Soluciona problemas de permisos de IAM

El solucionador de problemas de políticas de IAM te ayuda a comprender por qué un usuario tiene acceso a un recurso o no tiene permiso para llamar a una API. Con una dirección de correo electrónico, un recurso y un permiso, el solucionador de problemas de políticas examina todas las políticas de permiso y de denegación que se aplican al recurso. Luego, usa esas políticas para indicar si la principal tiene el permiso. También, se enumeran las vinculaciones de roles y las reglas de denegación en las políticas y se explica cómo afectan el acceso de la principal.

Puedes acceder al Solucionador de problemas de políticas mediante la consola de Google Cloud, Google Cloud CLI o la API de REST. Para consultas simples, el uso de la consola de Google Cloud suele ser más rápido. Para situaciones más complejas, considera usar gcloud CLI o la API de REST.

Antes de comenzar

  • Habilita la API de Policy Troubleshooter.

    Habilita la API

Permisos necesarios

Para solucionar todos los problemas de acceso de las principales, necesitas los siguientes permisos.

Permisos para solucionar problemas de acceso de principales individuales

El Solucionador de problemas de políticas analiza el acceso de una principal a un recurso según las políticas de permisos, las políticas de denegación y los roles que tienes permiso para ver. Si no tienes permiso para ver una política que se aplica a un recurso o para ver un rol personalizado, es posible que no puedas saber si una principal tiene acceso.

A fin de obtener los permisos que necesitas para solucionar problemas de acceso de una principal, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización:

Si quieres obtener más información para otorgar funciones, consulta Administra el acceso.

Es posible que también puedas obtener los permisos necesarios mediante funciones personalizadas, o bien otras funciones predefinidas.

Permisos para solucionar problemas de acceso de los miembros del grupo

Si tus políticas de permisos y denegación incluyen grupos, necesitas el permiso de la API de Admin de Google Workspace groups.read para solucionar problemas de acceso de miembros individuales del grupo. Los administradores avanzados y los administradores de grupo tienen este permiso automáticamente. Para otorgarle este permiso a un usuario que no es un administrador avanzado o de grupo, crea una función de administrador de Google Workspace personalizada que contenga el privilegio groups.read (ubicado en Privilegios de la API de administrador) y otórgalo al usuario.

Si no tienes estos permisos, las vinculaciones de roles y las reglas de denegación que contienen grupos o dominios tienen un resultado de acceso de Unknown, a menos que la vinculación de rol o la regla de denegación también incluyan explícitamente la principal.

Permisos para solucionar problemas de acceso de los miembros del dominio

Si tus políticas de permisos y denegación incluyen una cuenta de Google Workspace o un dominio de Cloud Identity, debes ser administrador de dominio para solucionar problemas de acceso de miembros individuales del dominio.

Si no tienes estos permisos, las vinculaciones de roles y las reglas de denegación que contienen grupos o dominios tienen un resultado de acceso de Unknown, a menos que la vinculación de rol o la regla de denegación también incluyan explícitamente la principal.

Soluciona problemas de acceso

Para solucionar problemas de acceso, necesitas la siguiente información:

  • Principal: La dirección de correo electrónico que se debe verificar. La dirección de correo electrónico debe hacer referencia a un usuario o a una cuenta de servicio. No se admiten otros tipos de principales, incluidos los grupos, los dominios, las identidades de personal y las identidades de carga de trabajo.
  • Recurso: El nombre completo del recurso. Por ejemplo, para verificar el proyecto my-project, ingresa //cloudresourcemanager.googleapis.com/projects/my-project. Para otros tipos de recursos, consulta los ejemplos de nombres completos de recursos.
  • Permiso: El permiso que se debe verificar. Si usas la consola de Google Cloud, se mostrará una lista de sugerencias a medida que escribes. Para obtener una lista completa de los permisos, consulta Referencia de permisos de IAM.

Consola

Para solucionar problemas de acceso, sigue estos pasos:

  1. En la consola de Google Cloud, ve a la página Solucionador de problemas de políticas.

    Ir al solucionador de problemas de políticas

  2. Ingresa el correo electrónico de la principal cuyo acceso quieres verificar.

  3. Ingresa el nombre completo del recurso que deseas verificar.

    Si no conoces el nombre completo del recurso, realiza una de las siguientes acciones:

    • Si estás solucionando problemas de acceso para un proyecto, una carpeta o una organización, comienza a escribir para ver las opciones de autocompletado.
    • Si quieres solucionar problemas de acceso a otro tipo de recurso, haz clic en Explorar para abrir el diálogo de búsqueda de recursos y, luego, busca el recurso:

      1. En el cuadro Seleccionar alcance, selecciona un proyecto, una carpeta o una organización para buscar.
      2. En el cuadro Tipo de recurso, selecciona los tipos de recursos que deseas buscar.
      3. En el cuadro Buscar recursos, ingresa una parte del nombre del recurso.
      4. En la sección de resultados, selecciona el recurso que deseas verificar.
      5. Haz clic en Seleccionar para elegir el recurso y cerrar el cuadro de diálogo.
  4. Ingresa el permiso que quieres verificar.

