Configurar límites para conceder roles

En las organizaciones grandes, puede ser útil permitir que los equipos gestionen de forma independiente las políticas de permisos de sus recursos. Sin embargo, permitir que un principal conceda o revoque todos los roles de gestión de identidades y accesos puede aumentar considerablemente el riesgo de seguridad.

Puedes definir límites en los roles que un principal puede conceder y revocar con las condiciones de Gestión de Identidades y Accesos (IAM) y el atributo de la API iam.googleapis.com/modifiedGrantsByRole. Estos límites te permiten crear administradores de IAM limitados que pueden gestionar las políticas de permisos de su propio equipo, pero solo dentro de los límites que hayas definido.

Antes de empezar

Permisos obligatorios

Para obtener los permisos que necesitas para crear administradores de gestión de identidades y accesos limitados en un proyecto, una carpeta o una organización, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en el recurso para el que quieras crear un administrador de gestión de identidades y accesos limitado (proyecto, carpeta u organización):

Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para crear administradores de gestión de identidades y accesos limitados para un proyecto, una carpeta o una organización. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

Permisos obligatorios

Para crear administradores de gestión de identidades y accesos limitados en un proyecto, una carpeta o una organización, se necesitan los siguientes permisos:

  • Para crear un administrador de gestión de identidades y accesos limitado para un proyecto, haz lo siguiente:
    • resourcemanager.projects.getIamPolicy
    • resourcemanager.projects.setIamPolicy
  • Para crear un administrador de gestión de identidades y accesos limitado para una carpeta, sigue estos pasos:
    • resourcemanager.folders.getIamPolicy
    • resourcemanager.folders.setIamPolicy
  • Para crear un administrador de gestión de identidades y accesos limitado para una organización, sigue estos pasos:
    • resourcemanager.organizations.getIamPolicy
    • resourcemanager.organizations.setIamPolicy

También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

Casos prácticos habituales

En las siguientes secciones se describe cómo puede usar la concesión de roles limitada para habilitar la gestión de autoservicio de las políticas de permiso.

Crear administradores de gestión de identidades y accesos limitados

Supongamos que quieres permitir que un usuario, Noam, actúe como administrador de gestión de identidades y accesos limitado en tu proyecto. Quieres que Noam solo pueda conceder y revocar los roles Administrador de App Engine (roles/appengine.appAdmin) y Lector de App Engine (roles/appengine.appViewer) de tu proyecto.

Para concederle esta capacidad limitada, le asignas condicionalmente el rol Administrador de gestión de identidades y accesos del proyecto (roles/resourcemanager.projectIamAdmin). Este rol permite a Noam conceder y revocar roles de gestión de identidades y accesos, y la condición limita los roles que puede conceder y revocar:

{
  "version": 3,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "members": [
        "user:owner@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "user:noam@example.com"
      ],
      "role": "roles/resourcemanager.projectIamAdmin",
      "condition": {
        "title": "only_appengine_admin_viewer_roles",
        "description": "Only allows changes to role bindings with the App Engine Admin or Viewer roles",
        "expression":
          "api.getAttribute('iam.googleapis.com/modifiedGrantsByRole', []).hasOnly(['roles/appengine.appAdmin', 'roles/appengine.appViewer'])"
      }
    }
  ]
}

Esta vinculación de rol condicional permite a Noam hacer lo siguiente:

  • Asigna los roles Administrador de App Engine y Lector de App Engine al proyecto.
  • Revoca los roles Administrador de App Engine y Lector de App Engine del proyecto.
  • Añade, quita o modifica las condiciones de las vinculaciones de roles a nivel de proyecto que conceden los roles de administrador y de lector de App Engine.
  • Realizar otras acciones permitidas por el rol Administrador de gestión de identidades y accesos del proyecto que no modifiquen la política de permisos del proyecto. Por ejemplo, Noam podría usar el método projects.getIamPolicy para obtener la política de permisos del proyecto.

