Crear una política de acceso

En esta página se describe cómo crear una política de acceso a nivel de organización para tu organización y políticas con ámbito para las carpetas y los proyectos de tu organización.

Antes de empezar

  • Asegúrate de que tienes los permisos correctos para usar el Administrador de contextos de acceso.

Crear una política de acceso a nivel de organización

En el caso de una organización, no puedes crear una política de acceso a nivel de organización si ya existe una para esa organización.

Consola

Cuando creas un nivel de acceso, se crea automáticamente una política de acceso predeterminada. No es necesario realizar ningún paso manual adicional.

gcloud

Para crear una política de acceso a nivel de organización, usa el comando create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID --title POLICY_TITLE

Donde:

  • ORGANIZATION_ID es el ID numérico de tu organización.

  • POLICY_TITLE es un título legible para tu política.

Debería ver un resultado similar al siguiente (donde POLICY_NAME es un identificador numérico único de la política asignado por Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

A continuación, define tu política predeterminada.

API

Para crear una política de acceso a nivel de organización, sigue estos pasos:

  1. Crea un cuerpo de solicitud.

    {
     "parent": "ORGANIZATION_ID",
     "title": "POLICY_TITLE"
    }

    Donde:

    • ORGANIZATION_ID es el ID numérico de tu organización.

    • POLICY_TITLE es un título legible para tu política.

  2. Crea la política de acceso llamando a accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Cuerpo de la respuesta

Si la llamada se realiza correctamente, el cuerpo de la respuesta contiene un recurso Operation que proporciona detalles sobre la operación POST.

Crear una política de acceso con ámbito y delegarla

Solo Controles de Servicio de VPC permite crear una política de acceso con ámbito. Debes seguir usando políticas a nivel de organización para los servicios de Google Cloud, como Identity-Aware Proxy (IAP).

Consola

  1. En el menú de navegación de la Google Cloud consola, haga clic en Seguridad y, a continuación, en Controles de servicios de VPC.

    Ir a Controles de Servicio de VPC

  2. Si se te solicita, selecciona tu organización, carpeta o proyecto.

  3. En la página Controles de Servicio de VPC, selecciona la política de acceso que sea la principal de la política de ámbito. Por ejemplo, puedes seleccionar la directiva de organización default policy.

  4. Haz clic en Gestionar políticas.

  5. En la página Gestionar Controles de Servicio de VPC, haz clic en Crear.

  6. En la página Crear política de acceso, en el cuadro Nombre de la política de acceso, escribe un nombre para la política de acceso con ámbito.

    El nombre de la política de acceso con ámbito puede tener una longitud máxima de 50 caracteres, debe empezar por una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El nombre de la política de acceso con ámbito distingue entre mayúsculas y minúsculas, y debe ser único en la política de acceso de una organización.

  7. Para especificar un ámbito para la política de acceso, haz clic en Ámbitos.

  8. Especifica un proyecto o una carpeta como ámbito de la política de acceso.

    • Para seleccionar un proyecto que quieras añadir al ámbito de la política de acceso, sigue estos pasos:

      1. En el panel Scopes (Ámbitos), haz clic en Add project (Añadir proyecto).

      2. En el cuadro de diálogo Añadir proyecto, selecciona la casilla del proyecto.

      3. Haz clic en Listo. El proyecto añadido aparece en la sección Ámbitos.

    • Para seleccionar una carpeta que quieras añadir al ámbito de la política de acceso, haz lo siguiente:

      1. En el panel Ámbitos, haz clic en Añadir carpeta.

      2. En el cuadro de diálogo Añadir carpetas, selecciona la casilla de la carpeta.

      3. Haz clic en Listo. La carpeta añadida aparece en la sección Ámbitos.

  9. Para delegar la administración de la política de acceso con ámbito, haz clic en Principales.

  10. Para especificar el principal y el rol que quieres vincular a la política de acceso, haz lo siguiente:

    1. En el panel Principales, haz clic en Añadir principales.

    2. En el cuadro de diálogo Añadir principales, selecciona un principal, como un nombre de usuario o una cuenta de servicio.

    3. Seleccione el rol que quiera asociar a la entidad de seguridad, como los roles de editor y de lectura.

    4. Haz clic en Guardar. La cuenta principal y el rol añadidos aparecen en la sección Cuentas principales.

  11. En la página Crear política de acceso, haz clic en Crear política de acceso.

gcloud

Para crear una política de acceso con ámbito, usa el comando gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Donde:

  • ORGANIZATION_ID es el ID numérico de tu organización.

  • POLICY_TITLE es un título legible para tu política. El título de la política puede tener una longitud máxima de 50 caracteres, debe empezar por una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El título de la política distingue entre mayúsculas y minúsculas, y debe ser único en la política de acceso de una organización.

  • SCOPE es la carpeta o el proyecto en el que se aplica esta política. Solo puedes especificar una carpeta o un proyecto como ámbito, y el ámbito debe existir en la organización especificada. Si no especificas un ámbito, la política se aplica a toda la organización.

Se muestra el siguiente resultado (donde POLICY_NAME es un identificador numérico único de la política asignado por Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Para delegar la administración vinculando un principal y un rol con una política de acceso con ámbito, usa el comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Donde:

  • POLICY es el ID de la política o el identificador completo de la política.

  • PRINCIPAL es la cuenta principal a la que se va a añadir la vinculación. Especifícalo en el siguiente formato: user|group|serviceAccount:email o domain:domain.

  • ROLE es el nombre del rol que se asignará a la cuenta principal. El nombre de la función es la ruta completa de una función predefinida, como roles/accesscontextmanager.policyReader, o el ID de una función personalizada, como organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.

API

Para crear una política de acceso con ámbito, sigue estos pasos:

  1. Crea un cuerpo de solicitud.

    {
     "parent": "ORGANIZATION_ID",
     "scope": "SCOPE"
     "title": "POLICY_TITLE"
    }

    Donde:

    • ORGANIZATION_ID es el ID numérico de tu organización.

    • SCOPE es la carpeta o el proyecto en el que se aplica esta política.

    • POLICY_TITLE es un título legible para tu política. El título de la política puede tener una longitud máxima de 50 caracteres, debe empezar por una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El título de la política distingue entre mayúsculas y minúsculas, y debe ser único en la política de acceso de una organización.

  2. Crea la política de acceso llamando a accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Cuerpo de la respuesta

Si la llamada se realiza correctamente, el cuerpo de la respuesta contiene un recurso Operation que proporciona detalles sobre la operación POST.

Para delegar la administración de la política de acceso con ámbito, sigue estos pasos:

  1. Crea un cuerpo de solicitud.

    {
     "policy": "IAM_POLICY",
    }

    Donde:

    • IAM_POLICY es una colección de enlaces. Una vinculación vincula uno o varios miembros, o principales, a un único rol. Las entidades pueden ser cuentas de usuario, cuentas de servicio, grupos de Google y dominios. Un rol es una lista de permisos con nombre. Cada rol puede ser un rol predefinido de gestión de identidades y accesos o un rol personalizado creado por el usuario.
  2. Crea la política de acceso llamando a accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Cuerpo de la respuesta

Si la salida del comando es correcta, en el cuerpo de la respuesta se incluirá una instancia de policy.

Siguientes pasos