    Si no conoces el nombre completo del permiso, comienza a escribir para ver las opciones de autocompletado.

  5. Opcional: Para comprobar varios recursos y permisos, selecciona Agregar otro par y repite el paso anterior.

  6. Haz clic en Verificar acceso.

gcloud

Para averiguar por qué una principal tiene o no un permiso de IAM, usa el comando gcloud policy-troubleshoot iam.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • EMAIL: La dirección de correo electrónico del principal al que pertenecen los permisos con problemas que deseas solucionar.
  • RESOURCE: El recurso en el que se otorga el permiso.
  • PERMISSION: El permiso con los problemas que deseas solucionar.

Ejecuta el comando gcloud policy-troubleshoot iam:

Linux, macOS o Cloud Shell

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL \
    --permission=PERMISSION

Windows (PowerShell)

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL `
    --permission=PERMISSION

Windows (cmd.exe)

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL ^
    --permission=PERMISSION

Deberías recibir una respuesta similar a la que figura a continuación:

{
  "accessTuple": {
    "conditionContext": {
      "destination": {},
      "effectiveTags": [
        {
          "tagValue": "tagValues/281481941428044",
          "namespacedTagValue": "803434038361/env/dev",
          "tagKey": "tagKeys/281475994198094",
          "namespacedTagKey": "803434038361/env",
          "tagKeyParentName": "organizations/803434038361"
        }
      ],
      "request": {},
      "resource": {}
    },
    "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
    "permission": "compute.instances.get",
    "permissionFqdn": "compute.googleapis.com/instances.get",
    "principal": "user1@example.com"
  },
  "allowPolicyExplanation": {
    "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
    "explainedPolicies": [
      {
        "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
        "bindingExplanations": [
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_HIGH"
            },
            "memberships": {
              "user:user1@example.com": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH",
            "role": "roles/compute.viewer",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:user2@example.com": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "role": "roles/owner",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:user1@example.com": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "role": "roles/resourcemanager.organizationAdmin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
          }
        ],
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "policy": {
          "bindings": [
            {
              "members": [
                "user:user1@example.com"
              ],
              "role": "roles/compute.viewer"
            },
            {
              "members": [
                "user:user2@example.com"
              ],
              "role": "roles/owner"
            },
            {
              "members": [
                "user:user1@example.com"
              ],
              "role": "roles/resourcemanager.organizationAdmin"
            },
          ],
          "etag": "BwX5/L9Vbg4=",
          "version": 3
        },
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      }
    ],
    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
  },
  "denyPolicyExplanation": {
    "denyAccessState": "DENY_ACCESS_STATE_DENIED",
    "explainedResources": [
      {
        "denyAccessState": "DENY_ACCESS_STATE_DENIED",
        "explainedPolicies": [
          {
            "denyAccessState": "DENY_ACCESS_STATE_DENIED",
            "policy": {
              "createTime": "2023-04-18T07:15:47.702191Z",
              "displayName": "Deny compute instance get",
              "etag": "MTc3MDA1ODIyNjExNTMzMDg2NzI=",
              "kind": "DenyPolicy",
              "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F123456789012/denypolicies/deny-compute-get",
              "rules": [
                {
                  "denyRule": {
                    "deniedPrincipals": [
                      "principal://iam.googleapis.com/projects/-/serviceAccounts/user1@example.com"
                    ],
                    "deniedPermissions": [
                      "compute.googleapis.com/instances.get"
                    ]
                  }
                }
              ],
              "uid": "77e93c80-b383-0027-268e-a52a608aa13d",
              "updateTime": "2023-04-18T07:15:47.702191Z",
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH",
            "ruleExplanations": [
              {
                "combinedDeniedPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedDeniedPrincipal": {
                  "membership": "MEMBERSHIP_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedExceptionPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedExceptionPrincipal": {
                  "membership": "MEMBERSHIP_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "deniedPermissions": {
                  "compute.googleapis.com/instances.get": {
                    "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "deniedPrincipals": {
                  "principal://iam.googleapis.com/projects/-/serviceAccounts/user1@example.com": {
                    "membership": "MEMBERSHIP_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "denyAccessState": "DENY_ACCESS_STATE_DENIED",
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            ]
          }
        ],
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/123456789012",
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      }
    ],
    "permissionDeniable": true,
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "overallAccessState": "CANNOT_ACCESS"
}

