El Solucionador de problemas de políticas te ayuda a entender si una principal puede acceder a un recurso. Con una principal, un recurso y un permiso, el Solucionador de problemas de políticas examina las políticas de permisos, las políticas de denegación y las políticas de límite de acceso (PAB) que afectan el acceso de la principal. Luego, te indica si, en función de esas políticas, la principal puede usar el permiso especificado para acceder al recurso. También se enumeran las políticas relevantes y se explica cómo afectan el acceso de la principal.
Puedes acceder al Solucionador de problemas de políticas con la consola de Google Cloud, Google Cloud CLI o la API de REST. Para consultas básicas, el uso de la consola de Google Cloud suele ser más rápido. Para situaciones más complejas, considera usar gcloud CLI o la API de REST.
Antes de comenzar
-
Habilita la API de Policy Troubleshooter.
Permisos necesarios
Para solucionar por completo problemas de acceso de las principales, necesitas los siguientes permisos.
Permisos para solucionar problemas de acceso de principales individuales
El Solucionador de problemas de políticas analiza el acceso de una principal a un recurso según las políticas de permisos, de denegación, de límite de acceso a las principales y las funciones que tienes permiso para ver. Si no tienes permiso para ver una política que se aplica a un recurso o si no tienes permiso para ver un rol personalizado, es posible que no puedas saber si una principal tiene acceso.
A fin de obtener los permisos que necesitas para solucionar problemas de acceso de una principal, pídele a tu administrador que te otorgue los siguientes roles de IAM en la organización:
-
Revisor de seguridad (
roles/iam.securityReviewer) -
Soluciona problemas relacionados con las políticas de denegación:
Revisor de denegación (
roles/iam.denyReviewer) -
Soluciona problemas relacionados con las políticas de límite de acceso de las principales:
-
Administrador de políticas de límites de acceso de las principales (
roles/iam.principalAccessBoundaryAdmin) -
Administrador de la organización (
roles/resourcemanager.organizationAdmin)
-
Administrador de políticas de límites de acceso de las principales (
-
Usa Google Cloud CLI para solucionar los siguientes problemas:
Consumidor de Service Usage (
roles/serviceusage.serviceUsageConsumer)
Si quieres obtener más información para otorgar roles, consulta Administra el acceso.
Es posible que también puedas obtener los permisos necesarios a través de funciones personalizadas o, también, otras funciones predefinidas.
Permisos para solucionar problemas de acceso de miembros del grupo
Si tus políticas de permiso y denegación incluyen grupos, necesitas el permiso groups.read de la API de Google Workspace Admin para solucionar problemas de acceso de miembros individuales del grupo. Los administradores avanzados y los administradores de grupos tienen este permiso automáticamente. Para otorgar este permiso a un usuario que no es un administrador avanzado o de grupo, crea una función personalizada de administrador de Google Workspace que contenga el privilegio groups.read (ubicado en Privilegios de la API de administrador) y otórgale al usuario.
Si no tienes estos permisos, las vinculaciones de funciones y las reglas de denegación que contienen grupos o dominios tienen un resultado de acceso de Desconocido, a menos que la vinculación de función o la regla de denegación también incluya la principal de forma explícita.
Permisos para solucionar problemas de acceso de miembros del dominio
Si tus políticas de permiso y denegación incluyen una cuenta de Google Workspace o un dominio de Cloud Identity, debes ser un administrador de dominio para solucionar problemas de acceso de miembros individuales del dominio.
Si no tienes estos permisos, las vinculaciones de funciones y las reglas de denegación que contienen grupos o dominios tienen un resultado de acceso de Desconocido, a menos que la vinculación de función o la regla de denegación también incluya la principal de forma explícita.
Soluciona problemas de acceso
Para solucionar problemas de acceso, necesitas la siguiente información:
- Principal: La dirección de correo electrónico que se debe verificar. La dirección de correo electrónico debe hacer referencia a un usuario o a una cuenta de servicio. No se admiten otros tipos de principales, incluidos grupos, dominios, identidades de personal y de cargas de trabajo.
- Recurso: El nombre completo del recurso.
Por ejemplo, para verificar el proyecto
my-project, ingresa//cloudresourcemanager.googleapis.com/projects/my-project. Para otros tipos de recursos, consulta los ejemplos de nombres completos de recursos. Permiso: El permiso que se debe verificar. Si usas la consola de Google Cloud, presenta una lista de sugerencias a medida que escribes.
Para solucionar problemas de un permiso, el permiso debe ser aplicable al recurso de la solicitud. En otras palabras, debe ser posible usar ese permiso para acceder al recurso de alguna manera. Si el permiso no se aplica al recurso, la solicitud falla. Por ejemplo, si intentas solucionar problemas relacionados con el permiso
compute.instances.getde un clúster de Google Kubernetes Engine, la solicitud falla porque no se puede usar el permisocompute.instance.getpara acceder a los clústeres de Google Kubernetes Engine.Para obtener una lista completa de los permisos, consulta la referencia de permisos.
Consola
Para solucionar problemas de acceso, sigue estos pasos:
En la consola de Google Cloud, ve a la página Solucionador de problemas de políticas.
Ingresa el correo electrónico de la principal cuyo acceso quieres verificar.
Ingresa el nombre completo del recurso que quieres comprobar.
Si no conoces el nombre completo del recurso, realiza una de las siguientes acciones:
- Si estás solucionando problemas de acceso a un proyecto, una carpeta o una organización, comienza a escribir para ver las opciones de autocompletar.
Si estás solucionando problemas de acceso a otro tipo de recurso, haz clic en Explorar para abrir el diálogo de búsqueda de recursos y, luego, busca el recurso:
- En el cuadro Seleccionar alcance, selecciona un proyecto, una carpeta o una organización para buscar en ellos.
- En el cuadro Tipo de recurso, selecciona los tipos de recursos que deseas buscar.
- En el cuadro Buscar recursos, ingresa una parte del nombre del recurso.
- En la sección de resultados, selecciona el recurso que quieres verificar.
- Haz clic en Seleccionar para elegir el recurso y cerrar el diálogo.
Ingresa el permiso que quieres verificar.
Si no conoces el nombre completo del permiso, comienza a escribir para ver las opciones de autocompletar.
Opcional: Para comprobar varios recursos y permisos, selecciona Agregar otro par y repite el paso anterior.
Haz clic en Verificar acceso.
gcloud
Para averiguar por qué una principal tiene o no un permiso de IAM, usa el comando
gcloud beta policy-troubleshoot iam.
Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
-
VERSION: Opcional La versión del comando que se usará. Para solucionar problemas de acceso solo en función de las políticas de permiso y denegación, no especifiques una versión. Para solucionar problemas de acceso en función de las políticas de permiso, denegación y límite de acceso de las principales, usa la versiónbeta. EMAIL: La dirección de correo electrónico del principal al que pertenecen los permisos con problemas que deseas solucionar.RESOURCE: El recurso en el que se otorga el permiso.PERMISSION: El permiso con los problemas que deseas solucionar.
Ejecuta el comando gcloud beta policy-troubleshoot iam:
Linux, macOS o Cloud Shell
gcloud VERSION policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL \
--permission=PERMISSION
Windows (PowerShell)
gcloud VERSION policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL `
--permission=PERMISSION
Windows (cmd.exe)
gcloud VERSION policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL ^
--permission=PERMISSION
Deberías recibir una respuesta similar a la que figura a continuación:
Respuesta
{
"accessTuple": {
"conditionContext": {
"destination": {},
"effectiveTags": [
{
"namespacedTagKey": "project-1/tag-key-1",
"namespacedTagValue": "project-1/tag-key-1/tag-value-1",
"tagKey": "tagKeys/123456789012",
"tagKeyParentName": "projects/123456789012",
"tagValue": "tagValues/123456789012"
},
],
"request": {},
"resource": {}
},
"fullResourceName": "//cloudresourcemanager.googleapis.com/projects/project-1",
"permission": "bigtable.instances.create",
"permissionFqdn": "bigtable.googleapis.com/instances.create",
"principal": "service-account-3@project-1.iam.gserviceaccount.com"
},
"allowPolicyExplanation": {
"allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
"explainedPolicies": [
{
"allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
"bindingExplanations": [
{
"allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
"combinedMembership": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"condition": {
"expression": "resource.type == \"cloudresourcemanager.googleapis.com/Project\"",
"title": "Resource-based condition"
},
"conditionExplanation": {
"evaluationStates": [
{
"end": 62,
"value": false
}
],
"value": false
},
"memberships": {
"serviceAccount:service-account-1@project-1.iam.gserviceaccount.com": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
}
},
"relevance": "HEURISTIC_RELEVANCE_NORMAL",
"role": "roles/bigquery.admin",
"rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
"rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
},
{
"allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
"combinedMembership": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"condition": {
"expression": "resource.matchTag(\"project-1/tag-key-1\", \"tag-value-1\")",
"title": "Tag-based condition"
},
"conditionExplanation": {
"evaluationStates": [
{
"end": 73,
"value": true
}
],
"value": true
},
"memberships": {
"serviceAccount:service-account-2@project-1.iam.gserviceaccount.com": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
}
},
"relevance": "HEURISTIC_RELEVANCE_NORMAL",
"role": "roles/bigquery.admin",
"rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
"rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
},
{
"allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
"combinedMembership": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"memberships": {
"user:user-2@example.com": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
}
},
"relevance": "HEURISTIC_RELEVANCE_NORMAL",
"role": "roles/compute.admin",
"rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
"rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
},
{
"allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
"combinedMembership": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"memberships": {
"user:user-1@example.com": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"user:user-3@example.com": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
}
},
"relevance": "HEURISTIC_RELEVANCE_NORMAL",
"role": "roles/iam.serviceAccountTokenCreator",
"rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
"rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
},
{
"allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
"combinedMembership": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"memberships": {
"user:user-2@example.com": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"user:user-1@example.com": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
}
},
"relevance": "HEURISTIC_RELEVANCE_HIGH",
"role": "roles/owner",
"rolePermission": "ROLE_PERMISSION_INCLUDED",
"rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
},
{
"allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
"combinedMembership": {
"membership": "MEMBERSHIP_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"memberships": {
"serviceAccount:service-account-3@project-1.iam.gserviceaccount.com": {
"membership": "MEMBERSHIP_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"serviceAccount:service-account-4@project-1.iam.gserviceaccount.com": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
}
},
"relevance": "HEURISTIC_RELEVANCE_NORMAL",
"role": "roles/resourcemanager.projectIamAdmin",
"rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
"rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
},
{
"allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
"combinedMembership": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"memberships": {
"serviceAccount:service-account-4@project-1.iam.gserviceaccount.com": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
}
},
"relevance": "HEURISTIC_RELEVANCE_NORMAL",
"role": "roles/resourcemanager.tagViewer",
"rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
"rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
}
],
"fullResourceName": "//cloudresourcemanager.googleapis.com/projects/project-1",
"policy": {
"bindings": [
{
"condition": {
"expression": "resource.type == \"cloudresourcemanager.googleapis.com/Project\"",
"title": "Resource-based condition"
},
"members": [
"serviceAccount:service-account-1@project-1.iam.gserviceaccount.com"
],
"role": "roles/bigquery.admin"
},
{
"condition": {
"expression": "resource.matchTag(\"project-1/tag-key-1\", \"tag-value-1\")",
"title": "Tag-based condition"
},
"members": [
"serviceAccount:service-account-2@project-1.iam.gserviceaccount.com"
],
"role": "roles/bigquery.admin"
},
{
"members": [
"user:user-2@example.com"
],
"role": "roles/compute.admin"
},
{
"members": [
"user:user-1@example.com",
"user:user-3@example.com"
],
"role": "roles/iam.serviceAccountTokenCreator"
},
{
"members": [
"user:user-2@example.com",
"user:user-1@example.com"
],
"role": "roles/owner"
},
{
"members": [
