Administra el acceso a proyectos, carpetas y organizaciones

En esta página, se describe cómo otorgar, cambiar y revocar el acceso a los proyectos, las carpetas y las organizaciones. Para obtener información sobre cómo administrar el acceso a otros recursos, consulta las siguientes guías:

En Identity and Access Management (IAM), el acceso se otorga a través de políticas de permisos, también conocidas como políticas de IAM. Una política de permisos se adjunta a un recurso de Google Cloud. Cada política de permisos contiene una colección de vinculaciones de roles que asocian una o más principales, como usuarios o cuentas de servicio, a un rol de IAM. Estas vinculaciones de roles otorgan los roles especificados a las principales, tanto en el recurso al que se adjunta la política de permisos como en todos los elementos subordinados de ese recurso. Para obtener más información sobre las políticas de permisos, consulta Comprende las políticas de permisos.

Puedes administrar el acceso a proyectos, carpetas y organizaciones con la consola de Google Cloud, Google Cloud CLI, la API de REST o las bibliotecas cliente de Resource Manager.

Antes de comenzar

  • Habilita Resource Manager API.

    Habilita la API

Roles obligatorios

Para obtener los permisos que necesitas a fin de administrar el acceso a un proyecto, organización o carpeta, pídele a tu administrador que te otorgue las siguientes roles de IAM en el recurso para el que deseas administrar el acceso (proyecto , carpeta u organización):

Si quieres obtener más información para otorgar roles, consulta Administra el acceso.

Estas funciones predefinidas contienen los permisos necesarios para administrar el acceso a una organización, una carpeta o un proyecto. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Los siguientes permisos son necesarios para administrar el acceso a un proyecto, una carpeta o una organización:

  • Para administrar el acceso a los proyectos:
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy
  • Para administrar el acceso a las carpetas, haz lo siguiente:
    • resourcemanager.folders.getIamPolicy
    • resourcemanager.folders.setIamPolicy
  • Para administrar el acceso a las organizaciones:
    • resourcemanager.organizations.getIamPolicy
    • resourcemanager.organizations.setIamPolicy

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Visualiza el acceso actual

Puedes ver quién tiene acceso a tu proyecto, organización o carpeta mediante la consola de Google Cloud, la CLI de gcloud, la API de REST o las bibliotecas cliente de Resource Manager.

Console

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM

  2. Selecciona un proyecto, una carpeta o una organización.

    La consola de Google Cloud enumera todas las principales a las que se les otorgaron roles en tu proyecto, organización o carpeta. En esta lista, se incluyen las principales que heredaron roles del recurso de los recursos superiores. Para obtener más información sobre la herencia de políticas, consulta La herencia de políticas y la jerarquía de recursos.

  3. Opcional: Para ver las asignaciones de funciones de las cuentas de servicio administradas por Google, selecciona la casilla de verificación Incluir asignaciones de funciones proporcionadas por Google.

gcloud

  1. En la consola de Google Cloud, activa Cloud Shell.

    Activar Cloud Shell

    En la parte inferior de la consola de Google Cloud, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

  2. Para ver quién tiene acceso a tu proyecto, organización o carpeta, obtén la política de permisos para el recurso. Para obtener información sobre cómo interpretar las políticas de permisos, consulta Comprende las políticas de permisos.

    A fin de obtener la política de permisos del recurso, ejecuta el comando get-iam-policy para el recurso:

    gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH

    Ingresa los siguientes valores:

    • RESOURCE_TYPE: El tipo de recurso para el que deseas ver el acceso. Usa uno de estos valores: projects, resource-manager folders o organizations.

    • RESOURCE_ID: Tu ID de la organización, carpeta y proyecto de Google Cloud. Los ID de proyecto son alfanuméricos, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.

    • FORMAT: El formato deseado para la política. Usa json o yaml.

    • PATH: Es la ruta a un nuevo archivo de salida de la política.

    Por ejemplo, con el siguiente comando, se obtiene la política para el proyecto my-project y se guarda en tu directorio principal en formato JSON:

    gcloud projects get-iam-policy my-project --format=json > ~/policy.json

REST

Para ver quién tiene acceso a tu proyecto, organización o carpeta, obtén la política de permisos para el recurso. Para obtener información sobre cómo interpretar las políticas de permisos, consulta Comprende las políticas de permisos.

El método getIamPolicy de la API de Resource Manager obtiene la política de permisos de un proyecto, una carpeta o una organización.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • API_VERSION: La versión de la API que se usará. Para los proyectos y las organizaciones, usa v1. Para las carpetas, usa v2.
  • RESOURCE_TYPE: El tipo de recurso cuya política deseas administrar. Usa el valor projects, folders o organizations.
  • RESOURCE_ID: El proyecto ID de la carpeta, la organización o el proyecto de Google Cloud. Los ID de proyecto son strings alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
  • POLICY_VERSION: Es la versión de la política que se mostrará. Las solicitudes deben especificar la versión de política más reciente, que es la versión de política 3. Consulta Especifica una versión de política cuando obtienes una política para obtener más detalles.