REST

Para averiguar por qué una principal tiene o no un permiso de IAM, usa el método iam.troubleshoot de la API del solucionador de problemas de políticas.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • EMAIL: La dirección de correo electrónico del principal al que pertenecen los permisos con problemas que deseas solucionar.
  • RESOURCE: El recurso en el que se otorga el permiso.
  • PERMISSION: El permiso con los problemas que deseas solucionar.
  • PROJECT_ID: El ID del proyecto que deseas usar para realizar la solicitud Los ID de proyecto son strings alfanuméricas, como my-project.

Método HTTP y URL:

POST https://policytroubleshooter.googleapis.com/v3/iam:troubleshoot

Cuerpo JSON de la solicitud:

{
  "accessTuple": {
    "principal": "EMAIL",
    "fullResourceName": "RESOURCE",
    "permission": "PERMISSION"
  }
}

Para enviar tu solicitud, expande una de estas opciones:

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "overallAccessState": "CANNOT_ACCESS",
  "accessTuple": {
    "principal": "user1@example.com",
    "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
    "permission": "compute.instances.get",
    "permissionFqdn": "compute.googleapis.com/instances.get",
    "conditionContext": {
      "effectiveTags": [
        {
          "tagValue": "tagValues/281481941428044",
          "namespacedTagValue": "803434038361/env/dev",
          "tagKey": "tagKeys/281475994198094",
          "namespacedTagKey": "803434038361/env",
          "tagKeyParentName": "organizations/803434038361"
        }
      ]
    }
  },
  "allowPolicyExplanation": {
    "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
    "explainedPolicies": [
      {
        "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "bindingExplanations": [
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
            "role": "roles/compute.viewer",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_HIGH"
            },
            "memberships": {
              "user:user1@example.com": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/owner",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:user2@example.com": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/resourcemanager.organizationAdmin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:user1@example.com": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL"
          }
        ],
        "relevance": "HEURISTIC_RELEVANCE_HIGH",
        "policy": {
          "version": 3,
          "etag": "BwX5/L9Vbg4=",
          "bindings": [
            {
              "role": "roles/compute.viewer",
              "members": [
                "user:user1@example.com"
              ]
            },
            {
              "role": "roles/owner",
              "members": [
                "user:user2@example.com"
              ]
            },
            {
              "role": "roles/resourcemanager.organizationAdmin",
              "members": [
                "user:user1@example.com"
              ]
            },
          ]
        }
      }
    ],
    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
  },
  "denyPolicyExplanation": {
    "denyAccessState": "DENY_ACCESS_STATE_DENIED",
    "explainedResources": [
      {
        "denyAccessState": "DENY_ACCESS_STATE_DENIED",
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/123456789012",
        "explainedPolicies": [
          {
            "denyAccessState": "DENY_ACCESS_STATE_DENIED",
            "policy": {
              "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F123456789012/denypolicies/deny-compute-get",
              "uid": "77e93c80-b383-0027-268e-a52a608aa13d",
              "kind": "DenyPolicy",
              "displayName": "Deny compute instance get",
              "etag": "MTc3MDA1ODIyNjExNTMzMDg2NzI=",
              "createTime": "2023-04-18T07:15:47.702191Z",
              "updateTime": "2023-04-18T07:15:47.702191Z",
              "rules": [
                {
                  "denyRule": {
                    "deniedPrincipals": [
                      "principal://iam.googleapis.com/projects/-/serviceAccounts/user1@example.com"
                    ],
                    "deniedPermissions": [
                      "compute.googleapis.com/instances.get"
                    ]
                  }
                }
              ]
            },
            "ruleExplanations": [
              {
                "denyAccessState": "DENY_ACCESS_STATE_DENIED",
                "combinedDeniedPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "deniedPermissions": {
                  "compute.googleapis.com/instances.get": {
                    "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "combinedExceptionPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedDeniedPrincipal": {
                  "membership": "MEMBERSHIP_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "deniedPrincipals": {
                  "principal://iam.googleapis.com/projects/-/serviceAccounts/user1@example.com": {
                    "membership": "MEMBERSHIP_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "combinedExceptionPrincipal": {
                  "membership": "MEMBERSHIP_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            ],
            "relevance": "HEURISTIC_RELEVANCE_HIGH"
          }
        ],
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      }
    ],
    "relevance": "HEURISTIC_RELEVANCE_HIGH",
    "permissionDeniable": true
  }
}

Comprende los resultados del Solucionador de problemas

Consola

La página de resultados contiene la siguiente información:

Detalles de la evaluación

La sección Detalles de la evaluación contiene un resumen del acceso que estás solucionando, incluidos la principal, el recurso y el permiso especificados. Si quieres solucionar problemas de varios pares de permisos de recursos, puedes usar la lista Evaluación de acceso para alternar entre ellos.

