizado y programático sobre los recursos de tu organización. Como administrador de políticas de la organización, puedes definir una política de la organización, que es un conjunto de restricciones llamadas restricciones que se aplican a losGoogle Cloud recursos y a los elementos descendientes de esos recursos en la Google Cloud jerarquía de recursos. Puedes aplicar políticas de organización a nivel de organización, carpeta o proyecto.

La política de la organización proporciona restricciones gestionadas integradas para varios Google Cloud servicios. Sin embargo, si quieres tener un control más granular y personalizable sobre los campos específicos que están restringidos en las políticas de tu organización, también puedes crear restricciones personalizadas y usarlas en una política de la organización.

Herencia de políticas

De forma predeterminada, las políticas de organización se heredan de los descendientes de los recursos en los que apliques la política. Por ejemplo, si aplicas una política a una carpeta, Google Cloud se aplicará a todos los proyectos de la carpeta. Para obtener más información sobre este comportamiento y cómo cambiarlo, consulta las reglas de evaluación de la jerarquía.

Ventajas

Puedes usar políticas de organización personalizadas que hagan referencia a atributos de gestión de identidades y accesos para controlar cómo se pueden modificar tus políticas de permiso. En concreto, puedes controlar lo siguiente:

  • A quién se le pueden asignar roles
  • A quién se le pueden revocar los roles
  • Qué roles se pueden conceder
  • Qué roles se pueden revocar

Por ejemplo, puedes impedir que se asignen roles que contengan la palabra admin a las entidades cuyo correo termine en @gmail.com.

Limitaciones

  • Las políticas de organización personalizadas en modo de prueba que hacen referencia a atributos de gestión de identidades y accesos tienen algunas limitaciones. En concreto, es posible que falten los siguientes campos en los registros de auditoría de las infracciones que implican el método setIamPolicy:

    • resourceName
    • serviceName
    • methodName

  • No se generan registros de auditoría para todas las infracciones de políticas de organización personalizadas relacionadas con IAM. Es decir, si una política de organización personalizada provoca que falle una operación setIamPolicy en el recurso de organización,Google Cloud no genera un registro de auditoría para ese evento.

  • Las políticas de organización personalizadas que hacen referencia a atributos de IAM no afectan a lo siguiente:

  • Se pueden enviar invitaciones a los usuarios para que se conviertan en propietarios, aunque tengas una política de organización personalizada que impida que se conceda el rol de propietario (roles/owner). Sin embargo, aunque la política de organización personalizada no impide que se envíe una invitación, sí impide que se conceda el rol de propietario a los usuarios invitados. Si los usuarios invitados intentan aceptar la invitación, se producirá un error y no se les concederá el rol de propietario.

  • Algunas acciones en Google Cloud, como crear recursos o habilitar APIs, implican asignar automáticamente un rol a un agente de servicio o a una cuenta de servicio predeterminada. Si una acción implica la concesión automática de un rol y una política de la organización impide que se conceda ese rol, es posible que falle toda la operación.

    Si te encuentras con este problema, puedes usar etiquetas para inhabilitar temporalmente la restricción que impide la concesión del rol. A continuación, realiza la acción. Cuando se haya completado la acción, vuelve a habilitar la restricción.

Antes de empezar

  • Si quieres probar políticas de organización personalizadas que hagan referencia a recursos de gestión de identidades y accesos, crea un proyecto. Probar estas políticas de la organización en un proyecto ya creado podría interrumpir los flujos de trabajo de seguridad.

    1. In the Google Cloud console, go to the project selector page.

      Go to project selector

    2. Select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Roles obligatorios

Para obtener los permisos que necesitas para gestionar las políticas de la organización, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para gestionar las políticas de la organización. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para gestionar las políticas de la organización, se necesitan los siguientes permisos:

  • orgpolicy.* de la organización
  • Prueba las políticas de organización descritas en esta página: resourcemanager.projects.setIamPolicy en el proyecto

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Configurar una restricción personalizada

Una restricción personalizada se define en un archivo YAML mediante los recursos, los métodos, las condiciones y las acciones que admite el servicio en el que vas a aplicar la política de organización. Las condiciones de tus restricciones personalizadas se definen mediante el lenguaje de expresión común (CEL). Para obtener más información sobre cómo crear condiciones en restricciones personalizadas con CEL, consulta la sección sobre CEL del artículo Crear y gestionar restricciones personalizadas.

