En Gestión de Identidades y Accesos (IAM), controlas el acceso de los principales. Un principal representa una o varias identidades que se han autenticado en Google Cloud.
Usar principales en las políticas
Para usar principales en tus políticas, haz lo siguiente:
Configura las identidades que Google Cloud puede reconocer. Configurar identidades es el proceso de crear identidades que Google Cloud puedas reconocer. Puedes configurar identidades para usuarios y cargas de trabajo.
Para saber cómo configurar identidades, consulta lo siguiente:
- Para saber cómo configurar las identidades de los usuarios, consulte Identidades de los usuarios.
- Para saber cómo configurar identidades para cargas de trabajo, consulta Identidades para cargas de trabajo.
Determina el identificador principal que vas a usar. El identificador de principal es la forma de hacer referencia a un principal en tus políticas. Este identificador puede hacer referencia a una sola identidad o a un grupo de identidades.
El formato que uses para el identificador principal dependerá de lo siguiente:
- El tipo de principal
- El tipo de política en el que quieres incluir la entidad de seguridad
Para ver el formato del identificador principal de cada tipo de principal en cada tipo de política, consulta Identificadores principales.
Una vez que conozcas el formato del identificador, podrás determinar el identificador único de la entidad de seguridad en función de sus atributos, como su dirección de correo electrónico.
Incluya el identificador de la entidad principal en su política. Añade tu principal a tu política siguiendo el formato de la política.
Para obtener información sobre los distintos tipos de políticas de gestión de identidades y accesos, consulta Tipos de políticas.
Compatibilidad con tipos de principales
Cada tipo de política de gestión de identidades y accesos admite un subconjunto de los tipos de principales que admite la gestión de identidades y accesos. Para ver los tipos principales admitidos en cada tipo de política, consulta Identificadores principales.
Tipos principales
En la siguiente tabla se describen brevemente los diferentes tipos de principales admitidos por IAM. Para ver una descripción detallada y ejemplos de cómo puede ser un tipo de principal cuando se usa en una política, haga clic en el nombre del tipo de principal en la tabla.
| Tipo de principal | Descripción | Una sola entidad principal o un conjunto de entidades principales | Gestionadas por Google o federadas | Asistencia por tipo de política |
|---|---|---|---|---|
| Cuentas de Google | Cuentas de usuario que representan a una persona que interactúa con las APIs y los servicios de Google. | Entidad principal única | Gestionado por Google |
Los siguientes tipos de políticas admiten cuentas de Google:
Los siguientes tipos de políticas no admiten cuentas de Google:
|
| Cuentas de servicio | Una cuenta que usa una carga de trabajo de una máquina en lugar de una persona. | Entidad principal única | Gestionado por Google |
Los siguientes tipos de políticas admiten cuentas de servicio:
Los siguientes tipos de políticas no admiten cuentas de servicio:
|
| Grupos de Google | Una colección de usuarios humanos o de máquinas con cuentas de Google. |
Conjunto de principales que puede contener lo siguiente:
|
Gestionado por Google |
Los siguientes tipos de políticas admiten grupos de Google:
Los siguientes tipos de políticas no admiten grupos de Google:
|
| Dominios | Una cuenta de Google Workspace o un dominio de Cloud Identity que represente a un grupo virtual. El grupo puede contener tanto usuarios humanos como cuentas de servicio. |
Conjunto de principales que puede contener los siguientes tipos de principales:
|
Gestionado por Google |
Los siguientes tipos de políticas admiten dominios:
|
allAuthenticatedUsers |
Un identificador especial que representa a todas las cuentas de servicio y a todos los usuarios de Internet que se han autenticado con una cuenta de Google. |
Conjunto de principales que puede contener los siguientes tipos de principales:
|
Gestionado por Google |
Los siguientes tipos de políticas admiten
Los siguientes tipos de políticas no admiten
|
allUsers |
Un identificador especial que representa a cualquier persona que esté en Internet, ya sea autenticada o no. |
Conjunto de principales que puede contener los siguientes tipos de principales:
|
Ambos |
Los siguientes tipos de políticas admiten
