Usar políticas de organización personalizadas para las políticas de permiso

En esta página se explica cómo usar las restricciones personalizadas del servicio de políticas de organización para restringir operaciones específicas en los siguientes recursos: Google Cloud

  • iam.googleapis.com/AllowPolicy

Para obtener más información sobre la política de organización, consulta Políticas de organización personalizadas.

Acerca de las políticas y las restricciones de organización

El Google Cloud servicio de políticas de organización te permite controlar los recursos de tu organización de forma centralizada y programática. Como administrador de políticas de organización, puedes definir una política de organización, que es un conjunto de restricciones llamadas restricciones que se aplican a losGoogle Cloud recursos y a los elementos descendientes de esos recursos en la Google Cloud jerarquía de recursos. Puedes aplicar políticas de organización a nivel de organización, carpeta o proyecto.

La política de la organización proporciona restricciones gestionadas integradas para varios servicios de Google Cloud . Sin embargo, si quieres tener un control más granular y personalizable sobre los campos específicos que están restringidos en las políticas de tu organización, también puedes crear restricciones personalizadas y usarlas en una política de la organización.

Herencia de políticas

De forma predeterminada, las políticas de organización se heredan de los descendientes de los recursos en los que se aplican. Por ejemplo, si aplicas una política a una carpeta, Google Cloud se aplicará a todos los proyectos de la carpeta. Para obtener más información sobre este comportamiento y cómo cambiarlo, consulta las reglas de evaluación de la jerarquía.

Ventajas

Puedes usar políticas de organización personalizadas que hagan referencia a atributos de gestión de identidades y accesos para controlar cómo se pueden modificar tus políticas de permiso. En concreto, puedes controlar lo siguiente:

  • A quién se le pueden asignar roles
  • A quién se le pueden revocar los roles
  • Qué roles se pueden conceder
  • Qué roles se pueden revocar

Por ejemplo, puedes evitar que se asignen roles que contengan la palabra admin a las entidades cuyo correo termine en @gmail.com.

Limitaciones

  • Las políticas de organización personalizadas en modo de prueba que hacen referencia a atributos de gestión de identidades y accesos tienen algunas limitaciones. En concreto, es posible que falten los siguientes campos en los registros de auditoría de las infracciones que implican el método setIamPolicy:

    • resourceName
    • serviceName
    • methodName

  • No se generan registros de auditoría para todas las infracciones de políticas de organización personalizadas relacionadas con IAM. Es decir, si una política de organización personalizada provoca que falle una operación setIamPolicy en el recurso de organización,Google Cloud no genera un registro de auditoría para ese evento.

  • Las políticas de organización personalizadas que hacen referencia a atributos de IAM no afectan a lo siguiente:

  • Se pueden enviar invitaciones a los usuarios para que se conviertan en propietarios, aunque tengas una política de organización personalizada que impida que se conceda el rol de propietario (roles/owner). Sin embargo, aunque la política de organización personalizada no impide que se envíe una invitación, sí impide que se conceda el rol de propietario a los usuarios invitados. Si los usuarios invitados intentan aceptar la invitación, se producirá un error y no se les concederá el rol de propietario.

  • Algunas acciones en Google Cloud, como crear recursos o habilitar APIs, implican asignar automáticamente un rol a un agente de servicio o a una cuenta de servicio predeterminada. Si una acción implica la concesión automática de un rol y una política de la organización impide que se conceda ese rol, es posible que falle toda la operación.

    Si te encuentras con este problema, puedes usar etiquetas para inhabilitar temporalmente la restricción que impide la concesión del rol. A continuación, realiza la acción. Cuando se haya completado la acción, vuelve a habilitar la restricción.

Antes de empezar

  • Si quieres probar políticas de organización personalizadas que hagan referencia a recursos de gestión de identidades y accesos, crea un proyecto. Probar estas políticas de la organización en un proyecto ya creado podría interrumpir los flujos de trabajo de seguridad.

