Se usó la API de Cloud Translation para traducir esta página.

Control de acceso con IAM

En esta página, se describen los roles de IAM para Certificate Authority Service.

CA Service utiliza funciones de administración de identidades y accesos (IAM) para el control de acceso. Con la IAM, puedes controlar el acceso definiendo quién (identidad) tiene qué acceso (función) y a qué recurso. Las funciones de IAM contienen un conjunto de permisos que permiten a los usuarios realizar acciones específicas en los recursos de Google Cloud. Si sigues el principio de privilegio mínimo cuando otorgas funciones de IAM, puedes proteger la integridad de los recursos de Certificate Authority Service y administrar la seguridad del grupo de AC y de la infraestructura de claves públicas (PKI) general.

Para obtener más información sobre cómo asignar funciones de IAM a un usuario o una cuenta de servicio, consulta la sección sobre cómo otorgar, cambiar y revocar el acceso a los recursos en la documentación de IAM.

Roles predefinidos

En la siguiente tabla, se enumeran los roles predefinidos de IAM y los permisos asociados con cada uno de ellos:

Rol	Permisos	Descripción
Auditor del Servicio de CA `roles/privateca.auditor`	`privateca.caPools.get` `privateca.caPools.getIamPolicy` `privateca.caPools.list` `privateca.certificateAuthorities.list` `privateca.certificateAuthorities.get` `privateca.certificateTemplates.get` `privateca.certificateTemplates.getIamPolicy` `privateca.certificateTemplates.list` `privateca.certificates.list` `privateca.certificates.get` `privateca.locations.get` `privateca.locations.list` `privateca.operations.get` `privateca.operations.list` `privateca.certificateRevocationLists.list` `privateca.certificateRevocationLists.get` `privateca.certificateRevocationLists.getIamPolicy` `resourcemanager.projects.get` `resourcemanager.projects.list`	El rol de Auditor del servicio de AC tiene acceso de solo lectura a todos los recursos del servicio de AC y puede recuperar y enumerar propiedades del grupo de AC, AC, certificados, listas de revocación, políticas de IAM y proyectos. Te recomendamos que asignes este rol a las personas encargadas de validar la seguridad y las operaciones del grupo de AC, y que no tengan ninguna responsabilidad diaria asignada para administrar el servicio.
Solicitante del certificado del Servicio de CA `roles/privateca.certificateRequester`	`privateca.certificates.create`	Un rol de solicitante de certificados del servicio de AC puede enviar solicitudes de certificados a un grupo de AC. Te recomendamos que les otorgues este rol a las personas de confianza que tengan permitido solicitar certificados. Un usuario con este rol puede solicitar certificados arbitrarios sujetos a la política de emisión. A diferencia del rol Administrador de certificados del servicio de CA, este rol no permite que el usuario obtenga ni enumere el certificado recién emitido, ni obtenga información sobre el grupo de AC.
Solicitante de certificados de cargas de trabajo de CA Service `roles/privateca.workloadCertificateRequester`	`privateca.certificates.createForSelf`	Un solicitante de certificados de cargas de trabajo del Servicio de CA puede solicitar certificados del Servicio de CA con la identidad del emisor.
Administrador de certificados del Servicio de CA `roles/privateca.certificateManager`	Todos los permisos de `roles/privateca.auditor`, más: `privateca.certificates.create`	Un administrador de certificados del Servicio de CA puede enviar solicitudes de emisión de certificados a un grupo de CA, como el solicitante de certificados del Servicio de CA. Además, este rol hereda los permisos del rol de Auditor del servicio de CA. Te recomendamos que asignes este rol a las personas encargadas de crear las solicitudes de certificados, hacerles un seguimiento y revisarlas en un grupo de AC, como un administrador o un ingeniero principal.
Usuario de plantillas de certificados del Servicio de CA `roles/privateca.templateUser`	`privateca.certificateTemplates.get` `privateca.certificateTemplates.list` `privateca.certificateTemplates.use`	Un usuario de plantillas de certificados del Servicio de CA puede leer, enumerar y usar plantillas de certificados.
Administrador de operaciones del Servicio de CA `roles/privateca.caManager`	Todos los permisos de `roles/privateca.auditor`, además de los siguientes: `privateca.certificates.update` `privateca.caPools.create` `privateca.caPools.delete` `privateca.caPools.update` `privateca.certificateAuthorities.create` `privateca.certificateAuthorities.delete` `privateca.certificateAuthorities.update` `privateca.certificateRevocationLists.update` `privateca.certificateTemplates.create` `privateca.certificateTemplates.delete` `privateca.certificateTemplates.update` `privateca.certificates.update` `privateca.operations.cancel` `privateca.operations.delete` `resourcemanager.projects.get` `resourcemanager.projects.list` `storage.buckets.create`	Un administrador de operaciones del servicio de CA puede crear, actualizar y borrar grupos de AC y AC. Este rol también puede revocar certificados y crear buckets de Cloud Storage. También incluye las mismas capacidades que el Auditor del Servicio de CA. En este rol, los individuos son responsables de configurar e implementar grupos de AC en la organización, además de configurar la política de emisión del grupo de AC. Este rol no permite crear certificados. Para hacerlo, usa los roles de Solicitante de certificados del Servicio de CA, Administrador de certificados del Servicio de CA o Administrador del Servicio de CA.
Administrador del servicio de CA `roles/privateca.admin`	Todos los permisos de `roles/privateca.certificateManager` y `roles/privateca.caManager`, además de los siguientes: `privateca.*.setIamPolicy` `privateca.caPools.use` `privateca.operations.cancel` `privateca.operations.delete` `privateca.resourcemanager.projects.get` `privateca.resourcemanager.projects.list` `storage.buckets.create`	El rol Administrador del servicio de CA hereda los permisos de los roles Administrador de operaciones del Servicio de CA y Administrador de certificados del Servicio de CA. Con esta función, se pueden realizar todas las acciones dentro de CA Service. Un administrador del servicio de CA puede establecer políticas de IAM para el grupo de AC y crear buckets de Cloud Storage. Te recomendamos que rara vez asignes este rol una vez que se establece el servicio. En este rol, las personas pueden realizar todos los aspectos de administración, incluida la asignación de derechos a otros y la gestión de solicitudes de certificados en el Servicio de CA. Te recomendamos que implementes un control y un acceso especiales a esta cuenta de rol para evitar accesos o usos no autorizados.