Método HTTP y URL:

POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy

Cuerpo JSON de la solicitud:

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene la política de permisos del recurso. Por ejemplo: 

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:owner@example.com"
      ]
    }
  ]
}

C#


using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy GetPolicy(string projectId)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        var policy = service.Projects.GetIamPolicy(new GetIamPolicyRequest(),
            projectId).Execute();
        return policy;
    }
}

Java

import com.google.api.client.googleapis.javanet.GoogleNetHttpTransport;
import com.google.api.client.json.gson.GsonFactory;
import com.google.api.services.cloudresourcemanager.v3.CloudResourceManager;
import com.google.api.services.cloudresourcemanager.v3.model.GetIamPolicyRequest;
import com.google.api.services.cloudresourcemanager.v3.model.Policy;
import com.google.api.services.iam.v1.IamScopes;
import com.google.auth.http.HttpCredentialsAdapter;
import com.google.auth.oauth2.GoogleCredentials;
import java.io.IOException;
import java.security.GeneralSecurityException;
import java.util.Collections;

public class GetPolicy {

  // Gets a project's policy.
  public static Policy getPolicy(String projectId) {
    // projectId = "my-project-id"

    Policy policy = null;

    CloudResourceManager service = null;
    try {
      service = createCloudResourceManagerService();
    } catch (IOException | GeneralSecurityException e) {
      System.out.println("Unable to initialize service: \n" + e.toString());
      return policy;
    }

    try {
      GetIamPolicyRequest request = new GetIamPolicyRequest();
      policy = service.projects().getIamPolicy(projectId, request).execute();
      System.out.println("Policy retrieved: " + policy.toString());
      return policy;
    } catch (IOException e) {
      System.out.println("Unable to get policy: \n" + e.toString());
      return policy;
    }
  }

  public static CloudResourceManager createCloudResourceManagerService()
      throws IOException, GeneralSecurityException {
    // Use the Application Default Credentials strategy for authentication. For more info, see:
    // https://cloud.google.com/docs/authentication/production#finding_credentials_automatically
    GoogleCredentials credential =
        GoogleCredentials.getApplicationDefault()
            .createScoped(Collections.singleton(IamScopes.CLOUD_PLATFORM));

    CloudResourceManager service =
        new CloudResourceManager.Builder(
                GoogleNetHttpTransport.newTrustedTransport(),
                GsonFactory.getDefaultInstance(),
                new HttpCredentialsAdapter(credential))
            .setApplicationName("service-accounts")
            .build();
    return service;
  }
}

Python

def get_policy(project_id: str, version: int = 1) -> dict:
    """Gets IAM policy for a project."""

    credentials = service_account.Credentials.from_service_account_file(
        filename=os.environ["GOOGLE_APPLICATION_CREDENTIALS"],
        scopes=["https://www.googleapis.com/auth/cloud-platform"],
    )
    service = googleapiclient.discovery.build(
        "cloudresourcemanager", "v1", credentials=credentials
    )
    policy = (
        service.projects()
        .getIamPolicy(
            resource=project_id,
            body={"options": {"requestedPolicyVersion": version}},
        )
        .execute()
    )
    print(policy)
    return policy

Otorga o revoca un solo rol

Puedes usar la consola de Google Cloud y la CLI de gcloud a fin de otorgar o revocar con rapidez un solo rol para una sola principal, sin editar directamente la política de permisos del recurso. Los tipos comunes de principales incluyen Cuentas de Google, cuentas de servicio, Grupos de Google y dominios. Para obtener una lista de todos los tipos de principales, consulta Conceptos relacionados con la identidad.

Si necesitas ayuda para identificar el rol predefinido más adecuado, consulta Elige funciones predefinidas.

Otorga una sola función

Para otorgar una sola función a una principal, sigue estos pasos:

Console

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM

  2. Selecciona un proyecto, una carpeta o una organización.

  3. Selecciona una principal para otorgarle una función:

    • Para otorgar un rol a una principal que ya tenga otros roles en el recurso, busca una fila que contenga la principal y haz clic en Editar principal en esa fila y haz clic en Agregar otro rol.

      Si deseas otorgar una función a una cuenta de servicio administrada por Google, selecciona la casilla de verificación Incluir asignaciones de funciones proporcionadas por Google para ver su dirección de correo electrónico.

    • Para otorgar un rol a una principal que aún no tenga otros roles en el recurso, haz clic en Otorgar acceso y, luego, ingresa la dirección de correo electrónico de la principal o algún otro identificador.

  4. Selecciona una función para otorgar de la lista desplegable. Para una mejor seguridad, elige una función que incluya solo los permisos que necesita tu principal.

  5. Opcional: Agrega una condición a la función.

  6. Haz clic en Guardar. A la principal se le otorga la función en el recurso.

Para otorgar un rol a una principal en más de un proyecto, organización o carpeta, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Administrar recursos:

    Ir a Administrar recursos

  2. Selecciona todos los proyectos para los que deseas otorgar permisos.

  3. Si el panel de información no está visible, haz clic en Mostrar panel de información. Luego, haz clic en Permisos.

  4. Selecciona una principal para otorgarle una función:

    • Para otorgar un rol a una principal que ya tenga otros roles, busca una fila que contenga la principal y haz clic en Editar principal en esa fila y haz clic en Agregar otro rol.

    • Para otorgar un rol a una principal que aún no tenga otros roles, haz clic en Agregar principal y, luego, ingresa la dirección de correo electrónico de la principal.