    1. In the Google Cloud console, go to the project selector page.

      Go to project selector

    2. Select or create a Google Cloud project.

Roles obligatorios

Para obtener los permisos que necesitas para gestionar las políticas de la organización, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos:

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para gestionar las políticas de la organización. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para gestionar las políticas de la organización, se necesitan los siguientes permisos:

  • orgpolicy.* de la organización
  • Prueba las políticas de organización descritas en esta página: resourcemanager.projects.setIamPolicy en el proyecto

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Crear una restricción personalizada

Una restricción personalizada se define en un archivo YAML mediante los recursos, los métodos, las condiciones y las acciones que admite el servicio en el que se aplica la política de la organización. Las condiciones de tus restricciones personalizadas se definen mediante el lenguaje de expresión común (CEL). Para obtener más información sobre cómo crear condiciones en restricciones personalizadas mediante CEL, consulta la sección sobre CEL del artículo Crear y gestionar restricciones personalizadas.

Para crear una restricción personalizada, crea un archivo YAML con el siguiente formato:

name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
resourceTypes:
- RESOURCE_NAME
methodTypes:
- CREATE
- UPDATE
condition: "CONDITION"
actionType: ACTION
displayName: DISPLAY_NAME
description: DESCRIPTION

Haz los cambios siguientes:

  • ORGANIZATION_ID: el ID de tu organización, como 123456789.

  • CONSTRAINT_NAME: el nombre que quieras para tu nueva restricción personalizada. Una restricción personalizada debe empezar por custom. y solo puede incluir letras mayúsculas, letras minúsculas o números. Por ejemplo, custom.denyProjectIAMAdmin. La longitud máxima de este campo es de 70 caracteres.

  • RESOURCE_NAME: nombre completo del recursoGoogle Cloud que contiene el objeto y el campo que quieres restringir. Por ejemplo, iam.googleapis.com/AllowPolicy.

  • CONDITION: una condición CEL que se escribe en una representación de un recurso de servicio compatible. Este campo tiene una longitud máxima de 1000 caracteres. Consulta los recursos admitidos para obtener más información sobre los recursos con los que puedes escribir condiciones. Por ejemplo, resource.bindings.exists(binding, RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin'])).

  • ACTION: la acción que se debe llevar a cabo si se cumple la condición condition. Los valores posibles son ALLOW y DENY.

  • DISPLAY_NAME: nombre descriptivo de la restricción. Este campo tiene una longitud máxima de 200 caracteres.

  • DESCRIPTION: descripción de la restricción que se mostrará como mensaje de error cuando se infrinja la política. Este campo tiene una longitud máxima de 2000 caracteres.

Para obtener más información sobre cómo crear una restricción personalizada, consulta Definir restricciones personalizadas.

Configurar una restricción personalizada

Una vez que hayas creado el archivo YAML de una nueva restricción personalizada, debes configurarla para que esté disponible en las políticas de organización de tu organización. Para configurar una restricción personalizada, usa el comando gcloud org-policies set-custom-constraint: 
gcloud org-policies set-custom-constraint CONSTRAINT_PATH
 Sustituye CONSTRAINT_PATH por la ruta completa a tu archivo de restricciones personalizadas. Por ejemplo, /home/user/customconstraint.yaml. Una vez completado el proceso, las restricciones personalizadas estarán disponibles como políticas de organización en la lista de Google Cloud políticas de organización. Para verificar que la restricción personalizada existe, usa el comando gcloud org-policies list-custom-constraints: 
gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
 Sustituye ORGANIZATION_ID por el ID de tu recurso de organización. Para obtener más información, consulta Ver políticas de la organización.

Aplicar una política de organización personalizada

Para aplicar una restricción, crea una política de organización que haga referencia a ella y, a continuación, aplica esa política de organización a un Google Cloud recurso.