Consola

Para crear una restricción personalizada, sigue estos pasos:

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de la organización

  2. En el selector de proyectos, selecciona el proyecto en el que quieras definir la política de la organización.
  3. Haz clic en Restricción personalizada.
  4. En el cuadro Nombre visible, introduce un nombre legible para la restricción. Este nombre se usa en los mensajes de error y se puede usar para identificar y depurar. No utilices información personal identificable ni datos sensibles en los nombres visibles, ya que estos nombres podrían mostrarse en mensajes de error. Este campo puede contener hasta 200 caracteres.
  5. En el cuadro ID de restricción, escribe el nombre que quieras asignar a la nueva restricción personalizada. Una restricción personalizada solo puede contener letras (mayúsculas y minúsculas) o números, como custom.disableGkeAutoUpgrade. Este campo puede contener hasta 70 caracteres, sin contar el prefijo (custom.). Por ejemplo, organizations/123456789/customConstraints/custom. No incluyas IPI ni datos sensibles en el ID de la restricción, ya que podría exponerse en mensajes de error.
  6. En el cuadro Description, introduce una descripción de la restricción que sea legible por humanos. Esta descripción se usa como mensaje de error cuando se infringe la política. Incluye detalles sobre por qué se ha producido la infracción de las políticas y cómo resolverla. No incluyas IPI ni datos sensibles en la descripción, ya que podrían exponerse en mensajes de error. Este campo puede contener hasta 2000 caracteres.
  7. En el cuadro Tipo de recurso, seleccione el nombre del Google Cloud recurso REST que contenga el objeto y el campo que quiera restringir. Por ejemplo, container.googleapis.com/NodePool. La mayoría de los tipos de recursos admiten hasta 20 restricciones personalizadas. Si intentas crear más restricciones personalizadas, la operación fallará.
  8. En Método de aplicación, selecciona si quieres aplicar la restricción al método CREATE de REST o a los métodos CREATE y UPDATE. Si aplicas la restricción con el método UPDATE en un recurso que la infringe, la política de la organización bloqueará los cambios en ese recurso, a menos que el cambio resuelva la infracción.

    9. No todos los Google Cloud servicios admiten ambos métodos. Para ver los métodos admitidos de cada servicio, busca el servicio en Servicios admitidos.

  9. Para definir una condición, haz clic en Editar condición.
    1. En el panel Añadir condición, crea una condición de CEL que haga referencia a un recurso de servicio compatible, por ejemplo, resource.management.autoUpgrade == false. Este campo puede contener hasta 1000 caracteres. Para obtener más información sobre el uso de CEL, consulta el artículo Lenguaje de expresión común. Para obtener más información sobre los recursos de servicio que puede usar en sus restricciones personalizadas, consulte Servicios admitidos en restricciones personalizadas.
    2. Haz clic en Guardar.
  10. En Acción, seleccione si quiere permitir o denegar el método evaluado si se cumple la condición.

    11. La acción de denegación significa que la operación para crear o actualizar el recurso se bloquea si la condición se evalúa como verdadera.

    La acción de permitir significa que la operación para crear o actualizar el recurso solo se permite si la condición se evalúa como verdadera. Se bloquean todos los demás casos, excepto los que se incluyan explícitamente en la condición.

  11. Haz clic en Crear restricción.

    12. Cuando haya introducido un valor en cada campo, aparecerá a la derecha la configuración YAML equivalente de esta restricción personalizada.

gcloud

  1. Para crear una restricción personalizada, crea un archivo YAML con el siguiente formato: 
    2.       name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
      resourceTypes:
      - RESOURCE_NAME
      methodTypes:
      - CREATE
    - UPDATE     
      condition: "CONDITION"
      actionType: ACTION
      displayName: DISPLAY_NAME
      description: DESCRIPTION

    Haz los cambios siguientes:

    • ORGANIZATION_ID: el ID de tu organización, como 123456789.
    • CONSTRAINT_NAME: el nombre que quieras asignar a la nueva restricción personalizada. Una restricción personalizada solo puede contener letras (incluidas mayúsculas y minúsculas) o números. Por ejemplo, custom.denyProjectIAMAdmin. Este campo puede contener hasta 70 caracteres.
    • RESOURCE_NAME: nombre completo del recurso Google Cloud que contiene el objeto y el campo que quieres restringir. Por ejemplo, iam.googleapis.com/AllowPolicy.
    • CONDITION: una condición de CEL que se escribe en una representación de un recurso de servicio admitido. Este campo puede contener hasta 1000 caracteres. Por ejemplo, resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin'])).