  5. Selecciona una función para otorgar de la lista desplegable.

  6. Opcional: Agrega una condición a la función.

  7. Haz clic en Guardar. A la principal se le otorga la función seleccionada en cada uno de los recursos seleccionados.

gcloud

  1. En la consola de Google Cloud, activa Cloud Shell.

    Activar Cloud Shell

    En la parte inferior de la consola de Google Cloud, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

  2. El comando add-iam-policy-binding te permite otorgar un rol a una principal con rapidez.

    Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

    • RESOURCE_TYPE: Es el tipo de recurso en el que deseas administrar el acceso. Usa projects, resource-manager folders o organizations.

    • RESOURCE_ID: Tu ID de la organización, carpeta y proyecto de Google Cloud. Los ID de proyecto son alfanuméricos, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.

    • PRINCIPAL: Un identificador para la principal o el miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com. Si deseas obtener una lista completa de los valores que PRINCIPAL puede tener, consulta la referencia sobre la vinculación de políticas.

      Para el tipo de principal user, el nombre de dominio en el identificador debe ser un dominio de Google Workspace o de Cloud Identity. Para obtener información sobre cómo configurar un dominio de Cloud Identity, consulta la descripción general de Cloud Identity.

    • ROLE_NAME: El nombre del rol que deseas revocar. Usa uno de los siguientes formatos:

      • Roles predefinidos: roles/SERVICE.IDENTIFIER
      • Roles personalizados a nivel de proyecto: projects/PROJECT_ID/roles/IDENTIFIER
      • Roles personalizados a nivel de la organización: organizations/ORG_ID/roles/IDENTIFIER

      Para obtener una lista de roles predefinidos, consulta Cómo entender los roles.

    • CONDITION: La condición que se agregará a la vinculación de función. Si no deseas agregar una condición, usa el valor None. Para obtener más información sobre las condiciones, consulta la descripción general de las condiciones.

    Ejecuta el siguiente comando:

    Linux, macOS o Cloud Shell

    gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID \
    --member=PRINCIPAL --role=ROLE_NAME \
    --condition=CONDITION

    Windows (PowerShell)

    gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID `
    --member=PRINCIPAL --role=ROLE_NAME `
    --condition=CONDITION

    Windows (cmd.exe)

    gcloud RESOURCE_TYPE add-iam-policy-binding RESOURCE_ID ^
    --member=PRINCIPAL --role=ROLE_NAME ^
    --condition=CONDITION

    La respuesta contiene la política de IAM actualizada.

Revoca una sola función

Para revocar una sola función de una principal, haz lo siguiente:

Console

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM

  2. Selecciona un proyecto, una carpeta o una organización.

  3. Busca la fila que contiene el principal cuyo acceso deseas revocar. Luego, haz clic en Editar principal en esa fila.

  4. Haz clic en el botón Borrar para el rol que deseas revocar y, luego, haz clic en Guardar.

gcloud

  1. En la consola de Google Cloud, activa Cloud Shell.

    Activar Cloud Shell

    En la parte inferior de la consola de Google Cloud, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

  2. Para revocar una función de un usuario, ejecuta el comando remove-iam-policy-binding:

    gcloud RESOURCE_TYPE remove-iam-policy-binding RESOURCE_ID \
    --member=PRINCIPAL --role=ROLE_NAME

    Ingresa los siguientes valores:

    • RESOURCE_TYPE: Es el tipo de recurso en el que deseas administrar el acceso. Usa projects, resource-manager folders, organizations, , , , , , , , , , , , , , , , , o .

    • RESOURCE_ID: Tu ID de la organización, carpeta y proyecto de Google Cloud. Los IDs de proyecto son alfanuméricos, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.

    • PRINCIPAL: Un identificador para la principal o el miembro, que suele tener el siguiente formato: PRINCIPAL_TYPE:ID. Por ejemplo, user:my-user@example.com. Si deseas obtener una lista completa de los valores que PRINCIPAL puede tener, consulta la referencia sobre la vinculación de políticas.

      Para el tipo de principal user, el nombre de dominio en el identificador debe ser un dominio de Google Workspace o de Cloud Identity. Para obtener información sobre cómo configurar un dominio de Cloud Identity, consulta la descripción general de Cloud Identity.

    • ROLE_NAME: El nombre del rol que deseas revocar. Usa uno de los siguientes formatos:

      • Roles predefinidos: roles/SERVICE.IDENTIFIER
      • Roles personalizados a nivel de proyecto: projects/PROJECT_ID/roles/IDENTIFIER
      • Roles personalizados a nivel de la organización: organizations/ORG_ID/roles/IDENTIFIER

      Para obtener una lista de roles predefinidos, consulta Cómo entender los roles.

    Por ejemplo, para revocar la función de creador de proyectos del usuario my-user@example.com en el proyecto my-project, ejecuta este comando: 

    gcloud projects remove-iam-policy-binding my-project \
    --member=user:my-user@example.com --role=roles/resourcemanager.projectCreator

Otorga o revoca varios roles con la consola de Google Cloud

Puedes usar la consola de Google Cloud a fin de otorgar y revocar varios roles para una sola principal:

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a IAM

  2. Selecciona un proyecto, una carpeta o una organización.

  3. Selecciona la principal cuyos roles deseas modificar:

    • Para modificar los roles de una principal que ya tiene roles en el recurso, busca una fila que contenga la principal, haz clic en Editar principal en esa fila y haz clic en Agregar otro rol.

      Para modificar los roles de una cuenta de servicio administrada por Google, selecciona la casilla de verificación Incluir asignaciones de roles proporcionadas por Google para ver su correo electrónico.