Consola

  1. En la Google Cloud consola, ve a la página Políticas de la organización.

    Ir a Políticas de organización

  2. En el selector de proyectos, elige el proyecto para el que quieras definir la política de organización.
  3. En la lista de la página Políticas de organización, selecciona la restricción para ver la página Detalles de la política correspondiente.
  4. Para configurar la política de la organización de este recurso, haz clic en Gestionar política.
  5. En la página Editar política, selecciona Anular política del recurso superior.
  6. Haz clic en Añadir regla.
  7. En la sección Aplicación, selecciona si quieres activar o desactivar la aplicación de esta política de la organización.
  8. Opcional: Para que la política de la organización dependa de una etiqueta, haz clic en Añadir condición. Ten en cuenta que, si añades una regla condicional a una política de organización, debes añadir al menos una regla incondicional o la política no se podrá guardar. Para obtener más información, consulta Configurar una política de organización con etiquetas.
  9. Haz clic en Probar cambios para simular el efecto de la política de la organización. La simulación de políticas no está disponible para las restricciones gestionadas antiguas. Para obtener más información, consulta el artículo Probar los cambios en las políticas de la organización con el simulador de políticas.
  10. Para finalizar y aplicar la política de organización, haz clic en Definir política. La política tarda hasta 15 minutos en aplicarse.

gcloud

Para crear una política de organización con reglas booleanas, crea un archivo YAML de política que haga referencia a la restricción: 

      name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
      spec:
        rules:
        - enforce: true

Haz los cambios siguientes:

  • PROJECT_ID: el proyecto en el que quieras aplicar la restricción.
  • CONSTRAINT_NAME: el nombre que has definido para tu restricción personalizada. Por ejemplo, custom.denyProjectIAMAdmin.

Para aplicar la política de la organización que contiene la restricción, ejecuta el siguiente comando: 

    gcloud org-policies set-policy POLICY_PATH

Sustituye POLICY_PATH por la ruta completa al archivo YAML de la política de tu organización. La política tarda hasta 15 minutos en aplicarse.

Probar la política de organización personalizada

Opcionalmente, puedes probar la política de la organización definiéndola y, a continuación, intentando llevar a cabo una acción que la política debería impedir.

Crear la restricción

  1. Guarda el siguiente archivo como constraint-deny-project-iam-admin.

    name: organizations/ORG_ID/customConstraints/custom.denyProjectIAMAdmin
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['roles/resourcemanager.projectIamAdmin']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:EMAIL_ADDRESS'])
    )
  )"
actionType: DENY
displayName: Do not allow EMAIL_ADDRESS to be granted the Project IAM Admin role.

    Sustituye los siguientes valores:

    • ORG_ID: el ID numérico de tu organizaciónGoogle Cloud .
    • MEMBER_EMAIL_ADDRESS: la dirección de correo del principal que quieras usar para probar la restricción personalizada. Mientras la restricción esté activa, no se podrá asignar a esta entidad principal el rol de administrador de gestión de identidades y accesos del proyecto (roles/resourcemanager.projectIamAdmin) en el proyecto en el que apliques la restricción.

  2. Aplica la restricción:

    gcloud org-policies set-custom-constraint ~/constraint-deny-project-iam-admin.yaml

  3. Verifica que la restricción exista:

    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

Crear la política

  1. Guarda el siguiente archivo como policy-deny-project-iam-admin.yaml:

    name: projects/PROJECT_ID/policies/custom.denyProjectIamAdmin
spec:
  rules:
  - enforce: true

    Sustituye PROJECT_ID por el ID del proyecto.

  2. Aplica la política:

    gcloud org-policies set-policy ~/policy-deny-project-iam-admin.yaml

  3. Comprueba que la política exista:

    gcloud org-policies list --project=PROJECT_ID

Después de aplicar la política, espera unos dos minutos para que Google Cloud empiece a aplicarla.

Probar la política

Intenta asignar el rol Administrador de gestión de identidades y accesos de proyectos (roles/resourcemanager.projectIamAdmin) a la cuenta principal cuya dirección de correo hayas incluido en la restricción personalizada. Antes de ejecutar el comando, sustituye los siguientes valores:

  • PROJECT_ID: ID del proyecto Google Cloud en el que has aplicado la restricción
  • EMAIL_ADDRESS: la dirección de correo del principal que especificaste al crear la restricción de la política de la organización.
gcloud projects add-iam-policy-binding PROJECT_ID \
    --member=user:EMAIL_ADDRESS --role=roles/resourcemanager.projectIamAdmin

El resultado es el siguiente:

Operation denied by custom org policies: ["customConstraints/custom.denyProjectIAMAdmin": "EMAIL_ADDRESS can't be granted the Project IAM Admin role."]

