En esta página, se describe cómo puedes controlar el acceso a los recursos de Model Armor.
Model Armor usa Identity and Access Management (IAM) para controlar el acceso a los recursos. IAM es una herramienta para administrar la autorización detallada para tus Google Cloud recursos. En otras palabras, IAM te permite controlar quién puede hacer qué en qué recursos.
Para darles acceso a los usuarios a un recurso con IAM, les otorgas roles específicos. Los roles de IAM les otorgan a las principales permisos para realizar tareas en tus Model Armor resources.
Para obtener información detallada sobre IAM y sus funciones, consulta la documentación de IAM.
Administra el acceso a los recursos de Model Armor
La forma más común de administrar el acceso con IAM es usar políticas de permisos. Las políticas de permisos enumeran qué principales tienen acceso al recurso y qué acciones pueden realizar en el recurso.
En las siguientes secciones, se describe cómo otorgar y revocar un solo rol con políticas de permisos mediante la Google Cloud consola de y Google Cloud CLI. También puedes otorgar y revocar varios roles al mismo tiempo. Para obtener más información, consulta Administra el acceso a los proyectos, las carpetas y las organizaciones en la documentación de IAM.
Estas secciones se centran en otorgar y revocar el acceso a nivel de proyecto, lo que controla el acceso de un usuario al proyecto y a todos los recursos dentro de él.
También puedes usar políticas de permisos que se adjuntan a diferentes Google Cloud recursos para administrar el acceso en otros niveles de la jerarquía de recursos. Para obtener más información, consulta Usa la jerarquía de recursos para el control de acceso en la documentación de IAM.
No todos los recursos admiten políticas de permisos. Para saber a qué recursos puedes adjuntar políticas de permisos, consulta Recursos que admiten políticas de permisos en la documentación de IAM.
Para obtener información sobre otras políticas que puedes usar para controlar el acceso con IAM, como las políticas de denegación, consulta Tipos de políticas de IAM en la documentación de IAM.
Otorga un solo rol de IAM
Para otorgar una sola función a una principal, sigue estos pasos:
Console
- En la Google Cloud consola de, dirígete a la página IAM.
- Selecciona un proyecto, una carpeta o una organización.
- Selecciona una principal para otorgarle una función:
- Para otorgarle a una principal un rol adicional en el
recurso, busca una fila que contenga la principal, haz clic en
Editar principal en esa
fila y en agregar Agregar otro
rol.
Para otorgar un rol a un agente de servicio, selecciona la casilla de verificación Incluir Google-asignaciones de roles proporcionadas por para ver su dirección de correo electrónico.
- Para otorgar un rol a una principal que aún no tenga otros roles en el
recurso, haz clic en Otorgar
acceso y, luego, ingresa un
identificador de la principal (por
ejemplo,
my-user@example.como//iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com).
- Para otorgarle a una principal un rol adicional en el
recurso, busca una fila que contenga la principal, haz clic en
Editar principal en esa
fila y en agregar Agregar otro
rol.
- Elige un rol para otorgar de la lista desplegable. Para una mayor seguridad elige un rol que incluya solo los permisos que necesita la principal.
- Opcional: Agrega una condición a la función.
- Haz clic en Guardar. A la principal se le otorga la función en el recurso.
gcloud
-
En la Google Cloud consola de, activa Cloud Shell.
En la parte inferior de la Google Cloud consola de, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.
-
El
add-iam-policy-bindingcomando te permite otorgar un rol a una principal con rapidez.Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:
-
RESOURCE_TYPE: Es el tipo de recurso en el que deseas administrar el acceso. Usaprojects,resource-manager foldersoorganizations. -
RESOURCE_ID: Es el ID de tu Google Cloud proyecto, carpeta, o organización. Los IDs de proyecto son alfanuméricos, comomy-project. Los IDs de carpeta y organización son numéricos, como123456789012. -
PRINCIPAL: Un identificador para la principal o el miembro, que suele tener el siguiente formato:PRINCIPAL_TYPE:ID. Por ejemplo,user:my-user@example.comoprincipalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com. Si deseas obtener una lista completa de los valores quePRINCIPALpuede tener, consulta Identificadores principales.Para el tipo de principal
user, el nombre de dominio en el identificador debe ser un dominio de Google Workspace o de Cloud Identity. Para obtener información sobre cómo configurar un dominio de Cloud Identity, consulta la descripción general de Cloud Identity. -
ROLE_NAME: El nombre de la función que deseas otorgar. Usa uno de los siguientes formatos:- Roles predefinidos:
roles/SERVICE.IDENTIFIER - Roles personalizados a nivel de proyecto:
projects/PROJECT_ID/roles/IDENTIFIER - Roles personalizados a nivel de la organización:
organizations/ORG_ID/roles/IDENTIFIER
Para obtener una lista de roles predefinidos, consulta Cómo entender los roles.
- Roles predefinidos:
-
CONDITION: La condición que se agregará a la vinculación de función. Si no deseas agregar una condición, usa el valorNone. Para obtener más información sobre las condiciones, consulta la descripción general de las condiciones.
