Restringe los permisos con los límites de acceso a las credenciales

En esta página, se explica cómo usar los límites de acceso a credenciales para disminuir el alcance o restringir los permisos de administración de identidades y accesos (IAM) que puede usar una credencial de corta duración.

Cómo funcionan los límites de acceso a credenciales

A fin de disminuir el alcance de los permisos, debes definir un límite de acceso a las credenciales que especifica a qué recursos puede acceder la credencial de corta duración, así como un límite superior en los permisos disponibles para cada recurso. A continuación, puedes crear una credencial de corta duración y, luego, cambiarla por una nueva credencial que respete el límite de acceso a las credenciales.

Si necesitas otorgarles a los miembros un conjunto distinto de permisos para cada sesión, puede ser más eficiente usar límites de acceso a las credenciales que crear muchas cuentas de servicio diferentes y otorgar a cada una un conjunto diferente de funciones. Por ejemplo, si uno de tus clientes necesita acceder a los datos de Cloud Storage que controlas, puedes crear una cuenta de servicio que pueda acceder a cada depósito de Cloud Storage que posees y, luego, aplicar un límite de acceso a las credenciales que solo permita el acceso al depósito con los datos del cliente.

Ejemplos de límites de acceso a las credenciales

En las siguientes secciones, se muestran ejemplos de límites de acceso a las credenciales para casos de uso comunes.

Limita los permisos para un depósito

En el siguiente ejemplo, se muestra un límite de acceso a las credenciales simple. Se aplica al depósito de Cloud Storage example-bucket y establece el límite superior de los permisos que se incluyen en la función de visualizador de objetos de almacenamiento (roles/storage.objectViewer):

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket"
      }
    ]
  }
}

Limita los permisos para varios depósitos

En el siguiente ejemplo, se muestra un límite de acceso a las credenciales que incluye reglas para varios depósitos:

  • El depósito de Cloud Storage example-bucket-1: para este depósito, solo están disponibles los permisos de la función de visualizador de objetos de almacenamiento (roles/storage.objectViewer).
  • El depósito de Cloud Storage example-bucket-2: para este depósito, solo están disponibles los permisos de la función de creador de objetos de almacenamiento (roles/storage.objectCreator).
{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-1"
      },
      {
        "availablePermissions": [
          "inRole:roles/storage.objectCreator"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-2"
      }
    ]
  }
}

Limita los permisos para objetos específicos

También puedes usar condiciones de IAM para especificar a qué objetos de Cloud Storage puede acceder un miembro. Por ejemplo, puedes agregar una condición que permita que los permisos estén disponibles para los objetos cuyo nombre comience con customer-a:

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
        "availabilityCondition": {
          "expression" : "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a')"
        }
      }
    ]
  }
}

Limita los permisos cuando se genera una lista de objetos

Cuando generas una lista de objetos en un depósito de Cloud Storage, llamas a un método en un recurso de depósito, no en un recurso de objeto. Como resultado, si se evalúa una condición para una solicitud de lista y la condición hace referencia al nombre del recurso, el nombre del recurso identifica el depósito, no un objeto dentro del depósito. Por ejemplo, cuando generas una lista de objetos en example-bucket, el nombre del recurso es projects/_/buckets/example-bucket.

Esta convención de nombres puede dar lugar a un comportamiento inesperado cuando generas listas de objetos. Por ejemplo, supongamos que deseas un límite de acceso a las credenciales que permite el acceso de lectura a los objetos de example-bucket con el prefijo customer-a/invoices/. Puede intentar usar la siguiente condición en el límite de acceso a las credenciales:

Incompleto: condición que solo verifica el nombre del recurso

resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')

Esta condición funciona para leer objetos, pero no si deseas generar listas de objetos:

  • Cuando un miembro intenta leer un objeto en example-bucket con el prefijo customer-a/invoices/, la condición se evalúa como true.
  • Cuando un miembro intenta generar listas de objetos con ese prefijo, la condición se evalúa como false. El valor de resource.name es projects/_/buckets/example-bucket, que no comienza con projects/_/buckets/example-bucket/objects/customer-a/invoices/.

Para evitar este problema, además de usar resource.name.startsWith(), la condición puede verificar un atributo de API llamado storage.googleapis.com/objectListPrefix. Este atributo contiene el valor del parámetro prefix que se usó para filtrar la lista de objetos. Como resultado, puedes escribir una condición que haga referencia al valor del parámetro prefix.