Los siguientes tipos de políticas no admiten
|
| Una sola identidad en un grupo de identidades de Workforce | Un usuario humano con una identidad gestionada por un IdP externo y federada mediante Workforce Identity Federation. | Entidad principal única | Federado |
Los siguientes tipos de políticas admiten una sola identidad en un grupo de identidades de Workforce:
|
| Conjunto de principales de un grupo de identidades de Workforce | Un conjunto de usuarios humanos con identidades gestionadas por un IdP externo y federadas mediante Workforce Identity Federation. | Conjunto de principales que contiene identidades de Workforce. | Federado |
Los siguientes tipos de políticas admiten un conjunto de principales en un grupo de identidades de Workforce:
|
| Una sola entidad en un grupo de identidades de carga de trabajo | Una carga de trabajo (o un usuario de máquina) con una identidad gestionada por un IdP externo y federada mediante la federación de identidades de cargas de trabajo. | Entidad principal única | Federado |
Los siguientes tipos de políticas admiten un único principal en un grupo de identidades de carga de trabajo:
|
| Conjunto de principales de un grupo de identidades de carga de trabajo | Un conjunto de cargas de trabajo (o usuarios de máquina) con identidades gestionadas por un IdP externo y federadas mediante la federación de identidades de cargas de trabajo. | Conjunto de principales que contiene identidades de carga de trabajo | Federado |
Los siguientes tipos de políticas admiten un conjunto de principales en un grupo de identidades de carga de trabajo:
|
| Un conjunto de pods de Google Kubernetes Engine | Una carga de trabajo (o un usuario de máquina) que se ejecuta en GKE y está federada a través de él. | Conjunto de principales que puede contener una o varias identidades de carga de trabajo federadas. | Federado |
Los siguientes tipos de políticas admiten pods de GKE:
Los siguientes tipos de políticas no admiten pods de GKE:
|
| Conjuntos de principales de Resource Manager | Conjunto de usuarios humanos o de máquinas asociados a Google Cloud recursos como proyectos, carpetas y organizaciones. |
Conjunto de principales que puede contener los siguientes tipos de principales:
|
Ambos |
Los siguientes tipos de políticas admiten conjuntos de principales de Resource Manager:
Los siguientes tipos de políticas no admiten conjuntos de principales de Resource Manager:
|
En las siguientes secciones se describen estos tipos principales con más detalle.
Cuentas de Google
Una cuenta de Google representa a un desarrollador, un administrador o cualquier otra persona que interactúe con Google Cloud mediante una cuenta que haya creado con Google. Cualquier dirección de correo asociada a una cuenta de Google, también llamada cuenta de usuario gestionada, se puede usar como principal. Esto incluye gmail.com
direcciones de correo y direcciones de correo con otros dominios.
En los siguientes ejemplos se muestra cómo puedes identificar una cuenta de Google en diferentes tipos de políticas:
- Políticas de permitir:
user:alex@example.com - Políticas de denegación:
principal://goog/subject/alex@example.com
Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.
En tus políticas de permitir y denegar, los alias de correo asociados a una cuenta de Google o a una cuenta de usuario gestionada se sustituyen automáticamente por la dirección de correo principal. Esto significa que la política muestra la dirección de correo principal del usuario cuando le das acceso a un alias de correo.
Para obtener más información sobre cómo configurar cuentas de Google, consulta el artículo Cuentas de Cloud Identity o Google Workspace.
Cuentas de servicio
Una cuenta de servicio es una cuenta para una aplicación o una carga de trabajo de computación en lugar de para un usuario final concreto. Cuando ejecutas código alojado enGoogle Cloud, especificas una cuenta de servicio que se usará como identidad de tu aplicación. Puedes crear tantas cuentas de servicio como necesites para representar los diferentes componentes lógicos de tu aplicación.
En los siguientes ejemplos se muestra cómo puede identificar una cuenta de servicio en diferentes tipos de políticas:
- Políticas de permitir:
serviceAccount:my-service-account@my-project.iam.gserviceaccount.com - Políticas de denegación:
principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.iam.gserviceaccount.com
Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.