Detalles de la política

La sección Detalles de la política contiene detalles sobre cómo las políticas de permiso y denegación relevantes afectan el acceso de la principal.

Las políticas de permisos y denegación relevantes incluyen lo siguiente:

  • La política de permiso del recurso
  • Las políticas de denegación del recurso, si las hay
  • Las políticas de permiso del proyecto superior, la carpeta y la organización del recurso, si las hay
  • Las políticas de denegación del proyecto superior, la carpeta y la organización del recurso, si las hay

Las políticas de permisos y denegación de proyectos, carpetas y organizaciones superiores son relevantes debido a la herencia de políticas. Cuando adjuntas una política de permiso o denegación a un proyecto, una organización o una carpeta, esa política también se aplica a todos los recursos dentro de ese proyecto, organización o carpeta.

Por ejemplo, si una política de denegación para una organización indica que una principal no puede usar un permiso específico, la principal no puede usar ese permiso en ningún recurso dentro de la organización. Esta regla se aplica incluso si las carpetas y proyectos dentro de esa organización tienen políticas de denegación más permisivas o políticas de permiso que otorgan permiso a la principal.

Del mismo modo, si una política de permisos para un proyecto le da a una principal un permiso específico, la principal tiene ese permiso para cualquier recurso dentro del proyecto, siempre que no se le deniegue ese permiso.

La sección Detalles de la política contiene las siguientes secciones:

Estado de acceso

La sección Estado de acceso contiene un breve resumen del acceso de la principal según las políticas de permisos y denegación de IAM relevantes. En este resumen, se incluye el impacto de las políticas de denegación, el impacto de las políticas de permisos y el resultado del acceso final según las políticas de denegación y permisos relevantes.

Política de denegación

En la sección Política de denegación, puedes ver todas las políticas de denegación relevantes, identificar reglas de denegación que rechazan el acceso a la principal y comprender por qué una regla de denegación rechaza o no el permiso a la principal.

En el panel Recursos con políticas de denegación, se enumeran todas las políticas de denegación relevantes, organizadas por los recursos a los que están adjuntos. Junto a cada política de denegación hay una evaluación de acceso. Esta evaluación solo se aplica a esa política de denegación y no refleja ningún acceso de las políticas heredadas. Si no tienes permiso para ver la política de denegación de un recurso, la lista de recursos no incluye ese recurso ni sus políticas de denegación.

Haz clic en una de ellas para ver las reglas de denegación relevantes. Para ver todas las reglas de denegación en las políticas de denegación de un recurso, haz clic en un recurso. Las reglas de denegación aparecen en el panel Reglas de denegación. Este panel contiene una tabla de todas las reglas de denegación con la principal o el permiso consultados para el recurso o la política de denegación que seleccionaste.

La columna Acceso indica si la regla de denegación niega el permiso a la principal. Para ver más detalles sobre la regla de denegación, haz clic en Ver regla de denegación en la fila de esa regla.

Política de permiso

En la sección Política de permiso, puedes navegar por todas las políticas de permisos relevantes, identificar las vinculaciones de roles que otorgan acceso a la principal y comprender por qué una vinculación de roles otorga o no el permiso a la principal.

En el panel Recursos, se enumeran el recurso especificado y sus principales. Junto a cada recurso hay una evaluación de acceso. Esta evaluación solo se aplica a la política de permisos de ese recurso y no refleja ningún acceso de las políticas heredadas. Si no tienes permiso para ver la política de permisos de un recurso, la lista de recursos no incluye ese recurso.

Para ver las vinculaciones de roles relevantes en la política de permisos de un recurso y ver cómo le otorgan o no el permiso a la principal, haz clic en el recurso. Las vinculaciones de la política de permisos aparecen en el panel Vinculaciones de funciones.

El panel Vinculaciones de funciones contiene una tabla de vinculaciones de funciones en la política de permisos del recurso seleccionado. Según la configuración predeterminada, la tabla solo contiene vinculaciones de funciones que incluyen una función con el permiso especificado. Si la principal no tiene acceso, en la tabla también se muestran las vinculaciones de roles con roles personalizados editables. Para ver todas las vinculaciones de funciones, desmarca la casilla de verificación Mostrar solo las vinculaciones relevantes.