      • Para obtener más información sobre los recursos disponibles para escribir condiciones, consulta Recursos admitidos.

    • ACTION: la acción que se debe llevar a cabo si se cumple la condition. Los valores posibles son ALLOW y DENY.

      • La acción de permitir significa que, si la condición se evalúa como verdadera, se permite la operación para crear o actualizar el recurso. Esto también significa que se bloquearán todos los demás casos, excepto el que se haya incluido explícitamente en la condición.

      La acción de denegación significa que, si la condición se evalúa como verdadera, se bloquea la operación para crear o actualizar el recurso.

    • DISPLAY_NAME: nombre descriptivo de la restricción. Este campo puede contener hasta 200 caracteres.
    • DESCRIPTION: descripción de la restricción que se puede leer fácilmente y que se muestra como mensaje de error cuando se infringe la política. Este campo puede contener hasta 2000 caracteres.
  2. Una vez que hayas creado el archivo YAML de una nueva restricción personalizada, debes configurarla para que esté disponible en las políticas de organización de tu organización. Para configurar una restricción personalizada, usa el comando gcloud org-policies set-custom-constraint: 
    3.         gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    Sustituye CONSTRAINT_PATH por la ruta completa del archivo de restricción personalizada. Por ejemplo, /home/user/customconstraint.yaml.

    Una vez completada esta operación, tus restricciones personalizadas estarán disponibles como políticas de organización en tu lista de Google Cloud políticas de organización.

  3. Para verificar que la restricción personalizada existe, usa el comando gcloud org-policies list-custom-constraints: 
    4.       gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    Sustituye ORGANIZATION_ID por el ID del recurso de tu organización.

    Para obtener más información, consulta Ver las políticas de la organización.

Aplicar una política de organización personalizada

Para aplicar una restricción, crea una política de organización que haga referencia a ella y, a continuación, aplica esa política de organización a un Google Cloud recurso.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de la organización

  2. En el selector de proyectos, selecciona el proyecto en el que quieras definir la política de organización.
  3. En la lista de la página Políticas de organización, selecciona la restricción para ver la página Detalles de la política correspondiente.
  4. Para configurar la política de organización de este recurso, haz clic en Gestionar política.
  5. En la página Editar política, selecciona Anular política del recurso superior.
  6. Haz clic en Añadir regla.
  7. En la sección Aplicación, selecciona si esta política de la organización se aplica o no.
  8. Opcional: Para que la política de la organización dependa de una etiqueta, haz clic en Añadir condición. Ten en cuenta que, si añades una regla condicional a una política de organización, debes añadir al menos una regla incondicional o la política no se podrá guardar. Para obtener más información, consulta el artículo Configurar una política de organización con etiquetas.
  9. Haz clic en Probar cambios para simular el efecto de la política de la organización. Para obtener más información, consulta Probar los cambios en las políticas de la organización con el simulador de políticas.
  10. Para aplicar la política de la organización en modo de prueba de funcionamiento, haz clic en Definir política de prueba de funcionamiento. Para obtener más información, consulta Crear una política de organización en modo de prueba.
  11. Una vez que hayas verificado que la política de la organización en modo de prueba funciona correctamente, define la política activa haciendo clic en Definir política.

gcloud

  1. Para crear una política de organización con reglas booleanas, crea un archivo YAML de política que haga referencia a la restricción: 
    2.         name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
        spec:
          rules:
          - enforce: true
        
        dryRunSpec:
          rules:
          - enforce: true

    Haz los cambios siguientes:

    • PROJECT_ID: el proyecto en el que quieras aplicar la restricción.
    • CONSTRAINT_NAME: el nombre que has definido para tu restricción personalizada. Por ejemplo, custom.denyProjectIAMAdmin.
  2. Para aplicar la política de la organización en el modo de prueba, ejecuta el siguiente comando con la marca dryRunSpec: 
    3.         gcloud org-policies set-policy POLICY_PATH \
          --update-mask=dryRunSpec

    Sustituye POLICY_PATH por la ruta completa al archivo YAML de la política de tu organización. La política tarda hasta 15 minutos en aplicarse.

