Gestión de Identidades y Accesos (IAM) ofrece varios tipos de políticas para ayudarte a controlar a qué recursos pueden acceder las principales. En esta página se explican las diferencias entre el uso y la gestión de estos tipos de políticas.
Tipos de políticas de gestión de identidades y accesos en Google Cloud
IAM ofrece los siguientes tipos de políticas:
- Permitir políticas
- Políticas de denegación
- Políticas de límites de acceso de principales (PAB)
- Políticas de acceso
En la siguiente tabla se resumen las diferencias entre estos tipos de políticas:
| Política | Función de la política | API usada para gestionar la política. | Relación entre las políticas y los objetivos | Método para adjuntar políticas a un destino | Recurso superior de la política |
|---|---|---|---|---|---|
| Permitir políticas | Conceder acceso a los recursos a los principales | La API del recurso para el que quieres gestionar las políticas de permisos |
Relación uno a uno Cada política de permiso se adjunta a un recurso y cada recurso solo puede tener una política de permiso. |
Especificar el recurso al crear la política | Es el mismo que el recurso al que se adjunta la política de permiso. |
| Políticas de denegación | Asegurarse de que las entidades de seguridad no puedan usar permisos específicos | La API IAM v2 |
Relación de uno a muchos Cada política de denegación se asocia a un recurso y cada recurso puede tener hasta 500 políticas de denegación. |
Especificar el recurso al crear la política de denegación | Igual que el recurso al que se adjunta la política de denegación |
| Políticas de PAB | Restringir los recursos a los que puede acceder una entidad principal | La API IAM v3 |
Relación de muchos a muchos Cada política de PAB se puede adjuntar a un número ilimitado de conjuntos de principales. Cada conjunto de principales puede tener hasta 10 políticas de PAB vinculadas. |
Crea un enlace de política que asigne la política de PAB a un conjunto de principales. | La organización |
| Políticas de acceso | Conceder o denegar el acceso de las entidades a los recursos de los servicios admitidos | La API IAM v3 |
Relación de muchos a muchos Cada política de acceso se puede asociar a un máximo de 5 recursos, y cada recurso puede tener un máximo de 5 políticas de acceso asociadas. |
Crea un enlace de política de acceso que asocie la política de acceso al recurso. | El proyecto, la carpeta o la organización en los que se crea la política de acceso |
En las siguientes secciones se ofrecen detalles sobre cada tipo de política.
Políticas para conceder acceso a principales
Para conceder acceso a los recursos a las entidades, utiliza una de las siguientes políticas:
- Usa políticas de permiso para conceder acceso a cualquier tipo de recurso.
- Usa políticas de acceso para conceder acceso a los recursos de Eventarc.
Las políticas de permiso te permiten conceder acceso a recursos en Google Cloud. Las políticas de permiso se componen de enlaces de roles y metadatos. Las vinculaciones de roles especifican qué entidades principales deben tener un rol determinado en el recurso.
Las políticas de permiso siempre se asocian a un único recurso. Después de adjuntar una política de permiso a un recurso, los descendientes de ese recurso heredan la política.
Para crear y aplicar una política de permisos, identifica un recurso que acepte políticas de permisos y, a continuación, usa el método setIamPolicy de ese recurso para crear la política de permisos. Todas las entidades principales de la política de permiso tienen los roles especificados en el recurso y en todos los elementos descendientes del recurso. Cada recurso solo puede tener una política de permiso asociada.
Para obtener más información sobre las políticas de permiso, consulta el artículo Información sobre las políticas de permiso.
Las políticas de acceso te permiten controlar el acceso a los recursos de Eventarc. Las políticas de acceso pueden permitir y denegar el acceso a los recursos. Para crear y aplicar una política de acceso, primero debes crearla y, después, crear un enlace de política para conectar esa política a un proyecto con recursos de Eventarc.Cada enlace de política vincula una política de acceso a un recurso. Una política de acceso se puede vincular a un máximo de 5 recursos. Cada recurso puede tener asociadas hasta 5 políticas de acceso. Cuando se elimina una política de acceso, también se eliminan todas las vinculaciones de políticas relacionadas con ella.
Para obtener más información sobre cómo usar las políticas de acceso para controlar el acceso a los recursos de Eventarc, consulta la documentación de Eventarc.
Políticas para denegar el acceso a las entidades
Para denegar el acceso de las entidades a los recursos, utilice una de las siguientes opciones:
- Usa políticas de denegación para denegar el acceso a cualquier tipo de recurso.
- Usa políticas de acceso para denegar el acceso a los recursos de Eventarc.
Las políticas de denegación, al igual que las de permiso, siempre se asocian a un único recurso. Puedes adjuntar una política de denegación a un proyecto, una carpeta o una organización. Este proyecto, carpeta u organización también actúa como elemento superior de la política en la jerarquía de recursos. Después de adjuntar una política de denegación a un recurso, los elementos secundarios de ese recurso heredan la política.
Para crear y aplicar políticas de denegación, debes usar la API IAM v2. Cuando creas una política de denegación, especificas el recurso al que se adjunta. Todos los principales de la política de denegación no pueden usar los permisos especificados para acceder a ese recurso ni a ninguno de sus descendientes. Cada recurso puede tener hasta 500 políticas de denegación asociadas.
