Administra el acceso a otros recursos

En esta página, se describe el proceso general para otorgar, cambiar y revocar el acceso a los recursos que aceptan políticas de Identity and Access Management (IAM).

En Identity and Access Management (IAM), el acceso se administra a través de las políticas de IAM. Una política de IAM se adjunta a un recurso de Google Cloud. Cada política contiene una colección de vinculaciones de funciones que asocian una o más principales, como usuarios o cuentas de servicio, a una función de IAM. Estas vinculaciones de funciones otorgan las funciones especificadas a las principales, tanto en el recurso al que se adjunta la política como en todos los elementos subordinados de ese recurso. Para obtener más información sobre las políticas de IAM, consulta Información sobre las políticas.

En esta página, se describe cómo administrar el acceso a los recursos con Google Cloud Console, la herramienta de línea de comandos de gcloud y la API de REST. También puedes administrar el acceso mediante las bibliotecas cliente de Google Cloud.

Antes de comenzar

Revisa la lista de tipos de recursos que aceptan políticas de IAM.

Permisos necesarios

Si deseas administrar el acceso a un recurso, necesitas permisos para obtener el recurso y para obtener y establecer la política de IAM del recurso. Estos permisos tienen el siguiente formato, en el que SERVICE es el nombre del servicio que posee el recurso y RESOURCE_TYPE es el nombre del tipo de recurso al que deseas administrar el acceso:

  • SERVICE.RESOURCE_TYPE.get
  • SERVICE.RESOURCE_TYPE.list
  • SERVICE.RESOURCE_TYPE.getIamPolicy
  • SERVICE.RESOURCE_TYPE.setIamPolicy

Por ejemplo, para administrar el acceso a una instancia de Compute Engine, necesitas los siguientes permisos:

  • compute.instances.get
  • compute.instances.list
  • compute.instances.getIamPolicy
  • compute.instances.setIamPolicy

Para obtener los permisos necesarios, pídele a tu administrador que te otorgue una función predefinida o personalizada que incluya los permisos. Por ejemplo, el administrador podría otorgarte la función de administrador de seguridad (roles/iam.securityAdmin), que incluye permisos para administrar el acceso a casi todos los recursos de Google Cloud.

Visualiza el acceso actual

En la siguiente sección, se muestra cómo usar Cloud Console, la herramienta de gcloud y la API de REST para ver quién tiene acceso a un recurso. También puedes ver el acceso mediante las bibliotecas cliente de Google Cloud para obtener la política de IAM del recurso.

Console

  1. En Cloud Console, ve a la página en la que se enumera el recurso al que deseas ver el acceso.

    Por ejemplo, para administrar el acceso a una instancia de Compute Engine, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Selecciona la casilla de verificación junto al recurso al que deseas ver el acceso.

  3. Asegúrate de que el panel de información sea visible. Si no está visible, haz clic en Mostrar panel de información. En la pestaña Permisos del panel de información, se enumeran todas las principales que tienen acceso al recurso.

    Si el interruptor Mostrar permisos heredados está activado, en la lista se incluyen las principales con funciones heredadas, es decir, principales cuyos accesos provienen de funciones en recursos superiores en lugar de funciones en el recurso en sí. Para obtener más información sobre la herencia de políticas, consulta La herencia de políticas y la jerarquía de recursos.

gcloud

Para ver quién tiene acceso a tu recurso, obtén la política de IAM del recurso. Para obtener información sobre cómo interpretar las políticas de IAM, consulta Información sobre las políticas.

A fin de obtener la política de IAM del recurso, ejecuta el comando get-iam-policy para el recurso:

El formato para este comando varía según el tipo de recurso al que administras el acceso. Para encontrar el formato de tu recurso, busca la referencia del comando get-iam-policy del recurso en la referencia del SDK de Cloud. Esta referencia se organiza por servicio y, luego, por recurso. Por ejemplo, para obtener la política de IAM de Compute Engine, sigue el formato descrito en la referencia de gcloud compute instances get-iam-policy.