  3. Una vez que haya verificado que la política de la organización en modo de prueba funciona correctamente, defina la política activa con el comando org-policies set-policy y la marca spec: 
    4.         gcloud org-policies set-policy POLICY_PATH \
          --update-mask=spec

    Sustituye POLICY_PATH por la ruta completa al archivo YAML de la política de tu organización. La política tarda hasta 15 minutos en aplicarse.

Probar la política de organización personalizada

De forma opcional, puedes probar la política de la organización configurándola y, a continuación, intentando llevar a cabo una acción que la política debería impedir.

Crear la restricción

  1. Guarda el siguiente archivo como constraint-deny-project-iam-admin.

    name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:EMAIL_ADDRESS'])
    )
  )"
actionType: DENY
displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.

    Sustituye los siguientes valores:

    • ORG_ID: el ID numérico de tu organizaciónGoogle Cloud .
    • MEMBER_EMAIL_ADDRESS: la dirección de correo del principal que quieras usar para probar la restricción personalizada. Mientras la restricción esté activa, no se podrá asignar a esta entidad principal el rol de administrador de gestión de identidades y accesos del proyecto (roles/resourcemanager.projectIamAdmin) en el proyecto en el que apliques la restricción.

  2. Aplica la restricción:

    gcloud org-policies set-custom-constraint ~/constraint-deny-project-iam-admin.yaml

  3. Verifica que la restricción exista:

    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Crear la política

  1. Guarda el siguiente archivo como policy-deny-project-iam-admin.yaml:

    name: projects/PROJECT_ID/policies/custom.denyProjectIamAdmin
spec:
  rules:
  - enforce: true

    Sustituye PROJECT_ID por el ID del proyecto.

  2. Aplica la política:

    gcloud org-policies set-policy ~/policy-deny-project-iam-admin.yaml

  3. Comprueba que la política exista:

    gcloud org-policies list --project=PROJECT_ID

Después de aplicar la política, espera unos dos minutos para que Google Cloud empiece a aplicarla.

Probar la política

Intenta asignar el rol Administrador de gestión de identidades y accesos de proyectos (roles/resourcemanager.projectIamAdmin) a la cuenta principal cuya dirección de correo hayas incluido en la restricción personalizada. Antes de ejecutar el comando, sustituye los siguientes valores:

  • PROJECT_ID: ID del proyecto Google Cloud en el que has aplicado la restricción
  • EMAIL_ADDRESS: la dirección de correo del principal que especificaste al crear la restricción de la política de la organización.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin

El resultado es el siguiente:

Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]

Ejemplos de políticas de organización personalizadas para casos prácticos habituales

En la siguiente tabla se muestra la sintaxis de algunas restricciones personalizadas para casos prácticos habituales.

En los siguientes ejemplos se usan las macros de CEL all y exists. Para obtener más información sobre estas macros, consulta Macros para evaluar listas.