En la columna Acceso, se indica si la vinculación de función otorga el permiso a la principal. Para ver más detalles sobre la vinculación de función, haz clic en Ver detalles de vinculación en la fila de esa vinculación.

gcloud

La respuesta contiene cuatro secciones principales: una descripción de la tupla de acceso en la solicitud, los resultados de la evaluación de la política de permisos, los resultados de la evaluación de la política de denegación y el estado de acceso general.

  • accessTuple: Es una descripción de la tupla de acceso en la solicitud, incluido cualquier contexto de condición que hayas proporcionado. Esta sección también contiene un resumen de las etiquetas que se aplican al recurso.
  • allowPolicyExplanation: Un resumen de si las políticas de permisos relevantes otorgan el permiso a la principal, seguido de una lista de políticas de permisos y sus vinculaciones de roles.

    Para cada política de permisos, la respuesta enumera todas las vinculaciones de funciones en la política y las evalúa según los siguientes criterios:

    • Indica si la vinculación incluye el permiso.
    • Indica si la vinculación incluye la principal.
    • Indica si se cumplen las condiciones de la vinculación, si las hay.

    Luego, la respuesta imprime el texto JSON completo de la política de permisos.

  • denyPolicyExplanation: Un resumen de si las políticas de denegación relevantes rechazan el permiso a la principal, seguido de una lista de recursos con políticas de denegación. Para cada recurso, la respuesta enumera todas las políticas de denegación vinculadas al recurso.

    Para cada política de denegación, la respuesta imprime los metadatos de la política, enumera las reglas de denegación en la política y, luego, evalúa cada regla según los siguientes criterios:

    • Indica si la regla de denegación incluye el permiso.
    • Si el permiso aparece como una excepción en la regla de denegación.
    • Indica si la regla de denegación incluye la principal.
    • Si la principal aparece como una excepción en la regla de denegación.
    • Indica si se cumplen las condiciones de la regla de denegación, si las hay.
  • overallAccessState: Indica si la principal puede usar el permiso especificado para acceder al recurso especificado según las políticas de permisos y denegación relevantes.

    Las políticas de permisos y denegación relevantes incluyen lo siguiente:

    • La política de permiso del recurso
    • Las políticas de denegación del recurso, si las hay
    • Las políticas de permiso del proyecto superior, la carpeta y la organización del recurso, si las hay
    • Las políticas de denegación del proyecto superior, la carpeta y la organización del recurso, si las hay

    Las políticas de permisos y denegación de proyectos, carpetas y organizaciones superiores son relevantes debido a la herencia de políticas. Cuando adjuntas una política de permiso o denegación a un proyecto, una organización o una carpeta, esa política también se aplica a todos los recursos dentro de ese proyecto, organización o carpeta.

    Por ejemplo, si una política de denegación para una organización indica que una principal no puede usar un permiso específico, la principal no puede usar ese permiso en ningún recurso dentro de la organización. Esta regla se aplica incluso si las carpetas y proyectos dentro de esa organización tienen políticas de denegación más permisivas o políticas de permiso que otorgan permiso a la principal.

    Del mismo modo, si una política de permisos para un proyecto le da a una principal un permiso específico, la principal tiene ese permiso para cualquier recurso dentro del proyecto, siempre que no se le deniegue ese permiso.

  • Muchos objetos en la respuesta también tienen un campo relevance. El valor en este campo indica cuánto contribuye ese objeto al estado de acceso general. El campo relevance puede tener los siguientes valores:

    • HEURISTIC_RELEVANCE_HIGH: Indica que el objeto tiene un gran impacto en el resultado. En otras palabras, quitar el objeto probablemente cambiará el estado general del acceso. Por ejemplo, una vinculación de rol que le otorga a la principal el permiso especificado tendría este valor de relevancia.

    • HEURISTIC_RELEVANCE_NORMAL: Indica que el objeto tiene un impacto limitado en el resultado. En otras palabras, es poco probable que quitar el objeto cambie el estado de acceso general. Por ejemplo, una regla de denegación que no contenga el permiso o la principal tendría este valor de relevancia.

REST

La respuesta contiene cuatro secciones principales: el estado de acceso general, una descripción de la tupla de acceso en la solicitud, los resultados de la evaluación de la política de permisos y los resultados de la evaluación de la política de denegación.

