Usa políticas de la organización personalizadas para las políticas de permiso

En esta página, se muestra cómo usar las restricciones personalizadas del servicio de políticas de la organización para limitar operaciones específicas en los siguientes recursos de Google Cloud :

  • iam.googleapis.com/AllowPolicy

Para obtener más información sobre la política de la organización, consulta Políticas de la organización personalizadas.

Acerca de las restricciones y políticas de la organización

El servicio de políticas de la organización de Google Cloud te brinda un control centralizado y programático sobre los recursos de tu organización. Como administrador de políticas de la organización, puedes definir una política de la organización, que es un conjunto de limitaciones llamadas restricciones que se aplican a los recursos y a sus subordinados deGoogle Cloud en la jerarquía de recursos deGoogle Cloud . Puedes aplicar políticas de la organización a nivel de la organización, carpeta o proyecto.

La política de la organización brinda restricciones administradas integradas para varios servicios de Google Cloud . Sin embargo, si deseas un control más detallado y personalizable sobre los campos específicos que están restringidos en las políticas de tu organización, también puedes crear restricciones personalizadas y usarlas en una política de la organización.

Herencia de políticas

De forma predeterminada, las políticas de la organización se heredan según los subordinados de los recursos en los que se aplica la política. Por ejemplo, si aplicas una política en una carpeta, Google Cloud aplica la política en todos los proyectos en ella. Para obtener más información sobre este comportamiento y cómo cambiarlo, consulta Reglas de evaluación de la jerarquía.

Beneficios

Puedes usar políticas de la organización personalizadas que hagan referencia a atributos de IAM para controlar cómo se pueden modificar tus políticas de permisos. Específicamente, puedes controlar lo siguiente:

  • A quién se le pueden otorgar roles
  • Quiénes pueden tener sus roles revocados
  • Qué roles se pueden otorgar
  • Qué roles se pueden revocar

Por ejemplo, puedes evitar que se otorguen roles que contengan la palabra admin a los principales cuyas direcciones de correo electrónico terminen en @gmail.com.

Limitaciones

  • Las políticas de la organización personalizadas en el modo de prueba que hacen referencia a atributos de IAM tienen algunas limitaciones. Es decir, es posible que a los registros de auditoría de los incumplimientos que involucran el método setIamPolicy les falten los siguientes campos:

    • resourceName
    • serviceName
    • methodName

  • No se generan registros de auditoría para todos los incumplimientos de políticas de la organización personalizadas relacionados con IAM. Es decir, si una política de la organización personalizada hace que falle una operación setIamPolicy en el recurso de la organización,Google Cloud no genera un registro de auditoría para ese evento.

  • Las políticas de la organización personalizadas que hacen referencia a atributos de IAM no afectan lo siguiente:

  • Se pueden enviar invitaciones a los usuarios para que se conviertan en propietarios, incluso si tienes una política de organización personalizada que impide que se otorgue el rol de propietario (roles/owner). Sin embargo, si bien la política de la organización personalizada no impide que se envíe una invitación, sí impide que a los usuarios invitados se les otorgue el rol de propietario. Si los usuarios invitados intentan aceptar la invitación, se producirá un error y no se les otorgará el rol de propietario.

  • Algunas acciones en Google Cloud, como crear recursos o habilitar APIs, implican otorgar automáticamente un rol a un agente de servicio o una cuenta de servicio predeterminada. Si una acción implica otorgar un rol de forma automática y una política de la organización impide que se otorgue ese rol, es posible que falle toda la operación.

    Si te encuentras con este problema, puedes usar etiquetas para inhabilitar temporalmente la restricción que impide la concesión del rol. Luego, realiza la acción. Una vez que finalice la acción, vuelve a habilitar la restricción.

Antes de comenzar

  • Si deseas probar políticas de la organización personalizadas que hagan referencia a recursos de IAM, crea un proyecto nuevo. Probar estas políticas de la organización en un proyecto existente podría interrumpir los flujos de trabajo de seguridad.