Descripción Sintaxis de las restricciones
Bloquear la capacidad de conceder un rol específico. 
name: organizations/ORG_ID/customConstraints/custom.denyRole
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
"resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['ROLE'])
  )"
actionType: DENY
displayName: Do not allow the ROLE role to be granted
Solo se pueden conceder funciones específicas. 
name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])
  )"
actionType: ALLOW
displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted
Evita que se concedan roles que empiecen por roles/storage.. 
name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted
Evita que se revoquen los roles que tengan admin en el nombre. 
name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    RoleNameContains(binding.role, ['admin'])
  )"
actionType: DENY
displayName: Prevent roles with "admin" in their names from being revoked
Permite que solo se concedan roles a determinadas principales. 
name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT'])
    )
  )"
actionType: ALLOW
displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT
Evita que se revoquen roles de principales específicos. 
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:USER_1','user:USER_2'])
    )
  )"
actionType: DENY
displayName: Do not allow roles to be revoked from USER_1 or USER_2
Evita que se concedan roles a las entidades con direcciones de correo que terminen en @gmail.com. 
name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectEndsWith(member, ['@gmail.com'])
    )
  )"
actionType: DENY
displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles
Solo se pueden conceder funciones específicas a principales específicos. 
name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])  &&
    binding.members.all(member,
      MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP'])
    )
  )"
actionType: ALLOW
displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP
Evita que se asignen roles de Cloud Storage a allUsers y allAuthenticatedUsers. 
name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers'])
    )
  )"
actionType: DENY
displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers
Evita que se concedan roles a identidades ajenas a tu organización. 
name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
    )
  )"
actionType: ALLOW
displayName: Only allow organization members to be granted roles
Solo permite que se asignen roles a cuentas de servicio. 
name: organizations/ORG_ID/customConstraints/custom.allowServiceAccountsOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberTypeMatches(member, ['iam.googleapis.com/ServiceAccount'])
    )
  )"
actionType: ALLOW
displayName: Only allow service accounts to be granted roles
Evita que se quiten agentes de servicio gestionados por Google de las vinculaciones de roles. 
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfGoogleManagedServiceAgents
resource_types: iam.googleapis.com/AllowPolicy
method_types:
  - REMOVE_GRANT
condition: |-
  resource.bindings.all(
      binding,
      binding.members.all(member,
        MemberTypeMatches(member, ['iam.googleapis.com/ServiceAgent'])
      )
    )
action_type: DENY
display_name: Deny Removal Of Google-Managed Service Agents
description: Restricts the removal of Google-managed service agents from role bindings. Please reach out to your organization admins for if you have any questions.

Políticas de organización condicionales

Puedes hacer que una política de organización personalizada sea condicional mediante etiquetas. Por ejemplo, supongamos que has escrito la siguiente restricción personalizada para evitar que se concedan roles que empiecen por roles/storage.:

name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted

Para aplicar la restricción de forma condicional, puedes crear una política de organización como la siguiente:

name: organizations/ORG_ID/policies/custom.dontgrantStorageRoles
spec:
  rules:
  - condition:
      expression: "resource.matchTag('ORG_ID/environment', 'dev')"
    enforce: true
  - enforce: false

Esta política de organización impide que se asignen roles que empiecen por roles/storage. a cualquier recurso que también tenga la etiqueta environment=dev.

Recursos compatibles con Gestión de Identidades y Accesos

IAM admite el recurso AllowPolicy. Este recurso tiene el atributo resources.bindings, que se devuelve en todos los métodos que modifican la política de permisos de un recurso. Todos los métodos que modifican la política de permisos de un recurso terminan con setIamPolicy.

El atributo resource.bindings tiene la siguiente estructura, donde BINDINGS es una matriz de enlaces de roles que se han modificado durante un cambio en una política de permiso:

{
  "bindings": {
    BINDINGS
  }
}

Cada enlace de resource.bindings tiene la siguiente estructura, donde ROLE es el nombre del rol en el enlace de rol y MEMBERS es una lista de identificadores de todas las entidades que se han añadido o eliminado del enlace de rol:

{
  "role": "ROLE"
  "members": {
    MEMBERS
  }
}

Para ver los formatos que pueden tener los identificadores principales, consulta Identificadores principales.

Solo puedes evaluar el atributo resource.bindings y sus campos con las funciones admitidas. No se admiten otros operadores ni funciones, como ==, !=, in, contains, startsWith y endsWith.

Funciones admitidas

Puedes usar las siguientes funciones de CEL para evaluar roles y miembros concretos en un enlace.

Para evaluar todos los enlaces del array bindings o todos los miembros del array members, usa las macros all y exists. Para obtener más información, consulta Macros para evaluar listas en esta página.

También puedes usar los operadores lógicos && (and) y || (or) para escribir condiciones de varias partes.

Función Descripción
RoleNameMatches(
  role,
  roleNames: list
)   bool

Devuelve true si el rol role coincide por completo con al menos uno de los roles que aparecen en roleNames.

