Se usó la API de Cloud Translation para traducir esta página.

Uso compartido restringido al dominio

El uso compartido restringido del dominio te permite limitar el uso compartido de recursos según un dominio o un recurso de la organización. Cuando el uso compartido con restricción de dominio está activo, solo se pueden otorgar roles de IAM en tu organización de Google Cloud a los principales que pertenecen a dominios o organizaciones permitidos.

Métodos para restringir el uso compartido por dominio

Existen varias formas de usar el servicio de políticas de la organización para limitar el uso compartido de recursos según el dominio o el recurso de la organización:

Una política de la organización personalizada que hace referencia al recurso iam.googleapis.com/AllowPolicy: Puedes usar una política de la organización personalizada para permitir que se otorguen roles solo a un conjunto específico de principales.

Con este método, usas las siguientes funciones de CEL para definir quién puede obtener un rol en tu organización:
Para permitir que se otorguen roles a todas las principales de tu organización, especifica que el conjunto de principales de tu organización en la función memberInPrincipalSet incluya el conjunto de principales de la organización en la restricción.

Para obtener más información sobre cómo crear políticas de la organización personalizadas con estas funciones de CEL, consulta Cómo usar políticas de la organización personalizadas para implementar el uso compartido restringido de dominios.
La restricción administrada iam.managed.allowedPolicyMembers: Puedes hacer cumplir esta restricción administrada para permitir que se otorguen roles solo a los principales y conjuntos de principales que especifiques en la restricción.

Con esta restricción administrada, puedes enumerar los principales y los conjuntos de principales a los que deseas permitir que se otorguen roles. Sin embargo, este método es menos flexible que usar políticas de la organización personalizadas. Por ejemplo, no puedes configurar principales permitidos según el tipo de miembro ni evitar que se otorguen roles a principales específicos.

Para permitir que se otorguen roles a todas las principales de tu organización, incluye el principal de la organización establecido en la restricción.

Para obtener información sobre cómo establecer esta restricción, consulta Usa la restricción iam.managed.allowedPolicyMembers para implementar el uso compartido con restricción de dominio.
La restricción predefinida iam.allowedPolicyMemberDomains: Puedes aplicar esta restricción predefinida para permitir que solo se otorguen roles a principales de tu organización. Puedes limitar el acceso según el ID de recurso de tu organización o el ID de cliente de Google Workspace. Para ver las diferencias entre estos identificadores, consulta ID de recurso de organización en comparación con el ID de cliente de Google Workspace en esta página.

Esta restricción no te permite configurar excepciones para principales específicos. Por ejemplo, imagina que necesitas otorgar un rol a un agente de servicio en una organización que aplica la restricción iam.allowedPolicyMemberDomains. Google crea y administra los agentes de servicio, por lo que no forman parte de tu organización, tu cuenta de Google Workspace ni tu dominio de Cloud Identity. Como resultado, para otorgar un rol al agente de servicio, debes inhabilitar la restricción, otorgar el rol y, luego, volver a habilitar la restricción.

Puedes anular la política de la organización a nivel de la carpeta o el proyecto para cambiar a qué usuarios se les permite otorgar roles en qué carpetas o proyectos. Para obtener más información, consulta Anula la política de la organización de un proyecto.

Para obtener información sobre cómo establecer esta restricción, consulta Usa la restricción iam.allowedPolicyMemberDomains para implementar el uso compartido con restricción de dominio.

Nota: Si tu organización se creó a partir del 3 de mayo de 2024, la restricción predefinida iam.allowedPolicyMemberDomains se aplica de forma predeterminada, y tu dominio se indica como el único valor permitido.

Cómo funciona el uso compartido restringido al dominio

Cuando usas una política de la organización para aplicar el uso compartido restringido al dominio, no se pueden otorgar roles de IAM en tu organización a principales fuera de los dominios y las personas que especifiques.

En las siguientes secciones, se describen algunos detalles clave sobre el funcionamiento de las restricciones de uso compartido con dominios restringidos en tu organización.