    • Para otorgar un rol a una principal que aún no tenga otros roles en el recurso, haz clic en Otorgar acceso y, luego, ingresa la dirección de correo electrónico de la principal o algún otro identificador.

  4. Modifica los roles de la principal:

    • Para otorgar un rol a una principal que aún no tenga otros roles en el recurso, haz clic en Seleccionar un rol y, luego, selecciona un rol para otorgar de la lista desplegable.
    • Para otorgar un rol adicional a la principal, haz clic en Agregar otro rol y, luego, selecciona un rol para otorgar de la lista desplegable.
    • Para reemplazar uno de los roles de la principal por un rol diferente, haz clic en el rol existente y, luego, elige un rol diferente para otorgar de la lista desplegable.
    • Para revocar uno de los roles de la principal, haz clic en el botón Borrar en cada rol que deseas revocar.

    También puedes agregar una condición a un rol, modificar la condición de un rol o quitar la condición de un rol.

  5. Haz clic en Guardar.

Otorga o revoca varios roles de manera programática

Para realizar cambios de acceso a gran escala que implican otorgar y revocar varios roles para varias principales, usa el patrón lectura-modificación-escritura a fin de actualizar la política de permisos del recurso:

  1. Para leer la política de permisos actual, llama a getIamPolicy().
  2. Edita de la política de permisos, ya sea mediante el uso de un editor de texto o de manera programática, para agregar o quitar vinculaciones de roles o principales.
  3. Para escribir la política de permisos actualizada, llama a setIamPolicy().

Puedes usar la CLI de gcloud, la API de REST o las bibliotecas cliente de Resource Manager para actualizar la política de permisos.

Obtén la política de permisos actual

gcloud

  1. En la consola de Google Cloud, activa Cloud Shell.

    Activar Cloud Shell

    En la parte inferior de la consola de Google Cloud, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

  2. A fin de obtener la política de permisos del recurso, ejecuta el comando get-iam-policy para el recurso:

    gcloud RESOURCE_TYPE get-iam-policy RESOURCE_ID --format=FORMAT > PATH

    Ingresa los siguientes valores:

    • RESOURCE_TYPE: Es el tipo de recurso para el que deseas obtener la política de permisos. Usa uno de los siguientes valores: projects, resource-manager folders o organizations.

    • RESOURCE_ID: Tu ID de la organización, carpeta y proyecto de Google Cloud. Los ID de proyecto son alfanuméricos, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.

    • FORMAT: El formato deseado para la política permisos. Usa json o yaml.

    • PATH: La ruta a un nuevo archivo de salida de la política de permisos.

    Por ejemplo, con el siguiente comando, se obtiene la política de permisos para el proyecto my-project y se guarda en tu directorio principal en formato JSON:

    gcloud projects get-iam-policy my-project --format json > ~/policy.json

REST

El método getIamPolicy de la API de Resource Manager obtiene la política de permisos de un proyecto, una carpeta o una organización.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • API_VERSION: La versión de la API que se usará. Para los proyectos y las organizaciones, usa v1. Para las carpetas, usa v2.
  • RESOURCE_TYPE: El tipo de recurso cuya política deseas administrar. Usa el valor projects, folders o organizations.
  • RESOURCE_ID: El proyecto ID de la carpeta, la organización o el proyecto de Google Cloud. Los ID de proyecto son strings alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.
  • POLICY_VERSION: Es la versión de la política que se mostrará. Las solicitudes deben especificar la versión de política más reciente, que es la versión de política 3. Consulta Especifica una versión de política cuando obtienes una política para obtener más detalles.

Método HTTP y URL:

POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy

Cuerpo JSON de la solicitud:

{
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene la política de permisos del recurso. Por ejemplo: 

{
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:owner@example.com"
      ]
    }
  ]
}

Guarda la respuesta en un archivo del tipo adecuado (json o yaml).

C#


using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy GetPolicy(string projectId)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        var policy = service.Projects.GetIamPolicy(new GetIamPolicyRequest(),
            projectId).Execute();
        return policy;
    }
}

Java

import com.google.api.client.googleapis.javanet.GoogleNetHttpTransport;
import com.google.api.client.json.gson.GsonFactory;
import com.google.api.services.cloudresourcemanager.v3.CloudResourceManager;
import com.google.api.services.cloudresourcemanager.v3.model.GetIamPolicyRequest;
import com.google.api.services.cloudresourcemanager.v3.model.Policy;
import com.google.api.services.iam.v1.IamScopes;
import com.google.auth.http.HttpCredentialsAdapter;
import com.google.auth.oauth2.GoogleCredentials;
import java.io.IOException;
import java.security.GeneralSecurityException;
import java.util.Collections;

public class GetPolicy {

  // Gets a project's policy.
  public static Policy getPolicy(String projectId) {
    // projectId = "my-project-id"

    Policy policy = null;

    CloudResourceManager service = null;
    try {
      service = createCloudResourceManagerService();
    } catch (IOException | GeneralSecurityException e) {
      System.out.println("Unable to initialize service: \n" + e.toString());
      return policy;
    }

    try {
      GetIamPolicyRequest request = new GetIamPolicyRequest();
      policy = service.projects().getIamPolicy(projectId, request).execute();
      System.out.println("Policy retrieved: " + policy.toString());
      return policy;
    } catch (IOException e) {
      System.out.println("Unable to get policy: \n" + e.toString());
      return policy;
    }
  }

  public static CloudResourceManager createCloudResourceManagerService()
      throws IOException, GeneralSecurityException {
    // Use the Application Default Credentials strategy for authentication. For more info, see:
    // https://cloud.google.com/docs/authentication/production#finding_credentials_automatically
    GoogleCredentials credential =
        GoogleCredentials.getApplicationDefault()
            .createScoped(Collections.singleton(IamScopes.CLOUD_PLATFORM));

