Google Cloud ofrece la función de administración de identidades y accesos (IAM), que te permite brindar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgues el acceso necesario a tus recursos.
IAM te permite configurar políticas para controlar quién (usuarios) tiene qué acceso (funciones) a qué recursos. Las políticas de IAM asignan funciones específicas a un usuario, lo que le otorga ciertos permisos.
En esta página, se explican los roles de IAM que están disponibles en el nivel de Carpetas, y cómo crear y administrar políticas de IAM para carpetas con la API de Cloud Resource Manager. Para ver una descripción detallada de IAM, lee la documentación de IAM. En particular, consulta Cómo otorgar, cambiar y revocar el acceso.
Descripción general de las funciones de IAM para las carpetas
Para ayudarte a configurar las funciones de IAM, se enumeran las siguientes tablas:
- El tipo de acción que quieras habilitar
- Las funciones requeridas para realizar esas acciones
- El nivel de recursos en el que necesitas aplicar esas funciones
Tipo de acciones | Funciones necesarias | Nivel de recursos |
---|---|---|
Administrar carpetas en todo el recurso de la organización | Administrador de carpetas | Recurso de organización |
Administrar una carpeta y todos los proyectos y carpetas que contiene | Administrador de carpeta | Carpeta específica |
Acceder y administrar las políticas de IAM de una carpeta | Administrador de IAM de carpeta | Carpeta específica |
Crear carpetas nuevas | Creador de la carpeta | Recurso principal para la ubicación de las carpetas nuevas |
Mover carpetas y proyectos | Encargado de transferencia de la carpeta | Recurso principal para la ubicación de la carpeta original y la ubicación de la carpeta nueva |
Mover un proyecto a una carpeta nueva | Editor del proyecto o Propietario del proyecto | Recurso principal para la ubicación del proyecto original y la ubicación del proyecto nuevo |
Borrar una carpeta | Editor de carpetas o Administrador de carpetas | Carpeta específica |
Prácticas recomendadas para usar funciones y permisos de IAM con carpetas
Cuando asignas funciones y permisos de IAM para usar con carpetas, ten en cuenta lo siguiente:
- Siempre que sea posible, usa grupos para administrar principales.
- Minimiza el uso de funciones básicas, como el propietario, el editor y el visualizador. En cambio, intenta usar las funciones predefinidas para el principio de privilegio mínimo.
- Para la administración de toda la carpeta, asigna permisos a nivel de carpeta y haz que los proyectos los hereden de forma automática. Por ejemplo, puedes asignar la función Administrador de carpetas en la carpeta a un grupo de administradores de departamentos. Los administradores de red que necesitan tener permisos en todo el departamento pueden tener la función Administrador de red para la carpeta.
- Considera con cuidado qué permisos pueden cambiar antes de mover un recurso fuera de una carpeta. De lo contrario, puedes correr el riesgo de romper las apps o los flujos de trabajo existentes que requieran esos permisos en ese recurso.
- Planifica y prueba tu jerarquía de recursos con cuidado antes de mover los proyectos de producción a carpetas. Una forma de hacerlo es crear una carpeta de prueba en el recurso de tu organización y crear un prototipo de tu jerarquía prevista con anticipación.
- Otorgar una función a un usuario en el nivel de carpeta también otorgará al usuario esa función para cada recurso en esa carpeta. Por ejemplo, si otorgas a un usuario la función Administrador de Compute (
roles/compute.admin
) en una carpeta, ese usuario tendrá el control total de todos los recursos de Compute Engine en cada proyecto en esa carpeta.
Comprende las funciones y los permisos de las carpetas
Funciones predeterminadas
Cuando creas una carpeta, se te otorgan las funciones Administrador de carpetas y Editor de carpetas de la carpeta para proporcionarte el control total como creador. Consulta a continuación los permisos que proporcionan estas funciones. Estas funciones predeterminadas se pueden cambiar a normales en una Política de IAM.