    1. In the Google Cloud console, go to the project selector page.

      Go to project selector

    2. Select or create a Google Cloud project.

      Roles required to select or create a project

      • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
      • Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Roles obligatorios

Para obtener los permisos que necesitas para administrar las políticas de la organización, pídele a tu administrador que te otorgue los siguientes roles de IAM:

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para administrar las políticas de la organización. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para administrar las políticas de la organización:

  • orgpolicy.* en la organización
  • Prueba las políticas de la organización que se describen en esta página: resourcemanager.projects.setIamPolicy en el proyecto

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Configura una restricción personalizada

Una restricción personalizada se define en un archivo YAML con los recursos, los métodos, las condiciones y las acciones que son compatibles con el servicio en el que aplicas la política de la organización. Las condiciones para tus restricciones personalizadas se definen con Common Expression Language (CEL). Si deseas obtener más información para compilar condiciones en restricciones personalizadas con CEL, consulta la sección CEL de Crea y administra restricciones personalizadas.

Console

Para crear una restricción personalizada, haz lo siguiente:

  1. En la consola de Google Cloud , ve a la página Políticas de la organización.

    Ir a Políticas de la organización

  2. En el selector de proyectos, selecciona el proyecto para el que deseas configurar la política de la organización.
  3. Haz clic en Restricción personalizada.
  4. En el cuadro Nombre visible, ingresa un nombre legible para la restricción. Este nombre se usa en los mensajes de error y se puede usar para la identificación y la depuración. No uses PII ni datos sensibles en los nombres visibles, ya que podrían exponerse en mensajes de error. Este campo puede contener hasta 200 caracteres.
  5. En el cuadro ID de restricción, ingresa el nombre que deseas para la nueva restricción personalizada. Una restricción personalizada solo puede contener letras (incluidas mayúsculas y minúsculas) o números, por ejemplo, custom.disableGkeAutoUpgrade. Este campo puede contener hasta 70 caracteres, sin contar el prefijo (custom.), por ejemplo, organizations/123456789/customConstraints/custom. No incluyas PII ni datos sensibles en el ID de la restricción, ya que podrían exponerse en mensajes de error.
  6. En el cuadro Description, ingresa una descripción legible de la restricción. Esta descripción se usa como mensaje de error cuando se infringe la política. Incluye detalles sobre por qué se produjo el incumplimiento de política y cómo resolverlo. No incluyas PII ni datos sensibles en la descripción, ya que podrían exponerse en mensajes de error. Este campo puede contener hasta 2,000 caracteres.
  7. En el cuadro Tipo de recurso, selecciona el nombre del recurso de Google Cloud REST que contiene el objeto y el campo que deseas restringir, por ejemplo, container.googleapis.com/NodePool. La mayoría de los tipos de recursos admiten hasta 20 restricciones personalizadas. Si intentas crear más restricciones personalizadas, la operación fallará.
  8. En Método de aplicación, selecciona si deseas aplicar la restricción en un método de REST CREATE o en los métodos CREATE y UPDATE. Si aplicas la restricción con el método UPDATE en un recurso que la incumple, la política de la organización bloqueará los cambios en ese recurso, a menos que el cambio resuelva el incumplimiento.

    9. No todos los servicios de Google Cloud admiten ambos métodos. Para ver los métodos compatibles para cada servicio, busca el servicio en Servicios compatibles.

  9. Para definir una condición, haz clic en Editar condición.
    1. En el panel Agregar condición, crea una condición de CEL que haga referencia a un recurso de servicio compatible, por ejemplo, resource.management.autoUpgrade == false. Este campo puede contener hasta 1,000 caracteres. Para obtener detalles sobre el uso de CEL, consulta Common Expression Language. Para obtener más información sobre los recursos de servicio que puedes usar en tus restricciones personalizadas, consulta Servicios compatibles con restricciones personalizadas.
    2. Haz clic en Guardar.
  10. En Acción, selecciona si deseas permitir o rechazar el método evaluado si se cumple la condición.

    11. La acción de rechazo significa que la operación para crear o actualizar el recurso se bloquea si la condición se evalúa como verdadera.

    La acción de permitir significa que la operación para crear o actualizar el recurso solo se permite si la condición se evalúa como verdadera. Se bloquean todos los demás casos, excepto los que se indican explícitamente en la condición.

