Control de acceso para carpetas con la IAM

Google Cloud ofrece Identity and Access Management (IAM), que te permite brindar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgas el acceso necesario a tus recursos.

IAM te permite configurar políticas para controlar quién (usuarios) tiene qué acceso (roles) a qué recursos estableciendo políticas de permiso. Las políticas de permiso otorgan roles específicos a un usuario, lo que le otorga ciertos permisos.

En esta página, se explican los roles de IAM que están disponibles en el nivel de carpetas y cómo crear y administrar políticas de permisos para carpetas con la API de Cloud Resource Manager. Para obtener más información, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Descripción general de las funciones de IAM para las carpetas

Para ayudarte a configurar las funciones de IAM, se enumeran las siguientes tablas:

  • Es el tipo de acciones que quieres habilitar.
  • Los roles requeridos para realizar esas acciones
  • El nivel de recursos en el que necesitas aplicar esos roles
Tipo de acciones Funciones necesarias Nivel de recursos
Administrar carpetas en el recurso de la organización Administrador de carpetas Recurso de organización
Administrar una carpeta y todos los proyectos y carpetas que contiene Administrador de carpeta Carpeta específica
Acceder a las políticas de permisos de una carpeta y administrarlas Administrador de IAM de carpeta Carpeta específica
Crear carpetas nuevas Creador de la carpeta Recurso principal para la ubicación de las carpetas nuevas
Mover carpetas y proyectos Encargado de transferencia de la carpeta Recurso principal para la ubicación de la carpeta original y la ubicación de la carpeta nueva
Mover un proyecto a una carpeta nueva Editor del proyecto o Propietario del proyecto Recurso principal para la ubicación del proyecto original y la ubicación del proyecto nuevo
Borrar una carpeta Editor de carpetas o Administrador de carpetas Carpeta específica

Prácticas recomendadas para usar funciones y permisos de IAM con carpetas

Cuando asignas funciones y permisos de IAM para usar con carpetas, ten en cuenta lo siguiente:

  • Siempre que sea posible, usa grupos para administrar principales.
  • Minimiza el uso de funciones básicas, como el propietario, el editor y el visualizador. En cambio, intenta usar las funciones predefinidas para el principio de privilegio mínimo.
  • Para la administración de toda la carpeta, asigna permisos a nivel de carpeta y haz que los proyectos los hereden de forma automática. Por ejemplo, puedes asignar la función Administrador de carpetas en la carpeta a un grupo de administradores de departamentos. Los administradores de red que necesitan tener permisos en todo el departamento pueden tener la función Administrador de red para la carpeta.
  • Considera con cuidado qué permisos pueden cambiar antes de mover un recurso fuera de una carpeta. De lo contrario, puedes correr el riesgo de romper las apps o los flujos de trabajo existentes que requieran esos permisos en ese recurso.
  • Planifica y prueba tu jerarquía de recursos con cuidado antes de mover los proyectos de producción a carpetas. Una forma de hacerlo es crear una carpeta de prueba en el recurso de tu organización y crear un prototipo de tu jerarquía prevista con anticipación.
  • Otorgar una función a un usuario en el nivel de carpeta también otorgará al usuario esa función para cada recurso en esa carpeta. Por ejemplo, si otorgas a un usuario la función Administrador de Compute (roles/compute.admin) en una carpeta, ese usuario tendrá el control total de todos los recursos de Compute Engine en cada proyecto en esa carpeta.

Comprende las funciones y los permisos de las carpetas

Las carpetas actúan como límites administrativos dentro de tu organización, lo que te permite agrupar proyectos y aplicar políticas a gran escala. El acceso a estas carpetas se administra a través de una combinación de permisos heredados de la organización y roles otorgados directamente a nivel de la carpeta.

Funciones predeterminadas

Cuando creas una carpeta, se te otorgan los roles de Administrador de carpetas y Editor de carpetas, que proporcionan control total. Consulta la siguiente tabla para ver los permisos que proporcionan estos roles. Puedes cambiar estos roles predeterminados en una política de permiso.

