Administrar una política de acceso

En esta página, se describe cómo administrar una política de acceso existente. También puedes realizar las siguientes acciones:

Obtén el nombre y la ETag de una política de acceso

Console

La consola no admite la administración de políticas de acceso. Si deseas administrar tu política de acceso, debes usar la herramienta de línea de comandos de gcloud o la API.

gcloud

Para obtener el nombre de tu política de acceso, usa el comando list. El nombre de la política de acceso es obligatorio para todos los comandos de nivel de acceso de la herramienta de línea de comandos de gcloud.

gcloud access-context-manager policies list \
    --organization ORGANIZATION_ID

Donde:

  • ORGANIZATION_ID es el ID numérico de tu organización.

Deberías ver un resultado similar a este:

NAME           ORGANIZATION  TITLE        ETAG
1034095178592  511928527926  Corp Policy  10bc3c76ca809ab2

API

Para obtener el nombre de tu política de acceso, llama a accessPolicies.list.

GET https://accesscontextmanager.googleapis.com/v1/accessPolicies

Cuerpo de la solicitud

El cuerpo de la solicitud debe estar vacío.

Cuerpo de la respuesta

Si se ejecuta de forma correcta, el cuerpo de la respuesta se verá similar a lo siguiente:

{
  "accessPolicies": [
    {
      object(AccessPolicy)
    }
  ],
  "nextPageToken": string
}

Donde:

Establece la política de acceso predeterminada para la herramienta de línea de comandos de gcloud

Puedes establecer una política de acceso predeterminada cuando usas la herramienta de línea de comandos de gcloud. Cuando estableces una política predeterminada, ya no necesitas especificar una cada vez que usas un comando de Access Context Manager.

Para establecer una política de acceso predeterminada, usa el comando config.

gcloud config set access_context_manager/policy POLICY_NAME

Donde:

Delega una política de acceso

Console

La consola no admite la administración de políticas de acceso. Si deseas administrar tu política de acceso, debes usar la herramienta de línea de comandos de gcloud o la API.

gcloud

Para delegar la administración mediante la vinculación de una principal y un rol a una política de acceso con alcance, usa el comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Donde:

  • POLICY es el ID de la política o el identificador completamente calificado para la política.

  • PRINCIPAL es el principal al que se agregará la vinculación. Especifica en el siguiente formato: user|group|serviceAccount:email o domain:domain.

  • ROLE es el nombre del rol que se asignará al principal. El nombre del rol es la ruta completa de un rol predefinido, como roles/accesscontextmanager.policyReader, o el ID de un rol personalizado, como organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyReader.

API

Para delegar la administración de la política de acceso con alcance, haz lo siguiente:

  1. Crea un cuerpo de solicitud.

    {
"policy": "IAM_POLICY",
}

    Donde:

    • IAM_POLICY es una colección de vinculaciones. Una vinculación une uno o más miembros, o principales, a un solo rol. Los principales pueden ser cuentas de usuario, cuentas de servicio, grupos de Google y dominios. Un rol es una lista con nombre de permisos. Cada rol puede ser un rol predefinido de IAM o un rol personalizado creado por el usuario.

  2. Para delegar la política de acceso, llama a accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Cuerpo de la respuesta

Si se ejecuta de forma correcta, el cuerpo de la respuesta contiene una instancia de policy.

Describe una política de acceso

Console

La consola no admite la administración de políticas de acceso. Si deseas administrar tu política de acceso, debes usar la herramienta de línea de comandos de gcloud o la API.

gcloud

Para describir tu política de acceso, usa el comando describe.

gcloud access-context-manager policies describe POLICY_NAME

Donde:

  • POLICY_NAME es el nombre numérico de tu política.

Aparece este resultado:

name: accessPolicies/1034095178592
parent: organizations/511928527926
title: Corp Policy

API

Para describir tu política de acceso, llama a accessPolicies.get

GET https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME

Donde:

  • POLICY_NAME es el nombre numérico de tu política.

Cuerpo de la solicitud

El cuerpo de la solicitud debe estar vacío.

Cuerpo de la respuesta

Si se ejecuta de forma correcta, el cuerpo de la respuesta contiene un objeto AccessPolicy.

Actualiza una política de acceso

Console

La consola no admite la administración de políticas de acceso. Si deseas administrar tu política de acceso, debes usar la herramienta de línea de comandos de gcloud o la API.

gcloud

Para actualizar tu política de acceso, usa el comando update. Por el momento, solo puedes cambiar el título de la política.

gcloud access-context-manager policies update POLICY_NAME \
    --title=POLICY_TITLE

Donde:

  • POLICY_NAME es el nombre numérico de tu política.

  • POLICY_TITLE es un título legible de tu política.

Aparece este resultado:

Waiting for PATCH operation [accessPolicies/POLICY_NAME/update/1542234231134882]...done.

API

Por el momento, solo puedes cambiar el título de tu política de acceso.

Para actualizar tu política, haz lo siguiente:

  1. Crea un cuerpo de solicitud.

    {
 "parent": "ORGANIZATION_ID",
 "title": "POLICY_TITLE"
}

    Donde:

    • ORGANIZATION_ID es el ID numérico de tu organización.

    • POLICY_TITLE es un título legible de tu política.

  2. Llama a accessPolicies.patch.

    PATCH https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME/UPDATE_MASK

    Donde:

    • POLICY_NAME es el nombre numérico de tu política.

    • UPDATE_MASK es una string que representa el valor que deseas actualizar. Por ejemplo, title.

    Cuerpo de la respuesta

    Si tiene éxito, el cuerpo de la respuesta de la llamada contendrá un recurso Operation que proporciona detalles sobre la operación PATCH.

Borra una política de acceso

Console

Actualmente, la consola no admite la administración de políticas de acceso. Si deseas administrar tu política de acceso, debes usar la herramienta de línea de comandos de gcloud o la API.

gcloud

Para borrar una política de acceso, haz lo siguiente:

  1. Usa el comando delete.

    gcloud access-context-manager policies delete POLICY_NAME

    Donde:

    • POLICY_NAME es el nombre numérico de tu política.

  2. Confirma que deseas borrar la política de acceso.

    Por ejemplo:

    You are about to delete policy [POLICY_NAME]

Do you want to continue (Y/n)?

    Aparece este resultado:

    Deleted policy [1034095178592].

API

Para borrar tu política de acceso, llama a accessPolicies.delete.

DELETE https://accesscontextmanager.googleapis.com/v1/accessPolicies/POLICY_NAME

Donde:

  • POLICY_NAME es el nombre numérico de tu política.

Cuerpo de la solicitud

El cuerpo de la solicitud debe estar vacío.

Cuerpo de la respuesta

Si tiene éxito, el cuerpo de la respuesta de la llamada contendrá un recurso Operation que proporciona detalles sobre la operación DELETE.

¿Qué sigue?