Ejemplos de políticas de organización personalizadas para casos prácticos habituales

En la tabla siguiente se muestra la sintaxis de algunas restricciones personalizadas para casos prácticos habituales.

En los siguientes ejemplos se usan las macros de CEL all y exists. Para obtener más información sobre estas macros, consulta el artículo Macros para evaluar listas.

Descripción Sintaxis de las restricciones
Bloquear la posibilidad de conceder un rol específico. 
name: organizations/ORG_ID/customConstraints/custom.denyRole
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
"resource.bindings.exists(
    binding,
    RoleNameMatches(binding.role, ['ROLE'])
  )"
actionType: DENY
displayName: Do not allow the ROLE role to be granted
Solo se pueden conceder roles específicos. 
name: organizations/ORG_ID/customConstraints/custom.specificRolesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])
  )"
actionType: ALLOW
displayName: Only allow the ROLE_1 role and ROLE_2 role to be granted
Evita que se concedan roles que empiecen por roles/storage.. 
name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted
Evita que se revoquen los roles que tengan admin en el nombre. 
name: organizations/ORG_ID/customConstraints/custom.dontRevokeAdminRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    RoleNameContains(binding.role, ['admin'])
  )"
actionType: DENY
displayName: Prevent roles with "admin" in their names from being revoked
Permite que solo se concedan roles a determinadas principales. 
name: organizations/ORG_ID/customConstraints/custom.allowSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberSubjectMatches(member, ['user:USER','serviceAccount:SERVICE_ACCOUNT'])
    )
  )"
actionType: ALLOW
displayName: Only allow roles to be granted to USER and SERVICE_ACCOUNT
Evita que se revoquen roles de principales específicos. 
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfSpecificPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - REMOVE_GRANT
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectMatches(member, ['user:USER_1','user:USER_2'])
    )
  )"
actionType: DENY
displayName: Do not allow roles to be revoked from USER_1 or USER_2
Evita que se concedan roles a las entidades con direcciones de correo que terminen en @gmail.com. 
name: organizations/ORG_ID/customConstraints/custom.dontGrantToGmail
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    binding.members.exists(member,
      MemberSubjectEndsWith(member, ['@gmail.com'])
    )
  )"
actionType: DENY
displayName: Do not allow members whose email addresses end with "@gmail.com" to be granted roles
Solo se pueden conceder funciones específicas a principales específicos. 
name: organizations/ORG_ID/customConstraints/custom.allowSpecificRolesAndPrincipals
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    RoleNameMatches(binding.role, ['ROLE_1', 'ROLE_2'])  &&
    binding.members.all(member,
      MemberSubjectMatches(member, ['serviceAccount:SERVICE_ACCOUNT', 'group:GROUP'])
    )
  )"
actionType: ALLOW
displayName: Only allow ROLE_1 and ROLE_2 to be granted to SERVICE_ACCOUNT and GROUP
Evita que se asignen roles de Cloud Storage a allUsers y allAuthenticatedUsers. 
name: organizations/ORG_ID/customConstraints/custom.denyStorageRolesForPrincipalAllUsers
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.']) &&
    binding.members.exists(member,
      MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers'])
    )
  )"
actionType: DENY
displayName: Do not allow storage roles to be granted to allUsers or allAuthenticatedUsers
Evita que se concedan roles a identidades ajenas a tu organización. 
name: organizations/ORG_ID/customConstraints/custom.allowInternaldentitiesOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
    )
  )"
actionType: ALLOW
displayName: Only allow organization members to be granted roles
Solo permite que se asignen roles a cuentas de servicio. 
name: organizations/ORG_ID/customConstraints/custom.allowServiceAccountsOnly
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      MemberTypeMatches(member, ['iam.googleapis.com/ServiceAccount'])
    )
  )"
actionType: ALLOW
displayName: Only allow service accounts to be granted roles
Evita que se eliminen agentes de servicio gestionados por Google de las vinculaciones de roles. 
name: organizations/ORG_ID/customConstraints/custom.denyRemovalOfGoogleManagedServiceAgents
resource_types: iam.googleapis.com/AllowPolicy
method_types:
  - REMOVE_GRANT
condition: |-
  resource.bindings.all(
      binding,
      binding.members.all(member,
        MemberTypeMatches(member, ['iam.googleapis.com/ServiceAgent'])
      )
    )
action_type: DENY
display_name: Deny Removal Of Google-Managed Service Agents
description: Restricts the removal of Google-managed service agents from role bindings. Please reach out to your organization admins for if you have any questions.