Las restricciones no son retroactivas

Las restricciones de las políticas de la organización no son retroactivas. Después de establecer una restricción de dominio, la limitación se aplica para permitir los cambios en la política que se realicen a partir de ese momento, y no a los cambios anteriores.

Por ejemplo, considera dos organizaciones relacionadas: examplepetstore.com y altostrat.com. Le otorgaste a una identidad examplepetstore.com un rol de IAM en altostrat.com. Más tarde, decidiste restringir las identidades por dominio e implementaste una política de la organización con la restricción de restricción de dominio en altostrat.com. En este caso, las identidades existentes de examplepetstore.com no perderían el acceso en altostrat.com. A partir de ese momento, solo podrías otorgar roles de IAM a las identidades del dominio altostrat.com.

Las restricciones se aplican cada vez que se configura una política de IAM.

Las restricciones de restricción de dominio se aplican a todas las acciones en las que se configura una política de IAM. Esto incluye las acciones automáticas. Por ejemplo, las restricciones se aplican a los cambios que realiza un agente de servicio en respuesta a otra acción. Por ejemplo, si tienes un servicio automatizado que importa conjuntos de datos de BigQuery, un agente de servicio de BigQuery realizará cambios en la política de IAM en el conjunto de datos creado recientemente. Esta acción estaría restringida por la restricción de dominio y bloqueada.

Las restricciones no incluyen automáticamente tu dominio

El dominio de tu organización no se agrega automáticamente a la lista de entidades permitidas de una política cuando configuras la restricción de dominio. Para permitir que a las principales de tu dominio se les otorguen roles de IAM en tu organización, debes agregar tu dominio de forma explícita. Si no agregas tu dominio y se quita el rol de Administrador de políticas de la organización (roles/orgpolicy.policyAdmin) a todos los usuarios de tu dominio, la política de la organización quedará inaccesible.

Grupos de Google y uso compartido restringido al dominio

Si la restricción de dominio se aplica en tu organización, es posible que no puedas otorgar roles a los grupos de Google recién creados, incluso si pertenecen a un dominio permitido. Esto se debe a que puede tardar hasta 24 horas para que un grupo se propague por completo a través de Google Cloud. Si no puedes otorgar un rol a un grupo de Google recién creado, espera 24 horas y, luego, vuelve a intentarlo.

Además, cuando se evalúa si un grupo pertenece a un dominio permitido, IAM solo evalúa el dominio del grupo. No evalúa los dominios de ninguno de los miembros del grupo. Como resultado, los administradores de proyectos pueden omitir la restricción de dominio agregando miembros externos a los Grupos de Google y, luego, otorgándoles roles a esos Grupos de Google.

Para garantizar que los administradores de proyectos no puedan omitir la restricción de dominio, el administrador de Google Workspace debe asegurarse de que los propietarios del grupo no permitan miembros desde fuera del dominio en el panel del administrador de Google Workspace.

ID de recurso de la organización en comparación con el ID de cliente de Google Workspace

Si usas la restricción predefinida iam.allowedPolicyMemberDomains para implementar el uso compartido restringido al dominio, puedes limitar el acceso en función del ID de recurso de tu organización o del ID de cliente de Google Workspace.

El uso del ID de recurso de tu organización permite que se otorguen roles en tu organización a los siguientes principales:

Todos los grupos de identidad del personal de tu organización
Todas las cuentas de servicio y los grupos de identidades para cargas de trabajo de cualquier proyecto de la organización
Todos los agentes de servicio asociados con recursos de tu organización

El uso de tu ID de cliente de Google Workspace permite que se otorguen roles en tu organización a los siguientes principales:

Todas las identidades de todos los dominios, incluidos los subdominios, asociados con tu ID de cliente de Google Workspace
Todos los grupos de identidad del personal de tu organización
Todas las cuentas de servicio y los grupos de identidades para cargas de trabajo de cualquier proyecto de la organización
Todos los agentes de servicio asociados con recursos de tu organización

Si deseas implementar el uso compartido con restricción de dominio para subdominios específicos, debes crear una cuenta de Google Workspace independiente para cada subdominio. Para obtener más información sobre cómo administrar varias cuentas de Google Workspace, consulta Cómo administrar varias organizaciones.