Parámetros
role: el rol que se va a evaluar.
roleNames: lista de nombres de roles con los que se comparará.
Ejemplo

Devuelve true si el role del binding especificado es roles/storage.admin o roles/compute.admin: 

RoleNameMatches(binding.role, ['roles/storage.admin', 'roles/compute.admin'])
RoleNameStartsWith(
  role,
  rolePrefixes: list
)   bool

Devuelve true si el rol role empieza por al menos una de las cadenas de texto incluidas en rolePrefixes.

Parámetros
role: el rol que se va a evaluar.
rolePrefixes: lista de cadenas que se compararán con el inicio del rol.
Ejemplo

Devuelve true si el role de la binding especificada empieza por roles/storage: 

RoleNameStartsWith(binding.role, ['roles/storage'])
RoleNameEndsWith(
  role,
  roleSuffixes: list
)   bool

Devuelve true si el rol role termina con al menos una de las cadenas que se indican en roleSuffixes.

Parámetros
role: el rol que se va a evaluar.
roleSuffixes: lista de cadenas que coinciden con el final del rol.
Ejemplo

Devuelve true si el role de la binding especificada termina con .admin: 

RoleNameEndsWith(binding.role, ['.admin'])
RoleNameContains(
  role,
  roleSubstrings: list
)   bool

Devuelve true si el rol role contiene al menos una de las cadenas que se indican en roleSubstrings.

Parámetros
role: el rol que se va a evaluar.
roleSubstrings: lista de cadenas que coinciden con cualquier parte del rol.
Ejemplo

Devuelve true si el role del binding especificado contiene la cadena admin: 

RoleNameContains(binding.role, ['admin'])
MemberSubjectMatches(
  member,
  memberNames: list
)   bool

Devuelve true si el miembro member coincide completamente con al menos uno de los miembros incluidos en memberNames.

Si el identificador de member es una dirección de correo electrónico, esta función evalúa la dirección de correo, así como cualquier alias de esa dirección.

Parámetros
member: el miembro que se va a evaluar.
memberNames: lista de nombres de miembros con los que se comparará.
Ejemplo

Devuelve true si el miembro member es rosario@example.com: 

MemberSubjectMatches(member, ['user:rosario@example.com'])
MemberSubjectStartsWith(
  member,
  memberPrefixes: list
)   bool

Devuelve true si el miembro member empieza por al menos una de las cadenas de texto que se indican en memberPrefixes.

Si el identificador de member es una dirección de correo electrónico, esta función evalúa la dirección de correo, así como cualquier alias de esa dirección.

Parámetros
member: el miembro que se va a evaluar.
memberPrefixes: lista de cadenas con las que se comparará el principio del nombre del miembro.
Ejemplo

Devuelve true si el miembro member empieza por user:prod-: 

MemberSubjectStartsWith(member, ['user:prod-'])
MemberSubjectEndsWith(
  member,
  memberSuffixes: list
)   bool

Devuelve true si el miembro member termina con al menos una de las cadenas de memberSuffixes.

Si el identificador de member es una dirección de correo electrónico, esta función evalúa la dirección de correo, así como cualquier alias de esa dirección.

Parámetros
member: el miembro que se va a evaluar.
memberSuffixes: lista de cadenas con las que se comparará el final del nombre del miembro.
Ejemplo

Devuelve true si el miembro member termina con @example.com: 

MemberSubjectEndsWith(member, ['@example.com'])
MemberInPrincipalSet(
  member,
  principalSets: list
)   bool

Devuelve true si el miembro pertenece al menos a uno de los conjuntos de principales indicados.

Parámetros
member: el miembro que se va a evaluar.

principalSets: una lista de conjuntos de principales. Para que la función se evalúe como true, el miembro debe estar en al menos uno de estos conjuntos principales.

El único conjunto de principales admitido es el conjunto de principales de la organización, que tiene el formato //cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID. Cuando se usa en la función MemberInPrincipalSet, este conjunto de principales incluye los siguientes principales:

  • Todas las identidades de todos los dominios asociados a tu ID de cliente de Google Workspace
  • Todos los grupos de identidades de Workforce de tu organización
  • Todas las cuentas de servicio y los grupos de identidades de carga de trabajo de cualquier proyecto de la organización
  • Todos los agentes de servicio asociados a los recursos de tu organización.
Ejemplo

Devuelve true si el miembro member pertenece a la organización @example.com, que tiene el ID 123456789012: 

MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
MemberTypeMatches(
  member,
  principalType: list
)   bool

Devuelve true si el miembro es uno de los tipos de principales indicados.