  11. Haz clic en Crear restricción.

    12. Cuando ingreses un valor en cada campo, aparecerá a la derecha la configuración de YAML equivalente para esta restricción personalizada.

gcloud

  1. Para crear una restricción personalizada, crea un archivo YAML con el siguiente formato: 
    2.       name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
      resourceTypes:
      - RESOURCE_NAME
      methodTypes:
      - CREATE
    - UPDATE     
      condition: "CONDITION"
      actionType: ACTION
      displayName: DISPLAY_NAME
      description: DESCRIPTION

    Reemplaza lo siguiente:

    • ORGANIZATION_ID: Es el ID de tu organización, como 123456789.
    • CONSTRAINT_NAME: Es el nombre que deseas para tu nueva restricción personalizada. Una restricción personalizada solo puede contener letras (incluidas mayúsculas y minúsculas) o números, por ejemplo, custom.denyProjectIAMAdmin. Este campo puede contener hasta 70 caracteres.
    • RESOURCE_NAME: Es el nombre completamente calificado del recurso de Google Cloud que contiene el objeto y el campo que deseas restringir. Por ejemplo: iam.googleapis.com/AllowPolicy.
    • CONDITION: Una condición de CEL que se escribe en una representación de un recurso de servicio compatible. Este campo puede contener hasta 1,000 caracteres. Por ejemplo: resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin'])).

      • Para obtener más información sobre los recursos disponibles para escribir condiciones, consulta Recursos admitidos.

    • ACTION: Es la acción que se realiza si se cumple condition. Los valores posibles son ALLOW y DENY.

      • La acción de permitir significa que, si la condición se evalúa como verdadera, se permite la operación para crear o actualizar el recurso. Esto también significa que se bloquean todos los demás casos, excepto el que se indica explícitamente en la condición.

      La acción de rechazo significa que, si la condición se evalúa como verdadera, se bloquea la operación para crear o actualizar el recurso.

    • DISPLAY_NAME: Es un nombre descriptivo para la restricción. Este campo puede contener hasta 200 caracteres.
    • DESCRIPTION: Una descripción fácil de usar de la restricción que se mostrará como un mensaje de error cuando se infrinja la política. Este campo puede contener hasta 2,000 caracteres.
  2. Después de crear el archivo YAML de una nueva restricción personalizada, debes configurarla para que esté disponible para las políticas de la organización de tu organización. Para configurar una restricción personalizada, usa el comando gcloud org-policies set-custom-constraint: 
    3.         gcloud org-policies set-custom-constraint CONSTRAINT_PATH

    Reemplaza CONSTRAINT_PATH por la ruta de acceso completa a tu archivo de restricción personalizado. Por ejemplo, /home/user/customconstraint.yaml

    Una vez que se complete esta operación, tus restricciones personalizadas estarán disponibles como políticas de la organización en la lista de Google Cloud políticas de la organización.

  3. Para verificar que la restricción personalizada exista, usa el comando gcloud org-policies list-custom-constraints: 
    4.       gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

    Reemplaza ORGANIZATION_ID por el ID del recurso de tu organización.

    Para obtener más información, consulta Cómo visualizar las políticas de la organización.

Aplica de manera forzosa una política de la organización personalizada

Puedes aplicar una restricción cuando creas una política de la organización que haga referencia a ella y, luego, aplicas esa política a un recurso de Google Cloud .

Consola

  1. En la consola de Google Cloud , ve a la página Políticas de la organización.

    Ir a Políticas de la organización

  2. En el selector de proyectos, selecciona el proyecto para el que deseas configurar la política de la organización.
  3. En la lista de la página Políticas de la organización, selecciona una restricción para ver la página Detalles de la política de esa restricción.
  4. Si deseas configurar las políticas de la organización para este recurso, haz clic en Administrar política.
  5. En la página Editar política, selecciona Anular la política del superior.
  6. Haz clic en Agregar una regla.
  7. En la sección Aplicación, selecciona si se aplica o no esta política de la organización.
  8. Opcional: para que la política de la organización sea condicional en una etiqueta, haz clic en Agregar condición. Ten en cuenta que, si agregas una regla condicional a una política de la organización, debes agregar al menos una regla sin condición o la política no se puede guardar. Para obtener más información, consulta Configura una política de la organización con etiquetas.
  9. Haz clic en Probar cambios para simular el efecto de la política de la organización. Para obtener más información, consulta Prueba los cambios en las políticas de la organización con Policy Simulator.
  10. Para aplicar la política de la organización en modo de ejecución de prueba, haz clic en Establecer política de ejecución de prueba. Para obtener más información, consulta Crea una política de la organización en modo de ejecución de prueba.
  11. Después de verificar que la política de la organización en el modo de ejecución de prueba funciona según lo previsto, haz clic en Establecer política para establecer la política activa.