"serviceAccount:service-account-3@project-1.iam.gserviceaccount.com",
"serviceAccount:service-account-4@project-1.iam.gserviceaccount.com"
],
"role": "roles/resourcemanager.projectIamAdmin"
},
{
"members": [
"serviceAccount:service-account-4@project-1.iam.gserviceaccount.com"
],
"role": "roles/resourcemanager.tagViewer"
}
],
"etag": "BwYY6ttEMEY=",
"version": 3
},
"relevance": "HEURISTIC_RELEVANCE_HIGH"
},
],
"relevance": "HEURISTIC_RELEVANCE_HIGH"
},
"denyPolicyExplanation": {
"denyAccessState": "DENY_ACCESS_STATE_NOT_DENIED",
"explainedResources": [
{
"denyAccessState": "DENY_ACCESS_STATE_NOT_DENIED",
"explainedPolicies": [
{
"denyAccessState": "DENY_ACCESS_STATE_NOT_DENIED",
"policy": {
"createTime": "2024-04-09T23:28:24.103203Z",
"displayName": "Troubleshooter v3 prober non-tag deny policy",
"etag": "MTgyMzk3MDY4OTY4MDE0ODg4OTY=",
"kind": "DenyPolicy",
"name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F546942305807/denypolicies/deny-policy-1",
"rules": [
{
"denyRule": {
"deniedPermissions": [
"bigquery.googleapis.com/datasets.create"
],
"deniedPrincipals": [
"principal://iam.googleapis.com/projects/-/serviceAccounts/service-account-1@project-1.iam.gserviceaccount.com"
]
}
}
],
"uid": "fab63b4d-ecfb-5f06-8a6d-602bf1be5062",
"updateTime": "2024-05-20T23:29:38.428095Z"
},
"relevance": "HEURISTIC_RELEVANCE_HIGH",
"ruleExplanations": [
{
"combinedDeniedPermission": {
"permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_HIGH"
},
"combinedDeniedPrincipal": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_HIGH"
},
"combinedExceptionPermission": {
"permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"combinedExceptionPrincipal": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"deniedPermissions": {
"bigquery.googleapis.com/datasets.create": {
"permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_HIGH"
}
},
"deniedPrincipals": {
"principal://iam.googleapis.com/projects/-/serviceAccounts/service-account-1@project-1.iam.gserviceaccount.com": {
"membership": "MEMBERSHIP_NOT_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_HIGH"
}
},
"denyAccessState": "DENY_ACCESS_STATE_NOT_DENIED",
"relevance": "HEURISTIC_RELEVANCE_HIGH"
}
]
},
],
"fullResourceName": "//cloudresourcemanager.googleapis.com/projects/123456789012",
"relevance": "HEURISTIC_RELEVANCE_HIGH"
}
],
"permissionDeniable": true,
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"overallAccessState": "CANNOT_ACCESS",
"pabPolicyExplanation": {
"explainedBindingsAndPolicies": [
{
"bindingAndPolicyAccessState": "PAB_ACCESS_STATE_NOT_ENFORCED",
"explainedPolicy": {
"explainedRules": [
{
"combinedResourceInclusionState": "RESOURCE_INCLUSION_STATE_NOT_INCLUDED",
"effect": "ALLOW",
"explainedResources": [
{
"relevance": "HEURISTIC_RELEVANCE_NORMAL",
"resource": "//cloudresourcemanager.googleapis.com/projects/project-2",
"resourceInclusionState": "RESOURCE_INCLUSION_STATE_NOT_INCLUDED"
}
],
"relevance": "HEURISTIC_RELEVANCE_NORMAL",
"ruleAccessState": "PAB_ACCESS_STATE_NOT_ALLOWED"
}
],
"policy": {
"createTime": "2024-04-09T17:40:51.627668Z",
"details": {
"enforcementVersion": "1",
"rules": [
{
"effect": "ALLOW",
"resources": [
"//cloudresourcemanager.googleapis.com/projects/project-2"
]
}
]
},
"displayName": "Troubleshooter v3 PAB Policy",
"etag": "m64s4IgR80eDJDywuVA2DA==",
"name": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
"uid": "puid_11875429267422576641",
"updateTime": "2024-04-09T17:40:51.627668Z"
},
"policyAccessState": "PAB_ACCESS_STATE_NOT_ENFORCED",
"policyVersion": {
"enforcementState": "PAB_POLICY_ENFORCEMENT_STATE_NOT_ENFORCED",
"version": 1
},
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"explainedPolicyBinding": {
"conditionExplanation": {
"evaluationStates": [
{
"end": 53,
"value": true
},
{
"end": 153,
"start": 58,
"value": false
},
{
"end": 248,
"start": 157,
"value": false
}
],
"value": false
},
"policyBinding": {
"condition": {
"expression": "principal.type == 'iam.googleapis.com/ServiceAccount' && (principal.subject=='service-account-1@project-1.iam.gserviceaccount.com' || principal.subject=='service-account-2@project-1.iam.gserviceaccount.com')"
},
"createTime": "2024-04-09T17:51:13.504418Z",
"displayName": "PAB Policy Binding on project-1 project",
"etag": "W/\"hz9IKzHsIqvopqDRcVYDxQ==\"",
"name": "projects/123456789012/locations/global/policyBindings/example-policy-binding",
"policy": "organizations/123456789012/locations/global/principalAccessBoundaryPolicies/example-pab-policy",
"policyKind": "PRINCIPAL_ACCESS_BOUNDARY",
"policyUid": "puid_11875429267422576641",
"target": {
"principalSet": "//cloudresourcemanager.googleapis.com/projects/project-1"
},
"uid": "buid_1012746966204940289",
"updateTime": "2024-05-09T23:08:56.846355Z"
},
"policyBindingState": "POLICY_BINDING_STATE_NOT_ENFORCED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
},
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
}
],
"principalAccessBoundaryAccessState": "PAB_ACCESS_STATE_NOT_ENFORCED",
"relevance": "HEURISTIC_RELEVANCE_NORMAL"
}
}
REST
Para averiguar por qué una principal tiene o no un permiso de IAM, usa el método iam.troubleshoot
de la API del Solucionador de problemas de políticas.
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
VERSION: Es la versión de la API que se usará para esta solicitud. Para solucionar problemas de acceso solo según las políticas de permiso y denegación, usav3. Para solucionar problemas de acceso en función de las políticas de permiso, denegación y límite de acceso de las principales, usav3beta. EMAIL: La dirección de correo electrónico del principal al que pertenecen los permisos con problemas que deseas solucionar.RESOURCE: El recurso en el que se otorga el permiso.PERMISSION: El permiso con los problemas que deseas solucionar.PROJECT_ID: Es el ID del proyecto que deseas usar para realizar la solicitud. Los ID de proyecto son strings alfanuméricas, comomy-project.
Método HTTP y URL:
POST https://policytroubleshooter.googleapis.com/VERSION/iam:troubleshoot
Cuerpo JSON de la solicitud:
{
"accessTuple": {
"principal": "EMAIL",
"fullResourceName": "RESOURCE",
"permission": "PERMISSION"
}
}
Para enviar tu solicitud, expande una de estas opciones:
Deberías recibir una respuesta JSON similar a la que se muestra a continuación:
Comprende los resultados del solucionador de problemas
Consola
La página de resultados contiene la siguiente información:
- Detalles de la evaluación
- Detalles de la política, que contiene lo siguiente:
Detalles de la evaluación
La sección Detalles de la evaluación contiene un resumen del acceso en el que estás solucionando problemas, incluida la principal, el recurso y el permiso especificados. Si estás solucionando problemas de varios pares de permisos de recursos, puedes usar la lista de Evaluación de acceso para alternar entre ellos.