Esta vinculación de rol condicional no permite que Noam haga lo siguiente:

  • Modificar las políticas de permiso de recursos que no sean el proyecto.
  • Conceder roles distintos de los roles de administrador o de lector de App Engine.
  • Revocar roles que no sean los de administrador o lector de App Engine.
  • Añade, quita o modifica las condiciones de las vinculaciones de roles que no conceden los roles de administrador o de lector de App Engine.

Permitir que los usuarios gestionen administradores de IAM limitados

Supongamos que quieres convertir a un usuario, Lila, en administrador de gestión de identidades y accesos con acceso limitado para su equipo. Quieres que Lila solo pueda conceder y revocar el rol Administrador de Compute (roles/compute.admin) en su proyecto. Sin embargo, también quieres que Lila pueda seleccionar a otros usuarios para que actúen como administradores de IAM limitados. Es decir, quieres que Lila permita a otros usuarios conceder y revocar solo el rol de administrador de Compute.

Puede que pienses que la solución es conceder a Lila el rol de administrador de gestión de identidades y accesos del proyecto (roles/resourcemanager.projectIamAdmin) y, después, darle la posibilidad de conceder o revocar ese rol a otros usuarios. Sin embargo, si le asignas a Lila el rol de administrador de gestión de identidades y accesos de proyecto, podría quitar la condición de su propio rol y concederse la capacidad de asignar o revocar cualquier rol de gestión de identidades y accesos.

Para evitar esta elevación de privilegios, crea un grupo de Google, iam-compute-admins, para los administradores de IAM limitados del proyecto. Después, añade a Lila al grupo y nómbrala administradora del grupo.

Después de crear el grupo, le asignas condicionalmente el rol de administrador de gestión de identidades y accesos del proyecto (roles/resourcemanager.projectIamAdmin). El rol de administrador de gestión de identidades y accesos del proyecto permite a los miembros del grupo conceder y revocar roles de gestión de identidades y accesos, y la condición limita los roles que pueden conceder y revocar:

{
  "version": 3,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "members": [
        "user:owner@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "group:iam-compute-admins@example.com"
      ],
      "role": "roles/resourcemanager.projectIamAdmin",
      "condition": {
        "title": "only_compute_admin_role",
        "description": "Only allows changes to role bindings for the Compute Admin role",
        "expression":
          "api.getAttribute('iam.googleapis.com/modifiedGrantsByRole', []).hasOnly(['roles/compute.admin'])"
      }
    }
  ]
}

Como miembro del grupo iam-compute-admins, Lila puede hacer lo siguiente:

  • Asigna el rol Administrador de Compute al proyecto añadiendo una nueva vinculación para el rol o añadiendo una cuenta principal a una vinculación del rol que ya exista.
  • Revoca el rol Administrador de Compute quitando una vinculación del rol o quitando un principal de una vinculación del rol.
  • Modifica las concesiones del rol Administrador de Compute añadiendo, quitando o modificando las condiciones asociadas a las vinculaciones del rol.
  • Realizar otras acciones permitidas por el rol Administrador de gestión de identidades y accesos del proyecto que no modifiquen la política de permisos del proyecto. Por ejemplo, podría usar el método projects.getIamPolicy para obtener la política de permisos del proyecto.

Como gestora del grupo iam-compute-admins, Lila puede permitir que otros usuarios concedan o revoquen el rol Administrador de Compute añadiéndolos al grupo iam-compute-admins.

Lila no puede hacer lo siguiente:

  • Tener la capacidad de conceder o revocar otros roles.
  • Modificar las políticas de permiso de recursos que no sean el proyecto.
  • Asignar roles que no sean el de administrador de Compute.
  • Revocar roles que no sean el de administrador de Compute.
  • Añadir, quitar o modificar las condiciones de las vinculaciones de roles que no conceden el rol Administrador de Compute.

Limitar la concesión de roles

En las siguientes secciones se explica cómo permitir que los principales concedan o revoquen solo determinados roles.

Escribir una expresión de condición para limitar la concesión de roles

Para limitar la capacidad de una entidad principal de conceder roles, escribe una expresión de condición que especifique los roles que puede conceder o revocar.

Usa el siguiente formato para la expresión de la condición:

api.getAttribute('iam.googleapis.com/modifiedGrantsByRole', []).hasOnly(roles)

Esta expresión hace lo siguiente:

  • Obtiene el atributo de la API iam.googleapis.com/modifiedGrantsByRole mediante la función api.getAttribute().