gcloud

  1. Para crear una política de la organización con reglas booleanas, crea un archivo YAML de política que haga referencia a la restricción: 
    2.         name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
        spec:
          rules:
          - enforce: true
        
        dryRunSpec:
          rules:
          - enforce: true

    Reemplaza lo siguiente:

    • PROJECT_ID: Es el proyecto en el que deseas aplicar tu restricción.
    • CONSTRAINT_NAME: Es el nombre que definiste para tu restricción personalizada. Por ejemplo: custom.denyProjectIAMAdmin
  2. Para aplicar la política de la organización en el modo de ejecución de prueba, ejecuta el siguiente comando con la marca dryRunSpec: 
    3.         gcloud org-policies set-policy POLICY_PATH \
          --update-mask=dryRunSpec

    Reemplaza POLICY_PATH por la ruta de acceso completa al archivo YAML de la política de la organización. La política tarda hasta 15 minutos en aplicarse.

  3. Después de verificar que la política de la organización en modo de ejecución de prueba funcione según lo previsto, configura la política activa con el comando org-policies set-policy y la marca spec: 
    4.         gcloud org-policies set-policy POLICY_PATH \
          --update-mask=spec

    Reemplaza POLICY_PATH por la ruta de acceso completa al archivo YAML de la política de la organización. La política tarda hasta 15 minutos en aplicarse.

Prueba la política de la organización personalizada

De manera opcional, puedes probar la política de la organización configurándola y, luego, tratando de realizar una acción que la política debería impedir.

Crea la restricción

  1. Guarda el siguiente archivo como constraint-deny-project-iam-admin.

    name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:EMAIL_ADDRESS'])
    )
  )"
actionType: DENY
displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.

    Reemplaza los siguientes valores:

    • ORG_ID: Es el ID numérico de tuGoogle Cloud organización.
    • MEMBER_EMAIL_ADDRESS: La dirección de correo electrónico del principal que deseas usar para probar la restricción personalizada. Mientras la restricción esté activa, no se le podrá otorgar a esta principal el rol Project IAM Admin (roles/resourcemanager.projectIamAdmin) en el proyecto para el que apliques la restricción.

  2. Aplica la restricción:

    gcloud org-policies set-custom-constraint ~/constraint-deny-project-iam-admin.yaml

  3. Verifica que la restricción exista:

    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Crea la política

  1. Guarda el siguiente archivo como policy-deny-project-iam-admin.yaml:

    name: projects/PROJECT_ID/policies/custom.denyProjectIamAdmin
spec:
  rules:
  - enforce: true

    Reemplaza PROJECT_ID con el ID del proyecto.

  2. Aplica la política:

    gcloud org-policies set-policy ~/policy-deny-project-iam-admin.yaml

  3. Verifica que la política exista:

    gcloud org-policies list --project=PROJECT_ID

Después de aplicar la política, espera unos dos minutos para que Google Cloud comience a aplicarla.

Prueba la política

Intenta otorgar el rol de administrador de IAM del proyecto (roles/resourcemanager.projectIamAdmin) al principal cuya dirección de correo electrónico incluiste en la restricción personalizada. Antes de ejecutar el comando, reemplaza lo siguiente:

  • PROJECT_ID: Es el ID del proyecto Google Clouden el que aplicaste la restricción.
  • EMAIL_ADDRESS: Es la dirección de correo electrónico del principal que especificaste cuando creaste la restricción de la política de la organización.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin

Esta es la salida:

Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]

Ejemplos de políticas de la organización personalizadas para casos de uso comunes

En la siguiente tabla, se proporciona la sintaxis de algunas restricciones personalizadas para casos de uso comunes.

En los siguientes ejemplos, se usan las macros de CEL all y exists. Para obtener más información sobre estas macros, consulta Macros para evaluar listas.