Detalles de la política
La sección Detalles de la política contiene detalles sobre cómo las políticas relevantes de permiso, denegación y límite de acceso a las principales afectan el acceso de la principal.
Las políticas relevantes de límite de acceso de principales incluyen todas las políticas de límite de acceso de principales que están vinculadas a un conjunto de principales que incluye a la principal.
Estas son algunas de las políticas de permiso y denegación relevantes:
- La política de permiso del recurso
- Las políticas de denegación del recurso, si las hay
- Las políticas de permiso del proyecto superior, la carpeta y la organización del recurso, si las hay
- Las políticas de denegación del proyecto superior, la carpeta y la organización del recurso, si las hay
Las políticas de permiso y denegación de los proyectos, las carpetas y las organizaciones superiores son relevantes debido a la herencia de políticas. Cuando adjuntas una política de permiso o denegación a un proyecto, una organización o una carpeta, esa política también se aplica a todos los recursos dentro de ese proyecto, organización o carpeta.
Por ejemplo, si una política de denegación para una organización indica que una principal no puede usar un permiso específico, la principal no puede usar ese permiso en ningún recurso dentro de la organización. Esta regla se aplica incluso si las carpetas y proyectos dentro de esa organización tienen políticas de denegación más permisivas o políticas de permiso que otorgan permiso a la principal.
Del mismo modo, si una política de permisos para un proyecto le da a una principal un permiso específico, la principal tiene ese permiso para cualquier recurso dentro del proyecto, siempre que no se le deniegue ese permiso.
La sección Detalles de la política incluye las siguientes secciones:
- Estado de acceso
- Política de límite de acceso de las principales
- Política de denegación
- Política de permisos
Estado de acceso
En la sección Estado del acceso, se resumen los resultados de cada tipo de política (políticas de límite de acceso principal, de denegación y de permiso) y se indica el resultado general. El resultado indica si la principal puede usar el permiso para acceder al recurso, de acuerdo con las políticas relevantes.
Para que un usuario pueda usar el permiso para acceder al recurso, todos los tipos de políticas deben permitir el acceso. Para obtener más información, consulta Evaluación de políticas.
Política de límite de acceso de las principales
En la sección Política de límite de acceso a la principal, puedes ver todas las políticas de límite de acceso a las que está sujeta la principal y las vinculaciones de políticas que vinculan estas políticas a la principal.
En el panel Políticas, se enumeran todas las políticas que están vinculadas a un conjunto de principales que incluye a la principal. Junto a cada política hay un ícono que indica cómo afecta el acceso de la principal.
Las políticas de límite de acceso de las principales pueden afectar el acceso de una principal de las siguientes maneras:
- La principal es apta para acceder al recurso: La política de límite de acceso de la principal se aplica a la principal, y una de sus reglas contiene el recurso consultado.
- La principal no es apta para acceder al recurso: La política de límite de acceso de la principal se aplica a la principal, pero el recurso consultado no está en las reglas de esa política.
No aplicada: Las políticas de límite de acceso de las principales no se aplican en las siguientes situaciones:
- IAM no aplica el permiso especificado en la versión de aplicación de la política de límite de acceso a la principal. Como resultado, la política de límite de acceso a la principal no puede bloquear el acceso.
- Debido a una condición en la vinculación de la política, la vinculación o política de límite de acceso a la principal no se aplica a la principal.
- Una política de límite de acceso de las principales no tiene reglas.
Si no se aplica una política de límite de acceso a una principal, no puede afectar si la principal puede acceder al recurso.
Para ver las reglas y vinculaciones asociadas con una política de límite de acceso a una principal, haz clic en el nombre de la política. El panel junto al panel Políticas muestra los detalles de la política.
Para ver las reglas en la política, haz clic en la pestaña Reglas de límite. En esta pestaña, se muestra una tabla de las reglas relevantes de la política de límite de acceso de las principales.
Una regla de límite de acceso a la principal es relevante si afecta el resultado general de la consulta del Solucionador de problemas de políticas. Como resultado, las reglas relevantes varían según los resultados del Solucionador de problemas de políticas. Por ejemplo, considera las siguientes situaciones:
- El Solucionador de problemas de políticas indica que la principal puede acceder al recurso. Como resultado, las reglas relevantes son aquellas que hacen que la principal sea apta para acceder al recurso.
- El Solucionador de problemas de políticas indica que la principal no puede acceder al recurso. Sin embargo, según las políticas de límite de acceso de la principal relevantes, la principal es apta para acceder al recurso. Como resultado, ninguna regla es relevante porque las principales políticas de límite de acceso no son la razón por la que la principal no puede acceder al recurso.
- El Solucionador de problemas de políticas indica que la principal no puede acceder al recurso. Además, de acuerdo con las políticas relevantes de límite de acceso, la principal no es apta para acceder al recurso. Como resultado, las reglas relevantes son aquellas que no hacen que la principal sea apta para acceder al recurso.
Para ver todas las reglas de límite de acceso a las principales en una política, desmarca la casilla de verificación Mostrar solo reglas y vinculaciones relevantes.
En la columna Hallazgos de la tabla de reglas de límite, se indica si la regla de límite de acceso principal contiene el recurso consultado. Para ver más detalles sobre la regla, haz clic en Ver detalles de la regla.
Para ver las vinculaciones de políticas de la política, haz clic en la pestaña Vinculaciones. En esta pestaña, se muestra una tabla de las vinculaciones de políticas relevantes para la política de límite de acceso principal seleccionada.
Una vinculación de política es relevante si aplica de manera eficaz la política de límite de acceso a la principal consultada. Para que una vinculación de política aplique una política de límite de acceso a una principal, se deben cumplir los siguientes requisitos:
- El conjunto de principales en la vinculación de la política debe incluir la principal consultada
- Cualquier condición en la vinculación de la política debe evaluarse como
truepara la principal consultada.
Para ver todas las vinculaciones de políticas con conjuntos de principales que incluyen la principal consultada, sin importar si la principal consultada cumple la condición de la vinculación, desmarca la casilla de verificación Mostrar solo las reglas y vinculaciones relevantes.
La columna Hallazgos en la tabla de vinculaciones indica si la vinculación se aplica de manera forzosa para la principal consultada. Para obtener más detalles sobre la vinculación de la política, haz clic en Ver detalles de vinculación.
Política de denegación
En la sección Política de denegación, puedes ver todas las políticas de denegación relevantes, identificar las reglas de denegación que deniegan el acceso a la principal y comprender por qué una regla de denegación niega o no el permiso a la principal.
