Administrar las políticas de acceso

La política de Identity and Access Management (IAM) o de control de acceso se puede obtener o configurar para una o más pruebas de conectividad. Además, se pueden ver los permisos que tiene un usuario o una cuenta de servicio para una prueba de conectividad específica.

En este documento, se muestran ejemplos de controles de acceso que usan la API de Network Management. Para seguir estos pasos en la consola de Google Cloud o con los comandos de gcloud, consulta las guías prácticas de IAM.

Para obtener información sobre las vinculaciones de políticas y las ETags enumeradas en los comandos siguientes, consulta la referencia de la API para las políticas de IAM.

Para obtener información sobre los roles y permisos de IAM necesarios para ejecutar las pruebas de conectividad, consulta Roles y permisos.

Configura una política de control de acceso

En este procedimiento, se establece la política de control de acceso en el recurso especificado de las pruebas de conectividad.

API

Usa el método networkmanagement.connectivitytests.setIamPolicy para establecer la política de control de acceso de USER, ROLE y TEST_ID.

En el ejemplo siguiente, se configura una política que vincula el rol de networkmanagement.admin a username@yourcompany.com para mytest-1.

 POST https: //networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:setIamPolicy
   {
     "version": "VERSION",
     "etag": "ETAG",
     "bindings": [{
       "role": "ROLE",
       "members": [
         "PRINCIPAL"
       ]
     }]
   }

Reemplaza los valores siguientes:

  • TEST_ID: Es el ID del objeto de la prueba de conectividad (prueba) que ejecutas.
  • VERSION: Especifica el formato de la política. Los valores válidos son 0, 1 y 3. Cualquier operación que afecte las vinculaciones de roles condicionales debe especificar la versión 3.
  • ETAG: Se usa para el control de simultaneidad optimista, como una forma de evitar que las actualizaciones simultáneas de una política se reemplacen entre sí (un ejemplo de ETag es BwWbrqiZFRs=).
  • ROLE: Es un rol que se asigna a los principales (por ejemplo, roles/networkmanagement.admin).
  • PRINCIPAL: Especifica las identidades que solicitan acceso a un recurso de Google Cloud (por ejemplo, user:username@yourcompany.com). Para obtener una lista de los principales o los tipos de miembros, consulta la referencia de la API para las políticas de IAM.

Obtén una política de control de acceso

Con este procedimiento, se obtiene la política de control de acceso para el recurso especificado de las pruebas de conectividad.

API

Usa el método networkmanagement.connectivitytests.getIamPolicy para configurar la política de control de acceso de un PRINCIPAL, un ROLE y un TEST_ID.

En el ejemplo siguiente, se obtiene una política que vincula el rol de networkmanagement.admin a username@yourcompany.com para mytest-1.

  GET https: //networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:getIamPolicy
    {
      "version": "VERSION",
      "etag": "ETAG",
      "bindings": [{
        "role": "ROLE",
        "members": [
          "PRINCIPAL"
        ]
      }]
    }

Reemplaza los valores siguientes:

  • TEST_ID: Es el ID del objeto de la prueba de conectividad (prueba) que ejecutas.
  • VERSION: Especifica el formato de la política. Los valores válidos son 0, 1 y 3. Cualquier operación que afecte las vinculaciones de roles condicionales debe especificar la versión 3.
  • ETAG: Se usa para el control de simultaneidad optimista, como una forma de evitar que las actualizaciones simultáneas de una política se reemplacen entre sí (un ejemplo de ETag es BwWbrqiZFRs=).
  • ROLE: Es un rol que se asigna a los principales (por ejemplo, roles/networkmanagement.admin).
  • PRINCIPAL: Especifica las identidades que solicitan acceso a un recurso de Google Cloud (por ejemplo, user:username@yourcompany.com). Para obtener una lista de los tipos de principales, consulta la referencia de la API para las políticas de IAM.

Prueba los permisos de IAM

Con este procedimiento, se muestran los permisos que tiene un usuario o una cuenta de servicio para un recurso de las pruebas de conectividad.

API

Usa el método networkmanagement.connectivitytests.testIamPermissions para mostrar los permisos asignados a un TEST_ID.

En el ejemplo siguiente, se verifica que username@yourcompany.com tiene el permiso networkmanagement.connectivitytests.get para mytest-1.

  POST https://networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:testIamPermissions
    {
      "permissions": [
        "networkmanagement.connectivitytests.get"
      ]
    }

Reemplaza TEST_ID por el ID del objeto de las pruebas de conectividad (prueba) que ejecutas.

¿Qué sigue?