Función de agente de servicio de CA

Cuando se proporcionan claves de firma de Cloud KMS o buckets de Cloud Storage existentes durante la creación de la AC, la cuenta de servicio del agente de servicio de CA (service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com) debe tener acceso al recurso correspondiente.

En Cloud KMS, se requiere roles/cloudkms.signerVerifier para usar la clave de firma y leer la clave pública. roles/viewer es necesario para supervisar la clave de la integración de Cloud Monitoring.

Para Cloud Storage, se requiere roles/storage.objectAdmin para escribir el certificado de la AC y las CRL en un bucket. Se requiere roles/storage.legacyBucketReader para supervisar el bucket para la integración de Cloud Monitoring. Si quieres obtener más información, consulta Funciones de IAM para Cloud Storage.

Cuando accedas al servicio a través de la API, ejecuta los siguientes comandos.

Crear una cuenta de servicio con el rol de agente de servicio
gcloud
```
gcloud beta services identity create --service=privateca.googleapis.com --project=PROJECT_ID
```
Aquí:
- PROJECT_ID es el identificador único del proyecto en el que se crea el grupo de AC.

Otorga los roles roles/cloudkms.signerVerifier y roles/viewer a tu cuenta de servicio con el siguiente comando gcloud.

Si se proporcionan claves de firma de Cloud KMS existentes, haz lo siguiente:

gcloud

gcloud kms keys add-iam-policy-binding 'CRYPTOKEY_NAME' \
  --keyring='KEYRING_NAME' \
  --location='LOCATION' \
  --member='serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com' \
  --role='roles/cloudkms.signerVerifier'

Aquí:

"CRYPTOKEY_NAME" es el nombre de tu clave.
"KEYRING_NAME" es el nombre del llavero de claves.
“LOCATION” es la ubicación de Cloud KMS en la que creaste el llavero de claves.
“PROJECT_NUMBER” es el nombre de tu cuenta de servicio.