    CloudResourceManager service =
        new CloudResourceManager.Builder(
                GoogleNetHttpTransport.newTrustedTransport(),
                GsonFactory.getDefaultInstance(),
                new HttpCredentialsAdapter(credential))
            .setApplicationName("service-accounts")
            .build();
    return service;
  }
}

Python

def get_policy(project_id: str, version: int = 1) -> dict:
    """Gets IAM policy for a project."""

    credentials = service_account.Credentials.from_service_account_file(
        filename=os.environ["GOOGLE_APPLICATION_CREDENTIALS"],
        scopes=["https://www.googleapis.com/auth/cloud-platform"],
    )
    service = googleapiclient.discovery.build(
        "cloudresourcemanager", "v1", credentials=credentials
    )
    policy = (
        service.projects()
        .getIamPolicy(
            resource=project_id,
            body={"options": {"requestedPolicyVersion": version}},
        )
        .execute()
    )
    print(policy)
    return policy

Modifica la política de permisos

De manera programática o mediante un editor de texto, modifica la copia local de la política de permisos de tu proyecto para que refleje los roles que deseas otorgar o revocar.

Para asegurarte de no reemplazar otros cambios, no edites ni quites el campo etag de la política de permisos. El campo etag identifica el estado actual de la política de permisos. Cuando configuras la política de permisos actualizada, IAM compara el valor de etag en la solicitud con el etag existente y solo escribe la política de permisos si los valores coinciden.

Para editar los roles que otorga una política de permisos, debes editar las vinculaciones de roles en la política de permisos. Las vinculaciones de roles tienen el siguiente formato:

{
  "role": "ROLE_NAME",
  "members": [
    "PRINCIPAL_1",
    "PRINCIPAL_2",
    ...
    "PRINCIPAL_N"
  ],
  "conditions:" {
    CONDITIONS
  }
}

Los marcadores de posición tienen los siguientes valores:

  • ROLE_NAME: El nombre del rol que deseas otorgar. Usa uno de los siguientes formatos:

    • Roles predefinidos: roles/SERVICE.IDENTIFIER
    • Roles personalizados a nivel de proyecto: projects/PROJECT_ID/roles/IDENTIFIER
    • Roles personalizados a nivel de la organización: organizations/ORG_ID/roles/IDENTIFIER

    Para obtener una lista de roles predefinidos, consulta Cómo entender los roles.

  • PRINCIPAL_1, PRINCIPAL_2, ...PRINCIPAL_N: Los identificadores de las principales a las que deseas otorgar los roles.

    Los identificadores principales suelen tener el siguiente formato: PRINCIPAL-TYPE:ID. Por ejemplo, user:my-user@example.com Si deseas obtener una lista completa de los valores que PRINCIPAL puede tener, consulta la referencia sobre la vinculación de políticas.

    Para el tipo de principal user, el nombre de dominio en el identificador debe ser un dominio de Google Workspace o de Cloud Identity. Para obtener información sobre cómo configurar un dominio de Cloud Identity, consulta la descripción general de Cloud Identity.

  • CONDITIONS: Opcional Cualquier condición que especifique cuándo se otorgará el acceso.

Otorga una función

Para otorgar roles a las principales, modifica las vinculaciones de roles en la política de permisos. Para obtener información sobre qué roles puedes otorgar, consulta Comprende los roles o consulta los roles asignables para el recurso. Si necesitas ayuda para identificar las funciones predefinidas más adecuadas, consulta Elige funciones predefinidas.

De forma opcional, puedes usar condiciones para otorgar funciones solo cuando se cumplan ciertos requisitos.

Para otorgar un rol que ya está incluido en la política de permisos, agrega la principal a una vinculación de rol existente:

gcloud

Edita la política de permisos que se muestra y agrega la principal a una vinculación de rol existente. Ten en cuenta que este cambio no se hará efectivo hasta que configures la política de permisos actualizada.

Por ejemplo, imagina que la política de permisos contiene la siguiente vinculación de rol, que otorga el rol Security Reviewer (roles/iam.securityReviewer) a kai@example.com:

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com"
  ]
}

Para otorgar esa misma función a raha@example.com, agrega raha@example.com a la vinculación de función existente:

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

REST

Edita la política de permisos que se muestra y agrega la principal a una vinculación de rol existente. Ten en cuenta que este cambio no se hará efectivo hasta que configures la política de permisos actualizada.