En el panel Recursos con políticas de denegación, se enumeran todas las políticas de denegación relevantes, organizadas por los recursos a los que están asociadas. Junto a cada política de denegación, hay una evaluación de acceso. Esta evaluación solo se aplica a esa política de denegación; no refleja ningún acceso de las políticas heredadas. Si no tienes permiso para ver la política de denegación de un recurso, la lista de recursos no incluye ese recurso ni sus políticas de denegación.
Para ver las reglas de denegación relevantes en estas políticas, haz clic en una política de denegación. Para ver todas las reglas de denegación en las políticas de denegación de un recurso, haz clic en un recurso. Las reglas de denegación aparecen en el panel Reglas de denegación. Este panel contiene una tabla de todas las reglas de denegación con la principal o el permiso consultados para el recurso o la política de denegación que seleccionaste.
En la columna Acceso, se indica si la regla de denegación rechaza el permiso a la principal. Para ver más detalles sobre la regla de denegación, haz clic en Ver regla de denegación en la fila de esa regla.
Política de permisos
En la sección Política de permiso, puedes navegar por todas las políticas de permisos relevantes, identificar vinculaciones de funciones que otorgan acceso a la principal y comprender por qué una vinculación de función otorga o no el permiso a la principal.
En el panel Recursos, se enumera el recurso especificado y sus principales. Junto a cada recurso hay una evaluación de acceso. Esta evaluación solo se aplica a la política de permisos de ese recurso; no refleja ningún acceso de las políticas heredadas. Si no tienes permiso para ver la política de permisos de un recurso, la lista de recursos no lo incluye.
Para ver las vinculaciones de roles relevantes en la política de permisos de un recurso y ver cómo otorgan o no el permiso a la principal, haz clic en el recurso. Las vinculaciones de funciones de la política de permiso aparecen en el panel Vinculaciones de funciones.
El panel Vinculaciones de funciones contiene una tabla de vinculaciones de funciones en la política de permisos del recurso seleccionado. De forma predeterminada, la tabla solo contiene vinculaciones de funciones que incluyen una función con el permiso especificado. Si la principal no tiene acceso, en la tabla también se muestran las vinculaciones de roles con roles personalizados editables. Para ver todas las vinculaciones de funciones, desmarca la casilla de verificación Mostrar solo vinculaciones relevantes.
En la columna Acceso, se indica si la vinculación de la función le otorga el permiso a la principal. Para ver más detalles sobre la vinculación de función, haz clic en Ver detalles de vinculación en la fila de vinculación de esa función.
gcloud
La respuesta contiene cuatro secciones principales: una descripción de la tupla de acceso en la solicitud, los resultados de la evaluación de la política de permiso, los resultados de la evaluación de la política de denegación y el estado general del acceso.
-
accessTuple: Es una descripción de la tupla de acceso en la solicitud, incluido cualquier contexto de condición que proporcionaste. Esta sección también contiene un resumen de las etiquetas que se aplican al recurso. -
allowPolicyExplanation: Un resumen de si las políticas de permisos relevantes otorgan el permiso a la principal, seguido de una lista de políticas de permiso y sus vinculaciones de rolesPara cada política de permiso, la respuesta enumera todas las vinculaciones de funciones en la política y las evalúa según los siguientes criterios:
- Indica si la vinculación de la función incluye el permiso.
- Indica si la vinculación de la función incluye a la principal.
- Si se cumplen las condiciones en la vinculación de función, si las hay.
Luego, la respuesta imprime el texto JSON completo de la política de permiso.
-
denyPolicyExplanation: Un resumen de si las políticas de denegación relevantes rechazan a la principal el permiso, seguido de una lista de recursos con políticas de denegación. Para cada recurso, la respuesta enumera todas las políticas de denegación adjuntas al recurso.Para cada política de denegación, la respuesta imprime los metadatos de la política, enumera las reglas de denegación en la política y, luego, evalúa cada regla según los siguientes criterios:
- Indica si la regla de denegación incluye el permiso.
- Si el permiso aparece como una excepción en la regla de denegación.
- Indica si la regla de denegación incluye la principal.
- Si la principal aparece como una excepción en la regla de denegación.
- Indica si se cumplen las condiciones de la regla de denegación, si las hay.
-
overallAccessState: Indica si la principal puede usar el permiso especificado para acceder al recurso especificado según las políticas de permisos relevantes, las políticas de denegación y las políticas de límite de acceso de las principales.Las políticas relevantes de límite de acceso de principales incluyen todas las políticas de límite de acceso de principales que están vinculadas a un conjunto de principales que incluye a la principal.
Estas son algunas de las políticas de permiso y denegación relevantes:
- La política de permiso del recurso
- Las políticas de denegación del recurso, si las hay
- Las políticas de permiso del proyecto superior, la carpeta y la organización del recurso, si las hay
- Las políticas de denegación del proyecto superior, la carpeta y la organización del recurso, si las hay
Las políticas de permiso y denegación de los proyectos, las carpetas y las organizaciones superiores son relevantes debido a la herencia de políticas. Cuando adjuntas una política de permiso o denegación a un proyecto, una organización o una carpeta, esa política también se aplica a todos los recursos dentro de ese proyecto, organización o carpeta.
Por ejemplo, si una política de denegación para una organización indica que una principal no puede usar un permiso específico, la principal no puede usar ese permiso en ningún recurso dentro de la organización. Esta regla se aplica incluso si las carpetas y proyectos dentro de esa organización tienen políticas de denegación más permisivas o políticas de permiso que otorgan permiso a la principal.
Del mismo modo, si una política de permisos para un proyecto le da a una principal un permiso específico, la principal tiene ese permiso para cualquier recurso dentro del proyecto, siempre que no se le deniegue ese permiso.
A fin de que un usuario pueda usar el permiso para acceder al recurso, todos los tipos de políticas deben permitir el acceso. Para obtener más información, consulta Evaluación de políticas.
-
pabPolicyExplanation: Un resumen que indica si las políticas de límite de acceso a las principales relevantes permiten que la principal acceda al recurso, seguida de las vinculaciones de políticas de límite de acceso a las principales y las políticas de límite de acceso de las principales.Las políticas de límite de acceso de las principales pueden permitir el acceso, no permitir el acceso o no aplicarse de manera forzosa. Las políticas de límite de acceso de las principales no se aplican en las siguientes situaciones:
- IAM no aplica el permiso especificado en la versión de aplicación de la política de límite de acceso a la principal. Como resultado, la política de límite de acceso a la principal no puede bloquear el acceso.
- Debido a una condición en la vinculación de la política, la vinculación o política de límite de acceso a la principal no se aplica a la principal.