    En una solicitud para definir la política de permiso de un recurso, este atributo contiene los nombres de los roles de las vinculaciones que modifica la solicitud. En otros tipos de solicitudes, el atributo no está definido. En estos casos, la función devuelve el valor predeterminado ([]).

  • Usa la función hasOnly() lenguaje de expresión común (CEL) para definir y aplicar los roles que el principal puede conceder o revocar.

    La entrada de la función hasOnly() es una lista de los roles que el principal puede conceder o revocar. Si los roles del atributo iam.googleapis.com/modifiedGrantsByRole se incluyen en esta lista, la función devuelve true. Si no lo son, la función devuelve false.

    Si el atributo iam.googleapis.com/modifiedGrantsByRole contiene el valor predeterminado ([]), la función devuelve true, ya que [] no contiene ningún rol que no esté incluido en la lista.

Para personalizar esta expresión, sustituye roles por una lista de los roles que el principal puede conceder o revocar. Por ejemplo, para permitir que la entidad de seguridad conceda o revoque solo los roles de editor de Pub/Sub (roles/pubsub.editor) y editor de Pub/Sub (roles/pubsub.publisher), usa el valor ['roles/pubsub.editor', 'roles/pubsub.publisher'].

Puedes incluir hasta 10 valores en la lista de roles permitidos. Todos estos valores deben ser constantes de cadena.

Operadores lógicos para instrucciones hasOnly()

No uses los operadores && o || para unir varias instrucciones hasOnly() en una sola condición. Si lo haces, es posible que las solicitudes que concedan o revoquen varios roles fallen, aunque la entidad principal pueda conceder o revocar esos roles individualmente.

Por ejemplo, supongamos que se da la siguiente condición:

api.getAttribute('iam.googleapis.com/modifiedGrantsByRole', [])
    .hasOnly(['roles/pubsub.editor']) ||
api.getAttribute('iam.googleapis.com/modifiedGrantsByRole', [])
    .hasOnly(['roles/pubsub.publisher'])

Esta condición se evalúa como true si una solicitud concede el rol roles/pubsub.editor o el rol roles/pubsub.publisher, pero se evalúa como false si una solicitud concede ambos roles.roles/pubsub.editorroles/pubsub.publisher

Limitar la concesión de roles con vinculaciones de roles condicionales

Para permitir que una entidad de seguridad conceda o revoque solo determinados roles, usa la expresión de condición de la sección anterior para crear un enlace de rol condicional. A continuación, añade la vinculación de roles condicional a la política de permisos de un recurso.

  1. Selecciona un recurso que represente el ámbito en el que quieras permitir que una entidad de seguridad conceda y revoque roles:

    • Si quieres permitir que una cuenta principal conceda y revoque determinados roles para todos los recursos de una organización, selecciona una organización.
    • Si quieres permitir que una principal conceda y revoque determinados roles para todos los recursos de una carpeta, selecciona una carpeta.
    • Si quieres permitir que una principal conceda y revoque determinados roles para todos los recursos de un proyecto, selecciona un proyecto.

  2. Selecciona un rol que permita a una entidad definir la política de permiso para el tipo de recurso que hayas seleccionado (proyecto, carpeta u organización). Para seguir el principio de privilegio mínimo, elige uno de los siguientes roles predefinidos:

    • Proyectos: administrador de gestión de identidades y accesos de proyectos (roles/resourcemanager.projectIamAdmin)
    • Carpetas: administrador de gestión de identidades y accesos de carpetas (roles/resourcemanager.folderIamAdmin)

    • Organizaciones: administrador de la organización (roles/resourcemanager.organizationAdmin).

    También puedes elegir un rol personalizado que incluya los permisos resourcemanager.resource-type.setIamPolicy y resourcemanager.resource-type.getIamPolicy, donde resource-type sea project, folder o organization.

  3. Concede de forma condicional a un principal el rol que elijas en el proyecto, la carpeta o la organización que hayas seleccionado.