Para obtener más información sobre las políticas de denegación, consulta Políticas de denegación.
Las políticas de acceso te permiten controlar el acceso a los recursos de Eventarc. Las políticas de acceso pueden permitir y denegar el acceso a los recursos. Para crear y aplicar una política de acceso, primero debes crearla y, después, crear un enlace de política para conectar esa política a un proyecto con recursos de Eventarc.Cada enlace de política vincula una política de acceso a un recurso. Una política de acceso se puede vincular a un máximo de 5 recursos. Cada recurso puede tener hasta 5 políticas de acceso asociadas. Cuando se elimina una política de acceso, también se eliminan todas las vinculaciones de políticas relacionadas con ella.
Para obtener más información sobre cómo usar las políticas de acceso para controlar el acceso a los recursos de Eventarc, consulta la documentación de Eventarc.
Políticas para restringir los recursos a los que puede acceder una entidad principal
Para restringir los recursos a los que puede acceder una entidad principal, utiliza una política de límites de acceso de principales. Las políticas de límites de acceso de principales están disponibles en la API IAM v3.
Para crear y aplicar una política de límites de acceso de principales, primero debes crear una política de límites de acceso de principales y, a continuación, crear un enlace de política para conectar esa política a un conjunto de principales.
Las políticas de límite de acceso de principales siempre son secundarias de tu organización. Los enlaces de políticas de las políticas de límites de acceso de principales son elementos secundarios del proyecto, la carpeta o la organización más cercanos al conjunto de principales al que se hace referencia en el enlace de la política.
Cada enlace de política vincula una política de límites de acceso de principales a un conjunto de principales. Una política de límites de acceso de principales se puede vincular a cualquier número de conjuntos de principales. Cada conjunto de principales puede tener asociadas hasta 10 políticas de límite de acceso de principales. Cuando se elimina una política de límite de acceso principal, también se eliminan todos los enlaces de política relacionados con esa política.
Para obtener más información sobre las políticas de límites de acceso de principales, consulta Políticas de límites de acceso de principales.
Evaluación de políticas
Cuando una entidad principal intenta acceder a un recurso, IAM evalúa todas las políticas de acceso de entidad principal, de permiso y de denegación relevantes para determinar si la entidad principal tiene permiso para acceder al recurso. Si alguna de estas políticas indica que la entidad principal no debería poder acceder al recurso, IAM impide el acceso.
En realidad, la gestión de identidades y accesos evalúa todos los tipos de políticas simultáneamente y, a continuación, compila los resultados para determinar si la entidad principal puede acceder al recurso. Sin embargo, puede ser útil pensar en esta evaluación de la política en las siguientes fases:
-
Gestión de identidades y accesos comprueba todas las políticas de límites de acceso de principales pertinentes para ver si la entidad principal puede acceder al recurso. Una política de límites de acceso de principales es pertinente si se cumplen las siguientes condiciones:
- La política está vinculada a un conjunto de principales que incluye el principal
- La política de límites de acceso de principales bloquea el permiso que el principal está intentando usar. Los permisos que bloquea una política de límites de acceso de principales dependen de la versión de la política. La versión de la política se especifica al crear la política de límites de acceso de principales. Para obtener más información, consulta Versiones de la política de límite de acceso de la entidad principal.
Después de comprobar las políticas de límite de acceso de principales pertinentes, la gestión de identidades y accesos hace lo siguiente:
- Si las políticas de límite de acceso de principal pertinentes no incluyen el recurso al que el principal está intentando acceder o si la gestión de identidades y accesos no puede evaluar las políticas de límite de acceso de principal pertinentes, la gestión de identidades y accesos impide que el principal acceda al recurso.
- Si las políticas de límite de acceso de la cuenta principal incluyen el recurso al que intenta acceder la cuenta principal, Gestión de Identidades y Accesos continúa con el siguiente paso.
- Si no hay políticas de límite de acceso de principales relevantes, IAM continúa con el siguiente paso.
-
La gestión de identidades y accesos comprueba todas las políticas de denegación pertinentes para ver si se ha denegado el permiso a la cuenta principal. Las políticas de denegación pertinentes son las políticas de denegación asociadas al recurso, así como las políticas de denegación heredadas.
- Si alguna de estas políticas de denegación impide que la entidad utilice un permiso obligatorio, IAM le impedirá acceder al recurso.
- Si ninguna política de denegación impide que la entidad utilice un permiso obligatorio, IAM continúa con el siguiente paso.
-
IAM comprueba todas las políticas de permiso pertinentes para ver si la cuenta principal tiene los permisos necesarios. Las políticas de permiso relevantes son las políticas de permiso asociadas al recurso, así como las políticas de permiso heredadas.
- Si la entidad de seguridad no tiene los permisos necesarios, la gestión de identidades y accesos le impide acceder al recurso.
- Si la entidad principal tiene los permisos necesarios, Gestión de Identidades y Accesos le permitirá acceder al recurso.
En el siguiente diagrama se muestra el flujo de evaluación de esta política:
Siguientes pasos
- Más información sobre las políticas de permitir
- Consulta más información sobre las políticas de denegación.
- Consulta más información sobre las políticas de límite de acceso de principales.