- Una política de límite de acceso de las principales no tiene reglas.
Si no se aplica una política de límite de acceso a una principal, no puede afectar si la principal puede acceder al recurso.
En la respuesta, también se enumeran todas las vinculaciones de políticas que incluyen la principal y los detalles de la política de límite de acceso a las principales en cada una de esas vinculaciones de políticas:
-
Para cada vinculación de política de límite de acceso a la principal, la respuesta imprime si
la vinculación de política se aplica a la principal y, luego, imprime el texto de
la vinculación de política. Se aplica una vinculación de política si el conjunto principal de
la vinculación incluye la principal consultada y si la condición de la
vinculación de política se evalúa como
truepara la principal consultada. Si no se aplica la vinculación de política, la política no puede afectar si la principal puede acceder al recurso. -
Para cada política de límite de acceso de las principales, la respuesta imprime lo siguiente:
- Indica si la política permite el acceso, no lo permite o no se aplica de manera forzosa.
- La versión de aplicación de la política. Este número de versión determina si IAM aplica esta política de límite de acceso a la principal para el permiso consultado. Si no se aplica el permiso, la política no puede afectar si la principal puede acceder al recurso.
-
Las reglas en la política de límite de acceso de las principales y si cada regla permite el acceso. Para cada regla, la respuesta indica si el recurso consultado se incluye en la regla.
Un recurso se incluye en una regla si se cumple una de las siguientes condiciones:
- El recurso aparece en la regla. Solo los recursos de Resource Manager (proyectos, carpetas y organizaciones) se pueden enumerar directamente en las reglas de límite de acceso de las principales.
- Uno de los principales del recurso (es decir, un proyecto, una carpeta o una organización por encima del recurso en la jerarquía de recursos) aparece en la regla.
Muchos objetos en la respuesta también tienen un campo relevance. El valor de este campo indica cuánto contribuye ese objeto al estado de acceso general.
El campo relevance puede tener los siguientes valores:
HEURISTIC_RELEVANCE_HIGH: Indica que el objeto tiene un gran impacto en el resultado. En otras palabras, quitar el objeto es probable que cambie el estado de acceso general. Por ejemplo, una vinculación de rol que otorgue a la principal el permiso especificado tendría este valor de relevancia.HEURISTIC_RELEVANCE_NORMAL: Indica que el objeto tiene un impacto limitado en el resultado. En otras palabras, es poco probable que quitar el objeto cambie el estado de acceso general. Por ejemplo, una regla de denegación que no contenga el permiso o la principal tendría este valor de relevancia.
REST
La respuesta contiene cuatro secciones principales: el estado general del acceso, una descripción de la tupla de acceso en la solicitud, los resultados de la evaluación de la política de permiso y los resultados de la evaluación de la política de denegación.
-
overallAccessState: Indica si la principal puede usar el permiso especificado para acceder al recurso especificado según las políticas de permisos relevantes, las políticas de denegación y las políticas de límite de acceso de las principales.Las políticas relevantes de límite de acceso de principales incluyen todas las políticas de límite de acceso de principales que están vinculadas a un conjunto de principales que incluye a la principal.
Estas son algunas de las políticas de permiso y denegación relevantes:
- La política de permiso del recurso
- Las políticas de denegación del recurso, si las hay
- Las políticas de permiso del proyecto superior, la carpeta y la organización del recurso, si las hay
- Las políticas de denegación del proyecto superior, la carpeta y la organización del recurso, si las hay
Las políticas de permiso y denegación de los proyectos, las carpetas y las organizaciones superiores son relevantes debido a la herencia de políticas. Cuando adjuntas una política de permiso o denegación a un proyecto, una organización o una carpeta, esa política también se aplica a todos los recursos dentro de ese proyecto, organización o carpeta.
Por ejemplo, si una política de denegación para una organización indica que una principal no puede usar un permiso específico, la principal no puede usar ese permiso en ningún recurso dentro de la organización. Esta regla se aplica incluso si las carpetas y proyectos dentro de esa organización tienen políticas de denegación más permisivas o políticas de permiso que otorgan permiso a la principal.
Del mismo modo, si una política de permisos para un proyecto le da a una principal un permiso específico, la principal tiene ese permiso para cualquier recurso dentro del proyecto, siempre que no se le deniegue ese permiso.
A fin de que un usuario pueda usar el permiso para acceder al recurso, todos los tipos de políticas deben permitir el acceso. Para obtener más información, consulta Evaluación de políticas.
-
accessTuple: Es una descripción de la tupla de acceso en la solicitud, incluido cualquier contexto de condición que proporcionaste. Esta sección también contiene un resumen de las etiquetas que se aplican al recurso. -
allowPolicyExplanation: Un resumen de si las políticas de permisos relevantes otorgan el permiso a la principal, seguido de una lista de políticas de permiso y sus vinculaciones de rolesPara cada política de permiso, la respuesta enumera todas las vinculaciones de funciones en la política y las evalúa según los siguientes criterios:
- Indica si la vinculación de la función incluye el permiso.
- Indica si la vinculación de la función incluye a la principal.
- Si se cumplen las condiciones en la vinculación de función, si las hay.
Luego, la respuesta imprime el texto JSON completo de la política de permiso.
-
denyPolicyExplanation: Un resumen de si las políticas de denegación relevantes rechazan a la principal el permiso, seguido de una lista de recursos con políticas de denegación. Para cada recurso, la respuesta enumera todas las políticas de denegación adjuntas al recurso.Para cada política de denegación, la respuesta imprime los metadatos de la política, enumera las reglas de denegación en la política y, luego, evalúa cada regla según los siguientes criterios:
- Indica si la regla de denegación incluye el permiso.
- Si el permiso aparece como una excepción en la regla de denegación.
- Indica si la regla de denegación incluye la principal.
- Si la principal aparece como una excepción en la regla de denegación.
- Indica si se cumplen las condiciones de la regla de denegación, si las hay.
-
pabPolicyExplanation: Un resumen que indica si las políticas de límite de acceso a las principales relevantes permiten que la principal acceda al recurso, seguida de las vinculaciones de políticas de límite de acceso a las principales y las políticas de límite de acceso de las principales.Las políticas de límite de acceso de las principales pueden permitir el acceso, no permitir el acceso o no aplicarse de manera forzosa. Las políticas de límite de acceso de las principales no se aplican en las siguientes situaciones:
- IAM no aplica el permiso especificado en la versión de aplicación de la política de límite de acceso a la principal. Como resultado, la política de límite de acceso a la principal no puede bloquear el acceso.
