Gestionar una política de acceso

En esta página se describe cómo gestionar una política de acceso. Puedes hacer lo siguiente:

Obtener el nombre y el etag de una política de acceso

Consola

La consola Google Cloud no admite la gestión de políticas de acceso. Si quieres gestionar tu política de acceso, debes usar la herramienta de línea de comandos gcloud o la API.

gcloud

Para obtener el nombre de tu política de acceso, usa el comando list. El nombre de la política de acceso es obligatorio para todos los comandos de nivel de acceso de la herramienta de línea de comandos gcloud.

gcloud access-context-manager policies list \
    --organization ORGANIZATION_ID

Donde:

  • ORGANIZATION_ID es el ID numérico de tu organización.

El resultado que verás debe parecerse al siguiente:

NAME           ORGANIZATION  TITLE        ETAG
1034095178592  511928527926  Corp Policy  10bc3c76ca809ab2

API

Para obtener el nombre de tu política de acceso, llama al accessPolicies.list.

GET https://accesscontextmanager.googleapis.com/v1/accessPolicies

Cuerpo de la solicitud

El cuerpo de la solicitud debe estar vacío.

Cuerpo de la respuesta

Si la solicitud se realiza correctamente, el cuerpo de la respuesta tendrá un aspecto similar al siguiente:

{
  "accessPolicies": [
    {
      object(AccessPolicy)
    }
  ],
  "nextPageToken": string
}

Donde:

Definir la política de acceso predeterminada para la herramienta de línea de comandos gcloud

Cuando usas la herramienta de línea de comandos gcloud, puedes definir una política de acceso predeterminada. Cuando estableces una política predeterminada, ya no tienes que especificar una política cada vez que utilizas un comando del Administrador de contextos de acceso.

Para definir una política de acceso predeterminada, usa el comando config.

gcloud config set access_context_manager/policy POLICY_NUMBER

Donde:

Delegar una política de acceso

Consola

La consola Google Cloud no admite la gestión de políticas de acceso. Si quieres gestionar tu política de acceso, debes usar la herramienta de línea de comandos gcloud o la API.

gcloud

Para delegar la administración vinculando un principal y un rol con una política de acceso con ámbito, usa el comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Donde:

  • POLICY es el ID de la política o el identificador completo de la política.

  • PRINCIPAL es la cuenta principal a la que se va a añadir la vinculación. Especifícalo en el siguiente formato: user|group|serviceAccount:email o domain:domain.

  • ROLE es el nombre del rol que se asignará a la cuenta principal. El nombre de la función es la ruta completa de una función predefinida, como roles/accesscontextmanager.policyEditor, o el ID de una función personalizada, como organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

Para delegar la administración de la política de acceso con ámbito, sigue estos pasos:

  1. Crea un cuerpo de solicitud.

    {
    "policy": "IAM_POLICY",
    }

    Donde:

    • IAM_POLICY es una colección de enlaces. Una vinculación vincula uno o varios miembros, o principales, a un único rol. Las entidades pueden ser cuentas de usuario, cuentas de servicio, grupos de Google y dominios. Un rol es una lista de permisos con nombre. Cada rol puede ser un rol predefinido de gestión de identidades y accesos o un rol personalizado creado por el usuario.
  2. Delega la política de acceso llamando a accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Cuerpo de la respuesta

Si la salida del comando es correcta, en el cuerpo de la respuesta se incluirá una instancia de policy.

Describe una política de acceso

Consola

La consola Google Cloud no admite la gestión de políticas de acceso. Si quieres gestionar tu política de acceso, debes usar la herramienta de línea de comandos gcloud o la API.

gcloud

Para describir tu política de acceso, usa el comando describe.

gcloud access-context-manager policies describe POLICY_NUMBER

Donde:

  • POLICY_NUMBER es el nombre numérico de tu política.

Aparecerá el siguiente resultado:

name: accessPolicies/1034095178592
parent: organizations/511928527926
title: Corp Policy

API

Para describir tu política de acceso, llama a accessPolicies.get.

GET https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NUMBER

Donde:

  • POLICY_NUMBER es el nombre numérico de tu política.

Cuerpo de la solicitud

El cuerpo de la solicitud debe estar vacío.

Cuerpo de la respuesta

Si la solicitud se completa correctamente, en el cuerpo de la respuesta se incluye un objeto AccessPolicy.

Actualizar una política de acceso

Consola

La consola Google Cloud no admite la gestión de políticas de acceso. Si quieres gestionar tu política de acceso, debes usar la herramienta de línea de comandos gcloud o la API.

gcloud

Para actualizar tu política de acceso, usa el comando update. Actualmente, solo puedes cambiar el título de la política.

gcloud access-context-manager policies update POLICY_NUMBER \
    --title=POLICY_TITLE

Donde:

  • POLICY_NUMBER es el nombre numérico de tu política.

  • POLICY_TITLE es un título legible para tu política.

Aparecerá el siguiente resultado:

Waiting for PATCH operation [accessPolicies/POLICY_NUMBER/update/1542234231134882]...done.

API

Actualmente, solo puedes cambiar el título de tu política de acceso.

Para actualizar tu política, sigue estos pasos:

  1. Crea un cuerpo de solicitud.

    {
     "parent": "ORGANIZATION_ID",
     "title": "POLICY_TITLE"
    }

    Donde:

    • ORGANIZATION_ID es el ID numérico de tu organización.

    • POLICY_TITLE es un título legible para tu política.

  2. Llama al accessPolicies.patch.

    PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NUMBER/UPDATE_MASK
    

    Donde:

    • POLICY_NUMBER es el nombre numérico de tu política.

    • UPDATE_MASK es una cadena que representa el valor que quieres actualizar. Por ejemplo, title.

    Cuerpo de la respuesta

    Si la llamada se realiza correctamente, el cuerpo de la respuesta contiene un recurso Operation que proporciona detalles sobre la operación PATCH.

Eliminar una política de acceso

Consola

Por el momento, la consola Google Cloud no permite gestionar políticas de acceso. Si quieres gestionar tu política de acceso, debes usar la herramienta de línea de comandos gcloud o la API.

gcloud

Para eliminar una política de acceso, sigue estos pasos:

  1. Usa el comando delete.

    gcloud access-context-manager policies delete POLICY_NUMBER

    Donde:

    • POLICY_NUMBER es el nombre numérico de tu política.
  2. Confirma que quieres eliminar la política de acceso.

    Por ejemplo:

    You are about to delete policy [POLICY_NUMBER]
    
    Do you want to continue (Y/n)?
    

    Aparecerá el siguiente resultado:

    Deleted policy [1034095178592].
    

API

Para eliminar tu política de acceso, llama al accessPolicies.delete.

DELETE https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NUMBER

Donde:

  • POLICY_NUMBER es el nombre numérico de tu política.

Cuerpo de la solicitud

El cuerpo de la solicitud debe estar vacío.

Cuerpo de la respuesta

Si la llamada se realiza correctamente, el cuerpo de la respuesta contiene un recurso Operation que proporciona detalles sobre la operación DELETE.

Siguientes pasos