Usa roles predefinidos

Rol Permisos

(roles/resourcemanager.folderAdmin)

Proporciona todos los permisos disponibles para trabajar con carpetas.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Carpeta

essentialcontacts.*

  • essentialcontacts.contacts.create
  • essentialcontacts.contacts.delete
  • essentialcontacts.contacts.get
  • essentialcontacts.contacts.list
  • essentialcontacts.contacts.send
  • essentialcontacts.contacts.update

iam.policybindings.*

  • iam.policybindings.get
  • iam.policybindings.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.capabilities.*

  • resourcemanager.capabilities.get
  • resourcemanager.capabilities.update

resourcemanager.folders.*

  • resourcemanager.folders.create
  • resourcemanager.folders.createPolicyBinding
  • resourcemanager.folders.delete
  • resourcemanager.folders.deletePolicyBinding
  • resourcemanager.folders.get
  • resourcemanager.folders.getIamPolicy
  • resourcemanager.folders.list
  • resourcemanager.folders.move
  • resourcemanager.folders.searchPolicyBindings
  • resourcemanager.folders.setIamPolicy
  • resourcemanager.folders.undelete
  • resourcemanager.folders.update
  • resourcemanager.folders.updatePolicyBinding

resourcemanager.hierarchyNodes.*

  • resourcemanager.hierarchyNodes.createTagBinding
  • resourcemanager.hierarchyNodes.deleteTagBinding
  • resourcemanager.hierarchyNodes.listEffectiveTags
  • resourcemanager.hierarchyNodes.listTagBindings

resourcemanager.projects.createPolicyBinding

resourcemanager.projects.deletePolicyBinding

resourcemanager.projects.get

resourcemanager.projects.getIamPolicy

resourcemanager.projects.list

resourcemanager.projects.move

resourcemanager.projects.searchPolicyBindings

resourcemanager.projects.setIamPolicy

resourcemanager.projects.updatePolicyBinding

(roles/resourcemanager.folderIamAdmin)

Proporciona permisos para administrar las políticas de permisos en las carpetas.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Carpeta

iam.policybindings.*

  • iam.policybindings.get
  • iam.policybindings.list

resourcemanager.folders.createPolicyBinding

resourcemanager.folders.deletePolicyBinding

resourcemanager.folders.get

resourcemanager.folders.getIamPolicy

resourcemanager.folders.searchPolicyBindings

resourcemanager.folders.setIamPolicy

resourcemanager.folders.updatePolicyBinding

(roles/resourcemanager.folderCreator)

Proporciona los permisos necesarios para navegar por la jerarquía y crear carpetas.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Carpeta

essentialcontacts.contacts.get

essentialcontacts.contacts.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.capabilities.get

resourcemanager.folders.create

resourcemanager.folders.get

resourcemanager.folders.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/resourcemanager.folderEditor)

Proporciona permiso para modificar carpetas y ver la política de permisos de una carpeta.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Carpeta

essentialcontacts.contacts.get

essentialcontacts.contacts.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.capabilities.*

  • resourcemanager.capabilities.get
  • resourcemanager.capabilities.update

resourcemanager.folders.delete

resourcemanager.folders.get

resourcemanager.folders.getIamPolicy

resourcemanager.folders.list

resourcemanager.folders.searchPolicyBindings

resourcemanager.folders.undelete

resourcemanager.folders.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/resourcemanager.folderMover)

Proporciona permisos para mover proyectos y carpetas dentro de una organización o carpeta superior y fuera de ellas.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Carpeta

resourcemanager.folders.move

resourcemanager.projects.move

(roles/resourcemanager.folderViewer)

