Control de acceso para carpetas con la IAM

Google Cloud ofrece Identity and Access Management (IAM), que te permite brindar acceso más detallado a recursos específicos de Google Cloud y evita el acceso no deseado a otros recursos. IAM te permite adoptar el principio de seguridad de menor privilegio, de manera que solo otorgas el acceso necesario a tus recursos.

IAM te permite configurar políticas para controlar quién (usuarios) tiene qué acceso (roles) a qué recursos estableciendo políticas de permiso. Las políticas de permiso otorgan roles específicos a un usuario, lo que le otorga ciertos permisos.

En esta página, se explican los roles de IAM que están disponibles en el nivel de carpetas y cómo crear y administrar políticas de permisos para carpetas con la API de Cloud Resource Manager. Para obtener más información, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Descripción general de las funciones de IAM para las carpetas

Para ayudarte a configurar las funciones de IAM, se enumeran las siguientes tablas:

  • El tipo de acción que quieras habilitar
  • Las funciones requeridas para realizar esas acciones
  • El nivel de recursos en el que necesitas aplicar esas funciones
Tipo de acciones Funciones necesarias Nivel de recursos
Administrar carpetas en el recurso de la organización Administrador de carpetas Recurso de organización
Administrar una carpeta y todos los proyectos y carpetas que contiene Administrador de carpeta Carpeta específica
Acceder a las políticas de permisos de una carpeta y administrarlas Administrador de IAM de carpeta Carpeta específica
Crear carpetas nuevas Creador de la carpeta Recurso principal para la ubicación de las carpetas nuevas
Mover carpetas y proyectos Encargado de transferencia de la carpeta Recurso principal para la ubicación de la carpeta original y la ubicación de la carpeta nueva
Mover un proyecto a una carpeta nueva Editor del proyecto o Propietario del proyecto Recurso principal para la ubicación del proyecto original y la ubicación del proyecto nuevo
Borrar una carpeta Editor de carpetas o Administrador de carpetas Carpeta específica

Prácticas recomendadas para usar funciones y permisos de IAM con carpetas

Cuando asignas funciones y permisos de IAM para usar con carpetas, ten en cuenta lo siguiente:

  • Siempre que sea posible, usa grupos para administrar principales.
  • Minimiza el uso de funciones básicas, como el propietario, el editor y el visualizador. En cambio, intenta usar las funciones predefinidas para el principio de privilegio mínimo.
  • Para la administración de toda la carpeta, asigna permisos a nivel de carpeta y haz que los proyectos los hereden de forma automática. Por ejemplo, puedes asignar la función Administrador de carpetas en la carpeta a un grupo de administradores de departamentos. Los administradores de red que necesitan tener permisos en todo el departamento pueden tener la función Administrador de red para la carpeta.
  • Considera con cuidado qué permisos pueden cambiar antes de mover un recurso fuera de una carpeta. De lo contrario, puedes correr el riesgo de romper las apps o los flujos de trabajo existentes que requieran esos permisos en ese recurso.
  • Planifica y prueba tu jerarquía de recursos con cuidado antes de mover los proyectos de producción a carpetas. Una forma de hacerlo es crear una carpeta de prueba en el recurso de tu organización y crear un prototipo de tu jerarquía prevista con anticipación.
  • Otorgar una función a un usuario en el nivel de carpeta también otorgará al usuario esa función para cada recurso en esa carpeta. Por ejemplo, si otorgas a un usuario la función Administrador de Compute (roles/compute.admin) en una carpeta, ese usuario tendrá el control total de todos los recursos de Compute Engine en cada proyecto en esa carpeta.

Comprende las funciones y los permisos de las carpetas

Funciones predeterminadas

Cuando creas una carpeta, se te otorgan las funciones Administrador de carpetas y Editor de carpetas de la carpeta para proporcionarte el control total como creador. Consulta a continuación los permisos que proporcionan estas funciones. Estas funciones predeterminadas se pueden cambiar a normales en una política de permisos.