En el siguiente ejemplo, se muestra cómo usar el atributo de la API en una condición. Permite leer y generar una lista de los objetos en example-bucket con el prefijo customer-a/invoices/:

Completo: condición que verifica el nombre del recurso y el prefijo

resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')  ||
    api.getAttribute('storage.googleapis.com/objectListPrefix', '')
                     .startsWith('customer-a/invoices/')

Ahora puedes usar esta condición en un límite de acceso a las credenciales:

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
        "availabilityCondition": {
          "expression":
            "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') || api.getAttribute('storage.googleapis.com/objectListPrefix', '').startsWith('customer-a/invoices/')"
        }
      }
    ]
  }
}

Antes de comenzar

Antes de usar los límites de acceso a las credenciales, asegúrate de cumplir con los siguientes requisitos:

  • Debes disminuir el alcance de los permisos solo para Cloud Storage, no para otros servicios de Google Cloud.

    Si necesitas disminuir el alcance de los permisos para servicios adicionales de Google Cloud, puedes crear varias cuentas de servicio y otorgar un conjunto diferente de funciones a cada una.

  • Puedes usar los tokens de acceso de OAuth 2.0 para la autenticación. Otros tipos de credenciales de corta duración no admiten límites de acceso a las credenciales.

Crea una credencial de corta duración de alcance reducido

Para crear un token de acceso de OAuth 2.0 con permisos de alcance reducidos, sigue estos pasos:

  1. Otorga las funciones adecuadas de IAM a una cuenta de usuario o de servicio.
  2. Define un límite de acceso a las credenciales que establece un límite superior en los permisos que están disponibles para el usuario o la cuenta de servicio.
  3. Crea un token de acceso de OAuth 2.0 para el usuario o la cuenta de servicio.
  4. Intercambia el token de acceso de OAuth 2.0 por un token nuevo que respete el límite de acceso a las credenciales.

Luego, puedes usar el nuevo token de acceso de OAuth 2.0 de alcance reducido para autenticar las solicitudes a Cloud Storage.

Otorga funciones de IAM

Un límite de acceso a las credenciales establece un límite superior en los permisos disponibles para un recurso. Puedes quitar permisos a un miembro, pero no puedes agregar permisos que el miembro aún no tiene.

Como resultado, también debes otorgarle funciones al miembro que proporcione los permisos que necesitan, ya sea en un depósito de Cloud Storage o en un recurso de nivel superior, como el proyecto.

Por ejemplo, supongamos que necesitas crear una credencial de corta duración de alcance reducido que permita que una cuenta de servicio cree objetos en un depósito:

  • Como mínimo, debes otorgar una función a la cuenta de servicio que incluya el permiso storage.objects.create, como la función de creador de objetos de Store (roles/storage.objectCreator). El límite de acceso a las credenciales también debe incluir este permiso.
  • También puedes otorgar una función que incluya más permisos, como la función de administrador de objetos de almacenamiento (roles/storage.objectAdmin). La cuenta de servicio solo puede usar los permisos que aparecen tanto en la asignación de funciones como en el límite de acceso a las credenciales.

Para obtener información sobre las funciones predefinidas de Cloud Storage, consulta Funciones de Cloud Storage.

Define un límite de acceso a las credenciales

Un límite de acceso a las credenciales es un objeto JSON que contiene una lista de reglas de límites de acceso. Cada regla contiene la siguiente información:

  • El recurso al que se aplica la regla
  • El límite superior de los permisos que están disponibles en ese recurso
  • Una condición que restringe aún más los permisos (opcional) Una condición incluye lo siguiente:
    • Una expresión de condición que se evalúa como true o false. Si se evalúa como true, se permite el acceso; de lo contrario, se niega el acceso
    • Un título que identifique la condición (opcional)
    • Una descripción con más información sobre la condición (opcional)

Si aplicas un límite de acceso a las credenciales a una credencial de corta duración, esta solo podrá acceder a los recursos dentro del límite de acceso a las credenciales. No hay permisos disponibles en otros recursos.

Un límite de acceso a las credenciales puede contener hasta 10 reglas de límite de acceso. Solo puedes aplicar un límite de acceso a las credenciales a cada credencial de corta duración.

Un límite de acceso a las credenciales contiene los siguientes campos:

Campos
accessBoundary

object

Un contenedor para el límite de acceso a credenciales.

accessBoundary.accessBoundaryRules[]

object

Una lista de reglas de límites de acceso para aplicar a una credencial de corta duración.

accessBoundary.accessBoundaryRules[].availablePermissions[]

string

Una lista que define el límite superior de los permisos disponibles para el recurso.