Descripción Sintaxis de la restricción
Bloquea la capacidad de otorgar un rol específico. 
name: organizations/ORG_ID/customConstraints/custom.denyRole
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
"resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['ROLE'])
  )"
actionType: DENY
displayName: Do not allow the ROLE role to be granted
Solo permite que se otorguen roles específicos. 
name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])
  )"
actionType: ALLOW
displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted
Evita que se otorguen roles que comiencen con roles/storage.. 
name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted
Evita que se revoquen los roles que tengan admin en el nombre. 
name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    RoleNameContains(binding.role, ['admin'])
  )"
actionType: DENY
displayName: Prevent roles with "admin" in their names from being revoked
Solo permite que se otorguen roles a principales específicos. 
name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT'])
    )
  )"
actionType: ALLOW
displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT
Evita que se revoquen roles de principales específicos. 
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:USER_1','user:USER_2'])
    )
  )"
actionType: DENY
displayName: Do not allow roles to be revoked from USER_1 or USER_2
Evita que se otorguen roles a las principales con direcciones de correo electrónico que terminan en @gmail.com. 
name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectEndsWith(member, ['@gmail.com'])
    )
  )"
actionType: DENY
displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles
Solo permite que se otorguen roles específicos y solo a principales específicos. 
name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])  &&
    binding.members.all(member,
      MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP'])
    )
  )"
actionType: ALLOW
displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP
Evita que se otorguen roles de Cloud Storage a allUsers y allAuthenticatedUsers. 
name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers'])
    )
  )"
actionType: DENY
displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers
Evita que se otorguen roles a identidades fuera de tu organización. 
name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
    )
  )"
actionType: ALLOW
displayName: Only allow organization members to be granted roles
Solo permite que se otorguen roles a cuentas de servicio. 
name: organizations/ORG_ID/customConstraints/custom.allowServiceAccountsOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberTypeMatches(member, ['iam.googleapis.com/ServiceAccount'])
    )
  )"
actionType: ALLOW
displayName: Only allow service accounts to be granted roles
Evita que se quiten los agentes de servicio administrados por Google de las vinculaciones de roles. 
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfGoogleManagedServiceAgents
resource_types: iam.googleapis.com/AllowPolicy
method_types:
  - REMOVE_GRANT
condition: |-
  resource.bindings.all(
      binding,
      binding.members.all(member,
        MemberTypeMatches(member, ['iam.googleapis.com/ServiceAgent'])
      )
    )
action_type: DENY
display_name: Deny Removal Of Google-Managed Service Agents
description: Restricts the removal of Google-managed service agents from role bindings. Please reach out to your organization admins for if you have any questions.

Políticas de la organización condicionales

Puedes hacer que una política de la organización personalizada sea condicional con etiquetas. Por ejemplo, imagina que escribiste la siguiente restricción personalizada para evitar que se otorguen roles que comiencen con roles/storage.:

name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted

Para aplicar la restricción de forma condicional, puedes crear una política de la organización como la siguiente:

name: organizations/ORG_ID/policies/custom.dontgrantStorageRoles
spec:
  rules:
  - condition:
      expression: "resource.matchTag('ORG_ID/environment', 'dev')"
    enforce: true
  - enforce: false

Esta política de la organización impide que se otorguen roles que comiencen con roles/storage. en cualquier recurso que también tenga la etiqueta environment=dev.

Recursos compatibles con Identity and Access Management

IAM admite el recurso AllowPolicy. Este recurso tiene el atributo resources.bindings, que se devuelve para todos los métodos que modifican la política de permisos de un recurso. Todos los métodos que modifican la política de permisos de un recurso terminan con setIamPolicy.

El atributo resource.bindings tiene la siguiente estructura, en la que BINDINGS es un array de vinculaciones de roles que se modificaron durante un cambio en una política de permisos:

{
  "bindings": {
    BINDINGS
  }
}

Cada vinculación en resource.bindings tiene la siguiente estructura, en la que ROLE es el nombre del rol en la vinculación de roles y MEMBERS es una lista de identificadores para todos los principales que se agregaron o quitaron de la vinculación de roles:

{
  "role": "ROLE"
  "members": {
    MEMBERS
  }
}

Para ver los formatos que pueden tener los identificadores de principal, consulta Identificadores de principal.

Solo puedes evaluar el atributo resource.bindings y sus campos con las funciones admitidas. No se admiten otros operadores ni funciones, como ==, !=, in, contains, startsWith y endsWith.

Funciones compatibles

Puedes usar las siguientes funciones de CEL para evaluar roles y miembros individuales en una vinculación.

Para evaluar todas las vinculaciones en el array bindings o todos los miembros en el array members, usa las macros all y exists. Para obtener más información, consulta Macros para evaluar listas en esta página.

También puedes usar los operadores lógicos && (and) y || (or) para escribir condiciones de varias partes.

Función Descripción
RoleNameMatches(
  role,
  roleNames: list
)   bool

Muestra true si el rol role coincide por completo con al menos uno de los roles que se indican en roleNames.