Proporciona permiso para obtener una carpeta y enumerar proyectos y carpetas de un recurso.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Carpeta

essentialcontacts.contacts.get

essentialcontacts.contacts.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.capabilities.get

resourcemanager.folders.get

resourcemanager.folders.list

resourcemanager.projects.get

resourcemanager.projects.list

Crea funciones personalizadas

Además de los roles predefinidos que se describen en este tema, también puedes crear roles personalizados, que son colecciones de permisos que puedes adaptar a tus necesidades. Cuando se crea un rol personalizado para usar con Resource Manager, se debe prestar atención a los siguientes puntos:
  • Los permisos list y get, como resourcemanager.projects.get/list, siempre se deben otorgar como un par.
  • Cuando tu rol personalizado incluye los permisos folders.list y folders.get, también debe incluir projects.list y projects.get.
  • Ten en cuenta que el permiso setIamPolicy para los recursos de organización, carpeta y proyecto permite al usuario otorgar todos los demás permisos, por lo que debe asignarse con cuidado.

Otorga roles para habilitar la exploración de carpetas

Los permisos list permiten la exploración de carpetas. Los dos tipos de permisos de lista que deben otorgarse por lo general son resourcemanager.folders.list, que permite a los usuarios enumerar carpetas bajo un recurso, y resourcemanager.projects.list, que permite a los usuarios navegar por proyectos en un recurso de organización o carpeta. El administrador de la organización se inicializa con ambos permisos. Los usuarios a los que no se les asignó la función Administrador de la organización, pueden hacer lo siguiente:

  • resourcemanager.folders.list se puede otorgar con los roles Visualizador de carpetas y Editor de carpetas.
  • resourcemanager.projects.list se puede otorgar con los roles Visualizador o Navegador.

Para que los principales de recursos de la organización puedan explorar toda la jerarquía de recursos de la organización, los permisos de la lista deben otorgarse a nivel del recurso de la organización.

Otorga roles para habilitar la creación de carpetas

A los usuarios que necesitan crear carpetas se les debe asignar la función Creador de carpetas en un recurso de la jerarquía por encima del nivel en el que se creará la carpeta. Puede ser útil otorgar permisos de navegación junto con permisos de creación de carpetas para que los usuarios puedan navegar efectivamente hacia el lugar de la jerarquía en el que se creará la carpeta. Consulta la sección anterior para obtener más información sobre los permisos de navegación.

El Creador de carpetas no otorga permisos a un usuario para borrar una carpeta. Sin embargo, cuando una persona crea una carpeta, a esa persona se le otorga automáticamente la función Editor de carpetas. La función Editor de carpetas permite que se eliminen carpetas.

Otorga roles para habilitar el movimiento de carpetas

A fin de mover una carpeta de un recurso principal a otro, los usuarios deben tener la función Encargado de la transferencia de la carpeta en los recursos principales antiguos y nuevos, o en un antecesor común.

Otorga roles para permitir el movimiento de proyectos

A fin de mover un proyecto a una carpeta, los usuarios deben tener las funciones Editor del proyecto o Propietario del proyecto en el proyecto y el Encargado de la transferencia del proyecto en los recursos principales fuente y de destino.

Esto difiere levemente de los requisitos para mover a la organización un proyecto ajeno a una organización. En ese caso, los usuarios deben tener la función Editor de proyecto o Propietario del proyecto en el proyecto, y Creador del proyecto en el recurso de la organización.

Otorga funciones específicas de carpeta para permitir la creación de proyectos

Para crear proyectos, los usuarios deben tener la función Creador del proyecto. Sin embargo, en lugar de otorgar permisos de creación de proyectos a nivel de toda la organización, puede ser útil restringir a los usuarios a visualizar y crear proyectos solo dentro de una carpeta determinada.

Para otorgar permisos específicos de carpeta, sigue estos pasos:

  1. Otorga al usuario la función Visualizador de la organización a nivel del nodo de la organización (por ejemplo, domain.com).
  2. Crea una carpeta nueva.
  3. Agrega el usuario a IAM en el nivel de carpeta y concédele las funciones Visualizador de carpeta y Creador del proyecto.

Esto permite al usuario crear proyectos en su carpeta sin otorgarles visibilidad de todos los proyectos en el recurso de organización más grande.