  • overallAccessState: Indica si la principal puede usar el permiso especificado para acceder al recurso especificado según las políticas de permisos y denegación relevantes.

    Las políticas de permisos y denegación relevantes incluyen lo siguiente:

    • La política de permiso del recurso
    • Las políticas de denegación del recurso, si las hay
    • Las políticas de permiso del proyecto superior, la carpeta y la organización del recurso, si las hay
    • Las políticas de denegación del proyecto superior, la carpeta y la organización del recurso, si las hay

    Las políticas de permisos y denegación de proyectos, carpetas y organizaciones superiores son relevantes debido a la herencia de políticas. Cuando adjuntas una política de permiso o denegación a un proyecto, una organización o una carpeta, esa política también se aplica a todos los recursos dentro de ese proyecto, organización o carpeta.

    Por ejemplo, si una política de denegación para una organización indica que una principal no puede usar un permiso específico, la principal no puede usar ese permiso en ningún recurso dentro de la organización. Esta regla se aplica incluso si las carpetas y proyectos dentro de esa organización tienen políticas de denegación más permisivas o políticas de permiso que otorgan permiso a la principal.

    Del mismo modo, si una política de permisos para un proyecto le da a una principal un permiso específico, la principal tiene ese permiso para cualquier recurso dentro del proyecto, siempre que no se le deniegue ese permiso.

  • accessTuple: Es una descripción de la tupla de acceso en la solicitud, incluido cualquier contexto de condición que hayas proporcionado. Esta sección también contiene un resumen de las etiquetas que se aplican al recurso.
  • allowPolicyExplanation: Un resumen de si las políticas de permisos relevantes otorgan el permiso a la principal, seguido de una lista de políticas de permisos y sus vinculaciones de roles.

    Para cada política de permisos, la respuesta enumera todas las vinculaciones de funciones en la política y las evalúa según los siguientes criterios:

    • Indica si la vinculación incluye el permiso.
    • Indica si la vinculación incluye la principal.
    • Indica si se cumplen las condiciones de la vinculación, si las hay.

    Luego, la respuesta imprime el texto JSON completo de la política de permisos.

  • denyPolicyExplanation: Un resumen de si las políticas de denegación relevantes rechazan el permiso a la principal, seguido de una lista de recursos con políticas de denegación. Para cada recurso, la respuesta enumera todas las políticas de denegación vinculadas al recurso.

    Para cada política de denegación, la respuesta imprime los metadatos de la política, enumera las reglas de denegación en la política y, luego, evalúa cada regla según los siguientes criterios:

    • Indica si la regla de denegación incluye el permiso.
    • Si el permiso aparece como una excepción en la regla de denegación.
    • Indica si la regla de denegación incluye la principal.
    • Si la principal aparece como una excepción en la regla de denegación.
    • Indica si se cumplen las condiciones de la regla de denegación, si las hay.
  • Muchos objetos en la respuesta también tienen un campo relevance. El valor en este campo indica cuánto contribuye ese objeto al estado de acceso general. El campo relevance puede tener los siguientes valores:

    • HEURISTIC_RELEVANCE_HIGH: Indica que el objeto tiene un gran impacto en el resultado. En otras palabras, quitar el objeto probablemente cambiará el estado general del acceso. Por ejemplo, una vinculación de rol que le otorga a la principal el permiso especificado tendría este valor de relevancia.

    • HEURISTIC_RELEVANCE_NORMAL: Indica que el objeto tiene un impacto limitado en el resultado. En otras palabras, es poco probable que quitar el objeto cambie el estado de acceso general. Por ejemplo, una regla de denegación que no contenga el permiso o la principal tendría este valor de relevancia.

Soluciona problemas de vinculaciones de funciones condicionales

El solucionador de problemas de políticas soluciona de forma automática las vinculaciones de funciones condicionales y las reglas de denegación basadas en etiquetas. Sin embargo, para solucionar otros tipos de vinculaciones de funciones condicionales o reglas de denegación condicionales, el Solucionador de problemas de políticas necesita contexto adicional sobre la solicitud. Por ejemplo, para solucionar problemas de condiciones basadas en atributos de fecha y hora, el Solucionador de problemas de políticas necesita la hora de la solicitud.

En gcloud CLI y la API de REST, proporciona este contexto adicional de forma manual.

En la consola de Google Cloud, puedes proporcionar este contexto adicional mediante la solución de problemas directamente desde cualquier registro de auditoría de actividad del administrador o registro de auditoría de acceso a los datos. Cada entrada de registro de auditoría corresponde a una solicitud a una API de Google Cloud o a una acción que Google Cloud realiza en tu nombre. Cuando solucionas los problemas desde un registro de auditoría, el solucionador de problemas de políticas obtiene de forma automática información adicional sobre la solicitud, como su fecha y hora, lo que le permite analizar vinculaciones de funciones condicionales y reglas de denegación.