Usa funciones predefinidas
Rol | Permisos |
---|---|
Administrador de carpetas( Proporciona todos los permisos disponibles para trabajar con carpetas. Recursos de nivel más bajo en los que puedes otorgar esta función:
|
|
Administrador de IAM de carpeta( Proporciona permisos para administrar las políticas de permisos en las carpetas. Recursos de nivel más bajo en los que puedes otorgar este rol:
|
|
Creador de carpetas( Proporciona los permisos necesarios para navegar por la jerarquía y crear carpetas. Recursos de nivel más bajo en los que puedes otorgar esta función:
|
|
Editor de carpetas( Proporciona permiso para modificar carpetas y ver la política de permisos de una carpeta. Recursos de nivel más bajo en los que puedes otorgar este rol:
|
|
Encargado de transferencia de carpetas( Proporciona permisos para mover proyectos y carpetas dentro de una organización o carpeta superior y fuera de ellas. Recursos de nivel más bajo en los que puedes otorgar esta función:
|
|
Visualizador de carpeta( Proporciona permiso para obtener una carpeta y enumerar proyectos y carpetas de un recurso. Recursos de nivel más bajo en los que puedes otorgar esta función:
|
|
Crea funciones personalizadas
Además de las funciones predefinidas que se describen en esta documentación, también puedes crear funciones personalizadas, que son colecciones de permisos que puedes adaptar a tus necesidades. Cuando crees un rol personalizado para usar con Resource Manager, ten en cuenta los siguientes puntos:- Los permisos list y get, como
resourcemanager.projects.get/list
, siempre se deben otorgar como un par. - Cuando tu función personalizada incluye los permisos
folders.list
yfolders.get
, también debe incluirprojects.list
yprojects.get
. - Ten en cuenta que el permiso
setIamPolicy
para recursos de organización, carpeta y proyecto permite al usuario otorgar todos los demás permisos, por lo que debe asignarse con cuidado.
Otorga funciones para habilitar la exploración de carpetas
Los permisos list permiten la exploración de carpetas. Los dos tipos de permisos de lista que deben otorgarse por lo general son resourcemanager.folders.list
, que permite a los usuarios enumerar carpetas bajo un recurso, y resourcemanager.projects.list
, que permite a los usuarios navegar por proyectos en un recurso o carpeta de la organización. El administrador de la organización se inicializa con ambos permisos. Los usuarios a los que no se les asignó la función Administrador de la organización, pueden hacer lo siguiente:
- Se puede otorgar
resourcemanager.folders.list
a través de las funciones Visualizador de carpetas y Editor de carpetas. resourcemanager.projects.list
se puede otorgar a través de las funciones Visualizador o Navegador.
Para que los principales de los recursos de la organización puedan explorar toda la jerarquía de recursos de la organización, los permisos de la lista deben otorgarse a nivel de los recursos de la organización.
Otorga funciones para habilitar la creación de carpetas
A los usuarios que necesitan crear carpetas se les debe asignar la función Creador de carpetas en un recurso de la jerarquía por encima del nivel en el que se creará la carpeta. Puede ser útil otorgar permisos de navegación junto con permisos de creación de carpetas para que los usuarios puedan navegar efectivamente hacia el lugar de la jerarquía en el que se creará la carpeta. Consulta la sección anterior para obtener más información sobre los permisos de navegación.
El Creador de carpetas no otorga permisos a un usuario para borrar una carpeta. Sin embargo, cuando una persona crea una carpeta, a esa persona se le otorga automáticamente la función Editor de carpetas. La función Editor de carpetas permite que se eliminen carpetas.
Concede funciones para habilitar el movimiento de carpetas
A fin de mover una carpeta de un recurso principal a otro, los usuarios deben tener la función Encargado de la transferencia de la carpeta en los recursos principales antiguos y nuevos, o en un antecesor común.
Otorga funciones para permitir el movimiento de proyectos
A fin de mover un proyecto a una carpeta, los usuarios deben tener las funciones Editor del proyecto o Propietario del proyecto en el proyecto y el Encargado de la transferencia del proyecto en los recursos principales fuente y de destino.
Esto difiere levemente de los requisitos para mover a la organización un proyecto ajeno a una organización. En ese caso, los usuarios deben tener la función Editor de proyecto o Propietario del proyecto en el proyecto, y Creador del proyecto en el recurso de la organización.
Otorga las funciones específicas de carpeta para permitir la creación de proyectos
Para crear proyectos, los usuarios deben tener la función Creador del proyecto. Sin embargo, en lugar de otorgar permisos de creación de proyectos a nivel de toda la organización, puede ser útil restringir a los usuarios a visualizar y crear proyectos solo dentro de una carpeta determinada.
Para otorgar permisos específicos de carpeta, sigue estos pasos:
- Otorga al usuario la función Visualizador de la organización a nivel del nodo de la organización (por ejemplo, domain.com).
- Crea una carpeta nueva.
- Agrega el usuario a IAM en el nivel de carpeta y concédele las funciones Visualizador de carpeta y Creador del proyecto.
Esto permite al usuario crear proyectos en su carpeta sin otorgarles visibilidad de todos los proyectos en todo el recurso de la organización.