Propagación de cambios de acceso

En IAM, los cambios de acceso, como la concesión de un rol o la denegación de un permiso, son coherentes con el tiempo. Esto significa que los cambios en el acceso tardan en propagarse por el sistema. Mientras tanto, es posible que los cambios de acceso recientes no se apliquen en todas partes. Por ejemplo, es posible que las entidades de seguridad sigan pudiendo usar un rol revocado recientemente o un permiso denegado recientemente. También es posible que no puedan usar un rol que se les haya concedido recientemente o un permiso que, hasta hace poco, no podían usar.

El tiempo que tarda en propagarse un cambio de acceso depende de cómo lo hagas:

Método Ejemplos Tiempo de propagación

Cambiar una política

Cambia el acceso de una entidad editando una política de permiso o de denegación.

Cuando hagas cambios en las políticas, no puedes superar los límites del número de entidades principales permitidas en una política.

  • Editas la política de permisos de tu organización para conceder a un principal el rol Administrador de la organización (roles/resourcemanager.organizationAdmin).
  • Editas una política de denegación a nivel de organización para denegar a una principal el permiso cloudresourcemanager.googleapis.com/projects.setIamPolicy.
Normalmente, 2 minutos, pero puede tardar 7 minutos o más

Cambiar la pertenencia a un grupo

Cambiar el acceso de un principal añadiéndolo o quitándolo de un grupo de Google que esté incluido en una política de permitir o denegar.

  • Tienes un grupo, org-admins@example.com, al que se le ha concedido el rol de administrador de la organización en tu organización. Añade una cuenta principal al grupo para asignarle el rol Administrador de la organización.
  • Tienes un grupo, eng@example.com, al que se le ha denegado el permiso cloudresourcemanager.googleapis.com/projects.setIamPolicy a nivel de organización. Añade una entidad al grupo para denegarle el permiso cloudresourcemanager.googleapis.com/projects.setIamPolicy.
Normalmente, varios minutos, aunque puede tardar horas o más

Cambiar la pertenencia de un grupo anidado

Cambia el acceso de una entidad añadiéndola o quitándola de un grupo anidado cuyo grupo principal esté incluido en una política de permiso o denegación.

  • Tienes un grupo, admins@example.com, al que se le ha concedido el rol Lector de etiquetas (roles/resourcemanager.tagViewer) en tu organización. Este grupo está formado por varios grupos, incluido org-admins@example.com. Añade una cuenta principal al grupo org-admins@example.com para darle el rol Lector de etiquetas.
  • Tienes un grupo, eng@example.com, al que se le ha denegado el permiso cloudresourcemanager.googleapis.com/projects.setIamPolicy a nivel de organización. Este grupo está formado por varios grupos, incluido eng-prod@example.com. Añade una entidad de seguridad al grupo eng-prod@example.com para denegarle el permiso cloudresourcemanager.googleapis.com/projects.setIamPolicy.
Normalmente, varios minutos, aunque puede tardar horas o más

También debes tener en cuenta los siguientes detalles sobre cómo se propagan los cambios en la pertenencia a grupos:

  • En general, añadir una entidad de seguridad a un grupo se propaga más rápido que eliminarla.
  • Por lo general, los cambios en la pertenencia a grupos se propagan más rápido que los cambios en la pertenencia a grupos anidados.

Puedes usar estas estimaciones del tiempo de propagación para modificar el acceso de tus principales.