    Se aplica la nueva política de permiso y tu entidad principal solo puede modificar las vinculaciones de los roles que hayas permitido.

    Consola

    1. En la consola, ve a la página IAM. Google Cloud

      Ir a la página de gestión de identidades y accesos

    2. Comprueba que el nombre de tu proyecto, carpeta u organización aparece en el selector de recursos de la parte superior de la página. El selector de recursos te indica en qué proyecto, carpeta u organización estás trabajando.

      Si no ves el nombre de tu recurso, haz clic en el selector de recursos y, a continuación, selecciona el recurso.

    3. En la lista de principales, busca el principal que concederá y revocará roles, y haz clic en el botón .

    4. En el panel Editar permisos, selecciona el rol que hayas elegido anteriormente. A continuación, en Condición de IAM (opcional), haz clic en Añadir condición de IAM.

    5. En el panel Editar condición, introduce un título y una descripción opcional para la condición.

    6. Haz clic en la pestaña Editor de condiciones e introduce la expresión que has escrito en Escribir una expresión de condición para limitar la concesión de roles. Esta expresión limita los roles que la entidad principal puede conceder o revocar.

      Por ejemplo, la siguiente expresión de condición limita la entidad de seguridad a conceder y revocar los roles Editor de Pub/Sub (roles/pubsub.editor) y Editor de Pub/Sub (roles/pubsub.publisher):

      api.getAttribute('iam.googleapis.com/modifiedGrantsByRole', []).hasOnly(['roles/pubsub.editor', 'roles/pubsub.publisher'])

      Advertencia: No incluyas los siguientes tipos de roles en la lista de roles permitidos:

      • Roles con permisos para conceder y revocar roles de gestión de identidades y accesos (es decir, roles con nombres de permisos que terminan en setIamPolicy).
      • Roles personalizados que puede modificar el administrador de gestión de identidades y accesos limitado. Por ejemplo, si el administrador de gestión de identidades y accesos limitado también tiene el rol Administrador de roles (roles/iam.roleAdmin) en un proyecto, no le permitas conceder ni revocar roles personalizados a nivel de proyecto.

      Los administradores de gestión de identidades y accesos limitados que pueden conceder y revocar estos tipos de roles pueden concederse a sí mismos permiso para conceder y revocar todos los roles de gestión de identidades y accesos. Consulta más información en el artículo Escribir una expresión de condición para limitar la concesión de roles.

    7. Haz clic en Guardar para aplicar la condición.

    8. Cuando se cierre el panel Editar condición, haz clic en Guardar en el panel Editar permisos para actualizar tu política de permisos.

    gcloud

    Las políticas de permiso se definen mediante el patrón lectura, modificación y escritura.

    Primero, lee la política de permisos del recurso:

    Ejecuta el comando get-iam-policy. Este comando obtiene la política de permiso actual del recurso.

    Comando:

    gcloud resource-type get-iam-policy resource-id --format=json > path

    Sustituye los siguientes valores:

    • resource-type: el tipo de recurso para el que quieres permitir que una principal conceda o revoque roles. Usa una de las siguientes opciones: projects, resource-manager folders o organizations.
    • resource-id: el ID de tu Google Cloud proyecto, carpeta u organización.
    • path: ruta del archivo en el que se descargará la política de permisos.

    La política de permiso se guarda en formato JSON. Por ejemplo:

    {
  "bindings": [
    {
      "members": [
        "user:project-owner@example.com"
      ],
      "role": "roles/owner"
    }
  ],
  "etag": "BwWKmjvelug=",
  "version": 1
}

    A continuación, modifica la política de permiso.

    Para permitir que una cuenta principal solo modifique las vinculaciones de determinados roles, añade la vinculación de roles condicional destacada:

    {
  "bindings": [
    {
      "members": [
        "user:owner@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "principal"
      ],
      "role": "role",
      "condition": {
        "title": "title",
        "description": "description",
        "expression":
          "expression"
      }
    }
  ],
  "etag": "BwWKmjvelug=",
  "version": 3
}

    Sustituye los siguientes valores:

    • principal: la entidad que asignará o revocará determinados roles. Por ejemplo, user:my-user@example.com. Para ver los formatos de cada tipo principal, consulta Identificadores principales.
    • role: el rol que has elegido en los pasos anteriores. Este rol debe incluir el permiso setIamPolicy para el tipo de recurso que hayas elegido.
    • title: cadena que describe brevemente la condición. Por ejemplo, only_pubsub_roles.
    • description: opcional. Una descripción adicional de la condición. Por ejemplo, Only allows granting/revoking the Pub/Sub editor and publisher roles.