Consola

Para solucionar problemas de vinculación de funciones condicionales y reglas de denegación, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ve al Explorador de registros.

  2. Si el título de la página es Visor de registros heredados, haz clic en la lista desplegable Actualizar y selecciona Actualizar al Explorador de registros nuevo.

  3. Para ver solo los registros de auditoría de actividad del administrador y acceso a los datos, ingresa la siguiente consulta en el compilador de consultas y, luego, haz clic en Ejecutar consulta:

    logName=("RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity" OR "RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Fdata_access")
    

    Reemplaza los siguientes valores:

    • RESOURCE_TYPE: El tipo de recurso para el que creas una lista de registros de auditoría. Usa projects, folders o organizations.
    • RESOURCE_ID: El ID de tu recurso.
  4. Ubica la entrada de registro de auditoría que corresponda a la solicitud que deseas solucionar. Si quieres obtener información sobre cómo usar el explorador de registros para encontrar entradas de registro específicas, consulta Usa el explorador de registros.

  5. En la columna Resumen de la entrada de registro, haz clic en IAM y, luego, en Solucionar problemas de acceso.

    El Solucionador de problemas de políticas usa la información de la entrada de registro para solucionar problemas de acceso y, luego, te muestra los resultados. El contexto adicional se enumera en los detalles de evaluación, en Contexto de la condición. Para ver los detalles del contexto, haz clic en Ver contexto de la condición. Para obtener más información sobre la página de resultados del solucionador de problemas de políticas, consulta Soluciona problemas de acceso en esta página.

  6. Opcional: Para solucionar problemas con otra solicitud que involucre vinculaciones de funciones condicionales y reglas de denegación, regresa a la página del Explorador de registros y repite los pasos anteriores.

gcloud

Para solucionar problemas relacionados con vinculaciones de funciones condicionales y reglas de denegación, usa el comando gcloud policy-troubleshoot iam.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • EMAIL: La dirección de correo electrónico de la principal cuyos permisos deseas solucionar.
  • RESOURCE: Es el recurso en el que se otorga el permiso.
  • PERMISSION: El permiso con el que deseas solucionar problemas.
  • DESTINATION_IP: Opcional La dirección IP de destino de la solicitud que se usará para verificar las vinculaciones de funciones condicionales. Por ejemplo, 198.1.1.1.
  • DESTINATION_PORT: Opcional El puerto de destino de la solicitud que se usará para verificar las vinculaciones de funciones condicionales. Por ejemplo, `8080`.
  • REQUEST_TIME: Opcional La marca de tiempo de la solicitud que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Usa una marca de tiempo en formato RFC 3339, por ejemplo, 2099-02-01T00:00:00Z.
  • RESOURCE_NAME: Opcional El valor del nombre del recurso que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Para obtener una lista de los formatos de nombre de recurso aceptados, consulta Formato de nombre de recurso.
  • RESOURCE_SERVICE: Opcional El valor del servicio de recursos que se debe usar cuando se verifican las vinculaciones de funciones condicionales. Para obtener una lista de los nombres de servicio aceptados, consulta Valores de servicio de recursos.
  • RESOURCE_TYPE: Opcional Para obtener una lista de los tipos de recursos aceptados, consulta Valores de tipos de recursos.

Ejecuta el comando gcloud policy-troubleshoot iam:

Linux, macOS o Cloud Shell

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL \
    --permission=PERMISSION --destination-ip=DESTINATION_IP \
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME \
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE \
    --resource-type=RESOURCE_TYPE

Windows (PowerShell)

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL `
    --permission=PERMISSION --destination-ip=DESTINATION_IP `
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME `
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE `
    --resource-type=RESOURCE_TYPE

Windows (cmd.exe)

gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL ^
    --permission=PERMISSION --destination-ip=DESTINATION_IP ^
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME ^
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE ^
    --resource-type=RESOURCE_TYPE

La respuesta contiene una explicación del acceso de la principal. Para cada vinculación de función y regla de denegación con una condición, la respuesta incluye un campo conditionExplanation que describe si la condición se evalúa como verdadera o falsa en función del contexto de condición que proporcionaste.