Políticas de organización condicionales

Puedes hacer que una política de organización personalizada sea condicional mediante etiquetas. Por ejemplo, supongamos que has escrito la siguiente restricción personalizada para evitar que se concedan roles que empiecen por roles/storage.:

name: organizations/ORG_ID/customConstraints/custom.dontgrantStorageRoles
resourceTypes: iam.googleapis.com/AllowPolicy
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.exists(
    binding,
    RoleNameStartsWith(binding.role, ['roles/storage.'])
  )"
actionType: DENY
displayName: Prevent roles that start with "roles/storage." from being granted

Para aplicar la restricción de forma condicional, puedes crear una política de organización como la siguiente:

name: organizations/ORG_ID/policies/custom.dontgrantStorageRoles
spec:
  rules:
  - condition:
      expression: "resource.matchTag('ORG_ID/environment', 'dev')"
    enforce: true
  - enforce: false

Esta política de organización impide que se asignen roles que empiecen por roles/storage. a cualquier recurso que también tenga la etiqueta environment=dev.

Recursos compatibles con Gestión de Identidades y Accesos

IAM admite el recurso AllowPolicy. Este recurso tiene el atributo resources.bindings, que se devuelve en todos los métodos que modifican la política de permisos de un recurso. Todos los métodos que modifican la política de un recurso terminan con setIamPolicy.

El atributo resource.bindings tiene la siguiente estructura, donde BINDINGS es una matriz de enlaces de roles que se han modificado durante un cambio en una política de permiso:

{
  "bindings": {
    BINDINGS
  }
}

Cada enlace de resource.bindings tiene la siguiente estructura, donde ROLE es el nombre del rol en el enlace de rol y MEMBERS es una lista de identificadores de todas las entidades que se han añadido o eliminado del enlace de rol:

{
  "role": "ROLE"
  "members": {
    MEMBERS
  }
}

Para ver los formatos que pueden tener los identificadores principales, consulta Identificadores principales.

Solo puedes evaluar el atributo resource.bindings y sus campos con las funciones admitidas. No se admiten otros operadores ni funciones, como ==, !=, in, contains, startsWith y endsWith.

Funciones admitidas

Puede usar las siguientes funciones de CEL para evaluar roles y miembros concretos de una vinculación.

Para evaluar todos los enlaces del array bindings o todos los miembros del array members, usa las macros all y exists. Para obtener más información, consulta Macros para evaluar listas en esta página.

También puedes usar los operadores lógicos && (and) y || (or) para escribir condiciones de varias partes.

Función Descripción
RoleNameMatches(
  role,
  roleNames: list
)   bool

Devuelve true si el rol role coincide por completo con al menos uno de los roles que se indican en roleNames.

Parámetros
role: el rol que se va a evaluar.
roleNames: una lista de nombres de roles con los que se comparará.
Ejemplo

Devuelve true si el role del binding especificado es roles/storage.admin o roles/compute.admin: 

RoleNameMatches(binding.role, ['roles/storage.admin', 'roles/compute.admin'])
RoleNameStartsWith(
  role,
  rolePrefixes: list
)   bool

Devuelve true si el rol role empieza por al menos una de las cadenas que se indican en rolePrefixes.

Parámetros
role: el rol que se va a evaluar.
rolePrefixes: lista de cadenas con las que se comparará el inicio del rol.
Ejemplo

Devuelve true si el role del binding especificado empieza por roles/storage: 

RoleNameStartsWith(binding.role, ['roles/storage'])
RoleNameEndsWith(
  role,
  roleSuffixes: list
)   bool

Devuelve true si el rol role termina con al menos una de las cadenas que se indican en roleSuffixes.

