Políticas con alcance

Organiza tus páginas con colecciones Guarda y categoriza el contenido según tus preferencias.

Las políticas de alcance son políticas de acceso que se limitan a carpetas o proyectos específicos junto con una política de acceso que puedes aplicar a toda la organización. Puedes usar políticas con alcance para delegar la administración de los perímetros de los Controles del servicio de VPC y los niveles de acceso a los administradores a nivel de carpeta y de proyecto.

Las organizaciones solo pueden tener una política de acceso a nivel de organización y puedes aplicarla a cualquier carpeta o proyecto de tu organización.

Puede haber instancias en las que desees delegar la administración de una política para un subconjunto de recursos de una organización, como una carpeta, a un administrador delegado. Puedes crear políticas de acceso centradas en carpetas o proyectos específicos junto con una política de acceso que se pueda aplicar a toda la organización. Para delegar la administración de los perímetros de los Controles del servicio de VPC y los niveles de acceso a los administradores a nivel de carpeta y de proyecto, puedes usar políticas con alcance.

Cuando delegas la administración de una política con alcance, los administradores delegados pueden modificar o leer esa política específica, y no la política de Access Context Manager de la organización. Las políticas de alcance limitan los recursos que se pueden restringir en un perímetro de Controles del servicio de VPC y la visibilidad de cualquier nivel de acceso.

Administración de políticas con alcance

Como administrador de Access Context Manager a nivel de la organización, puedes crear, modificar y borrar políticas de alcance. Puedes especificar vinculaciones de Identity and Access Management (IAM) en la política de Access Context Manager directamente y permitir una mayor delegación de la administración de políticas de Access Context Manager a otros usuarios de la organización. Un administrador de políticas de alcance puede configurar perímetros de servicio y niveles de acceso en las políticas. Sin embargo, un administrador de políticas con alcance no puede crear una política nueva ni cambiar el alcance de la política para aplicarla a otra carpeta o proyecto.

Esta es una secuencia de cómo los administradores gestionan las políticas con alcance:

  1. El administrador a nivel de la organización crea una nueva política de acceso con un campo de alcance que hace referencia a una carpeta o un proyecto específico.

  2. El administrador a nivel de la organización asigna los permisos de IAM al administrador delegado directamente en el recurso de la política de acceso. El administrador delegado ahora tiene permisos en la política con alcance, pero no tiene permisos sobre ninguna otra política, a menos que el administrador a nivel de la organización se los asigne explícitamente al administrador delegado.

  3. El administrador delegado ahora puede editar la política para configurar los niveles de acceso y los perímetros de servicio. El administrador delegado también puede otorgar permisos de IAM sobre esa política a cualquier otro usuario.

Cuando borras una carpeta o un proyecto, también se borra la política que tiene la carpeta o el proyecto borrados. Además, si mueves un proyecto a otro nodo de la jerarquía de la organización, la política a la que se orienta el proyecto no se modifica automáticamente. Debes borrar la política asociada con el proyecto y, luego, volver a crear la política y especificar el alcance.

Jerarquía de políticas con alcance

El recurso de organización es el nodo raíz de la jerarquía de recursos de Google Cloud, y todos los recursos que pertenecen a una organización existen como elementos secundarios. Las carpetas son un mecanismo de agrupación sobre proyectos. Las carpetas y los proyectos existen como nodos secundarios del recurso de organización.

En el siguiente diagrama, se muestra una organización de ejemplo que contiene carpetas para cada departamento, y las carpetas contienen proyectos de desarrollo, prueba y producción.

Arquitectura de implementación

En la organización de ejemplo, las siguientes restricciones se aplican a un perímetro de servicio o a un nivel de acceso en una política de alcance:

  • Los perímetros de servicio de una política con alcance solo pueden restringir los recursos que existen en el alcance de esa política. Por ejemplo, un perímetro de servicio en una política con alcance a la carpeta de ingeniería puede proteger los proyectos example-dev, example-prod y example-test porque están en la carpeta de ingeniería.

    Si la política con alcance se aplica a la carpeta de ventas, los perímetros de servicio en esa política no pueden proteger ninguno de los proyectos example-dev, example-prod ni example-test. Sin embargo, el perímetro de servicio en la política con alcance puede permitir el acceso a proyectos en otras carpetas mediante reglas de entrada y salida.

  • Los niveles de acceso en una política con alcance solo son visibles dentro del alcance de la política. Si creas un nivel de acceso en la política de la carpeta de ingeniería, solo los perímetros de servicio y los niveles de acceso en la carpeta de ingeniería pueden usarlo. Los perímetros de servicio y los niveles de acceso en otras carpetas no pueden usar el nivel de acceso definido en la carpeta de ingeniería.

Una ubicación, como una carpeta, en la jerarquía de recursos de la organización example.com puede tener varias políticas que contienen un nivel de acceso o un perímetro de servicio. Cuando existen varias políticas, se evalúa la solicitud de recursos en la organización example.com según las siguientes reglas:

  • Una política solo puede contener un alcance, como una carpeta, pero puedes crear una política para cada nivel de una organización. Por ejemplo, si el alcance de la política 1 es la carpeta de ingeniería, no puedes establecer la carpeta de ingeniería como el alcance de cualquier otra política. Puedes establecer otra política con el alcance configurado como el elemento secundario de la carpeta de ingeniería, como example-prod.

  • Si el alcance de una política se aplica a un proyecto o a uno superior, puedes agregar el proyecto a la política. Sin embargo, un proyecto puede ser miembro de un solo perímetro de servicio en todas las políticas. Por ejemplo, una política con un alcance establecido en la organización example.com puede definir un perímetro de servicio con example-dev. Una política con el alcance configurado en la carpeta de ingeniería o el alcance configurado en el proyecto example-dev también puede agregar el proyecto example-dev a un perímetro definido dentro de cualquiera de ellos. Sin embargo, solo una de esas tres políticas puede contener este proyecto.

¿Qué sigue?