Para obtener más información sobre las cuentas de servicio, consulta el artículo Resumen de las cuentas de servicio.
Grupos de Google
Un grupo de Google es una colección de cuentas de Google con un nombre. Todos los grupos de Google tienen una dirección de correo única asociada al grupo. Para ver la dirección de correo asociada a un grupo de Google, haz clic en Información en la página principal del grupo. Para obtener más información sobre Grupos de Google, consulta la página principal de Grupos de Google.
Los grupos de Google son una forma cómoda de aplicar controles de acceso a una colección de principales. Puede conceder y cambiar los controles de acceso de todo un grupo a la vez, en lugar de conceder o cambiar los controles de acceso de uno en uno para cada principal. También puedes añadir o quitar entidades principales de un grupo de Google en lugar de actualizar una política de permiso para añadir o quitar entidades principales.
Los grupos de Google no tienen credenciales de inicio de sesión y no se pueden usar para establecer la identidad y hacer una solicitud de acceso a un recurso.
En los siguientes ejemplos se muestra cómo puede identificar un grupo de Google en diferentes tipos de políticas:
- Políticas de permitir:
group:my-group@example.com - Políticas de denegación:
principalSet://goog/group/my-group@example.com
Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.
Para obtener más información sobre cómo usar los grupos para controlar el acceso, consulta las prácticas recomendadas para usar Grupos de Google.
Dominios
Los dominios pueden ser cuentas de Google Workspace o dominios de Cloud Identity. Son fundamentalmente iguales porque ambas representan un grupo virtual de todas las cuentas de Google que contienen. La única diferencia es que los usuarios del dominio de Cloud Identity no tienen acceso a las aplicaciones y funciones de Google Workspace.
Las cuentas de Google Workspace y los dominios de Cloud Identity están asociados al nombre de dominio de Internet de tu organización, como example.com.
Cuando creas una cuenta de Google para un nuevo usuario, como username@example.com, esa cuenta se añade al grupo virtual de tu cuenta de Google Workspace o dominio de Cloud Identity.
Al igual que los grupos de Google, los dominios no se pueden usar para establecer identidades, pero permiten gestionar los permisos de forma cómoda.
En los siguientes ejemplos se muestra cómo puede identificar un dominio en diferentes tipos de políticas:
- Políticas de permitir:
domain:example.com - Políticas de denegación:
principalSet://goog/cloudIdentityCustomerId/C01Abc35 - Políticas de límites de acceso de principales:
//iam.googleapis.com/locations/global/workspace/C01Abc35
Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.
Para obtener más información sobre Cloud Identity, consulta Acerca de Cloud Identity.
En tus políticas de permitir y denegar, los dominios secundarios se sustituyen automáticamente por el dominio principal. Esto significa que la política muestra el dominio principal cuando concedes acceso a un dominio secundario.
allAuthenticatedUsers
El valor allAuthenticatedUsers es un identificador especial que representa a todas las cuentas de servicio y a todos los usuarios de Internet que se han autenticado con una cuenta de Google. Este identificador incluye cuentas que no están conectadas a una cuenta de Google Workspace o a un dominio de Cloud Identity, como las cuentas personales de Gmail. No se incluyen los usuarios que no están autenticados, como los visitantes anónimos.
Este tipo de principal no incluye identidades federadas, que gestionan proveedores de identidades (IdPs) externos. Si usas Federación de Identidades de Workforce o Federación de Identidades de Cargas de Trabajo, no uses allAuthenticatedUsers. En su lugar, utilice una de las siguientes opciones:
- Para incluir usuarios de todos los proveedores de identidades, usa
allUsers. - Para incluir usuarios de proveedores de identidades externos específicos, usa el identificador de todas las identidades de un grupo de identidades de la fuerza de trabajo o de todas las identidades de un grupo de identidades de carga de trabajo.
Algunos tipos de recursos no admiten este tipo de principal.
allUsers
El valor allUsers es un identificador especial que representa a cualquier persona que esté en Internet, incluidos los usuarios autenticados y no autenticados.
Algunos tipos de recursos no admiten este tipo de principal.
