Configura la API de Policy
En esta página, se explica cómo configurar la API de Cloud Identity Policy antes de crear una lista de políticas y obtenerlas.
Instala la biblioteca cliente de Python
Para instalar la biblioteca cliente de Python, ejecuta el siguiente comando:
pip install --upgrade google-api-python-client google-auth \
google-auth-oauthlib google-auth-httplib2
Para obtener más información sobre la configuración de tu entorno de programación de Python, consulta la Guía de configuración del entorno de desarrollo de Python.
Habilita la API y configura las credenciales de la cuenta de servicio
- Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform in real-world scenarios. New customers also get $300 in free credits to run, test, and deploy workloads.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Identity API.
-
Create a service account:
-
In the Google Cloud console, go to the Create service account page.
Go to Create service account - Select your project.
-
In the Service account name field, enter a name. The Google Cloud console fills in the Service account ID field based on this name.
In the Service account description field, enter a description. For example,
Service account for quickstart
. - Click Create and continue.
-
Grant the Project > Owner role to the service account.
To grant the role, find the Select a role list, then select Project > Owner.
- Click Continue.
-
Click Done to finish creating the service account.
Do not close your browser window. You will use it in the next step.
-
-
Create a service account key:
- In the Google Cloud console, click the email address for the service account that you created.
- Click Keys.
- Click Add key, and then click Create new key.
- Click Create. A JSON key file is downloaded to your computer.
- Click Close.
-
In the Google Cloud console, on the project selector page, select or create a Google Cloud project.
-
Make sure that billing is enabled for your Google Cloud project.
-
Enable the Cloud Identity API.
-
Create a service account:
-
In the Google Cloud console, go to the Create service account page.
Go to Create service account - Select your project.
-
In the Service account name field, enter a name. The Google Cloud console fills in the Service account ID field based on this name.
In the Service account description field, enter a description. For example,
Service account for quickstart
. - Click Create and continue.
-
Grant the Project > Owner role to the service account.
To grant the role, find the Select a role list, then select Project > Owner.
- Click Continue.
-
Click Done to finish creating the service account.
Do not close your browser window. You will use it in the next step.
-
-
Create a service account key:
- In the Google Cloud console, click the email address for the service account that you created.
- Click Keys.
- Click Add key, and then click Create new key.
- Click Create. A JSON key file is downloaded to your computer.
- Click Close.
Autentica como una cuenta de servicio con delegación de todo el dominio
Si eres un administrador que administra políticas de identidad, o si deseas proporcionar una cuenta con privilegios de dominio para que pueda administrar políticas de Google en nombre de administradores, debes autenticarte como una cuenta de servicio y otorgarle los privilegios de dominio a la cuenta de servicio.
Para obtener más información sobre cómo configurar la delegación de todo el dominio, consulta Controla el acceso a la API con la delegación de todo el dominio.
Para autenticar como cuenta de servicio, consulta cómo usar OAuth 2.0 para aplicaciones de servidor a servidor.
Cuando inicialices la credencial en el código, especifica la dirección de correo electrónico en la que actúa la cuenta de servicio mediante un llamado a with_subject()
en la credencial.
Por ejemplo:
Python
credentials = service_account.Credentials.from_service_account_file(
SERVICE_ACCOUNT_FILE, scopes=SCOPES).with_subject(ADMIN_EMAIL)
En Cómo enumerar y obtener políticas, se proporciona un código de muestra detallado para llamar a la API de Policy, incluido el código de autenticación.