De forma opcional, agrega los siguientes argumentos al comando para especificar el formato y exportar los resultados:

--format=FORMAT > PATH

Ingresa los siguientes valores:

  • FORMAT: El formato deseado para la política. Usa json o yaml.
  • PATH: Es la ruta a un nuevo archivo de salida de la política.

Cuando ejecutas el comando, la política de IAM del recurso se imprime en la consola o se exporta al archivo especificado.

REST

Para ver quién tiene acceso a tu recurso, obtén la política de IAM del recurso. Para obtener información sobre cómo interpretar las políticas de IAM, consulta Información sobre las políticas.

Para obtener la política de IAM del recurso, usa el método getIamPolicy del recurso.

El método HTTP, la URL y el cuerpo de la solicitud dependen del recurso al que deseas ver el acceso. Para encontrar estos detalles, busca la referencia de la API del servicio que posee el recurso y, luego, busca la referencia del método getIamPolicy del recurso. Por ejemplo, el método HTTP, la URL y el cuerpo de la solicitud para una instancia de Compute Engine se especifican en la referencia de getIamPolicy de las instancias.

La respuesta al método getIamPolicy de cualquier recurso contiene la política de IAM del recurso.

Otorga o revoca una sola función

Puedes usar Cloud Console y la herramienta de gcloud a fin de otorgar o revocar con rapidez una sola función para una sola principal, sin editar directamente la política de IAM del recurso. Los tipos comunes de principales incluyen Cuentas de Google, cuentas de servicio, Grupos de Google y dominios. Para obtener una lista de todos los tipos de principales, consulta Conceptos relacionados con la identidad.

Otorga una sola función

Para otorgar una sola función a una principal, sigue estos pasos:

Console

  1. En Cloud Console, ve a la página en la que se enumera el recurso al que deseas ver el acceso.

    Por ejemplo, para administrar el acceso a una instancia de Compute Engine, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Selecciona la casilla de verificación junto al recurso al que deseas administrar el acceso.

  3. Asegúrate de que el panel de información sea visible. Si no está visible, haz clic en Mostrar panel de información.

  4. Selecciona una principal para otorgarle una función:

    • Para otorgar una función a una principal que ya tenga otras funciones en el recurso, busca la fila que contiene la dirección de correo electrónico de la principal, haz clic en Editar principal en esa fila y, luego, en Agregar otra función.

    • Para otorgar una función a una principal que aún no tenga otras funciones en el recurso, haz clic en Agregar principal y, luego, ingresa la dirección de correo electrónico de la principal.

  5. Selecciona una función para otorgar de la lista desplegable. Para una mejor seguridad, elige una función que incluya solo los permisos que necesita tu principal.

  6. Opcional: Agrega una condición a la función.

  7. Haz clic en Guardar. A la principal se le otorga la función en el recurso.

gcloud

Para otorgarle una función a una principal con rapidez, ejecuta el comando add-iam-policy-binding:

El formato para este comando varía según el tipo de recurso al que administras el acceso. Para encontrar el formato de tu recurso, busca la referencia del comando add-iam-policy-binding del recurso en la referencia del SDK de Cloud. Esta referencia se organiza por servicio y, luego, por recurso. Por ejemplo, para otorgar a una principal una función en una instancia de Compute Engine, sigue el formato descrito en la referencia de gcloud compute instances add-iam-policy- binding.

Revoca una sola función

Para revocar una sola función de una principal, haz lo siguiente:

Console

  1. En Cloud Console, ve a la página en la que se enumera el recurso del que deseas revocar el acceso.

    Por ejemplo, para administrar el acceso a una instancia de Compute Engine, ve a la página Instancias de VM.

    Ir a Instancias de VM

  2. Selecciona la casilla de verificación junto al recurso al que deseas administrar el acceso.

  3. Asegúrate de que el panel de información sea visible. Si no está visible, haz clic en Mostrar panel de información.

  4. Busca la fila que contiene la dirección de correo electrónico de la principal y haz clic en Editar principal en esa fila.