Por ejemplo, la siguiente es una evaluación de una vinculación de función con una condición que especifica el tipo de recurso y el servicio de recursos:

...
{
  "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
  "combinedMembership": {
    "membership": "MEMBERSHIP_MATCHED",
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "condition": {
    "expression": " resource.type \u003d\u003d \"compute.googleapis.com/Instance\" \u0026\u0026 resource.service \u003d\u003d \"compute.googleapis.com\"",
    "title": "Compute instances only",
    "description": "Condition that limits permissions to only Compute instances"
  },
  "conditionExplanation": {
    "evaluationStates": [{
      "end": 51,
      "start": 1,
      "value": true
    }, {
      "end": 99,
      "start": 55,
      "value": true
    }],
    "value": true,
  },
  "memberships": {
    "user:my-user@example.com": {
      "membership": "MEMBERSHIP_MATCHED",
      "relevance": "HEURISTIC_RELEVANCE_HIGH"
    }
  },
  "relevance": "HEURISTIC_RELEVANCE_HIGH",
  "role": "roles/compute.viewer",
  "rolePermission": "ROLE_PERMISSION_INCLUDED",
  "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
}
...

REST

Para solucionar problemas de vinculaciones de funciones condicionales y reglas de denegación, usa el método iam.troubleshoot de la API del solucionador de problemas de políticas.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

  • EMAIL: La dirección de correo electrónico de la principal cuyos permisos deseas solucionar.
  • RESOURCE: Es el recurso en el que se otorga el permiso.
  • PERMISSION: El permiso con el que deseas solucionar problemas.
  • DESTINATION_IP: Opcional La dirección IP de destino de la solicitud que se usará para verificar las vinculaciones de funciones condicionales. Por ejemplo, 198.1.1.1.
  • DESTINATION_PORT: Opcional El puerto de destino de la solicitud que se usará para verificar las vinculaciones de funciones condicionales. Por ejemplo, `8080`.
  • REQUEST_TIME: Opcional La marca de tiempo de la solicitud que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Usa una marca de tiempo en formato RFC 3339, por ejemplo, 2099-02-01T00:00:00Z.
  • RESOURCE_NAME: Opcional El valor del nombre del recurso que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Para obtener una lista de los formatos de nombre de recurso aceptados, consulta Formato de nombre de recurso.
  • RESOURCE_SERVICE: Opcional El valor del servicio de recursos que se debe usar cuando se verifican las vinculaciones de funciones condicionales. Para obtener una lista de los nombres de servicio aceptados, consulta Valores de servicio de recursos.
  • RESOURCE_TYPE: Opcional Para obtener una lista de los tipos de recursos aceptados, consulta Valores de tipos de recursos.

HTTP method and URL:

POST https://policytroubleshooter.googleapis.com/v3/iam:troubleshoot

Cuerpo JSON de la solicitud:

{
  "accessTuple": {
    "principal": "EMAIL",
    "fullResourceName": "RESOURCE",
    "permission": "PERMISSION",
    "conditionContext": {
      "destination": {
        "ip": DESTINATION_IP,
        "port": DESTINATION_PORT
      },
      "request": {
        "receiveTime": REQUEST_TIME
      },
      "resource": {
        "name": RESOURCE_NAME,
        "service": RESOURCE_SERVICE,
        "type": RESOURCE_TYPE
      }
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

La respuesta contiene una explicación del acceso de la principal. Para cada vinculación de función y regla de denegación con una condición, la respuesta incluye un campo conditionExplanation que describe si la condición se evalúa como verdadera o falsa en función del contexto de condición que proporcionaste.

Por ejemplo, la siguiente es una evaluación de una vinculación de función con una condición que especifica el tipo de recurso y el servicio de recursos:

...
{
  "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
  "role": "roles/compute.viewer",
  "rolePermission": "ROLE_PERMISSION_INCLUDED",
  "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
  "combinedMembership": {
    "membership": "MEMBERSHIP_MATCHED",
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "memberships": {
    "user:my-user@example.com": {
      "membership": "MEMBERSHIP_MATCHED",
      "relevance": "HEURISTIC_RELEVANCE_HIGH"
    }
  },
  "relevance": "HEURISTIC_RELEVANCE_HIGH",
  "condition": {
    "expression": " resource.type \u003d\u003d \"compute.googleapis.com/Instance\" \u0026\u0026 resource.service \u003d\u003d \"compute.googleapis.com\"",
    "title": "Compute instances only",
    "description": "Condition that limits permissions to only Compute instances"
  },
  "conditionExplanation": {
    "value": true,
    "evaluationStates": [{
      "start": 1,
      "end": 51,
      "value": true
    }, {
      "start": 55,
      "end": 99,
      "value": true
    }]
  }
}
...

¿Qué sigue?