Por ejemplo, imagina que la política de permisos contiene la siguiente vinculación de rol, que otorga el rol Security Reviewer (roles/iam.securityReviewer) a kai@example.com:

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com"
  ]
}

Para otorgar esa misma función a raha@example.com, agrega raha@example.com a la vinculación de función existente:

{
  "role": "roles/iam.securityReviewer",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

C#

Si deseas obtener información sobre cómo instalar y usar la biblioteca cliente de Resource Manager, consulta las bibliotecas cliente de Resource Manager.


using System.Linq;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy AddMember(Policy policy, string role, string member)
    {
        var binding = policy.Bindings.First(x => x.Role == role);
        binding.Members.Add(member);
        return policy;
    }
}

Go

Si deseas obtener información sobre cómo instalar y usar la biblioteca cliente de Resource Manager, consulta las bibliotecas cliente de Resource Manager.

import (
	"fmt"
	"io"

	"google.golang.org/api/iam/v1"
)

// addMember adds a member to a role binding.
func addMember(w io.Writer, policy *iam.Policy, role, member string) {
	for _, binding := range policy.Bindings {
		if binding.Role != role {
			continue
		}
		for _, m := range binding.Members {
			if m != member {
				continue
			}
			fmt.Fprintf(w, "Role %q found. Member already exists.\n", role)
			return
		}
		binding.Members = append(binding.Members, member)
		fmt.Fprintf(w, "Role %q found. Member added.\n", role)
		return
	}
	fmt.Fprintf(w, "Role %q not found. Member not added.\n", role)
}

Java

Si deseas obtener información sobre cómo instalar y usar la biblioteca cliente de Resource Manager, consulta las bibliotecas cliente de Resource Manager.

import com.google.api.services.cloudresourcemanager.v3.model.Binding;
import com.google.api.services.cloudresourcemanager.v3.model.Policy;
import java.util.List;

public class AddMember {

  // Adds a member to a preexisting role.
  public static void addMember(Policy policy) {
    // policy = service.Projects.GetIAmPolicy(new GetIamPolicyRequest(), your-project-id).Execute();

    String role = "roles/existing-role";
    String member = "user:member-to-add@example.com";

    List<Binding> bindings = policy.getBindings();

    for (Binding b : bindings) {
      if (b.getRole().equals(role)) {
        b.getMembers().add(member);
        System.out.println("Member " + member + " added to role " + role);
        return;
      }
    }

    System.out.println("Role not found in policy; member not added");
  }
}

Python

Si deseas obtener información sobre cómo instalar y usar la biblioteca cliente de Resource Manager, consulta las bibliotecas cliente de Resource Manager.

def modify_policy_add_member(policy: dict, role: str, member: str) -> dict:
    """Adds a new member to a role binding."""

    binding = next(b for b in policy["bindings"] if b["role"] == role)
    binding["members"].append(member)
    print(binding)
    return policy

Para otorgar un rol que aún no está incluido en la política de permisos, agrega una nueva vinculación de rol:

gcloud

Edita la política de permisos y agrega una nueva vinculación de rol que otorgue el rol a la principal. Este cambio no se hará efectivo hasta que establezcas la política de permisos actualizada.

Por ejemplo, para otorgar el rol Compute Storage Admin (roles/compute.storageAdmin) a raha@example.com, agrega la siguiente vinculación de rol al array bindings de la política de permisos:

{
  "role": "roles/compute.storageAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

REST

Edita la política de permisos y agrega una nueva vinculación de rol que otorgue el rol a la principal. Este cambio no se hará efectivo hasta que establezcas la política de permisos actualizada.

Por ejemplo, para otorgar el rol Compute Storage Admin (roles/compute.storageAdmin) a raha@example.com, agrega la siguiente vinculación de rol al array bindings de la política de permisos:

{
  "role": "roles/compute.storageAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

C#

Si deseas obtener información sobre cómo instalar y usar la biblioteca cliente de Resource Manager, consulta las bibliotecas cliente de Resource Manager.


using System.Collections.Generic;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy AddBinding(Policy policy, string role, string member)
    {
        var binding = new Binding
        {
            Role = role,
            Members = new List<string> { member }
        };
        policy.Bindings.Add(binding);
        return policy;
    }
}

Java

Si deseas obtener información sobre cómo instalar y usar la biblioteca cliente de Resource Manager, consulta las bibliotecas cliente de Resource Manager.

import com.google.api.services.cloudresourcemanager.v3.model.Binding;
import com.google.api.services.cloudresourcemanager.v3.model.Policy;
import java.util.ArrayList;
import java.util.List;

public class AddBinding {

  // Adds a member to a role with no previous members.
  public static void addBinding(Policy policy) {
    // policy = service.Projects.GetIAmPolicy(new GetIamPolicyRequest(), your-project-id).Execute();

    String role = "roles/role-to-add";
    List<String> members = new ArrayList<>();
    members.add("user:member-to-add@example.com");

    Binding binding = new Binding();
    binding.setRole(role);
    binding.setMembers(members);

    policy.getBindings().add(binding);
    System.out.println("Added binding: " + binding.toString());
  }
}

Python

Si deseas obtener información sobre cómo instalar y usar la biblioteca cliente de Resource Manager, consulta las bibliotecas cliente de Resource Manager.

def modify_policy_add_role(policy: dict, role: str, member: str) -> dict:
    """Adds a new role binding to a policy."""

    binding = {"role": role, "members": [member]}
    policy["bindings"].append(binding)
    print(policy)
    return policy

Solo puedes otorgar funciones relacionadas con los servicios de API activados. Si un servicio, como Compute Engine, no está activo, no puedes otorgar funciones relacionadas exclusivamente con Compute Engine. Para obtener más información, consulta Habilitar e inhabilitar las API.

Hay algunas restricciones únicas cuando se otorgan permisos en proyectos, en particular, cuando se otorga la función de propietario (roles/owner). Consulta la documentación de referencia de projects.setIamPolicy() para obtener más información.

