Administrar las políticas de acceso

Puedes obtener o establecer la administración de identidades y accesos (IAM) o el control de acceso y política para una o más pruebas de conectividad. Además, puedes ver los permisos que tiene un usuario o cuenta de servicio para una prueba de conectividad específica.

En este documento, se muestran ejemplos de controles de acceso que utilizan la API de administración de redes. Para seguir estos pasos en la consola de Google Cloud o mediante los comandos de gcloud, consulta las guías prácticas de IAM.

Para obtener información sobre las vinculaciones de políticas y las ETag enumerados en los siguientes comandos, consulta la referencia de la API para la política de IAM.

Si deseas obtener información sobre las funciones y los permisos de IAM necesarios para ejecutar las pruebas de conectividad, consulta Funciones y permisos.

Configura una política de control de acceso

En este procedimiento, se establece la política de control de acceso en el recurso de pruebas de conectividad especificado.

API

Usa el método networkmanagement.connectivitytests.setIamPolicy a fin de establecer la política de control de acceso para USER, ROLE y TEST_ID.

En el siguiente ejemplo, se establece una política que vincula la función de networkmanagement.admin a username@yourcompany.com para mytest-1.

 POST https: //networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:setIamPolicy
   {
     "version": "VERSION",
     "etag": "ETAG",
     "bindings": [{
       "role": "ROLE",
       "members": [
         "PRINCIPAL"
       ]
     }]
   }

Reemplaza los siguientes valores:

  • TEST_ID: Es el ID del objeto de prueba de conectividad (prueba) que ejecutas.
  • VERSION: Especifica el formato de la política. Los valores válidos son: 013. Cualquier operación que afecte las vinculaciones de funciones condicionales debe especificar la versión 3.
  • ETAG: Se usa para el control de simultaneidad optimista, como una forma de evitar que las actualizaciones simultáneas de una política se reemplacen entre sí (un ejemplo de ETag es BwWbrqiZFRs=).
  • ROLE: Es una función que se asigna a los principales (por ejemplo, roles/networkmanagement.admin).
  • PRINCIPAL: Especifica las identidades que solicitan acceso para un recurso de Google Cloud (por ejemplo, user:username@yourcompany.com). Si deseas obtener una lista de los tipos de miembros o las principales, consulta la referencia de la API para políticas de IAM.

Obtén una política de control de acceso

Con este procedimiento, se obtiene la política de control de acceso para el recurso de pruebas de conectividad especificado.

API

Usa el método networkmanagement.connectivitytests.getIamPolicy a fin de establecer la política de control de acceso para PRINCIPAL, ROLE y TEST_ID.

En el siguiente ejemplo, se obtiene una política que vincula la función de networkmanagement.admin a username@yourcompany.com para mytest-1.

  GET https: //networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:getIamPolicy
    {
      "version": "VERSION",
      "etag": "ETAG",
      "bindings": [{
        "role": "ROLE",
        "members": [
          "PRINCIPAL"
        ]
      }]
    }

Reemplaza los siguientes valores:

  • TEST_ID: Es el ID del objeto de prueba de conectividad (prueba) que ejecutas.
  • VERSION: Especifica el formato de la política. Los valores válidos son: 013. Cualquier operación que afecte las vinculaciones de funciones condicionales debe especificar la versión 3.
  • ETAG: Se usa para el control de simultaneidad optimista, como una forma de evitar que las actualizaciones simultáneas de una política se reemplacen entre sí (un ejemplo de ETag es BwWbrqiZFRs=).
  • ROLE: Es una función que se asigna a los principales (por ejemplo, roles/networkmanagement.admin).
  • PRINCIPAL: Especifica las identidades que solicitan acceso para un recurso de Google Cloud (por ejemplo, user:username@yourcompany.com). Si deseas obtener una lista de los tipos de miembros o las principales, consulta la referencia de la API para políticas de IAM.

Probar permisos de IAM

En este procedimiento, se muestran los permisos que tiene un usuario o una cuenta de servicio para un recurso de pruebas de conectividad.

API

Usa el método networkmanagement.connectivitytests.testIamPermissions para mostrar los permisos asignados a un TEST_ID.

En el siguiente ejemplo, se verifica que username@yourcompany.com tiene el permiso networkmanagement.connectivitytests.get para mytest-1.

  POST https://networkmanagement.googleapis.com/v1/{resource=projects/*/locations/global/connectivityTests/TEST_ID}:testIamPermissions
    {
      "permissions": [
        "networkmanagement.connectivitytests.get"
      ]
    }

Reemplaza TEST_ID por el ID del objeto de las pruebas de conectividad (prueba) que ejecutas.

¿Qué sigue?