gcloud kms keys add-iam-policy-binding 'CRYPTOKEY_NAME' \
  --keyring='KEYRING_NAME' \
  --location='LOCATION' \
  --member='serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com' \
  --role='roles/viewer'

Si se proporcionan buckets de Cloud Storage existentes, usa la herramienta de línea de comandos de gsutil a fin de vincular los roles necesarios para el bucket de Cloud Storage.

gsutil

gsutil iam ch serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com:roles/storage.objectAdmin gs://BUCKET_NAME

Aquí:

PROJECT_NUMBER es el identificador único de tu cuenta de servicio.
BUCKET_NAME es el nombre de tu depósito de Cloud Storage.

gsutil iam ch serviceAccount:service-PROJECT_NUMBER@gcp-sa-privateca.iam.gserviceaccount.com:roles/storage.legacyBucketReader gs://BUCKET_NAME

Permisos de la API

En la siguiente tabla, se enumeran los permisos que debe tener el emisor para llamar a cada método en la API de CA Service:

Permiso	Descripción
`privateca.caPools.create`	Crea un grupo de autoridades certificadoras (AC).
`privateca.caPools.update`	Actualiza un grupo de AC.
`privateca.caPools.list`	Enumera los grupos de AC de un proyecto.
`privateca.caPools.get`	Recupera un grupo de AC.
`privateca.caPools.delete`	Borra un grupo de AC.
`privateca.caPools.use`	Usa un grupo de AC.
`privateca.caPools.getIamPolicy`	Recupera la política de IAM del grupo de AC.
`privateca.caPools.setIamPolicy`	Establece una política de IAM para el grupo de AC.
`privateca.certificateAuthorities.create`	Crea una AC.
`privateca.certificateAuthorities.delete`	Programa la eliminación de una AC.
`privateca.certificateAuthorities.get`	Obtén una solicitud de firma de certificado de CA o CA.
`privateca.certificateAuthorities.list`	Enumera las AC de un proyecto.
`privateca.certificateAuthorities.update`	Actualizar una AC, incluida su activación, habilitación, inhabilitación y restablecimiento
`privateca.certificates.create`	Solicita certificados del servicio de CA.
`privateca.certificates.createForSelf`	Puede solicitar certificados del Servicio de CA con la identidad del emisor.
`privateca.certificates.get`	Obtén un certificado y sus metadatos.
`privateca.certificates.list`	Enumera todos los certificados de una AC.
`privateca.certificates.update`	Actualiza los metadatos de un certificado, incluida la revocación.
`privateca.certificateRevocationLists.get`	Obtén una lista de revocación de certificados (CRL) en una AC.
`privateca.certificateRevocationLists.getIamPolicy`	Obtén la política de IAM para una CRL.
`privateca.certificateRevocationLists.list`	Enumera todas las CRL de una AC.
`privateca.certificateRevocationLists.setIamPolicy`	Establece la política de IAM para una CRL.
`privateca.certificateRevocationLists.update`	Actualiza una CRL.
`privateca.certificateTemplates.create`	Crea una plantilla de certificado.
`privateca.certificateTemplates.get`	Recupera una plantilla de certificado.
`privateca.certificateTemplates.list`	Enumera todas las plantillas de certificados.
`privateca.certificateTemplates.update`	Actualizar una plantilla de certificado
`privateca.certificateTemplates.delete`	Borra una plantilla de certificado.
`privateca.certificateTemplates.getIamPolicy`	Obtener política de IAM para una plantilla de certificado
`privateca.certificateTemplates.setIamPolicy`	Configurar política de IAM para una plantilla de certificado.
`privateca.certificateTemplates.use`	Usa una plantilla de certificado.
`privateca.operations.cancel`	Cancela una operación de larga duración.
`privateca.operations.delete`	Borra una operación de larga duración.
`privateca.operations.get`	Obtén una operación de larga duración.
`privateca.operations.list`	Enumera las operaciones de larga duración de un proyecto.

¿Qué sigue?

Descubre cómo IAM centraliza la administración de los permisos y los niveles de acceso para los recursos de Google Cloud.
Obtén más información sobre cómo configurar políticas de IAM.