Ejecuta el siguiente comando:
Linux, macOS o Cloud Shell
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID \ --member=PRINCIPAL --role=ROLE_NAME \ --condition=CONDITION
Windows (PowerShell)
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID ` --member=PRINCIPAL --role=ROLE_NAME ` --condition=CONDITION
Windows (cmd.exe)
gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID ^ --member=PRINCIPAL --role=ROLE_NAME ^ --condition=CONDITION
La respuesta contiene la política de permisos de IAM actualizada.
-
Revoca un solo rol de IAM
Para revocar una sola función de una principal, haz lo siguiente:
Console
- En la Google Cloud consola de, dirígete a la página IAM.
- Selecciona un proyecto, una carpeta o una organización.
- Busca la fila que contiene el principal cuyo acceso deseas revocar. Luego, haz clic en Editar principal en esa fila.
- Haz clic en el botón Borrar para el rol que deseas revocar y, luego, haz clic en Guardar.
gcloud
-
En la Google Cloud consola de, activa Cloud Shell.
En la parte inferior de la Google Cloud consola de, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.
-
Para revocar una función de un usuario, ejecuta el
remove-iam-policy-bindingcomando:gcloud RESOURCE_TYPE remove-iam-policy-binding RESOURCE_ID \ --member=PRINCIPAL --role=ROLE_NAME
Ingresa los siguientes valores:
-
RESOURCE_TYPE: Es el tipo de recurso en el que deseas administrar el acceso. Usaprojects,resource-manager foldersoorganizations. -
RESOURCE_ID: Es el ID de tu Google Cloud proyecto, carpeta, o organización. Los IDs de proyecto son alfanuméricos, comomy-project. Los IDs de carpeta y organización son numéricos, como123456789012. -
PRINCIPAL: Un identificador para la principal o el miembro, que suele tener el siguiente formato:PRINCIPAL_TYPE:ID. Por ejemplo,user:my-user@example.comoprincipalSet://iam.googleapis.com/locations/global/workforcePools/example-pool/group/example-group@example.com.Para el tipo de principal
user, el nombre de dominio en el identificador debe ser un dominio de Google Workspace o de Cloud Identity. Para obtener información sobre cómo configurar un dominio de Cloud Identity, consulta la descripción general de Cloud Identity. -
ROLE_NAME: El nombre del rol que deseas revocar. Usa uno de los siguientes formatos:- Roles predefinidos:
roles/SERVICE.IDENTIFIER - Roles personalizados a nivel de proyecto:
projects/PROJECT_ID/roles/IDENTIFIER - Roles personalizados a nivel de la organización:
organizations/ORG_ID/roles/IDENTIFIER
Para obtener una lista de roles predefinidos, consulta Cómo entender los roles.
- Roles predefinidos:
Por ejemplo, para revocar el rol de creador de proyectos de la cuenta de servicio
example-service-account@example-project.iam.gserviceaccount.compara el proyectoexample-project:gcloud projects remove-iam-policy-binding example-project \ --member=serviceAccount:example-service-account@example-project.iam.gserviceaccount.com \ --role=roles/resourcemanager.projectCreator
-
Para evitar revocar cualquier rol necesario, puedes habilitar las recomendaciones de riesgos de cambios. Las recomendaciones de riesgos de cambios generan advertencias cuando intentas revocar los roles a nivel de proyecto que Google Cloud ha identificado como importantes.
Acceso condicional
Las condiciones de IAM te permiten hacer que tus políticas sean más detalladas, ya que otorgan acceso a las principales solo cuando se cumplen ciertas condiciones especificadas. Las condiciones se basan en atributos relacionados con la principal, el recurso y la solicitud. Por ejemplo, puedes otorgar acceso a una principal solo si accede al recurso desde una ubicación específica o en un momento determinado.
Las condiciones de las políticas de permisos se basan en los siguientes tipos de atributos:
- Atributos de recursos: Incluye el servicio, el tipo o el nombre del recurso. Por lo general, estos atributos se usan para cambiar el alcance de un acceso otorgado por una vinculación de rol.
- Atributos de solicitud: Incluye detalles de la solicitud, como la hora o el nivel de acceso de la principal que realizó la solicitud. Estos atributos te permiten crear condiciones que evalúan detalles sobre la solicitud, como su nivel de acceso, la fecha y la hora, la dirección IP y el puerto de destino, o la ruta de URL esperada.
Para obtener más información sobre los atributos de condición compatibles con Model Armor, consulta la referencia de atributos para las condiciones de IAM en la documentación de IAM.
No puedes otorgar acceso condicional directamente en los recursos de Model Armor. Sin embargo, puedes otorgar acceso condicional a los tipos de recursos de Model Armor si otorgas roles a las principales en un recurso de contenedor, como un proyecto, una carpeta o una organización, y agregas condiciones a estas vinculaciones de roles. Los recursos incluidos en ese recurso de contenedor heredan las condiciones agregadas a la política de permisos de un recurso de contenedor. Para obtener más información sobre las condiciones heredadas, consulta Compatibilidad con condiciones heredadas en la documentación de IAM.
Para obtener información sobre cómo agregar condiciones a las vinculaciones de roles, consulta Administra vinculaciones de roles condicionales en la documentación de IAM.
¿Qué sigue?
- Para obtener más información sobre el control de acceso con IAM, consulta la descripción general de IAM.
- Para ver los roles y permisos disponibles para Model Armor, consulta Roles y permisos de Model Armor.
- Obtén más información sobre las cuentas de servicio para Model Armor.