    • expression: la expresión que has escrito en Escribir una expresión condicional para limitar la concesión de roles. Esta expresión limita los roles que la entidad principal puede conceder o revocar.

      Por ejemplo, la siguiente expresión de condición limita la entidad de seguridad a conceder y revocar los roles Editor de Pub/Sub (roles/pubsub.editor) y Editor de Pub/Sub (roles/pubsub.publisher):

      api.getAttribute('iam.googleapis.com/modifiedGrantsByRole', []).hasOnly(['roles/pubsub.editor', 'roles/pubsub.publisher'])

      Advertencia: No incluyas los siguientes tipos de roles en la lista de roles permitidos:

      • Roles con permisos para conceder y revocar roles de gestión de identidades y accesos (es decir, roles con nombres de permisos que terminan en setIamPolicy).
      • Roles personalizados que puede modificar el administrador de gestión de identidades y accesos limitado. Por ejemplo, si el administrador de gestión de identidades y accesos limitado también tiene el rol Administrador de roles (roles/iam.roleAdmin) en un proyecto, no le permitas conceder ni revocar roles personalizados a nivel de proyecto.

      Los administradores de gestión de identidades y accesos limitados que pueden conceder y revocar estos tipos de roles pueden concederse a sí mismos permiso para conceder y revocar todos los roles de gestión de identidades y accesos. Consulta más información en el artículo Escribir una expresión de condición para limitar la concesión de roles.

    Por último, escribe la política de permiso actualizada:

    Define la nueva política de permiso ejecutando el comando set-iam-policy para el recurso:

    gcloud resource-type set-iam-policy resource-id path

    Sustituye los siguientes valores:

    • resource-type: el tipo de recurso para el que quieres permitir que una principal conceda o revoque roles. Usa una de las siguientes opciones: projects, resource-manager folders o organizations.
    • resource-id: el ID de tu Google Cloud proyecto, carpeta u organización.
    • path: ruta al archivo que contiene la política de permisos actualizada.

    Se aplica la nueva política de permiso y la entidad principal podrá modificar las vinculaciones solo de los roles que hayas permitido.

    REST

    Las políticas de permiso se definen mediante el patrón lectura, modificación y escritura.

    Primero, lee la política de permisos del recurso:

    El método getIamPolicy de la API Resource Manager obtiene la política de permisos de un proyecto, una carpeta o una organización.

    Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

    • API_VERSION: la versión de la API que se va a usar. Para proyectos y organizaciones, usa v1. En el caso de las carpetas, usa v2.
    • RESOURCE_TYPE: el tipo de recurso cuya política quieres gestionar. Usa el valor projects, folders o organizations.
    • RESOURCE_ID: ID de tu Google Cloud proyecto, organización o carpeta. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.
    • POLICY_VERSION: la versión de la política que se va a devolver. En las solicitudes se debe especificar la versión de la política más reciente, que es la versión 3. Consulta Especificar una versión de la política al obtener una política para obtener más información.

    Método HTTP y URL: 

    POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:getIamPolicy

    Cuerpo JSON de la solicitud: 

    {
  "options": {
    "requestedPolicyVersion": POLICY_VERSION
  }
}

    Para enviar tu solicitud, despliega una de estas opciones:

    La respuesta contiene la política de permisos del recurso. Por ejemplo: 

    {
  "version": 1,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "role": "roles/owner",
      "members": [
        "user:my-user@example.com"
      ]
    }
  ]
}

    A continuación, modifica la política de permiso.