Usa funciones predefinidas

Rol Permisos

(roles/resourcemanager.folderAdmin)

Proporciona todos los permisos disponibles para trabajar con carpetas.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Carpeta

essentialcontacts.*

  • essentialcontacts.contacts.create
  • essentialcontacts.contacts.delete
  • essentialcontacts.contacts.get
  • essentialcontacts.contacts.list
  • essentialcontacts.contacts.send
  • essentialcontacts.contacts.update

iam.policybindings.*

  • iam.policybindings.get
  • iam.policybindings.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.capabilities.*

  • resourcemanager.capabilities.get
  • resourcemanager.capabilities.update

resourcemanager.folders.*

  • resourcemanager.folders.create
  • resourcemanager.folders.createPolicyBinding
  • resourcemanager.folders.delete
  • resourcemanager.folders.deletePolicyBinding
  • resourcemanager.folders.get
  • resourcemanager.folders.getIamPolicy
  • resourcemanager.folders.list
  • resourcemanager.folders.move
  • resourcemanager.folders.searchPolicyBindings
  • resourcemanager.folders.setIamPolicy
  • resourcemanager.folders.undelete
  • resourcemanager.folders.update
  • resourcemanager.folders.updatePolicyBinding

resourcemanager.hierarchyNodes.*

  • resourcemanager.hierarchyNodes.createTagBinding
  • resourcemanager.hierarchyNodes.deleteTagBinding
  • resourcemanager.hierarchyNodes.listEffectiveTags
  • resourcemanager.hierarchyNodes.listTagBindings

resourcemanager.projects.createPolicyBinding

resourcemanager.projects.deletePolicyBinding

resourcemanager.projects.get

resourcemanager.projects.getIamPolicy

resourcemanager.projects.list

resourcemanager.projects.move

resourcemanager.projects.searchPolicyBindings

resourcemanager.projects.setIamPolicy

resourcemanager.projects.updatePolicyBinding

(roles/resourcemanager.folderIamAdmin)

Proporciona permisos para administrar las políticas de permisos en las carpetas.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Carpeta

iam.policybindings.*

  • iam.policybindings.get
  • iam.policybindings.list

resourcemanager.folders.createPolicyBinding

resourcemanager.folders.deletePolicyBinding

resourcemanager.folders.get

resourcemanager.folders.getIamPolicy

resourcemanager.folders.searchPolicyBindings

resourcemanager.folders.setIamPolicy

resourcemanager.folders.updatePolicyBinding

(roles/resourcemanager.folderCreator)

Proporciona los permisos necesarios para navegar por la jerarquía y crear carpetas.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Carpeta

essentialcontacts.contacts.get

essentialcontacts.contacts.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.capabilities.get

resourcemanager.folders.create

resourcemanager.folders.get

resourcemanager.folders.list

resourcemanager.projects.get

resourcemanager.projects.list

(roles/resourcemanager.folderEditor)

Proporciona permiso para modificar carpetas y ver la política de permisos de una carpeta.

Recursos de nivel más bajo en los que puedes otorgar este rol:

  • Carpeta

essentialcontacts.contacts.get

essentialcontacts.contacts.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.capabilities.*

  • resourcemanager.capabilities.get
  • resourcemanager.capabilities.update

resourcemanager.folders.delete

resourcemanager.folders.get

resourcemanager.folders.getIamPolicy

resourcemanager.folders.list

resourcemanager.folders.searchPolicyBindings

resourcemanager.folders.undelete

resourcemanager.folders.update

resourcemanager.projects.get

resourcemanager.projects.list

(roles/resourcemanager.folderMover)

Proporciona permisos para mover proyectos y carpetas dentro de una organización o carpeta superior y fuera de ellas.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Carpeta

resourcemanager.folders.move

resourcemanager.projects.move

(roles/resourcemanager.folderViewer)

Proporciona permiso para obtener una carpeta y enumerar proyectos y carpetas de un recurso.

