Principales de IAM

En Identity and Access Management (IAM), controlas el acceso de los principales. Un principal representa una o más identidades que se autenticaron en Google Cloud.

Usa principales en tus políticas

Para usar principales en tus políticas, haz lo siguiente:

  1. Configura identidades que Google Cloud pueda reconocer. La configuración de identidades es el proceso de crear identidades que Google Cloud pueda reconocer. Puedes configurar identidades para los usuarios y para las cargas de trabajo.

    Si quieres obtener información para configurar identidades, consulta los siguientes vínculos:

  2. Determina el identificador principal que usarás. El identificador principal es la forma en que te refieres a un principal en tus políticas. Este identificador puede hacer referencia a una sola identidad o a un grupo de identidades.

    El formato que uses para el identificador principal depende de lo siguiente:

    • El tipo de principal
    • El tipo de política en la que deseas incluir el principal

    Para ver el formato del identificador principal de cada tipo de principal en cada tipo de política, consulta Identificadores de principal.

    Una vez que conozcas el formato del identificador, podrás determinar el identificador único del principal según sus atributos, como su dirección de correo electrónico.

  3. Incluye el identificador de la principal en tu política. Agrega tu principal a tu política, siguiendo el formato de la política.

    Para obtener información sobre los diferentes tipos de políticas en IAM, consulta Tipos de políticas.

Compatibilidad con tipos de principales

Cada tipo de política de IAM admite un subconjunto de los tipos de principales que admite IAM. Para ver los tipos de principales compatibles con cada tipo de política, consulta Identificadores de principal.

Tipos principales

IAM admite los siguientes tipos de principales:

En las siguientes secciones, se describen estos tipos principales con más detalle.

Cuentas de Google

Una Cuenta de Google representa a un desarrollador, un administrador o cualquier otra persona que interactúe con Google Cloud a través de una cuenta que creó con Google. Cualquier dirección de correo electrónico asociada a una Cuenta de Google, también llamada cuenta de usuario administrada, se puede usar como principal. Esto incluye gmail.com direcciones de correo electrónico y direcciones de correo electrónico con otros dominios.

Para obtener más información sobre cómo configurar Cuentas de Google, consulta Cuentas de Cloud Identity o Google Workspace.

Cuentas de servicio

Una cuenta de servicio es una cuenta para una aplicación o una carga de trabajo de procesamiento en lugar de un usuario final individual. Cuando ejecutas código alojado enGoogle Cloud, especificas una cuenta de servicio para usarla como la identidad de tu aplicación. Puedes crear tantas cuentas de servicio como sea necesario para representar los diferentes componentes lógicos de tu aplicación.

Para obtener más información sobre las cuentas de servicio, consulta Descripción general de las cuentas de servicio.

Grupos de Google

Un Grupo de Google es una colección de Cuentas de Google que posee un nombre. Cada Grupo de Google tiene una dirección de correo electrónico única asociada con el grupo. Para encontrar la dirección de correo electrónico asociada con un Grupo de Google, haz clic en Acerca de en la página principal de cualquier Grupo de Google. Para obtener más información sobre los Grupos de Google, consulta la página principal de Grupos de Google.

Los Grupos de Google son una forma conveniente de aplicar controles de acceso a un grupo de principales. Puedes otorgar y cambiar los controles de acceso de un grupo completo de una sola vez, en lugar de hacerlo para usuarios individuales o cuentas de servicio uno por uno. También puedes agregar o quitar principales de un Grupo de Google en lugar de actualizar una política de permisos para agregar o quitar principales.

Los Grupos de Google no tienen credenciales de acceso y no puedes usarlos para establecer la identidad a fin de solicitar acceso a un recurso.

Para obtener más información sobre el uso de grupos para el control de acceso, consulta Prácticas recomendadas para usar Grupos de Google.