Parámetros
role: Es el rol que se evaluará.
roleNames: Es una lista de nombres de roles con los que se debe hacer coincidir.
Ejemplo

Muestra true si el role en la binding especificada es roles/storage.admin o roles/compute.admin: 

RoleNameMatches(binding.role, ['roles/storage.admin', 'roles/compute.admin'])
RoleNameStartsWith(
  role,
  rolePrefixes: list
)   bool

Muestra true si el rol role comienza con al menos una de las cadenas que se enumeran en rolePrefixes.

Parámetros
role: Es el rol que se evaluará.
rolePrefixes: Es una lista de cadenas que coinciden con el comienzo del rol.
Ejemplo

Muestra true si el role en la binding especificada comienza con roles/storage: 

RoleNameStartsWith(binding.role, ['roles/storage'])
RoleNameEndsWith(
  role,
  roleSuffixes: list
)   bool

Muestra true si el rol role termina con al menos una de las cadenas enumeradas en roleSuffixes.

Parámetros
role: Es el rol que se evaluará.
roleSuffixes: Es una lista de cadenas que coinciden con el final del rol.
Ejemplo

Muestra true si el role en la binding especificado termina con .admin: 

RoleNameEndsWith(binding.role, ['.admin'])
RoleNameContains(
  role,
  roleSubstrings: list
)   bool

Muestra true si el rol role contiene al menos una de las cadenas enumeradas en roleSubstrings.

Parámetros
role: Es el rol que se evaluará.
roleSubstrings: Es una lista de cadenas que coinciden con cualquier parte del rol.
Ejemplo

Muestra true si el role en el binding especificado contiene la cadena admin: 

RoleNameContains(binding.role, ['admin'])
MemberSubjectMatches(
  member,
  memberNames: list
)   bool

Muestra true si el miembro member coincide por completo con al menos uno de los miembros que se enumeran en memberNames.

Si el identificador de member es una dirección de correo electrónico, esta función evalúa la dirección de correo electrónico y los alias de esa dirección de correo electrónico.

Parámetros
member: Es el miembro que se evaluará.
memberNames: Es una lista de nombres de miembros con los que se debe hacer coincidir.
Ejemplo

Muestra true si el miembro member es rosario@example.com: 

MemberSubjectMatches(member, ['user:rosario@example.com'])
MemberSubjectStartsWith(
  member,
  memberPrefixes: list
)   bool

Devuelve true si el miembro member comienza con al menos una de las cadenas enumeradas en memberPrefixes.

Si el identificador de member es una dirección de correo electrónico, esta función evalúa la dirección de correo electrónico y los alias de esa dirección de correo electrónico.

Parámetros
member: Es el miembro que se evaluará.
memberPrefixes: Es una lista de cadenas que coinciden con el comienzo del nombre del miembro.
Ejemplo

Devuelve true si el miembro member comienza con user:prod-: 

MemberSubjectStartsWith(member, ['user:prod-'])
MemberSubjectEndsWith(
  member,
  memberSuffixes: list
)   bool

Muestra true si el miembro member termina con al menos una de las cadenas enumeradas en memberSuffixes.

Si el identificador de member es una dirección de correo electrónico, esta función evalúa la dirección de correo electrónico y los alias de esa dirección de correo electrónico.

Parámetros
member: Es el miembro que se evaluará.
memberSuffixes: Es una lista de cadenas que coinciden con el final del nombre del miembro.
Ejemplo

Muestra true si el miembro member termina con @example.com: 

MemberSubjectEndsWith(member, ['@example.com'])
MemberInPrincipalSet(
  member,
  principalSets: list
)   bool

Devuelve true si el miembro pertenece a al menos uno de los conjuntos de principales enumerados.

Parámetros
member: Es el miembro que se evaluará.

principalSets: Es una lista de conjuntos de principales. Para que la función se evalúe como true, el miembro debe estar en al menos uno de estos conjuntos de principales.

