Propagación de cambios de acceso

En IAM, los cambios de acceso, como otorgar un rol o denegar un permiso, tienen coherencia eventual. Esto significa que los cambios de acceso tardan en propagarse a través del sistema. Mientras tanto, es posible que los cambios de acceso recientes no sean eficaces en todas partes. Por ejemplo, es posible que las principales aún puedan usar un rol revocado recientemente o un permiso denegado recientemente. De forma alternativa, es posible que no puedan usar un rol otorgado recientemente o un permiso que, hasta hace poco tiempo, tenían denegado usar.

El tiempo que tarda un cambio de acceso en propagarse depende de cómo realizas el cambio:

Método Ejemplos Tiempo de propagación

Método	Ejemplos	Tiempo de propagación
Cambia una política Para cambiar el acceso de una principal, edita una política de permiso o denegación. Cuando realizas cambios en una política, no puedes exceder los límites en la cantidad de principales permitidas en una política.	Editas la política de permiso de tu organización para otorgar a una principal el rol de administrador de la organización (`roles/resourcemanager.organizationAdmin`). Editas una política de denegación a nivel de la organización para denegar a una principal el permiso `cloudresourcemanager.googleapis.com/projects.setIamPolicy`.	Por lo general, 2 minutos, potencialmente 7 minutos o más
Cambia la membresía de un grupo Para cambiar el acceso de una principal, agrégala o quítala de un Grupo de Google que se incluye en una política de permiso o denegación.	Tienes un grupo, `org-admins@example.com`, al que se le otorga el rol de administrador de la organización en tu organización. Agregas una principal al grupo para otorgarle el rol de administrador de la organización. Tienes un grupo, `eng@example.com`, al que se le deniega el permiso `cloudresourcemanager.googleapis.com/projects.setIamPolicy` a nivel de la organización. Agregas una principal al grupo para denegarle el permiso `cloudresourcemanager.googleapis.com/projects.setIamPolicy`.	Por lo general, varios minutos, potencialmente horas o más
Cambia la membresía de un grupo anidado Para cambiar el acceso de una principal, agrégala o quítala de un grupo anidado cuyo grupo superior se incluye en una política de permiso o denegación.	Tienes un grupo, `admins@example.com`, al que se le otorga el rol de visualizador de etiquetas (`roles/resourcemanager.tagViewer`) en tu organización. La membresía de este grupo está compuesta por otros grupos, incluido `org-admins@example.com`. Agregas una principal al grupo `org-admins@example.com` para otorgarle el rol de visualizador de etiquetas. Tienes un grupo, `eng@example.com`, al que se le deniega el permiso `cloudresourcemanager.googleapis.com/projects.setIamPolicy` a nivel de la organización. La membresía de este grupo está compuesta por otros grupos, incluido `eng-prod@example.com`. Agregas una principal al grupo `eng-prod@example.com` para denegarle el permiso `cloudresourcemanager.googleapis.com/projects.setIamPolicy`.	Por lo general, varios minutos, potencialmente horas o más

Cambia una política

Para cambiar el acceso de una principal, edita una política de permiso o denegación.

Cuando realizas cambios en una política, no puedes exceder los límites en la cantidad de principales permitidas en una política.

Editas la política de permiso de tu organización para otorgar a una principal el rol de administrador de la organización (roles/resourcemanager.organizationAdmin).
Editas una política de denegación a nivel de la organización para denegar a una principal el permiso cloudresourcemanager.googleapis.com/projects.setIamPolicy.

Por lo general, 2 minutos, potencialmente 7 minutos o más

Cambia la membresía de un grupo

Para cambiar el acceso de una principal, agrégala o quítala de un Grupo de Google que se incluye en una política de permiso o denegación.

Tienes un grupo, org-admins@example.com, al que se le otorga el rol de administrador de la organización en tu organización. Agregas una principal al grupo para otorgarle el rol de administrador de la organización.
Tienes un grupo, eng@example.com, al que se le deniega el permiso cloudresourcemanager.googleapis.com/projects.setIamPolicy a nivel de la organización. Agregas una principal al grupo para denegarle el permiso cloudresourcemanager.googleapis.com/projects.setIamPolicy.

Por lo general, varios minutos, potencialmente horas o más

Cambia la membresía de un grupo anidado

Para cambiar el acceso de una principal, agrégala o quítala de un grupo anidado cuyo grupo superior se incluye en una política de permiso o denegación.

Tienes un grupo, admins@example.com, al que se le otorga el rol de visualizador de etiquetas (roles/resourcemanager.tagViewer) en tu organización. La membresía de este grupo está compuesta por otros grupos, incluido org-admins@example.com. Agregas una principal al grupo org-admins@example.com para otorgarle el rol de visualizador de etiquetas.
Tienes un grupo, eng@example.com, al que se le deniega el permiso cloudresourcemanager.googleapis.com/projects.setIamPolicy a nivel de la organización. La membresía de este grupo está compuesta por otros grupos, incluido eng-prod@example.com. Agregas una principal al grupo eng-prod@example.com para denegarle el permiso cloudresourcemanager.googleapis.com/projects.setIamPolicy.

Por lo general, varios minutos, potencialmente horas o más

También ten en cuenta los siguientes detalles sobre cómo se propagan los cambios de membresía de un grupo:

En general, agregar una principal a un grupo se propaga más rápido que quitar una principal de un grupo.
En general, los cambios de membresía de un grupo se propagan más rápido que los cambios de membresía de un grupo anidado.

Puedes usar estas estimaciones de tiempo de propagación para informar la forma en que modificas el acceso de las principales.