Gestión de Identidades y Accesos (IAM) ofrece varios tipos de políticas para ayudarte a controlar a qué recursos pueden acceder las entidades. En esta página se explican las diferencias entre cómo se usan y gestionan estos tipos de políticas.
Tipos de políticas de gestión de identidades y accesos en Google Cloud
IAM ofrece los siguientes tipos de políticas:
- Permitir políticas
- Políticas de denegación
- Políticas de límites de acceso de principales (PAB)
En la siguiente tabla se resumen las diferencias entre estos tipos de políticas:
| Política | Función de la política | API usada para gestionar la política. | Relación entre las políticas y los objetivos | Método para adjuntar políticas a un destino | Recurso superior de la política |
|---|---|---|---|---|---|
| Permitir políticas | Conceder acceso a los recursos a los principales | La API del recurso para el que quieres gestionar las políticas de permisos |
Relación uno a uno Cada política de permiso se adjunta a un recurso y cada recurso solo puede tener una política de permiso. |
Especificar el recurso al crear la política | Es el mismo que el recurso al que se adjunta la política de permisos. |
| Políticas de denegación | Asegurarse de que las entidades de seguridad no puedan usar permisos específicos | La API IAM v2 |
Relación uno a muchos Cada política de denegación se asocia a un recurso y cada recurso puede tener hasta 500 políticas de denegación. |
Especificar el recurso al crear la política de denegación | Igual que el recurso al que se adjunta la política de denegación |
| Políticas de PAB | Restringir los recursos a los que puede acceder una entidad principal | La API IAM v3 |
Relación de muchos a muchos Cada política de PAB se puede adjuntar a un número ilimitado de conjuntos de principales. Cada conjunto de principales puede tener hasta 10 políticas de PAB vinculadas. |
Crea un enlace de política que asigne la política de PAB a un conjunto de principales. | La organización |
En las siguientes secciones se ofrecen detalles sobre cada tipo de política.
Políticas para conceder acceso a principales
Para conceder acceso a los principales a los recursos, usa las políticas de permiso de gestión de identidades y accesos.
Las políticas de permiso te permiten conceder acceso a recursos en Google Cloud. Las políticas de permiso se componen de enlaces de roles y metadatos. Las asignaciones de roles especifican qué entidades principales deben tener un rol determinado en el recurso.
Las políticas de permiso siempre se asocian a un único recurso. Después de adjuntar una política de permiso a un recurso, los descendientes de ese recurso heredan la política.
Para crear y aplicar una política de permisos, identifica un recurso que acepte políticas de permisos y, a continuación, usa el método setIamPolicy de ese recurso para crear la política de permisos. Todas las entidades principales de la política de permiso tienen los roles especificados en el recurso y en todos los elementos descendientes del recurso. Cada recurso solo puede tener una política de permiso asociada.
Para obtener más información sobre las políticas de permiso, consulta el artículo Información sobre las políticas de permiso.
Políticas para denegar el acceso a principales
Para denegar el acceso de los principales a los recursos, usa las políticas de denegación de gestión de identidades y accesos. Las políticas de gestión de identidades y accesos de denegación están disponibles en la API IAM v2.
Las políticas de denegación, al igual que las de permiso, siempre se asocian a un único recurso. Puedes adjuntar una política de denegación a un proyecto, una carpeta o una organización. Este proyecto, carpeta u organización también actúa como elemento superior de la política en la jerarquía de recursos. Después de adjuntar una política de denegación a un recurso, los elementos secundarios de ese recurso heredan la política.
Para crear y aplicar políticas de denegación, debes usar la API IAM v2. Cuando creas una política de denegación, especificas el recurso al que se adjunta. Todas las entidades principales de la política de denegación no pueden usar los permisos especificados para acceder a ese recurso ni a ninguno de sus descendientes. Cada recurso puede tener hasta 500 políticas de denegación asociadas.
Para obtener más información sobre las políticas de denegación, consulta Políticas de denegación.
Políticas para restringir los recursos a los que puede acceder una entidad principal
Para restringir los recursos a los que puede acceder una entidad principal, utiliza una política de límites de acceso de principales. Las políticas de límites de acceso de principales están disponibles en la API IAM v3.