  5. Haz clic en el botón Borrar para cada función que desees revocar y, luego, haz clic en Guardar.

gcloud

Para revocar una función de una principal usuario, ejecuta el comando remove-iam-policy-binding:

El formato para este comando varía según el tipo de recurso al que administras el acceso. Para encontrar el formato de tu recurso, busca la referencia del comando remove-iam-policy-binding del recurso en la referencia del SDK de Cloud. Esta referencia se organiza por servicio y, luego, por recurso. Por ejemplo, para otorgar a una principal una función en una instancia de Compute Engine, sigue el formato descrito en la referencia de gcloud compute instances remove-iam-policy-binding.

Otorga o revoca varias funciones

Para realizar cambios de acceso a gran escala que implican otorgar y revocar varias funciones, usa el patrón lectura-modificación-escritura a fin de actualizar la política de IAM del recurso:

  1. Lectura de la política actual mediante una llamada a getIamPolicy()
  2. Edición de la política mostrada, ya sea mediante el uso de un editor de texto o de manera programática, para agregar o quitar principales o vinculaciones de funciones.
  3. Escritura de la política actualizada mediante una llamada a setIamPolicy()

En esta sección, se muestra cómo usar la herramienta de gcloud y la API de REST para actualizar la política. También puedes actualizar la política mediante las bibliotecas cliente de Google Cloud.

Obtén la política actual

gcloud

A fin de obtener la política de IAM del recurso, ejecuta el comando get-iam-policy para el recurso:

El formato para este comando varía según el tipo de recurso al que administras el acceso. Para encontrar el formato de tu recurso, busca la referencia del comando get-iam-policy del recurso en la referencia del SDK de Cloud. Esta referencia se organiza por servicio y, luego, por recurso. Por ejemplo, para obtener la política de IAM de Compute Engine, sigue el formato descrito en la referencia de gcloud compute instances get-iam-policy.

De forma opcional, agrega los siguientes argumentos al comando para especificar el formato y exportar los resultados:

--format=FORMAT > PATH

Ingresa los siguientes valores:

  • FORMAT: El formato deseado para la política. Usa json o yaml.
  • PATH: Es la ruta a un nuevo archivo de salida de la política.

Cuando ejecutas el comando, la política de IAM del recurso se imprime en la consola o se exporta al archivo especificado.

REST

Para obtener la política de IAM del recurso, usa el método getIamPolicy del recurso.

El método HTTP, la URL y el cuerpo de la solicitud dependen del recurso al que deseas ver el acceso. Para encontrar estos detalles, busca la referencia de la API del servicio que posee el recurso y, luego, busca la referencia del método getIamPolicy del recurso. Por ejemplo, el método HTTP, la URL y el cuerpo de la solicitud para una instancia de Compute Engine se especifican en la referencia de getIamPolicy de las instancias.

La respuesta al método getIamPolicy de cualquier recurso contiene la política de IAM del recurso. Guarda la respuesta en un archivo del tipo adecuado (json o yaml).

Modifica la política

De manera programática o mediante un editor de texto, modifica la copia local de la política de tu recurso para que refleje las funciones que deseas otorgar o revocar a determinados usuarios.

Para asegurarte de no reemplazar otros cambios en la política, no edites ni quites el campo etag de la política. El campo etag identifica el estado actual de la política. Cuando configuras la política actualizada, IAM compara el valor de etag en la solicitud con el etag existente y solo escribe la política si los valores coinciden.

Otorga una función

Para otorgar funciones a las principales, modifica las vinculaciones de funciones en la política. Para obtener información sobre qué funciones puedes otorgar, consulta Información sobre las funciones o Consulta funciones asignables para el recurso.

Para otorgar una función que ya está incluida en la política, agrega la principal a una vinculación de función existente:

gcloud

Edita la política que se muestra y agrega la principal a una vinculación de función existente. Ten en cuenta que este cambio en la política se implementará una vez que hayas establecido la política actualizada.

Por ejemplo, imagina que la política que se muestra contiene la siguiente vinculación de función, que otorga la función de administrador de las instancia de procesamiento (roles/compute.instanceAdmin) a kai@example.com:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com"
  ]
}

Para otorgar esa misma función a raha@example.com, agrega raha@example.com a la vinculación de función existente:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

REST

Edita la política que se muestra y agrega la principal a una vinculación de función existente. Ten en cuenta que este cambio en la política se implementará una vez que hayas establecido la política actualizada.