Revoca una función

Para revocar una función, quita la principal de la vinculación de función. Si no hay otras principales en la vinculación de función, quita toda la vinculación de la función.

gcloud

Para revocar un rol, edita la política de permisos JSON o YAML que muestra el comando get-iam-policy. Este cambio no se hará efectivo hasta que establezcas la política de permisos actualizada.

Para revocar un rol de una principal, borra las principales o vinculaciones deseadas del array bindings de la política de permisos.

REST

Para revocar un rol, edita la política de permisos JSON o YAML que muestra el comando get-iam-policy. Este cambio no se hará efectivo hasta que establezcas la política de permisos actualizada.

Para revocar un rol de una principal, borra las principales o vinculaciones deseadas del array bindings de la política de permisos.

C#

Si deseas obtener información sobre cómo instalar y usar la biblioteca cliente de Resource Manager, consulta las bibliotecas cliente de Resource Manager.


using System.Linq;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy RemoveMember(Policy policy, string role, string member)
    {
        try
        {
            var binding = policy.Bindings.First(x => x.Role == role);
            if (binding.Members.Count != 0 && binding.Members.Contains(member))
            {
                binding.Members.Remove(member);
            }
            if (binding.Members.Count == 0)
            {
                policy.Bindings.Remove(binding);
            }
            return policy;
        }
        catch (System.InvalidOperationException e)
        {
            System.Diagnostics.Debug.WriteLine("Role does not exist in policy: \n" + e.ToString());
            return policy;
        }
    }
}

Go

Si deseas obtener información sobre cómo instalar y usar la biblioteca cliente de Resource Manager, consulta las bibliotecas cliente de Resource Manager.

import (
	"fmt"
	"io"

	"google.golang.org/api/iam/v1"
)

// removeMember removes a member from a role binding.
func removeMember(w io.Writer, policy *iam.Policy, role, member string) {
	bindings := policy.Bindings
	bindingIndex, memberIndex := -1, -1
	for bIdx := range bindings {
		if bindings[bIdx].Role != role {
			continue
		}
		bindingIndex = bIdx
		for mIdx := range bindings[bindingIndex].Members {
			if bindings[bindingIndex].Members[mIdx] != member {
				continue
			}
			memberIndex = mIdx
			break
		}
	}
	if bindingIndex == -1 {
		fmt.Fprintf(w, "Role %q not found. Member not removed.\n", role)
		return
	}
	if memberIndex == -1 {
		fmt.Fprintf(w, "Role %q found. Member not found.\n", role)
		return
	}

	members := removeIdx(bindings[bindingIndex].Members, memberIndex)
	bindings[bindingIndex].Members = members
	if len(members) == 0 {
		bindings = removeIdx(bindings, bindingIndex)
		policy.Bindings = bindings
	}
	fmt.Fprintf(w, "Role %q found. Member removed.\n", role)
}

// removeIdx removes arr[idx] from arr.
func removeIdx[T any](arr []T, idx int) []T {
	return append(arr[:idx], arr[idx+1:]...)
}

Java

Si deseas obtener información sobre cómo instalar y usar la biblioteca cliente de Resource Manager, consulta las bibliotecas cliente de Resource Manager.

import com.google.api.services.cloudresourcemanager.v3.model.Binding;
import com.google.api.services.cloudresourcemanager.v3.model.Policy;
import java.util.List;

public class RemoveMember {

  // Removes member from a role; removes binding if binding contains 0 members.
  public static void removeMember(Policy policy) {
    // policy = service.Projects.GetIAmPolicy(new GetIamPolicyRequest(), your-project-id).Execute();

    String role = "roles/existing-role";
    String member = "user:member-to-remove@example.com";

    List<Binding> bindings = policy.getBindings();
    Binding binding = null;
    for (Binding b : bindings) {
      if (b.getRole().equals(role)) {
        binding = b;
      }
    }
    if (binding != null && binding.getMembers().contains(member)) {
      binding.getMembers().remove(member);
      System.out.println("Member " + member + " removed from " + role);
      if (binding.getMembers().isEmpty()) {
        policy.getBindings().remove(binding);
      }
      return;
    }

    System.out.println("Role not found in policy; member not removed");
    return;
  }
}

Python

Si deseas obtener información sobre cómo instalar y usar la biblioteca cliente de Resource Manager, consulta las bibliotecas cliente de Resource Manager.

def modify_policy_remove_member(policy: dict, role: str, member: str) -> dict:
    """Removes a  member from a role binding."""
    binding = next(b for b in policy["bindings"] if b["role"] == role)
    if "members" in binding and member in binding["members"]:
        binding["members"].remove(member)
    print(binding)
    return policy

Establece la política de permisos

Después de modificar la política de permisos para otorgar y revocar los roles deseados, llama a setIamPolicy() con el fin de realizar las actualizaciones.

gcloud

  1. En la consola de Google Cloud, activa Cloud Shell.

    Activar Cloud Shell

    En la parte inferior de la consola de Google Cloud, se inicia una sesión de Cloud Shell en la que se muestra una ventana de línea de comandos. Cloud Shell es un entorno de shell con Google Cloud CLI ya instalada y con valores ya establecidos para el proyecto actual. La sesión puede tardar unos segundos en inicializarse.