Recursos de nivel más bajo en los que puedes otorgar esta función:

  • Carpeta

essentialcontacts.contacts.get

essentialcontacts.contacts.list

orgpolicy.constraints.list

orgpolicy.policies.list

orgpolicy.policy.get

resourcemanager.capabilities.get

resourcemanager.folders.get

resourcemanager.folders.list

resourcemanager.projects.get

resourcemanager.projects.list

Crea funciones personalizadas

Además de las funciones predefinidas que se describen en este tema, también puedes crear funciones personalizadas, que son colecciones de permisos que puedes adaptar a tus necesidades. Cuando se crea un rol personalizado para usar con Resource Manager, se debe prestar atención a los siguientes puntos:
  • Los permisos list y get, como resourcemanager.projects.get/list, siempre se deben otorgar como un par.
  • Cuando tu rol personalizado incluye los permisos folders.list y folders.get, también debe incluir projects.list y projects.get.
  • Ten en cuenta que el permiso setIamPolicy para los recursos de organización, carpeta y proyecto permite al usuario otorgar todos los demás permisos, por lo que debe asignarse con cuidado.

Otorga funciones para habilitar la exploración de carpetas

Los permisos list permiten la exploración de carpetas. Los dos tipos de permisos de lista que deben otorgarse por lo general son resourcemanager.folders.list, que permite a los usuarios enumerar carpetas bajo un recurso, y resourcemanager.projects.list, que permite a los usuarios navegar por proyectos en un recurso de organización o carpeta. El administrador de la organización se inicializa con ambos permisos. Los usuarios a los que no se les asignó la función Administrador de la organización, pueden hacer lo siguiente:

  • Se puede otorgar resourcemanager.folders.list a través de las funciones Visualizador de carpetas y Editor de carpetas.
  • resourcemanager.projects.list se puede otorgar a través de las funciones Visualizador o Navegador.

Para que los principales del recurso de organización puedan explorar toda la jerarquía del recurso de organización, los permisos de la lista deben otorgarse a nivel del recurso de organización.

Otorga funciones para habilitar la creación de carpetas

A los usuarios que necesitan crear carpetas se les debe asignar la función Creador de carpetas en un recurso de la jerarquía por encima del nivel en el que se creará la carpeta. Puede ser útil otorgar permisos de navegación junto con permisos de creación de carpetas para que los usuarios puedan navegar efectivamente hacia el lugar de la jerarquía en el que se creará la carpeta. Consulta la sección anterior para obtener más información sobre los permisos de navegación.

El Creador de carpetas no otorga permisos a un usuario para borrar una carpeta. Sin embargo, cuando una persona crea una carpeta, a esa persona se le otorga automáticamente la función Editor de carpetas. La función Editor de carpetas permite que se eliminen carpetas.

Concede funciones para habilitar el movimiento de carpetas

A fin de mover una carpeta de un recurso principal a otro, los usuarios deben tener la función Encargado de la transferencia de la carpeta en los recursos principales antiguos y nuevos, o en un antecesor común.

Otorga funciones para permitir el movimiento de proyectos

A fin de mover un proyecto a una carpeta, los usuarios deben tener las funciones Editor del proyecto o Propietario del proyecto en el proyecto y el Encargado de la transferencia del proyecto en los recursos principales fuente y de destino.

Esto difiere levemente de los requisitos para mover a la organización un proyecto ajeno a una organización. En ese caso, los usuarios deben tener la función Editor de proyecto o Propietario del proyecto en el proyecto, y Creador del proyecto en el recurso de la organización.

Otorga las funciones específicas de carpeta para permitir la creación de proyectos

Para crear proyectos, los usuarios deben tener la función Creador del proyecto. Sin embargo, en lugar de otorgar permisos de creación de proyectos a nivel de toda la organización, puede ser útil restringir a los usuarios a visualizar y crear proyectos solo dentro de una carpeta determinada.

Para otorgar permisos específicos de carpeta, sigue estos pasos:

  1. Otorga al usuario la función Visualizador de la organización a nivel del nodo de la organización (por ejemplo, domain.com).
  2. Crea una carpeta nueva.
  3. Agrega el usuario a IAM en el nivel de carpeta y concédele las funciones Visualizador de carpeta y Creador del proyecto.

Esto permite al usuario crear proyectos en su carpeta sin otorgarles visibilidad de todos los proyectos en el recurso de organización más grande.