- Debido a una condición en la vinculación de la política, la vinculación o política de límite de acceso a la principal no se aplica a la principal.
- Una política de límite de acceso de las principales no tiene reglas.
Si no se aplica una política de límite de acceso a una principal, no puede afectar si la principal puede acceder al recurso.
En la respuesta, también se enumeran todas las vinculaciones de políticas que incluyen la principal y los detalles de la política de límite de acceso a las principales en cada una de esas vinculaciones de políticas:
-
Para cada vinculación de política de límite de acceso a la principal, la respuesta imprime si
la vinculación de política se aplica a la principal y, luego, imprime el texto de
la vinculación de política. Se aplica una vinculación de política si el conjunto principal de
la vinculación incluye la principal consultada y si la condición de la
vinculación de política se evalúa como
truepara la principal consultada. Si no se aplica la vinculación de política, la política no puede afectar si la principal puede acceder al recurso. -
Para cada política de límite de acceso de las principales, la respuesta imprime lo siguiente:
- Indica si la política permite el acceso, no lo permite o no se aplica de manera forzosa.
- La versión de aplicación de la política. Este número de versión determina si IAM aplica esta política de límite de acceso a la principal para el permiso consultado. Si no se aplica el permiso, la política no puede afectar si la principal puede acceder al recurso.
-
Las reglas en la política de límite de acceso de las principales y si cada regla permite el acceso. Para cada regla, la respuesta indica si el recurso consultado se incluye en la regla.
Un recurso se incluye en una regla si se cumple una de las siguientes condiciones:
- El recurso aparece en la regla. Solo los recursos de Resource Manager (proyectos, carpetas y organizaciones) se pueden enumerar directamente en las reglas de límite de acceso de las principales.
- Uno de los principales del recurso (es decir, un proyecto, una carpeta o una organización por encima del recurso en la jerarquía de recursos) aparece en la regla.
Muchos objetos en la respuesta también tienen un campo relevance. El valor de este campo indica cuánto contribuye ese objeto al estado de acceso general.
El campo relevance puede tener los siguientes valores:
HEURISTIC_RELEVANCE_HIGH: Indica que el objeto tiene un gran impacto en el resultado. En otras palabras, quitar el objeto es probable que cambie el estado de acceso general. Por ejemplo, una vinculación de rol que otorgue a la principal el permiso especificado tendría este valor de relevancia.HEURISTIC_RELEVANCE_NORMAL: Indica que el objeto tiene un impacto limitado en el resultado. En otras palabras, es poco probable que quitar el objeto cambie el estado de acceso general. Por ejemplo, una regla de denegación que no contenga el permiso o la principal tendría este valor de relevancia.
Soluciona problemas de vinculaciones de funciones condicionales
El Solucionador de problemas de políticas soluciona problemas de forma automática en las vinculaciones de funciones condicionales y las reglas de denegación según las etiquetas. También soluciona problemas de forma automática de las vinculaciones de políticas de límite de acceso a las principales con condiciones basadas en las principales.
Para solucionar otros tipos de vinculaciones de funciones condicionales o reglas de denegación condicionales, el Solucionador de problemas de políticas necesita contexto adicional sobre la solicitud. Por ejemplo, para solucionar problemas relacionados con condiciones basadas en atributos de fecha y hora, el Solucionador de problemas de políticas necesita el tiempo de la solicitud.
En gcloud CLI y la API de REST, proporcionas este contexto adicional de forma manual.
En la consola de Google Cloud, puedes proporcionar este contexto adicional si solucionas el problema directamente desde cualquier registro de auditoría de actividad del administrador o registro de auditoría de acceso a los datos. Cada entrada de registro de auditoría corresponde a una solicitud a una API de Google Cloud o una acción que Google Cloud realiza en tu nombre. Cuando solucionas problemas desde un registro de auditoría, el Solucionador de problemas de políticas obtiene información adicional de forma automática sobre la solicitud, como la fecha y hora, lo que permite que el Solucionador de problemas de políticas analice las vinculaciones de funciones condicionales y las reglas de denegación.
Consola
Para solucionar problemas de vinculaciones de roles condicionales y reglas de denegación, haz lo siguiente:
En la consola de Google Cloud, ve a la página Explorador de registros.
Si el título de la página es Visor de registros heredados, haz clic en la lista desplegable Actualizar y selecciona Actualizar al Explorador de registros nuevo.
Para ver solo los registros de auditoría de actividad del administrador y acceso a los datos, ingresa la siguiente consulta en el compilador de consultas y, luego, haz clic en Ejecutar consulta:
logName=("RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity" OR "RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Fdata_access")Reemplaza los siguientes valores:
RESOURCE_TYPE: El tipo de recurso para el que creas una lista de registros de auditoría. Usaprojects,foldersoorganizations.RESOURCE_ID: El ID de tu recurso.
Ubica la entrada de registro de auditoría que corresponda a la solicitud que deseas solucionar. Si quieres obtener información sobre cómo usar el explorador de registros para encontrar entradas de registro específicas, consulta Usa el explorador de registros.
En la columna Resumen de la entrada de registro, haz clic en IAM y, luego, en Solucionar problemas de acceso.
El Solucionador de problemas de políticas usa la información de la entrada de registro para solucionar problemas de acceso y, luego, te muestra los resultados. El contexto adicional se enumera en los detalles de la evaluación en Contexto de la condición. Para ver los detalles del contexto, haz clic en Ver contexto de la condición. Para obtener más información sobre la página de resultados del Solucionador de problemas de políticas, consulta Comprende los resultados del Solucionador de problemas en esta página.
Opcional: Para solucionar problemas de otra solicitud que involucre vinculaciones de funciones condicionales y reglas de denegación, regresa a la página del Explorador de registros y repite los pasos anteriores.
gcloud
Para solucionar problemas de vinculaciones de funciones condicionales y reglas de denegación, usa el comando gcloud policy-troubleshoot iam.
Antes de usar cualquiera de los datos de comando a continuación, haz los siguientes reemplazos:
-
EMAIL: La dirección de correo electrónico de la principal cuyos permisos deseas solucionar problemas. -
RESOURCE: Es el recurso en el que se otorga el permiso. -
PERMISSION: El permiso sobre el que deseas solucionar problemas. -
DESTINATION_IP: Opcional La dirección IP de destino de la solicitud que se usa cuando se verifican las vinculaciones de funciones condicionales. Por ejemplo,198.1.1.1. -
DESTINATION_PORT: Opcional El puerto de destino de la solicitud que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Por ejemplo, “8080”. -
REQUEST_TIME: Opcional La marca de tiempo de la solicitud que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Usa una marca de tiempo en formato RFC 3339, por ejemplo,2099-02-01T00:00:00Z. -
RESOURCE_NAME: Opcional El valor del nombre del recurso que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Para obtener una lista de los formatos de nombre de recurso aceptados, consulta Formato de nombre de recurso. -
RESOURCE_SERVICE: Opcional El valor del servicio de recursos que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Para obtener una lista de los nombres de servicios aceptados, consulta Valores de servicios de recursos. -
RESOURCE_TYPE: Opcional Para obtener una lista de los tipos de recursos aceptados, consulta Valores de tipos de recursos.