Parámetros
role: el rol que se va a evaluar.
roleSuffixes: lista de cadenas que coinciden con el final del rol.
Ejemplo

Devuelve true si el role de la binding especificada termina con .admin: 

RoleNameEndsWith(binding.role, ['.admin'])
RoleNameContains(
  role,
  roleSubstrings: list
)   bool

Devuelve true si el rol role contiene al menos una de las cadenas que se indican en roleSubstrings.

Parámetros
role: el rol que se va a evaluar.
roleSubstrings: una lista de cadenas que coincidan con cualquier parte del rol.
Ejemplo

Devuelve true si el role del binding especificado contiene la cadena admin: 

RoleNameContains(binding.role, ['admin'])
MemberSubjectMatches(
  member,
  memberNames: list
)   bool

Devuelve true si el miembro member coincide por completo con al menos uno de los miembros incluidos en memberNames.

Si el identificador de member es una dirección de correo electrónico, esta función evalúa la dirección de correo, así como cualquier alias de esa dirección.

Parámetros
member: el miembro que se va a evaluar.
memberNames: lista de nombres de miembros con los que se comparará.
Ejemplo

Devuelve true si el miembro member es rosario@example.com: 

MemberSubjectMatches(member, ['user:rosario@example.com'])
MemberSubjectStartsWith(
  member,
  memberPrefixes: list
)   bool

Devuelve true si el miembro member empieza por al menos una de las cadenas de texto que se indican en memberPrefixes.

Si el identificador de member es una dirección de correo electrónico, esta función evalúa la dirección de correo, así como cualquier alias de esa dirección.

Parámetros
member: el miembro que se va a evaluar.
memberPrefixes: lista de cadenas con las que se comparará el principio del nombre del miembro.
Ejemplo

Devuelve true si el miembro member empieza por user:prod-: 

MemberSubjectStartsWith(member, ['user:prod-'])
MemberSubjectEndsWith(
  member,
  memberSuffixes: list
)   bool

Devuelve true si el miembro member termina con al menos una de las cadenas de texto incluidas en memberSuffixes.

Si el identificador de member es una dirección de correo electrónico, esta función evalúa la dirección de correo, así como cualquier alias de esa dirección.

Parámetros
member: el miembro que se va a evaluar.
memberSuffixes: lista de cadenas con las que se comparará el final del nombre del miembro.
Ejemplo

Devuelve true si el miembro member termina con @example.com: 

MemberSubjectEndsWith(member, ['@example.com'])
MemberInPrincipalSet(
  member,
  principalSets: list
)   bool

Devuelve true si el miembro pertenece al menos a uno de los conjuntos de principales de la lista.

Parámetros
member: el miembro que se va a evaluar.

principalSets: una lista de conjuntos de principales. Para que la función se evalúe como true, el miembro debe estar en al menos uno de estos conjuntos principales.

El único conjunto de principales admitido es el conjunto de principales de la organización, que tiene el formato //cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID. Cuando se usa en la función MemberInPrincipalSet, este conjunto de principales incluye los siguientes principales:

  • Todas las identidades de todos los dominios asociados a tu ID de cliente de Google Workspace
  • Todos los grupos de identidades de Workforce de tu organización
  • Todas las cuentas de servicio y los grupos de identidades de carga de trabajo de cualquier proyecto de la organización
  • Todos los agentes de servicio asociados a los recursos de tu organización.
Ejemplo

Devuelve true si el miembro member pertenece a la organización @example.com, que tiene el ID 123456789012: 

MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
MemberTypeMatches(
  member,
  principalType: list
)   bool

Devuelve true si el miembro es uno de los tipos de principales indicados.

Parámetros
member: el miembro que se va a evaluar.
principalType: lista de tipos principales. Para que la función devuelva true, el miembro debe ser uno de los tipos de principal que se indican. Para saber qué tipos de principales se admiten, consulta Tipos de principales admitidos para MemberTypeMatches.
Ejemplo

Devuelve true si el miembro member tiene el tipo de principal iam.googleapis.com/WorkspacePrincipal o iam.googleapis.com/WorkspaceGroup: 

MemberTypeMatches(member, ['iam.googleapis.com/WorkspacePrincipal', 'iam.googleapis.com/WorkspaceGroup'])

Macros para evaluar listas

Usa las macros all y exists para evaluar una expresión de condición de una lista de elementos.