    Añade una vinculación de roles condicional que permita a una cuenta principal conceder y revocar solo determinados roles. Asegúrate de cambiar el campo version por el valor 3:

    {
  "version": 3,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "members": [
        "user:owner@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "PRINCIPAL"
      ],
      "role": "ROLE",
      "condition": {
        "title": "TITLE",
        "description": "DESCRIPTION",
        "expression":
          "EXPRESSION"
      }
    }
  ]
}
    • PRINCIPAL: la entidad que asignará o revocará determinados roles. Por ejemplo, user:my-user@example.com. Para ver los formatos de cada tipo principal, consulta Identificadores principales.
    • ROLE: el rol que has elegido en los pasos anteriores. Este rol debe incluir el permiso setIamPolicy para el tipo de recurso que hayas elegido.
    • TITLE: cadena que describe brevemente la condición. Por ejemplo, only_pubsub_roles.
    • DESCRIPTION: opcional. Una descripción adicional de la condición. Por ejemplo, Only allows granting/revoking the Pub/Sub editor and publisher roles.

    • EXPRESSION: la expresión que has escrito en Escribir una expresión condicional para limitar la concesión de roles. Esta expresión limita los roles que la entidad principal puede conceder o revocar.

      Por ejemplo, la siguiente expresión de condición limita la entidad de seguridad a conceder y revocar los roles Editor de Pub/Sub (roles/pubsub.editor) y Editor de Pub/Sub (roles/pubsub.publisher):

      api.getAttribute('iam.googleapis.com/modifiedGrantsByRole', []).hasOnly(['roles/pubsub.editor', 'roles/pubsub.publisher'])

      Advertencia: No incluyas los siguientes tipos de roles en la lista de roles permitidos:

      • Roles con permisos para conceder y revocar roles de gestión de identidades y accesos (es decir, roles con nombres de permisos que terminan en setIamPolicy).
      • Roles personalizados que puede modificar el administrador de gestión de identidades y accesos limitado. Por ejemplo, si el administrador de gestión de identidades y accesos limitado también tiene el rol Administrador de roles (roles/iam.roleAdmin) en un proyecto, no le permitas conceder ni revocar roles personalizados a nivel de proyecto.

      Los administradores de gestión de identidades y accesos limitados que pueden conceder y revocar estos tipos de roles pueden concederse a sí mismos permiso para conceder y revocar todos los roles de gestión de identidades y accesos. Consulta más información en el artículo Escribir una expresión de condición para limitar la concesión de roles.

    Por último, escribe la política de permiso actualizada:

    El método setIamPolicy de la API Resource Manager define la política de permiso de la solicitud como la nueva política de permiso del proyecto, la carpeta o la organización.

    Antes de usar los datos de la solicitud, haz las siguientes sustituciones:

    • API_VERSION: la versión de la API que se va a usar. Para proyectos y organizaciones, usa v1. En el caso de las carpetas, usa v2.
    • RESOURCE_TYPE: el tipo de recurso cuya política quieres gestionar. Usa el valor projects, folders o organizations.
    • RESOURCE_ID: ID de tu Google Cloud proyecto, organización o carpeta. Los IDs de proyecto son cadenas alfanuméricas, como my-project. Los IDs de carpetas y organizaciones son numéricos, como 123456789012.

    • POLICY: representación JSON de la política que quieres definir. Para obtener más información sobre el formato de una política, consulta la referencia de la política.

      Por ejemplo, para definir la política que se muestra en el paso anterior, sustituya POLICY por lo siguiente:

      {
  "version": 3,
  "etag": "BwWKmjvelug=",
  "bindings": [
    {
      "members": [
        "user:owner@example.com"
      ],
      "role": "roles/owner"
    },
    {
      "members": [
        "principal"
      ],
      "role": "role",
      "condition": {
        "title": "title",
        "description": "description",
        "expression":
          "expression"
      }
    }
  ]
}

    Método HTTP y URL: 

    POST https://cloudresourcemanager.googleapis.com/API_VERSION/RESOURCE_TYPE/RESOURCE_ID:setIamPolicy

    Cuerpo JSON de la solicitud: 

    {
  "policy": POLICY
}

    Para enviar tu solicitud, despliega una de estas opciones:

    La respuesta contiene la política de permiso actualizada.

Siguientes pasos