Identity and Access Management (IAM) ofrece varios tipos de políticas para ayudarte a controlar a qué recursos pueden acceder los principales. En esta página, se explica la diferencia entre cómo usas y administras estos tipos de políticas.
Tipos de políticas de IAM en Google Cloud
IAM ofrece los siguientes tipos de políticas:
- Políticas de permiso
- Políticas de denegación
- Políticas de Límite de Acceso de las Principales (PAB)
- Políticas de acceso
En la siguiente tabla, se resumen las diferencias entre estos tipos de políticas:
| Política | Función de política | API que se usa para administrar la política | Relación entre las políticas y los objetivos | Método para adjuntar políticas al objetivo | Es el recurso principal de la política. |
|---|---|---|---|---|---|
| Políticas de permiso | Otorga acceso a los recursos a las principales | Es la API del recurso para el que deseas administrar las políticas de permisos. |
Relación de uno a uno Cada política de permisos se adjunta a un recurso, y cada recurso solo puede tener una política de permisos. |
Especifica el recurso cuando crees la política | Es igual que el recurso al que se adjunta la política de permisos. |
| Políticas de denegación | Asegúrate de que las principales no puedan usar permisos específicos | La API de IAM v2 |
Relación de uno a varios Cada política de denegación se adjunta a un recurso, y cada recurso puede tener hasta 500 políticas de denegación. |
Especifica el recurso cuando crees la política de denegación | Es el mismo que el recurso al que se adjunta la política de denegación. |
| Políticas de PAB | Restringe los recursos a los que puede acceder una principal | La API de IAM v3 |
Relación de varios a varios Cada política de PAB se puede adjuntar a una cantidad ilimitada de conjuntos de principales, y cada conjunto de principales puede tener hasta 10 políticas de PAB vinculadas. |
Crea una vinculación de políticas que adjunte la política de PAB a un conjunto de principales. | La organización |
| Políticas de acceso | Otorga o rechaza el acceso de los principales a los recursos para los servicios admitidos | La API de IAM v3 |
Relación de varios a varios Cada política de acceso se puede adjuntar a un máximo de 5 recursos, y cada recurso puede tener un máximo de 5 políticas de acceso vinculadas. |
Crea una vinculación de política de acceso que adjunte la política de acceso al recurso. | El proyecto, la carpeta o la organización en la que se crea la política de acceso |
En las siguientes secciones, se proporcionan detalles sobre cada tipo de política.
Políticas para otorgar acceso a las principales
Para otorgar acceso a los principales a los recursos, usa una de las siguientes políticas:
- Usa políticas de permisos para otorgar acceso a cualquier tipo de recurso.
- Usa políticas de acceso para otorgar acceso a los recursos de Eventarc.
Las políticas de permisos te permiten otorgar acceso a los recursos en Google Cloud. Las políticas de permisos se componen de vinculaciones de roles y metadatos. Las vinculaciones de roles especifican qué principales deben tener un rol determinado en el recurso.
Las políticas de permisos siempre se adjuntan a un solo recurso. Después de adjuntar una política de permiso a un recurso, los subordinados de ese recurso heredan la política.
Para crear y aplicar una política de permisos, identifica un recurso que acepte políticas de permisos y, luego, usa el método setIamPolicy de ese recurso para crear la política de permisos. A todas las principales de la política de permisos se les otorgan los roles especificados en el recurso y en todos los elementos subordinados del recurso. Cada recurso solo puede tener una política de permiso adjunta.
Para obtener más información sobre las políticas de permisos, consulta Comprende las políticas de permisos.
Las políticas de acceso te permiten controlar el acceso a los recursos de Eventarc. Las políticas de acceso pueden permitir y denegar el acceso a los recursos. Para crear y aplicar una política de acceso, primero debes crear la política y, luego, crear una vinculación de política para conectar esa política a un proyecto con recursos de Eventarc.Cada vinculación de políticas asocia una política de acceso a un recurso. Se puede vincular una política de acceso a un máximo de 5 recursos. Cada recurso puede tener hasta 5 políticas de acceso vinculadas. Cuando se borra una política de acceso, también se borran todas las vinculaciones de políticas relacionadas con ella.
Para obtener más información sobre el uso de políticas de acceso para controlar el acceso a los recursos de Eventarc, consulta la documentación de Eventarc.
Políticas para denegar el acceso a las principales
Para denegar el acceso de las entidades principales a los recursos, usa una de las siguientes opciones:
- Usa políticas de denegación para denegar el acceso a cualquier tipo de recurso.
- Usa políticas de acceso para denegar el acceso a los recursos de Eventarc.
Las políticas de denegación, al igual que las políticas de permiso, siempre se adjuntan a un solo recurso. Puedes adjuntar una política de denegación a un proyecto, una carpeta o una organización. Este proyecto, carpeta u organización también actúa como la política principal en la jerarquía de recursos. Después de adjuntar una política de denegación a un recurso, los recursos subordinados de ese recurso heredan la política.
Para crear y aplicar políticas de denegación, usa la API v2 de IAM. Cuando creas una política de denegación, especificas el recurso al que se adjunta la política. Todas las principales de la política de denegación tienen prohibido usar los permisos especificados para acceder a ese recurso y a cualquiera de sus elementos subordinados. Cada recurso puede tener hasta 500 políticas de denegación adjuntas.