Ejecuta el comando gcloud policy-troubleshoot iam:
Linux, macOS o Cloud Shell
gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL \
--permission=PERMISSION --destination-ip=DESTINATION_IP \
--destination-port=DESTINATION_PORT --request-time=REQUEST_TIME \
--resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE \
--resource-type=RESOURCE_TYPE
Windows (PowerShell)
gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL `
--permission=PERMISSION --destination-ip=DESTINATION_IP `
--destination-port=DESTINATION_PORT --request-time=REQUEST_TIME `
--resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE `
--resource-type=RESOURCE_TYPE
Windows (cmd.exe)
gcloud policy-intelligence troubleshoot-policy iam RESOURCE --principal-email=EMAIL ^
--permission=PERMISSION --destination-ip=DESTINATION_IP ^
--destination-port=DESTINATION_PORT --request-time=REQUEST_TIME ^
--resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE ^
--resource-type=RESOURCE_TYPE
La respuesta contiene una explicación del acceso de la principal. Para cada regla de vinculación y denegación de función con una condición, la respuesta incluye un campo conditionExplanation que describe si la condición se evalúa como verdadera o falsa según el contexto de la condición que proporcionaste.
Por ejemplo, la siguiente es una evaluación de una vinculación de función con una condición que especifica el tipo de recurso y el servicio del recurso:
Respuesta
...
{
"allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
"combinedMembership": {
"membership": "MEMBERSHIP_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_HIGH"
},
"condition": {
"expression": " resource.type \u003d\u003d \"compute.googleapis.com/Instance\" \u0026\u0026 resource.service \u003d\u003d \"compute.googleapis.com\"",
"title": "Compute instances only",
"description": "Condition that limits permissions to only Compute instances"
},
"conditionExplanation": {
"evaluationStates": [{
"end": 51,
"start": 1,
"value": true
}, {
"end": 99,
"start": 55,
"value": true
}],
"value": true,
},
"memberships": {
"user:my-user@example.com": {
"membership": "MEMBERSHIP_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_HIGH"
}
},
"relevance": "HEURISTIC_RELEVANCE_HIGH",
"role": "roles/compute.viewer",
"rolePermission": "ROLE_PERMISSION_INCLUDED",
"rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
}
...
REST
Para solucionar problemas de vinculaciones de roles condicionales y reglas de denegación, usa el método iam.troubleshoot
de la API del Solucionador de problemas de políticas.
Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:
-
EMAIL: La dirección de correo electrónico de la principal cuyos permisos deseas solucionar problemas. -
RESOURCE: Es el recurso en el que se otorga el permiso. -
PERMISSION: El permiso sobre el que deseas solucionar problemas. -
DESTINATION_IP: Opcional La dirección IP de destino de la solicitud que se usa cuando se verifican las vinculaciones de funciones condicionales. Por ejemplo,198.1.1.1. -
DESTINATION_PORT: Opcional El puerto de destino de la solicitud que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Por ejemplo, “8080”. -
REQUEST_TIME: Opcional La marca de tiempo de la solicitud que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Usa una marca de tiempo en formato RFC 3339, por ejemplo,2099-02-01T00:00:00Z. -
RESOURCE_NAME: Opcional El valor del nombre del recurso que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Para obtener una lista de los formatos de nombre de recurso aceptados, consulta Formato de nombre de recurso. -
RESOURCE_SERVICE: Opcional El valor del servicio de recursos que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Para obtener una lista de los nombres de servicios aceptados, consulta Valores de servicios de recursos. -
RESOURCE_TYPE: Opcional Para obtener una lista de los tipos de recursos aceptados, consulta Valores de tipos de recursos.
Método HTTP y URL:
POST https://policytroubleshooter.googleapis.com/v3/iam:troubleshoot
Cuerpo JSON de la solicitud:
{
"accessTuple": {
"principal": "EMAIL",
"fullResourceName": "RESOURCE",
"permission": "PERMISSION",
"conditionContext": {
"destination": {
"ip": DESTINATION_IP,
"port": DESTINATION_PORT
},
"request": {
"receiveTime": REQUEST_TIME
},
"resource": {
"name": RESOURCE_NAME,
"service": RESOURCE_SERVICE,
"type": RESOURCE_TYPE
}
}
}
}
Para enviar tu solicitud, expande una de estas opciones:
La respuesta contiene una explicación del acceso de la principal. Para cada regla de vinculación y denegación de función con una condición, la respuesta incluye un campo conditionExplanation que describe si la condición se evalúa como verdadera o falsa según el contexto de la condición que proporcionaste.
Por ejemplo, la siguiente es una evaluación de una vinculación de función con una condición que especifica el tipo de recurso y el servicio del recurso:
...
{
"allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
"role": "roles/compute.viewer",
"rolePermission": "ROLE_PERMISSION_INCLUDED",
"rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
"combinedMembership": {
"membership": "MEMBERSHIP_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_HIGH"
},
"memberships": {
"user:my-user@example.com": {
"membership": "MEMBERSHIP_MATCHED",
"relevance": "HEURISTIC_RELEVANCE_HIGH"
}
},
"relevance": "HEURISTIC_RELEVANCE_HIGH",
"condition": {
"expression": " resource.type \u003d\u003d \"compute.googleapis.com/Instance\" \u0026\u0026 resource.service \u003d\u003d \"compute.googleapis.com\"",
"title": "Compute instances only",
"description": "Condition that limits permissions to only Compute instances"
},
"conditionExplanation": {
"value": true,
"evaluationStates": [{
"start": 1,
"end": 51,
"value": true
}, {
"start": 55,
"end": 99,
"value": true
}]
}
}
...
¿Qué sigue?
- Usa la referencia de permisos o la referencia de funciones predefinidas para determinar qué función otorgar a un usuario que no tiene permisos.
- Lee sobre las otras herramientas de Policy Intelligence, que te ayudan a comprender y administrar tus políticas para mejorar de forma proactiva la configuración de seguridad.