En los siguientes ejemplos se muestra cómo podría ser el identificador allUsers en diferentes tipos de políticas:
- Permitir políticas en tipos de recursos admitidos:
allUsers - Políticas de denegación:
principalSet://goog/public:all
Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.
Identidades federadas en un grupo de identidades de Workforce
Un grupo de identidades de Workforce es un conjunto de identidades de usuario gestionado por un IdP externo y federado mediante Federación de Identidades de Workforce. Puedes hacer referencia a los principales de estos grupos de las siguientes formas:
- Una sola identidad en un grupo de identidades de Workforce
- Todas las identidades de Workforce de un grupo especificado
- Todas las identidades de la plantilla que tengan un valor de atributo específico
- Todas las identidades de un grupo de identidades de Workforce
En los siguientes ejemplos se muestra cómo identificar grupos de trabajo federados en diferentes tipos de políticas:
- Un solo principal en las políticas de permiso:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - Un conjunto de principales en las políticas de denegación:
principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com - Políticas de límites de acceso de principales:
//iam.googleapis.com/locations/global/workforcePools/example-workforce-pool
Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.
Identidades federadas en un grupo de identidades de carga de trabajo
Un grupo de identidades de carga de trabajo es un conjunto de identidades de carga de trabajo gestionado por un proveedor de identidades externo y federado mediante la federación de identidades de cargas de trabajo. Puedes hacer referencia a los principales de estos grupos de las siguientes formas:
- Una sola identidad en un grupo de identidades de carga de trabajo
- Todas las identidades de carga de trabajo de un grupo especificado
- Todas las identidades de carga de trabajo con un valor de atributo específico
- Todas las identidades de un grupo de identidades de carga de trabajo
En los siguientes ejemplos se muestra cómo puede identificar los grupos de identidades de carga de trabajo federadas en diferentes tipos de políticas:
- Un solo principal en las políticas de permiso:
principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com - Un grupo de principales en las políticas de denegación:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com - Políticas de límites de acceso de principales:
//iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/example-workload-pool
Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.
Pods de GKE
Las cargas de trabajo que se ejecutan en GKE usan Workload Identity Federation for GKE para acceder a los Google Cloud servicios. Para obtener más información sobre los identificadores principales de los pods de GKE, consulta el artículo Hacer referencia a recursos de Kubernetes en políticas de gestión de identidades y accesos.
En el siguiente ejemplo se muestra cómo identificar todos los pods de GKE de un clúster específico en una política de permiso:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/123456789012.svc.id.goog/kubernetes.cluster/https://container.googleapis.com/v1/projects/123456789012/locations/global/clusters/example-gke-cluster
Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.
Conjuntos de principales de Resource Manager
Cada recurso de Resource Manager (proyectos, carpetas y organizaciones) está asociado a un conjunto de principales. Cuando creas enlaces de políticas de límites de acceso de principales, puedes usar el conjunto de principales de un recurso de Resource Manager para hacer referencia a todos los principales asociados a ese recurso.
Los conjuntos de principales de los recursos de Resource Manager contienen los siguientes principales:
- Conjunto de principales del proyecto: todas las cuentas de servicio y los grupos de identidades de carga de trabajo del proyecto especificado.
- Conjunto de carpetas principales: todas las cuentas de servicio y todos los grupos de identidades de carga de trabajo de cualquier proyecto de la carpeta especificada.
Conjunto de principales de la organización: contiene las siguientes identidades:
- Todas las identidades de todos los dominios asociados a tu ID de cliente de Google Workspace
- Todos los grupos de identidades de Workforce de tu organización
- Todas las cuentas de servicio y los grupos de identidades de carga de trabajo de cualquier proyecto de la organización
En el siguiente ejemplo se muestra cómo identificar el conjunto de principales de un proyecto en una política de límite de acceso de principales de un conjunto de principales de un proyecto:
//cloudresourcemanager.googleapis.com/projects/example-project
Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.
Siguientes pasos
- Consulta los tipos de políticas que admite la gestión de identidades y accesos
- Asignar un rol a un principal en un proyecto, una carpeta o una organización de Resource Manager