Por ejemplo, imagina que la política que se muestra contiene la siguiente vinculación de función, que otorga la función de administrador de las instancia de procesamiento (roles/compute.instanceAdmin) a kai@example.com:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com"
  ]
}

Para otorgar esa misma función a raha@example.com, agrega raha@example.com a la vinculación de función existente:

{
  "role": "roles/compute.instanceAdmin",
  "members": [
    "user:kai@example.com",
    "user:raha@example.com"
  ]
}

Para otorgar una función que aún no está incluida en la política, agrega una nueva vinculación de función:

gcloud

Edita la política mostrada mediante la adición de una nueva vinculación de función que otorga la función a la principal. Este cambio en la política se implementará una vez que hayas establecido la política actualizada.

Por ejemplo, para otorgar la función de administrador del balanceador de cargas de Compute (roles/compute.loadBalancerAdmin) a raha@example.com, agrega la siguiente vinculación de función al array bindings de la política:

{
  "role": "roles/compute.loadBalancerAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

REST

Edita la política mostrada mediante la adición de una nueva vinculación de función que otorga la función a la principal. Este cambio en la política se implementará una vez que hayas establecido la política actualizada.

Por ejemplo, para otorgar la función de administrador del balanceador de cargas de Compute (roles/compute.loadBalancerAdmin) a raha@example.com, agrega la siguiente vinculación de función al array bindings de la política:

{
  "role": "roles/compute.loadBalancerAdmin",
  "members": [
    "user:raha@example.com"
  ]
}

Revoca una función

Para revocar una función, quita la principal de la vinculación de función. Si no hay otras principales en la vinculación de función, quita toda la vinculación de la función.

gcloud

Para revocar una función, edita la política JSON o YAML que muestra el comando get-iam-policy. Este cambio en la política se implementará una vez que hayas establecido la política actualizada.

Para revocar una función de una principal, borra las principales o vinculaciones deseadas del array bindings de la política.

REST

Para revocar una función, edita la política JSON o YAML que muestra el comando get-iam-policy. Este cambio en la política se implementará una vez que hayas establecido la política actualizada.

Para revocar una función de una principal, borra las principales o vinculaciones deseadas del array bindings de la política.

Establece la política

Después de modificar la política para otorgar y revocar las funciones deseadas, llama a setIamPolicy() con el fin de realizar las actualizaciones.

gcloud

A fin de configurar la política de IAM del recurso, ejecuta el comando set-iam-policy para el recurso.

El formato para este comando varía según el tipo de recurso al que administras el acceso. Para encontrar el formato de tu recurso, busca la referencia del comando set-iam-policy del recurso en la referencia del SDK de Cloud. Esta referencia se organiza por servicio y, luego, por recurso. Por ejemplo, para obtener la política de IAM de Compute Engine, sigue el formato descrito en la referencia de gcloud compute instances set-iam-policy.

La respuesta para el comando set-iam-policy de cualquier recurso contiene la política de IAM actualizada del recurso.

REST

Para establecer la política de IAM del recurso, usa el método setIamPolicy del recurso.

El método HTTP, la URL y el cuerpo de la solicitud dependen del recurso al que deseas ver el acceso. Para encontrar estos detalles, busca la referencia de la API del servicio que posee el recurso y, luego, busca la referencia del método setIamPolicy del recurso. Por ejemplo, el método HTTP, la URL y el cuerpo de la solicitud para una instancia de Compute Engine se especifican en la referencia de setIamPolicy de las instancias.

La respuesta al método setIamPolicy de cualquier recurso contiene la política de IAM actualizada del recurso.

¿Qué sigue?

Pruébalo tú mismo

Si eres nuevo en Google Cloud, crea una cuenta para evaluar el rendimiento de nuestros productos en situaciones reales. Los clientes nuevos también obtienen $300 en créditos gratuitos para ejecutar, probar y, además, implementar cargas de trabajo.

Comenzar gratis