Cada valor es el identificador de una función predefinida o función personalizada de IAM, con el prefijo inRole:. Por ejemplo: inRole:roles/storage.objectViewer. Solo estarán disponibles los permisos de estas funciones.

accessBoundary.accessBoundaryRules[].availableResource

string

El nombre completo del recurso del depósito de Cloud Storage al que se aplica la regla. Usa el formato //storage.googleapis.com/projects/_/buckets/bucket-name.

accessBoundary.accessBoundaryRules[].availabilityCondition

object

Opcional. Una condición que restringe la disponibilidad de permisos para objetos específicos de Cloud Storage.

Usa este campo si deseas que los permisos estén disponibles para objetos específicos, en lugar de que estén disponibles para todos los objetos en un depósito de Cloud Storage.

accessBoundary.accessBoundaryRules[].availabilityCondition.expression

string

Una expresión de condición que especifica los objetos de Cloud Storage en los que están disponibles los permisos.

Para aprender a hacer referencia a objetos específicos en una expresión de condición, consulta Atributo resource.name.

accessBoundary.accessBoundaryRules[].availabilityCondition.title

string

Opcional. Una string corta que identifica el propósito de la condición.

accessBoundary.accessBoundaryRules[].availabilityCondition.description

string

Opcional. Detalles sobre el propósito de la condición.

Para obtener ejemplos, consulta Ejemplos de límites de acceso a las credenciales en esta página.

Crea un archivo JSON que defina un límite de acceso a las credenciales. Usarás este archivo en otro paso, más adelante.

Crea un token de acceso de OAuth 2.0

Antes de crear una credencial de corta duración de alcance reducido, debes crear un token de acceso de OAuth 2.0 normal. A continuación, puedes intercambiar la credencial normal por una credencial de alcance reducido. Cuando crees el token de acceso, usa el permiso de OAuth 2.0 https://www.googleapis.com/auth/cloud-platform.

Si deseas crear un token de acceso para una cuenta de servicio, puedes completar el flujo de OAuth 2.0 de servidor a servidor, o puede usar la API de credenciales de la cuenta de servicio a fin de generar un token de acceso de OAuth 2.0.

Si deseas crear un token de acceso para un usuario, consulta Obtén tokens de acceso de OAuth 2.0. También puedes usar OAuth 2.0 Playground a fin de crear un token de acceso para tu propia Cuenta de Google.

Intercambia el token de acceso de OAuth 2.0

Después de crear un token de acceso de OAuth 2.0, puedes intercambiarlo por un token nuevo que respete el límite de acceso a las credenciales. Intercambia el token de acceso a través de la API del servicio de token de seguridad, que es parte de Identity Platform.

Para intercambiar el token de acceso, usa el siguiente método HTTP y URL:

POST https://sts.googleapis.com/v1beta/token

Configura el encabezado Content-Type en la solicitud a application/x-www-form-urlencoded. Incluye los siguientes campos en el cuerpo de la solicitud:

Campos
grant_type

string

Usa el valor urn:ietf:params:oauth:grant-type:token-exchange.

options

string

El límite de acceso a las credenciales codificado por porcentaje.

requested_token_type

string

Usa el valor urn:ietf:params:oauth:token-type:access_token.

subject_token

string

El token de acceso de OAuth 2.0 que deseas intercambiar.

subject_token_type

string

Usa el valor urn:ietf:params:oauth:token-type:access_token.

La respuesta es un objeto JSON que contiene los siguientes campos:

Campos
access_token

string

Un nuevo token de acceso de OAuth 2.0 que respeta el límite de acceso a las credenciales.

expires_in

number

El tiempo restante hasta que el nuevo token de acceso caduque, en segundos.

Este campo solo está presente si el token de acceso original representa una cuenta de servicio. Cuando este campo no está presente, el nuevo token de acceso tiene el mismo tiempo de vencimiento que el token de acceso original.

issued_token_type

string

Contiene el valor urn:ietf:params:oauth:token-type:access_token.

token_type

string

Contiene el valor Bearer.

Por ejemplo, si el límite de acceso a las credenciales se almacena en el archivo ./access-boundary.json, puedes usar el siguiente comando curl para intercambiar el token de acceso. Reemplaza original-token con el token de acceso original:

curl -H "Content-Type:application/x-www-form-urlencoded" \
    -X POST \
    https://sts.googleapis.com/v1beta/token \
    -d "grant_type=urn:ietf:params:oauth:grant-type:token-exchange&subject_token_type=urn:ietf:params:oauth:token-type:access_token&requested_token_type=urn:ietf:params:oauth:token-type:access_token&subject_token=original-token" \
    --data-urlencode "options=$(cat ./access-boundary.json)"

La respuesta es similar al siguiente ejemplo:

{
  "access_token": "ya29.dr.AbCDeFg-123456...",
  "issued_token_type": "urn:ietf:params:oauth:token-type:access_token",
  "token_type": "Bearer",
  "expires_in": 3600
}

Próximos pasos