Para crear y aplicar una política de límites de acceso de principales, crea una política de límites de acceso de principales y, a continuación, crea un enlace de política para conectar esa política a un conjunto de principales.
Las políticas de límite de acceso de principales siempre son secundarias de tu organización. Los enlaces de políticas de las políticas de límites de acceso de principales son elementos secundarios del proyecto, la carpeta o la organización más cercanos al conjunto de principales al que se hace referencia en el enlace de la política.
Cada enlace de política vincula una política de límites de acceso de principales a un conjunto de principales. Una política de límites de acceso de principales se puede vincular a cualquier número de conjuntos de principales. Cada conjunto de principales puede tener asociadas hasta 10 políticas de límite de acceso principal. Cuando se elimina una política de límite de acceso de un principal, también se eliminan todos los enlaces de políticas relacionados con esa política.
Para obtener más información sobre las políticas de límites de acceso de principales, consulta Límites de acceso de principales.
Evaluación de políticas
Cuando un principal intenta acceder a un recurso, IAM evalúa todas las políticas de permiso, denegación y límites de acceso de principales relevantes para determinar si el principal tiene permiso para acceder al recurso. Si alguna de estas políticas indica que la entidad principal no debería poder acceder al recurso, IAM impide el acceso.
En realidad, la gestión de identidades y accesos evalúa todos los tipos de políticas simultáneamente y, a continuación, compila los resultados para determinar si la principal puede acceder al recurso. Sin embargo, puede ser útil pensar en la evaluación de esta política en las siguientes fases:
-
IAM comprueba todas las políticas de límites de acceso de principales pertinentes para ver si el principal puede acceder al recurso. Una política de límites de acceso de principales es pertinente si se cumplen las siguientes condiciones:
- La política está vinculada a un conjunto de principales que incluye el principal
- La política de límites de acceso de principales bloquea el permiso que el principal está intentando usar. Los permisos que bloquea una política de límites de acceso de principales dependen de la versión de la política. La versión de la política se especifica al crear la política de límites de acceso de principales. Para obtener más información, consulta las versiones de la política de límite de acceso de principales.
Después de comprobar las políticas de límite de acceso de principales pertinentes, Gestión de Identidades y Accesos hace una de las siguientes acciones:
- Si las políticas de límite de acceso de la cuenta no incluyen el recurso al que intenta acceder la cuenta o si la gestión de identidades y accesos no puede evaluar las políticas de límite de acceso de la cuenta pertinentes, la gestión de identidades y accesos impide que la cuenta acceda al recurso.
- Si las políticas de límite de acceso de la cuenta principal incluyen el recurso al que intenta acceder la cuenta principal, Gestión de Identidades y Accesos continúa con el siguiente paso.
- Si no hay políticas de límite de acceso de principales relevantes, IAM continúa con el siguiente paso.
-
La gestión de identidades y accesos comprueba todas las políticas de denegación pertinentes para ver si se ha denegado el permiso a la cuenta principal. Las políticas de denegación pertinentes son las que están asociadas al recurso, así como las políticas de denegación heredadas.
- Si alguna de estas políticas de denegación impide que la entidad utilice un permiso obligatorio, IAM le impedirá acceder al recurso.
- Si ninguna política de denegación impide que la entidad utilice un permiso obligatorio, IAM continúa con el siguiente paso.
-
IAM comprueba todas las políticas de permiso pertinentes para ver si la cuenta principal tiene los permisos necesarios. Las políticas de permiso relevantes son las políticas de permiso asociadas al recurso, así como las políticas de permiso heredadas.
- Si la entidad de seguridad no tiene los permisos necesarios, la gestión de identidades y accesos le impide acceder al recurso.
- Si la entidad principal tiene los permisos necesarios, Gestión de Identidades y Accesos le permitirá acceder al recurso.
En el siguiente diagrama se muestra el flujo de evaluación de esta política:
Siguientes pasos
- Más información sobre las políticas de permitir
- Consulta más información sobre las políticas de denegación.
- Consulta más información sobre las políticas de límite de acceso de principales.