Parámetros
member: el miembro que se va a evaluar.
principalType: lista de tipos principales. Para que la función devuelva true, el miembro debe ser uno de los tipos de principal que se indican. Para saber qué tipos de principales se admiten, consulta Tipos de principales admitidos para MemberTypeMatches.
Ejemplo

Devuelve true si el miembro member tiene el tipo de principal iam.googleapis.com/WorkspacePrincipal o iam.googleapis.com/WorkspaceGroup: 

MemberTypeMatches(member, ['iam.googleapis.com/WorkspacePrincipal', 'iam.googleapis.com/WorkspaceGroup'])

Macros para evaluar listas

Usa las macros all y exists para evaluar una expresión de condición de una lista de elementos.

Macro Descripción
list.all(
  item,
  conditionExpression
)   bool

Devuelve true si conditionExpression da como resultado true para todos los item de list.

Esta macro se suele usar en políticas de organización personalizadas con actionType ALLOW. Por ejemplo, puedes usar esta macro para asegurarte de que una acción solo se permita si todos los principales modificados cumplen la condición.

Parámetros
list: lista de elementos que se van a evaluar.
item: el elemento de lista que se va a evaluar. Por ejemplo, si llamas a este método en la lista resource.bindings, usa el valor binding.
conditionExpression: expresión de condición con la que se va a evaluar cada item.
Ejemplo

Devuelve true si todos los enlaces de resource.bindings tienen roles que empiezan por roles/storage.. Devuelve false si alguna de las enlaces tiene roles que no empiezan por roles/storage.: 

resource.bindings.all(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))
list.exists(
  item,
  conditionExpression
)   bool

Devuelve true si conditionExpression da como resultado true para cualquier item en list.

Esta macro se suele usar en políticas de organización personalizadas con los actionType DENY. Por ejemplo, puedes usar esta macro para asegurarte de que se deniega una acción si cualquiera de las entidades modificadas cumple la condición.

Parámetros
list: lista de elementos que se van a evaluar.
item: el elemento de lista que se va a evaluar. Por ejemplo, si llamas a este método en la lista resource.bindings, usa el valor binding.
conditionExpression: expresión de condición con la que se va a evaluar cada item.
Ejemplo

Devuelve true si alguna de las vinculaciones de resource.bindings tiene roles que empiezan por roles/storage.. Devuelve false si ninguno de los enlaces tiene roles que empiecen por roles/storage.: 

resource.bindings.exists(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))

Condiciones con listas anidadas

Por lo general, si tu condición incluye listas anidadas, debes usar la misma macro para todas las listas de la condición.

Ten en cuenta los siguientes ejemplos:

  • Si tu política tiene el valor actionType ALLOW, usa la macro all tanto en la lista members como en la lista bindings para asegurarte de que las modificaciones de la política solo se permitan si todos los miembros de todos los enlaces modificados cumplen la condición.
  • Si tu política tiene actionType DENY, usa la macro exists tanto en la lista members como en la lista bindings para asegurarte de que no se permitan modificaciones en la política si cualquier miembro de cualquier vinculación modificada cumple la condición.

Si se mezclan macros en una misma condición, es posible que esta no se comporte como se espera.

Por ejemplo, supongamos que quieres impedir que se asignen roles a miembros ajenos a la organización example.com. La organización example.com tiene el ID 123456789012.

Para lograr este objetivo, escribe la siguiente condición:

No recomendado: condición mal configurada

"resource.bindings.all(
  binding,
  binding.members.exists(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

Parece que esta condición impide que se asignen roles a miembros ajenos a la organización de example.com. Sin embargo, la condición se evalúa como true si cualquier miembro de cada una de las vinculaciones de roles modificadas está en la organización example.com. Por lo tanto, puedes seguir asignando roles a miembros ajenos a la organización example.com si también asignas el mismo rol a un miembro de la organización example.com.