El único conjunto principal admitido es el conjunto principal de la organización, que tiene el formato //cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID. Cuando se usa en la función MemberInPrincipalSet, este conjunto de principales incluye los siguientes principales:

  • Todas las identidades de todos los dominios asociados con tu ID de cliente de Google Workspace
  • Todos los grupos de identidades del personal de tu organización
  • Todas las cuentas de servicio y los grupos de identidades para cargas de trabajo en cualquier proyecto de la organización
  • Todos los agentes de servicio asociados con los recursos de tu organización.
Ejemplo

Devuelve true si el miembro member pertenece a la organización @example.com, que tiene el ID 123456789012: 

MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
MemberTypeMatches(
  member,
  principalType: list
)   bool

Devuelve true si el miembro es uno de los tipos principales enumerados.

Parámetros
member: Es el miembro que se evaluará.
principalType: Es una lista de tipos de principales. Para que la función se evalúe como true, el miembro debe ser uno de los tipos de principal que se indican. Para saber qué tipos de principales se admiten, consulta Tipos de principales admitidos para MemberTypeMatches.
Ejemplo

Devuelve true si el miembro member tiene el tipo de principal iam.googleapis.com/WorkspacePrincipal o iam.googleapis.com/WorkspaceGroup: 

MemberTypeMatches(member, ['iam.googleapis.com/WorkspacePrincipal', 'iam.googleapis.com/WorkspaceGroup'])

Macros para evaluar listas

Usa las macros all y exists para evaluar una expresión de condición para una lista de elementos.

Macro Descripción
list.all(
  item,
  conditionExpression
)   bool

Devuelve true si conditionExpression se evalúa como true para cada item en list.

Por lo general, esta macro se usa para políticas de la organización personalizadas con actionType ALLOW. Por ejemplo, puedes usar esta macro para asegurarte de que una acción solo se permita si todos los principales modificados cumplen con la condición.

Parámetros
list: Es la lista de elementos que se evaluarán.
item: Es el elemento de la lista que se evaluará. Por ejemplo, si llamas a este método en la lista resource.bindings, usa el valor binding.
conditionExpression: Es la expresión de condición para evaluar cada item.
Ejemplo

Devuelve true si todas las vinculaciones en resource.bindings tienen roles que comienzan con roles/storage.. Devuelve false si alguna de las vinculaciones tiene roles que no comienzan con roles/storage.: 

resource.bindings.all(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))
list.exists(
  item,
  conditionExpression
)   bool

Devuelve true si conditionExpression se evalúa como true para cualquier item en list.

Por lo general, esta macro se usa para políticas de la organización personalizadas con actionType DENY. Por ejemplo, puedes usar esta macro para asegurarte de que se deniegue una acción si alguna de las principales modificadas cumple con la condición.

Parámetros
list: Es la lista de elementos que se evaluarán.
item: Es el elemento de la lista que se evaluará. Por ejemplo, si llamas a este método en la lista resource.bindings, usa el valor binding.
conditionExpression: Es la expresión de condición para evaluar cada item.
Ejemplo

Devuelve true si alguna de las vinculaciones en resource.bindings tiene roles que comienzan con roles/storage.. Devuelve false si ninguna de las vinculaciones tiene roles que comiencen con roles/storage.: 

resource.bindings.exists(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))

Condiciones con listas anidadas

En general, si tu condición incluye listas anidadas, debes usar la misma macro para todas las listas de la condición.

Considera los siguientes ejemplos:

  • Si tu política tiene actionType ALLOW, usa la macro all para la lista members y la lista bindings para asegurarte de que las modificaciones de la política solo se permitan si todos los miembros de todas las vinculaciones modificadas satisfacen la condición.
  • Si tu política tiene el actionType DENY, usa la macro exists para las listas members y bindings para garantizar que no se permitan las modificaciones de la política si algún miembro de alguna vinculación modificada satisface la condición.

Combinar macros en una sola condición puede generar una condición que no se comporte de la manera que esperabas.

Por ejemplo, imagina que quieres evitar que se otorguen roles a miembros externos a la organización example.com. La organización example.com tiene el ID 123456789012.

Para lograr este objetivo, escribe la siguiente condición:

No se recomienda: Condición configurada de forma incorrecta

"resource.bindings.all(
  binding,
  binding.members.exists(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

Esta condición parece impedir que se otorguen roles a miembros ajenos a la organización de example.com. Sin embargo, la condición se evalúa como true si algún miembro de cada una de las vinculaciones de roles modificadas pertenece a la organización example.com. Como resultado, aún puedes otorgar roles a miembros fuera de la organización example.com si también otorgas el mismo rol a un miembro de la organización example.com.

