Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
En IAM, los cambios de acceso, como la concesión de un rol o la denegación de un permiso, son coherentes con el tiempo. Esto significa que los cambios en el acceso tardan en propagarse por el sistema. Mientras tanto, es posible que los cambios de acceso recientes no se apliquen en todas partes. Por ejemplo, es posible que las entidades de seguridad sigan pudiendo usar un rol revocado recientemente o un permiso denegado recientemente. También es posible que no puedan usar un rol que se les haya concedido recientemente o un permiso que, hasta hace poco, no podían usar.
El tiempo que tarda en propagarse un cambio de acceso depende de cómo lo hagas:
Método
Ejemplos
Tiempo de propagación
Cambiar una política
Cambia el acceso de una entidad editando una política de permiso o de denegación.
Editas la política de permisos de tu organización para conceder a un principal el rol Administrador de la organización (roles/resourcemanager.organizationAdmin).
Editas una política de denegación a nivel de organización para denegar a una principal el permiso cloudresourcemanager.googleapis.com/projects.setIamPolicy.
Normalmente, 2 minutos, pero puede tardar 7 minutos o más
Cambiar la pertenencia a un grupo
Cambiar el acceso de un principal añadiéndolo o quitándolo de un grupo de Google que esté incluido en una política de permitir o denegar.
Tienes un grupo, org-admins@example.com, al que se le ha concedido el rol de administrador de la organización en tu organización. Añade una cuenta principal al grupo para asignarle el rol Administrador de la organización.
Tienes un grupo, eng@example.com, al que se le ha denegado el permiso cloudresourcemanager.googleapis.com/projects.setIamPolicy a nivel de organización. Añade una entidad al grupo
para denegarle el permiso
cloudresourcemanager.googleapis.com/projects.setIamPolicy.
Normalmente, varios minutos, aunque puede tardar horas o más
Cambiar la pertenencia de un grupo anidado
Cambia el acceso de una entidad añadiéndola o quitándola de un grupo anidado cuyo grupo principal esté incluido en una política de
permiso o denegación.
Tienes un grupo, admins@example.com, al que se le ha concedido el rol Lector de etiquetas (roles/resourcemanager.tagViewer) en tu organización. Este grupo está formado por varios grupos, incluido org-admins@example.com. Añade una cuenta principal al grupo org-admins@example.com para darle el rol Lector de etiquetas.
Tienes un grupo, eng@example.com, al que se le ha denegado el permiso cloudresourcemanager.googleapis.com/projects.setIamPolicy a nivel de organización. Este grupo está formado por varios grupos, incluido eng-prod@example.com. Añade una entidad de seguridad al grupo eng-prod@example.com para denegarle el permiso cloudresourcemanager.googleapis.com/projects.setIamPolicy.
Normalmente, varios minutos, aunque puede tardar horas o más
También debes tener en cuenta los siguientes detalles sobre cómo se propagan los cambios en la pertenencia a grupos:
En general, añadir una entidad de seguridad a un grupo se propaga más rápido que eliminarla.
Por lo general, los cambios en la pertenencia a grupos se propagan más rápido que los cambios en la pertenencia a grupos anidados.
Puedes usar estas estimaciones del tiempo de propagación para modificar el acceso de tus principales.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-08-20 (UTC)."],[[["\u003cp\u003eIAM access changes, such as granting or denying permissions, are eventually consistent, meaning they don't take effect immediately across the entire system.\u003c/p\u003e\n"],["\u003cp\u003eThe time it takes for access changes to propagate varies depending on the method used, with policy changes typically taking around 2 minutes, potentially longer, and group membership changes taking several minutes to potentially hours.\u003c/p\u003e\n"],["\u003cp\u003eChanging a principal's access through group membership changes typically propagates faster than changes made via nested group memberships.\u003c/p\u003e\n"],["\u003cp\u003eAdding a principal to a group generally results in faster propagation of access changes than removing a principal from a group.\u003c/p\u003e\n"]]],[],null,["# Access change propagation\n\nIn IAM, access changes, such as granting a role or denying a\npermission, are [eventually consistent](https://wikipedia.org/wiki/Eventual_consistency). This means that it takes time for access changes to propagate\nthrough the system. In the meantime, recent access changes might not be effective\neverywhere. For example, principals might still be able to use a recently\nrevoked role or a recently denied permission. Alternatively, they might not be\nable to use a recently granted role or a permission they were, until recently,\ndenied from using.\n\nThe amount of time it takes for an access change to propagate depends on how you\nmake the access change:\n\nAlso keep in mind the following details for how group membership changes\npropagate:\n\n- In general, adding a principal to a group propagates faster than removing a principal from a group.\n- In general, group membership changes propagate faster than nested group membership changes.\n\nYou can use these propagation time estimates to inform the way you modify your\nprincipals' access."]]