Por ejemplo, la condición se evalúa como true para el siguiente conjunto de enlaces, aunque uno de los miembros no pertenezca a la organización example.com:

 "bindings": [
    {
      "members": [
        "user:raha@altostrat.com",
        "user:jie@example.com"
      ],
      "role": "roles/resourcemanager.projectCreator"
    }
  ],

En su lugar, debes escribir una condición como la siguiente:

Recomendado: condición configurada correctamente

"resource.bindings.all(
  binding,
  binding.members.all(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

Si se usa la macro all tanto en la matriz members.bindings como en la matriz resource.bindings, la condición solo se evalúa como true si todos los miembros de todos los enlaces están en el conjunto principal example.com.

Tipos de principales admitidos para MemberTypeMatches

La función MemberTypeMatches requiere que especifiques el tipo de principal con el que debe coincidir el miembro especificado.

En la siguiente tabla se enumeran los tipos de principales que puedes introducir y se describe lo que representa cada uno. También se indican los identificadores de las entidades principales que corresponden a cada tipo de entidad principal. Estos identificadores son los valores que se usan en las políticas de gestión de identidades y accesos.

Tipo de principal Descripción Identificadores principales
iam.googleapis.com/ConsumerPrincipal Una cuenta de Google de consumidor. Las direcciones de correo de estas cuentas suelen terminar en gmail.com. user:USER_EMAIL_ADDRESS
iam.googleapis.com/WorkspacePrincipal Una cuenta de Google que forme parte de una cuenta de Cloud Identity o Google Workspace. Estas cuentas también se denominan cuentas de usuario gestionadas. user:USER_EMAIL_ADDRESS
iam.googleapis.com/ConsumerGroup Un grupo de Google creado por una cuenta de Google de consumidor. Estos grupos no son propiedad de una cuenta de Cloud Identity ni de Google Workspace. Las direcciones de correo de estos grupos suelen terminar en googlegroups.com. group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/WorkspaceGroup Un grupo de Google que sea propiedad de una cuenta de Cloud Identity o de Google Workspace. group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/Domain Una cuenta de Cloud Identity o Google Workspace. domain:DOMAIN
iam.googleapis.com/WorkforcePoolPrincipal Una sola principal en un grupo de identidades de Workforce. principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkforcePoolPrincipalSet Conjunto de principales que contiene un conjunto de identidades en un grupo de identidades de Workforce. Por ejemplo, un conjunto de principales que contenga todos los principales de un grupo de identidades de Workforce.
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*
iam.googleapis.com/WorkloadPoolPrincipal Una sola identidad en un grupo de identidades de carga de trabajo principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkloadPoolPrincipalSet Un conjunto de principales que contiene un conjunto de identidades en un grupo de identidades de carga de trabajo. Por ejemplo, un conjunto de principales que contenga todos los principales de un grupo de identidades de carga de trabajo.
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*
iam.googleapis.com/ServiceAccount

Cualquier cuenta de servicio. Una cuenta de servicio es un tipo especial de cuenta que representa una carga de trabajo en lugar de a un usuario humano.

En el contexto de la función MemberTypeMatches, este tipo de entidad principal no incluye agentes de servicio.

serviceAccount:SERVICE_ACCOUNT_EMAIL_ADDRESS
iam.googleapis.com/ServiceAgent Cualquier agente de servicio. Un agente de servicio es un tipo especial de cuenta de servicio que Google Cloud crea y gestiona. Cuando se les conceden roles en tus proyectos, los agentes de servicio permiten que los servicios Google Cloud realicen acciones en tu nombre. serviceAccount:SERVICE_AGENT_EMAIL_ADDRESS
iam.googleapis.com/PublicPrincipals Los principios allUsers y allAuthenticatedUsers.
  • allUsers
  • allAuthenticatedUsers
iam.googleapis.com/ProjectRoleReference Entidades principales definidas en función del rol que se les haya concedido. Estos principales también se denominan valores de conveniencia.
  • projectOwner:PROJECT_ID
  • projectEditor:PROJECT_ID
  • projectViewer:PROJECT_ID
iam.googleapis.com/ResourcePrincipal Un recurso con una identidad integrada. Cualquiera de los identificadores principales que se indican en Identificadores principales de recursos únicos.
iam.googleapis.com/ResourcePrincipalSet Recursos con identidades integradas que comparten determinadas características, como el tipo o el ancestor. Cualquiera de los identificadores que se indican en Identificadores principales de conjuntos de recursos.

Siguientes pasos