Para obtener más información sobre las políticas de denegación, consulta Políticas de denegación.
Las políticas de acceso te permiten controlar el acceso a los recursos de Eventarc. Las políticas de acceso pueden permitir y denegar el acceso a los recursos. Para crear y aplicar una política de acceso, primero debes crear una política de acceso y, luego, crear una vinculación de política para conectar esa política a un proyecto con recursos de Eventarc.Cada vinculación de políticas asocia una política de acceso a un recurso. Se puede vincular una política de acceso a un máximo de 5 recursos. Cada recurso puede tener hasta 5 políticas de acceso vinculadas. Cuando se borra una política de acceso, también se borran todas las vinculaciones de políticas relacionadas con ella.
Para obtener más información sobre el uso de políticas de acceso para controlar el acceso a los recursos de Eventarc, consulta la documentación de Eventarc.
Políticas para restringir los recursos a los que puede acceder una principal
Para restringir los recursos a los que puede acceder una principal, usa una política de límite de acceso de la principal. Las políticas de límite de acceso de las principales están disponibles en la API de IAM v3.
Para crear y aplicar una política de límite de acceso de las principales, primero debes crear una política de límite de acceso de las principales y, luego, crear una vinculación de políticas para conectar esa política a un conjunto de principales.
Las políticas de límite de acceso de las principales siempre son secundarias de tu organización. Las vinculaciones de políticas para las políticas de límite de acceso de las principales son elementos secundarios del proyecto, la carpeta o la organización más cercanos al conjunto de principales al que se hace referencia en la vinculación de políticas.
Cada vinculación de políticas vincula una política de límite de acceso de las principales a un conjunto de principales. Una política de límite de acceso de las principales se puede vincular a cualquier cantidad de conjuntos de principales. Cada conjunto de principales puede tener hasta 10 políticas de límite de acceso de las principales vinculadas. Cuando se borra una política de límite de acceso de la principal, también se borran todas las vinculaciones de políticas relacionadas con ella.
Si deseas obtener más información sobre las políticas de límite de acceso de las principales, consulta Políticas de límite de acceso de las principales.
Evaluación de política
Cuando una principal intenta acceder a un recurso, IAM evalúa todas las políticas de permiso, denegación y límite de acceso de la principal relevantes para ver si la principal puede acceder al recurso. Si alguna de estas políticas indica que la principal no debería poder acceder al recurso, IAM impedirá el acceso.
En realidad, IAM evalúa todos los tipos de políticas de forma simultánea y, luego, compila los resultados para determinar si la principal puede acceder al recurso. Sin embargo, puede ser útil pensar en esta evaluación de políticas en las siguientes etapas:
-
IAM verifica todas las políticas de límite de acceso de la principal pertinentes para ver si la principal es apta para acceder al recurso. Una política de límite de acceso de la principal es pertinente si se cumplen las siguientes condiciones:
- La política está vinculada a un conjunto de principales que incluye al principal.
- La política de límite de acceso de la principal bloquea el permiso que la principal intenta usar. Los permisos que bloquea una política de límite de acceso de las principales dependen de la versión de la política. Especificas la versión de la política cuando creas la Política de Límite de Acceso de las Principales. Para obtener más información, consulta Versiones de la política de límite de acceso de la principal.
Después de verificar las políticas de límite de acceso de la principal pertinentes, IAM realiza una de las siguientes acciones:
- Si las políticas de límite de acceso de las principales pertinentes no incluyen el recurso al que la principal intenta acceder, o si IAM no puede evaluar las políticas de límite de acceso de las principales pertinentes, IAM impedirá que acceda al recurso.
- Si las políticas de límite de acceso de la principal pertinentes incluyen el recurso al que la principal intenta acceder, IAM continúa con el siguiente paso.
- Si no hay políticas de límite de acceso de la principal pertinentes, IAM continúa con el paso siguiente.
-
IAM verifica todas las políticas de denegación relevantes para ver si la principal tiene el permiso denegado. Las políticas de denegación relevantes son las políticas de denegación adjuntas al recurso, así como cualquier política de denegación heredada.
- Si alguna de estas políticas de denegación impide que la principal use un permiso obligatorio, IAM impedirá que acceda al recurso.
- Si ninguna política de denegación impide que la principal use un permiso obligatorio, IAM continúa con el paso siguiente.
-
IAM verifica todas las políticas de permisos relevantes para ver si la principal tiene los permisos necesarios. Las políticas de permiso relevantes son las políticas de permiso adjuntas al recurso, así como cualquier política de permiso heredada.
- Si la principal no tiene los permisos necesarios, IAM impedirá que acceda al recurso.
- Si la principal tiene los permisos necesarios, IAM le permitirá acceder al recurso.
En el siguiente diagrama, se muestra este flujo de evaluación de políticas:
¿Qué sigue?
- Obtén más información sobre las políticas de permisos.
- Más información sobre las políticas de denegación
- Más información sobre las Políticas de Límite de Acceso de las Principales.