Por ejemplo, la condición se evalúa como true para el siguiente conjunto de vinculaciones, aunque uno de los miembros no pertenezca a la organización example.com:

 "bindings": [
    {
      "members": [
        "user:raha@altostrat.com",
        "user:jie@example.com"
      ],
      "role": "roles/resourcemanager.projectCreator"
    }
  ],

En su lugar, debes escribir una condición como la siguiente:

Recomendado: Condición configurada correctamente

"resource.bindings.all(
  binding,
  binding.members.all(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

Usar la macro all para el array members.bindings y el array resource.bindings garantiza que la condición se evalúe como true solo si todos los miembros de todas las vinculaciones están en el conjunto de principales example.com.

Tipos de principales admitidos para MemberTypeMatches

La función MemberTypeMatches requiere que especifiques con qué tipo de principal debe coincidir el miembro especificado.

En la siguiente tabla, se enumeran los tipos de principal que puedes ingresar y se incluye una descripción de lo que representa cada tipo. También se enumeran los identificadores principales que corresponden a cada tipo de principal. Estos identificadores son los valores que se usan en las políticas de IAM.

Tipo de principal Descripción Identificadores de principales
iam.googleapis.com/ConsumerPrincipal Una Cuenta de Google para consumidores Las direcciones de correo electrónico de estas cuentas suelen terminar en gmail.com. user:USER_EMAIL_ADDRESS
iam.googleapis.com/WorkspacePrincipal Una Cuenta de Google que forma parte de una cuenta de Cloud Identity o Google Workspace Estas cuentas también se denominan cuentas de usuario administradas. user:USER_EMAIL_ADDRESS
iam.googleapis.com/ConsumerGroup Un grupo de Google creado por una Cuenta de Google personal. Estos grupos no son propiedad de una cuenta de Cloud Identity o Google Workspace. Por lo general, las direcciones de correo electrónico de estos grupos terminan en googlegroups.com. group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/WorkspaceGroup Un grupo de Google que pertenece a una cuenta de Cloud Identity o Google Workspace group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/Domain Una cuenta de Cloud Identity o Google Workspace domain:DOMAIN
iam.googleapis.com/WorkforcePoolPrincipal Es un principal único en un grupo de identidad de personal. principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkforcePoolPrincipalSet Es un conjunto de principales que contiene un conjunto de identidades en un grupo de identidades de personal. Por ejemplo, un conjunto de principales que contiene todos los principales de un grupo de identidades de personal.
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*
iam.googleapis.com/WorkloadPoolPrincipal Una identidad única en un grupo de identidades para cargas de trabajo principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkloadPoolPrincipalSet Es un conjunto de principales que contiene un conjunto de identidades en un grupo de identidades para cargas de trabajo. Por ejemplo, un conjunto de principales que contiene todos los principales en un grupo de identidades para cargas de trabajo.
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*
iam.googleapis.com/ServiceAccount

Cualquier cuenta de servicio Una cuenta de servicio es un tipo especial de cuenta que representa una carga de trabajo en lugar de un usuario humano.

En el contexto de la función MemberTypeMatches, este tipo de principal no incluye agentes de servicio.

serviceAccount:SERVICE_ACCOUNT_EMAIL_ADDRESS
iam.googleapis.com/ServiceAgent Cualquier agente de servicio. Un agente de servicio es un tipo especial de cuenta de servicio que Google Cloud crea y administra. Cuando se les otorgan roles en tus proyectos, los agentes de servicio permiten que los servicios de Google Cloud realicen acciones en tu nombre. serviceAccount:SERVICE_AGENT_EMAIL_ADDRESS
iam.googleapis.com/PublicPrincipals Los principales allUsers y allAuthenticatedUsers.
  • allUsers
  • allAuthenticatedUsers
iam.googleapis.com/ProjectRoleReference Son las principales que se definen en función del rol que se les otorga. Estos principales también se denominan valores de conveniencia.
  • projectOwner:PROJECT_ID
  • projectEditor:PROJECT_ID
  • projectViewer:PROJECT_ID
iam.googleapis.com/ResourcePrincipal Es un recurso con una identidad integrada. Cualquiera de los identificadores de principal que se indican en Identificadores de principal para recursos únicos
iam.googleapis.com/ResourcePrincipalSet Son recursos con identidades integradas que comparten ciertas características, como el tipo o el ancestro. Cualquiera de los identificadores que se indican en Identificadores de principal para conjuntos de recursos

¿Qué sigue?