Cuentas de Google Workspace

Una cuenta de Google Workspace representa un grupo virtual de todas las Cuentas de Google que contiene. Las cuentas de Google Workspace se asocian al nombre de dominio de Internet de tu organización, como example.com. Cuando creas una Cuenta de Google para un usuario nuevo, como username@example.com, esa Cuenta de Google se agrega al grupo virtual de tu cuenta de Google Workspace.

Al igual que los Grupos de Google, no se pueden usar las cuentas de Google Workspace para establecer la identidad, pero permiten la administración conveniente de permisos.

Dominios de Cloud Identity:

Un dominio de Cloud Identity es como una cuenta de Google Workspace porque representa un grupo virtual de todas las Cuentas de Google en una organización. Sin embargo, los usuarios del dominio de Cloud Identity no tienen acceso a las aplicaciones y las funciones de Google Workspace. Para obtener más información, consulta Acerca de Cloud Identity.

allAuthenticatedUsers

El valor allAuthenticatedUsers es un identificador especial que representa a todas las cuentas de servicio y a todos los usuarios de Internet que se autenticaron con una Cuenta de Google. Este identificador incluye cuentas que no están conectadas a una cuenta de Google Workspace o a un dominio de Cloud Identity, como Cuentas de Gmail personales. Los usuarios que no están autenticados, como los visitantes anónimos, no están incluidos.

Este tipo de principal no incluye las identidades federadas, que administran los proveedores de identidad externos (IdP). Si usas la federación de identidades de personal o la federación de identidades para cargas de trabajo, no uses allAuthenticatedUsers. En su lugar, usa una de las siguientes opciones:

Algunos tipos de recursos no admiten este tipo de principal.

allUsers

El valor allUsers es un identificador especial que representa a cualquier persona que esté en Internet, incluidos los usuarios autenticados y no autenticados.

Algunos tipos de recursos no admiten este tipo de principal.

Identidades federadas en un grupo de identidad de personal.

Una identidad federada en un grupo de identidades de personal es una identidad de usuario que administra un IdP externo y se federa con la federación de identidades de personal. Puedes usar una identidad específica en un grupo de identidades del personal, o bien puedes usar ciertos atributos para especificar un grupo de identidades de usuario en un grupo de identidades del personal.

Identidades federadas en un grupo de identidades para cargas de trabajo

Una identidad federada en un grupo de identidades para cargas de trabajo es una identidad de carga de trabajo que administra un IdP externo y se federa con la federación de identidades para cargas de trabajo. Puedes usar una identidad de carga de trabajo específica en un grupo de identidades para cargas de trabajo, o bien puedes usar ciertos atributos para especificar un grupo de identidades de carga de trabajo en un grupo de identidades para cargas de trabajo.

Pods de GKE

Las cargas de trabajo que se ejecutan en GKE usan la Workload Identity Federation for GKE para acceder a los servicios de Google Cloud . Para obtener más información sobre los identificadores principales de los pods de GKE, consulta Consulta los recursos de Kubernetes en las políticas de IAM.

Conjuntos principales de Resource Manager

Cada recurso de Resource Manager (proyectos, carpetas y organizaciones) está asociado a un conjunto de principales. Cuando creas vinculaciones de políticas de límite de acceso de las principales, puedes usar el conjunto de principales de un recurso de Resource Manager para hacer referencia a todas las principales asociadas con ese recurso.

Los conjuntos principales de los recursos de Resource Manager contienen los siguientes principales:

  • Conjunto de principales del proyecto: Todas las cuentas de servicio y los grupos de identidades para cargas de trabajo del proyecto especificado.
  • Principal de carpeta establecida: Todas las cuentas de servicio y todos los grupos de identidades para cargas de trabajo de cualquier proyecto en la carpeta especificada.

  • Conjunto principal de tipo organización: Contiene las siguientes identidades:

    • Todas las identidades de todos los dominios asociados con tu ID de cliente de Google Workspace
    • Todos los grupos de identidad del personal de tu organización
    • Todas las cuentas de servicio y los grupos de identidades para cargas de trabajo de cualquier proyecto de la organización

¿Qué sigue?