Macro Descripción
list.all(
  item,
  conditionExpression
)   bool

Devuelve true si conditionExpression se evalúa como true para cada item en list.

Esta macro se suele usar en políticas de organización personalizadas con las macros actionType y ALLOW. Por ejemplo, puedes usar esta macro para asegurarte de que una acción solo se permita si todos los principales modificados cumplen la condición.

Parámetros
list: lista de elementos que se van a evaluar.
item: el elemento de la lista que se va a evaluar. Por ejemplo, si llamas a este método en la lista resource.bindings, usa el valor binding.
conditionExpression: expresión de condición con la que se va a evaluar cada item.
Ejemplo

Devuelve true si todos los enlaces de resource.bindings tienen roles que empiezan por roles/storage.. Devuelve false si alguna de las enlaces tiene roles que no empiezan por roles/storage.: 

resource.bindings.all(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))
list.exists(
  item,
  conditionExpression
)   bool

Devuelve true si conditionExpression da como resultado true para cualquier item en list.

Esta macro se suele usar en políticas de organización personalizadas con actionType DENY. Por ejemplo, puedes usar esta macro para asegurarte de que se deniega una acción si cualquiera de las entidades modificadas cumple la condición.

Parámetros
list: lista de elementos que se van a evaluar.
item: el elemento de la lista que se va a evaluar. Por ejemplo, si llamas a este método en la lista resource.bindings, usa el valor binding.
conditionExpression: expresión de condición con la que se va a evaluar cada item.
Ejemplo

Devuelve true si alguna de las vinculaciones de resource.bindings tiene roles que empiezan por roles/storage.. Devuelve false si ninguno de los enlaces tiene roles que empiecen por roles/storage.: 

resource.bindings.exists(binding, RoleNameStartsWith(binding.role, ['roles/storage.']))

Condiciones con listas anidadas

Por lo general, si tu condición incluye listas anidadas, debes usar la misma macro para todas las listas de la condición.

Ten en cuenta los siguientes ejemplos:

  • Si tu política tiene el valor actionType ALLOW, usa la macro all tanto en la lista members como en la lista bindings para asegurarte de que las modificaciones de la política solo se permitan si todos los miembros de todos los enlaces modificados cumplen la condición.
  • Si tu política tiene el actionType DENY, usa la macro exists tanto en la lista members como en la bindings para asegurarte de que no se permitan modificaciones en la política si cualquier miembro de cualquier vinculación modificada cumple la condición.

Si se mezclan macros en una misma condición, puede que esta no se comporte como se espera.

Por ejemplo, supongamos que quieres impedir que se concedan roles a miembros ajenos a la organización example.com. La organización example.com tiene el ID 123456789012.

Para lograr este objetivo, escribe la siguiente condición:

No recomendado: condición mal configurada

"resource.bindings.all(
  binding,
  binding.members.exists(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

Parece que esta condición impide que se asignen roles a miembros ajenos a la organización de example.com. Sin embargo, la condición se evalúa como true si cualquier miembro de cada una de las vinculaciones de roles modificadas está en la organización example.com. Por lo tanto, puedes seguir asignando roles a miembros ajenos a la organización example.com si también asignas el mismo rol a un miembro de la organización example.com.

Por ejemplo, la condición se evalúa como true para el siguiente conjunto de enlaces, aunque uno de los miembros no pertenezca a la organización example.com:

 "bindings": [
    {
      "members": [
        "user:raha@altostrat.com",
        "user:jie@example.com"
      ],
      "role": "roles/resourcemanager.projectCreator"
    }
  ],

En su lugar, debes escribir una condición como la siguiente:

Recomendado: condición configurada correctamente

"resource.bindings.all(
  binding,
  binding.members.all(member,
    MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/123456789012'])
  )
)"

Si se usa la macro all tanto en la matriz members.bindings como en la matriz resource.bindings, la condición solo se evalúa como true si todos los miembros de todos los enlaces están en el conjunto principal example.com.

