Crear una política de acceso

En esta página, se describe cómo crear una política de acceso a nivel de la organización para tu organización y políticas con permisos para las carpetas y los proyectos de tu organización.

Antes de comenzar

Crea una política de acceso a nivel de la organización

En una organización, no puedes crear una política de acceso a nivel de la organización si existe una para ella.

Consola

Cuando creas un nivel de acceso, se crea automáticamente una política de acceso predeterminada. No se requieren pasos manuales adicionales.

gcloud

Para crear una política de acceso a nivel de la organización, usa el comando create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID --title POLICY_TITLE

Donde:

  • ORGANIZATION_ID es el ID numérico de tu organización.

  • POLICY_TITLE es un título legible de tu política.

Deberías ver un resultado similar al siguiente (en el que POLICY_NAME es un identificador numérico único de la política que asigna Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

A continuación, establece tu política predeterminada.

API

Para crear una política de acceso a nivel de la organización, sigue estos pasos:

  1. Crea un cuerpo de solicitud.

    {
     "parent": "ORGANIZATION_ID",
     "title": "POLICY_TITLE"
    }
    

    Donde:

    • ORGANIZATION_ID es el ID numérico de tu organización.

    • POLICY_TITLE es un título legible de tu política.

  2. Crea la política de acceso mediante un llamado a accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Cuerpo de la respuesta

Si tiene éxito, el cuerpo de la respuesta de la llamada contendrá un recurso Operation que proporciona detalles sobre la operación POST.

Crea una política de acceso con alcance y delega la política

Solo los Controles del servicio de VPC admiten la creación de una política de acceso con alcance. Debes seguir usando políticas a nivel de la organización para los servicios de Google Cloud, como Identity-Aware Proxy (IAP).

Consola

  1. En el menú de navegación de la consola de Google Cloud, haz clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a los Controles del servicio de VPC

  2. Si se te solicita, selecciona tu organización, carpeta o proyecto.

  3. En la página Controles del servicio de VPC, selecciona la política de acceso que es la superior de la política con alcance. Por ejemplo, puedes seleccionar la política de la organización default policy.

  4. Haz clic en Administrar políticas.

  5. En la página Administrar Controles del servicio de VPC, haz clic en Crear.

  6. En la página Crear política de acceso, en el cuadro Nombre de la política de acceso, escribe un nombre para la política de acceso con alcance.

    El nombre de la política de acceso con alcance puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El nombre de la política de acceso con alcance distingue mayúsculas de minúsculas y debe ser único dentro de la política de acceso de una organización.

  7. A fin de especificar un alcance para la política de acceso, haz clic en Alcances.

  8. Especifica un proyecto o una carpeta como alcance de la política de acceso.

    • Para seleccionar un proyecto que desees agregar al alcance de la política de acceso, haz lo siguiente:

      1. En el panel Alcances, haz clic en Agregar proyecto.

      2. En el cuadro de diálogo Agregar proyecto, selecciona la casilla de verificación de ese proyecto.

      3. Haz clic en Listo. El proyecto agregado aparecerá en la sección Alcances.

    • Para seleccionar una carpeta que desees agregar al alcance de la política de acceso, haz lo siguiente:

      1. En el panel Alcances, haz clic en Agregar carpeta.

      2. En el cuadro de diálogo Agregar carpetas, selecciona la casilla de verificación de esa carpeta.

      3. Haz clic en Listo. La carpeta agregada aparece en la sección Alcances.

  9. Para delegar la administración de la política de acceso con alcance, haz clic en Principales.

  10. Para especificar el principal y el rol que deseas vincular a la política de acceso, haz lo siguiente:

    1. En el panel Principales, haz clic en Agregar principales.

    2. En el cuadro de diálogo Agregar principales, selecciona uno, como un nombre de usuario o una cuenta de servicio.

    3. Selecciona el rol que deseas asociar con la principal, como roles de editor y de lectura.

    4. Haz clic en Guardar. El principal y el rol agregados aparecen en la sección Principales.

  11. En la página Crear política de acceso, haz clic en Crear política de acceso.

gcloud

Para crear una política de acceso con alcance, usa el comando gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Donde:

  • ORGANIZATION_ID es el ID numérico de tu organización.

  • POLICY_TITLE es un título legible de tu política. El título de la política puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El título de la política distingue mayúsculas de minúsculas y debe ser único dentro de la política de acceso de una organización.

  • SCOPE es la carpeta o el proyecto al que se aplica esta política. Solo puedes especificar una carpeta o un proyecto como alcance, y el alcance debe existir dentro de la organización especificada. Si no especificas un alcance, la política se aplica a toda la organización.

Aparece el siguiente resultado (en el que POLICY_NAME es un identificador numérico único de la política que asigna Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Para delegar la administración mediante la vinculación de una principal y un rol a una política de acceso con alcance, usa el comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Donde:

  • POLICY es el ID de la política o el identificador completamente calificado para la política.

  • PRINCIPAL es el principal al que se agregará la vinculación. Especifica en el siguiente formato: user|group|serviceAccount:email o domain:domain.

  • ROLE es el nombre del rol que se asignará al principal. El nombre del rol es la ruta completa de un rol predefinido, como roles/accesscontextmanager.policyReader, o el ID de un rol personalizado, como organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.

API

Para crear una política de acceso con alcance, haz lo siguiente:

  1. Crea un cuerpo de solicitud.

    {
     "parent": "ORGANIZATION_ID",
     "scope": "SCOPE"
     "title": "POLICY_TITLE"
    }
    

    Donde:

    • ORGANIZATION_ID es el ID numérico de tu organización.

    • SCOPE es la carpeta o el proyecto al que se aplica esta política.

    • POLICY_TITLE es un título legible de tu política. El título de la política puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El título de la política distingue mayúsculas de minúsculas y debe ser único dentro de la política de acceso de una organización.

  2. Crea la política de acceso mediante un llamado a accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Cuerpo de la respuesta

Si tiene éxito, el cuerpo de la respuesta de la llamada contendrá un recurso Operation que proporciona detalles sobre la operación POST.

Para delegar la administración de la política de acceso con alcance, haz lo siguiente:

  1. Crea un cuerpo de solicitud.

    {
     "policy": "IAM_POLICY",
    }
    

    Donde:

    • IAM_POLICY es una colección de vinculaciones. Una vinculación une uno o más miembros, o principales, a un solo rol. Los principales pueden ser cuentas de usuario, cuentas de servicio, grupos de Google y dominios. Un rol es una lista con nombre de permisos. Cada rol puede ser un rol predefinido de IAM o un rol personalizado creado por el usuario.
  2. Crea la política de acceso mediante un llamado a accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Cuerpo de la respuesta

Si se ejecuta de forma correcta, el cuerpo de la respuesta contiene una instancia de policy.

¿Qué sigue?