  2. A fin de configurar la política de permisos del recurso, ejecuta el comando set-iam-policy para el recurso:

    gcloud RESOURCE_TYPE set-iam-policy RESOURCE_ID PATH

    Ingresa los siguientes valores:

    • RESOURCE_TYPE: Es el tipo de recurso en el que quieres establecer la política de permisos. Usa uno de los siguientes valores: projects, resource-manager folders o organizations.

    • RESOURCE_ID: Tu ID de la organización, carpeta y proyecto de Google Cloud. Los ID de proyecto son alfanuméricos, como my-project. Los ID de carpeta y organización son numéricos, como 123456789012.

    • PATH: Es la ruta a un archivo que contiene la política de permisos nueva.

    La respuesta contiene la política de permisos actualizada:

    Por ejemplo, con el siguiente comando, se establece la política de permisos almacenada en policy.json como la política de permisos para el proyecto my-project:

    gcloud projects set-iam-policy my-project ~/policy.json

REST

El método setIamPolicy de la API de Resource Manager establece la política en la solicitud como la política de permisos nueva para el proyecto, la carpeta o la organización.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • API_VERSION: La versión de la API que se usará. Para los proyectos y las organizaciones, usa v1. Para las carpetas, usa v2.
  • RESOURCE_TYPE: El tipo de recurso cuya política deseas administrar. Usa el valor projects, folders o organizations.
  • RESOURCE_ID: El proyecto ID de la carpeta, la organización o el proyecto de Google Cloud. Los ID de proyecto son strings alfanuméricas, como my-project. Los IDs de carpeta y organización son numéricos, como 123456789012.

  • POLICY: Una representación JSON de la política que deseas establecer. Para obtener más información sobre el formato de una política, consulta la Referencia de políticas.

Método HTTP y URL:

POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy

Cuerpo JSON de la solicitud:

{
  "policy": POLICY
}

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene la política de permisos actualizada:

C#


using Google.Apis.Auth.OAuth2;
using Google.Apis.CloudResourceManager.v1;
using Google.Apis.CloudResourceManager.v1.Data;

public partial class AccessManager
{
    public static Policy SetPolicy(string projectId, Policy policy)
    {
        var credential = GoogleCredential.GetApplicationDefault()
            .CreateScoped(CloudResourceManagerService.Scope.CloudPlatform);
        var service = new CloudResourceManagerService(
            new CloudResourceManagerService.Initializer
            {
                HttpClientInitializer = credential
            });

        return service.Projects.SetIamPolicy(new SetIamPolicyRequest
        {
            Policy = policy
        }, projectId).Execute();
    }
}

Java

import com.google.api.client.googleapis.javanet.GoogleNetHttpTransport;
import com.google.api.client.json.gson.GsonFactory;
import com.google.api.services.cloudresourcemanager.v3.CloudResourceManager;
import com.google.api.services.cloudresourcemanager.v3.model.Policy;
import com.google.api.services.cloudresourcemanager.v3.model.SetIamPolicyRequest;
import com.google.api.services.iam.v1.IamScopes;
import com.google.auth.http.HttpCredentialsAdapter;
import com.google.auth.oauth2.GoogleCredentials;
import java.io.IOException;
import java.security.GeneralSecurityException;
import java.util.Collections;

public class SetPolicy {

  // Sets a project's policy.
  public static void setPolicy(Policy policy, String projectId) {
    // policy = service.Projects.GetIAmPolicy(new GetIamPolicyRequest(), your-project-id).Execute();
    // projectId = "my-project-id"

    CloudResourceManager service = null;
    try {
      service = createCloudResourceManagerService();
    } catch (IOException | GeneralSecurityException e) {
      System.out.println("Unable to initialize service: \n" + e.toString());
      return;
    }

    try {
      SetIamPolicyRequest request = new SetIamPolicyRequest();
      request.setPolicy(policy);
      Policy response = service.projects().setIamPolicy(projectId, request).execute();
      System.out.println("Policy set: " + response.toString());
    } catch (IOException e) {
      System.out.println("Unable to set policy: \n" + e.toString());
    }
  }

  public static CloudResourceManager createCloudResourceManagerService()
      throws IOException, GeneralSecurityException {
    // Use the Application Default Credentials strategy for authentication. For more info, see:
    // https://cloud.google.com/docs/authentication/production#finding_credentials_automatically
    GoogleCredentials credential =
        GoogleCredentials.getApplicationDefault()
            .createScoped(Collections.singleton(IamScopes.CLOUD_PLATFORM));

    CloudResourceManager service =
        new CloudResourceManager.Builder(
                GoogleNetHttpTransport.newTrustedTransport(),
                GsonFactory.getDefaultInstance(),
                new HttpCredentialsAdapter(credential))
            .setApplicationName("service-accounts")
            .build();
    return service;
  }
}

Python

def set_policy(project_id: str, policy: dict) -> dict:
    """Sets IAM policy for a project."""

    credentials = service_account.Credentials.from_service_account_file(
        filename=os.environ["GOOGLE_APPLICATION_CREDENTIALS"],
        scopes=["https://www.googleapis.com/auth/cloud-platform"],
    )
    service = googleapiclient.discovery.build(
        "cloudresourcemanager", "v1", credentials=credentials
    )

    policy = (
        service.projects()
        .setIamPolicy(resource=project_id, body={"policy": policy})
        .execute()
    )
    print(policy)
    return policy

¿Qué sigue?

Pruébalo tú mismo

Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Comenzar gratis