Tipos de principales admitidos en MemberTypeMatches

La función MemberTypeMatches requiere que especifiques el tipo de principal con el que debe coincidir el miembro especificado.

En la siguiente tabla se enumeran los tipos de principales que puede introducir y se describe lo que representa cada uno. También se indican los identificadores de las entidades principales que corresponden a cada tipo de entidad principal. Estos identificadores son los valores que se usan en las políticas de gestión de identidades y accesos.

Tipo de principal Descripción Identificadores principales
iam.googleapis.com/ConsumerPrincipal Una cuenta de Google de consumidor. Las direcciones de correo de estas cuentas suelen terminar en gmail.com. user:USER_EMAIL_ADDRESS
iam.googleapis.com/WorkspacePrincipal Una cuenta de Google que forme parte de una cuenta de Cloud Identity o Google Workspace. Estas cuentas también se denominan cuentas de usuario gestionadas. user:USER_EMAIL_ADDRESS
iam.googleapis.com/ConsumerGroup Un grupo de Google creado por una cuenta de Google de consumidor. Estos grupos no son propiedad de una cuenta de Cloud Identity ni de Google Workspace. Las direcciones de correo de estos grupos suelen terminar en googlegroups.com. group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/WorkspaceGroup Un grupo de Google que sea propiedad de una cuenta de Cloud Identity o Google Workspace. group:GROUP_EMAIL_ADDRESS
iam.googleapis.com/Domain Una cuenta de Cloud Identity o Google Workspace. domain:DOMAIN
iam.googleapis.com/WorkforcePoolPrincipal Una sola principal en un grupo de identidades de Workforce. principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkforcePoolPrincipalSet Conjunto de principales que contiene un conjunto de identidades en un grupo de identidades de Workforce. Por ejemplo, un conjunto de principales que contenga todos los principales de un grupo de identidades de Workforce.
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/*
iam.googleapis.com/WorkloadPoolPrincipal Una sola identidad en un grupo de identidades de carga de trabajo principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE
iam.googleapis.com/WorkloadPoolPrincipalSet Un conjunto de principales que contiene un conjunto de identidades en un grupo de identidades de carga de trabajo. Por ejemplo, un conjunto de principales que contenga todos los principales de un grupo de identidades de carga de trabajo.
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE
  • principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/*
iam.googleapis.com/ServiceAccount

Cualquier cuenta de servicio. Una cuenta de servicio es un tipo especial de cuenta que representa una carga de trabajo en lugar de a un usuario humano.

En el contexto de la función MemberTypeMatches, este tipo de entidad principal no incluye agentes de servicio.

serviceAccount:SERVICE_ACCOUNT_EMAIL_ADDRESS
iam.googleapis.com/ServiceAgent Cualquier agente de servicio. Un agente de servicio es un tipo especial de cuenta de servicio que Google Cloud crea y gestiona. Cuando se les conceden roles en tus proyectos, los agentes de servicio permiten que los Google Cloud servicios puedan realizar acciones en tu nombre. serviceAccount:SERVICE_AGENT_EMAIL_ADDRESS
iam.googleapis.com/PublicPrincipals Los principios allUsers y allAuthenticatedUsers.
  • allUsers
  • allAuthenticatedUsers
iam.googleapis.com/ProjectRoleReference Entidades principales definidas en función del rol que se les haya concedido. Estos principales también se denominan valores de conveniencia.
  • projectOwner:PROJECT_ID
  • projectEditor:PROJECT_ID
  • projectViewer:PROJECT_ID
iam.googleapis.com/ResourcePrincipal Un recurso con una identidad integrada. Cualquiera de los identificadores principales que se indican en Identificadores principales de recursos únicos.
iam.googleapis.com/ResourcePrincipalSet Recursos con identidades integradas que comparten determinadas características, como el tipo o el ancestor. Cualquiera de los identificadores que se indican en Identificadores principales de conjuntos de recursos.

Siguientes pasos