Las políticas de IAM y LCA requieren que la administración activa sea eficaz.
Antes de otorgar acceso a un objeto o bucket a otros usuarios, asegúrate de saber con quién deseas compartir el objeto o bucket y qué funciones quieres que tengan cada una de esas personas. Con el tiempo, es posible que los cambios en la administración del proyecto, los patrones de uso y la propiedad de la organización requieran que modifiques la configuración de IAM o LCA en buckets y proyectos, en especial si administras Cloud Storage en una organización grande o para un grupo grande de usuarios. A medida que evalúes y planifiques tu configuración de control de acceso, ten en cuenta las siguientes prácticas recomendadas:
Usa el principio de mínimo privilegio cuando otorgues acceso a tus buckets u objetos.
El principio de privilegio mínimo es un lineamiento de seguridad para otorgar acceso a tus recursos. Cuando otorgas acceso según este principio, otorgas los privilegios mínimos necesarios para que un usuario realice su tarea asignada. Por ejemplo, si deseas compartir archivos con alguien, debes otorgarle el rol de IAM storage.objectViewer o el permiso de LCA READER, y no el rol de IAM storage.admin o el permiso de LCA OWNER.
Evita otorgar roles de IAM con el permiso setIamPolicy u otorgar el permiso de LCA OWNER a personas que no conoces.
Otorgar el permiso de IAM setIamPolicy o el permiso de LCA OWNER permite que un usuario cambie los permisos y controle los datos. Debes usar roles con estos permisos solo cuando quieras delegar el control administrativo sobre objetos y buckets.
Ten cuidado con la forma en la que otorgas permisos para usuarios anónimos.
Los tipos de principales allUsers y allAuthenticatedUsers solo se deben usar cuando sea aceptable que cualquier persona en Internet lea y analice tus datos. Si bien estos alcances son útiles para algunas aplicaciones y situaciones, en general, no es una buena idea otorgar a todos los usuarios ciertos permisos, como los permisos de IAM setIamPolicy, update, create, delete o el permiso de LCA OWNER.
Asegúrate de delegar el control administrativo de tus buckets.
Debes asegurarte de que otros miembros del equipo aún puedan administrar tus recursos si un individuo con acceso de administrador abandona el grupo.
Para evitar que los recursos se vuelvan inaccesibles, puedes realizar alguna de las siguientes acciones:
Otorga el rol de IAM administrador de almacenamiento en tu proyecto a un grupo en lugar de a una persona.
Otorga el rol de IAM administrador de almacenamiento en tu proyecto a al menos dos personas.
Otorga el permiso de LCA OWNER para tu bucket a al menos dos personas
Presta atención al comportamiento interoperable de Cloud Storage.
Cuando usas la API de XML para acceso interoperable con otros servicios de almacenamiento, como Amazon S3, el identificador de la firma determina la sintaxis de LCA. Por ejemplo, si la herramienta o biblioteca que usas realiza una solicitud a Cloud Storage para recuperar las LCA y la solicitud usa el identificador de firma de otro proveedor de almacenamiento, entonces Cloud Storage muestra un documento XML con la sintaxis de LCA del proveedor de almacenamiento correspondiente. Si la herramienta o biblioteca que usas realiza una solicitud a Cloud Storage para que aplique las LCA y la solicitud usa el identificador de firma de otro proveedor de almacenamiento, entonces Cloud Storage espera recibir un documento XML con la sintaxis de LCA del proveedor de almacenamiento correspondiente.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-05 (UTC)"],[],[],null,["# Access control best practices\n\nThis page describes best practices for using\n[Identity and Access Management (IAM)](/storage/docs/access-control/iam)\nand [Access Control Lists (ACLs)](/storage/docs/access-control/lists) to manage access to your data.\n\nIAM policies and ACLs require active management to be effective.\nBefore you make a bucket or object accessible to other users, be sure you know\nwho you want to share the bucket or object with and what roles you want each of\nthose people to have. Over time, changes in project management, usage patterns,\nand organizational ownership may require you to modify IAM or ACL\nsettings on buckets and projects, especially if you manage\nCloud Storage in a large organization or for a large group of users. As\nyou evaluate and plan your access control settings, keep the following best\npractices in mind:\n\n- **Use the principle of least privilege when granting access to your buckets or\n objects.**\n\n The [*principle of least privilege*](https://en.wikipedia.org/wiki/Principle_of_least_privilege) is a security\n guideline for granting access to your resources. When you grant access based\n on the principle of least privilege, you grant the minimum permission\n that's necessary for a user to accomplish their assigned task. For example,\n if you want to share files with someone, you should grant them the\n `storage.objectViewer` IAM role or the `READER` ACLs\n permission, and not the `storage.admin` IAM role or the\n `OWNER` ACLs permission.\n- **Avoid granting IAM roles with `setIamPolicy` permission or\n granting the ACL `OWNER` permission to people you do not know.**\n\n Granting the `setIamPolicy` IAM permission or the\n `OWNER` ACLs permission allows a user to change permissions and take control\n of data. You should use roles with these permissions only when you want to\n delegate administrative control over objects and buckets.\n- **Be careful how you grant permissions for anonymous users.**\n\n The `allUsers` and `allAuthenticatedUsers` principal types should only be\n used when it is acceptable for anyone on the Internet to read and analyze\n your data. While these scopes are useful for some applications and\n scenarios, it is usually not a good idea to grant all users certain\n permissions, such as the IAM permissions `setIamPolicy`,\n `update`, `create`, or `delete`, or the ACLs `OWNER` permission.\n- **Be sure you delegate administrative control of your buckets.**\n\n You should be sure that your resources can still be managed by\n other team members should an individual with administrative access leave the\n group.\n\n To prevent resources from becoming inaccessible, you can do any of the\n following:\n - Grant the **Storage Admin** IAM role for your project to a\n group instead of an individual\n\n - Grant the **Storage Admin** IAM role for your project to\n at least two individuals\n\n - Grant the `OWNER` ACLs permission for your bucket to at least two\n individuals\n\n- **Be aware of Cloud Storage's interoperable behavior.**\n\n When using the XML API for interoperable access with other storage services,\n such as Amazon S3, the signature identifier determines the ACL syntax. For\n example, if the tool or library you are using makes a request to\n Cloud Storage to retrieve ACLs and the request uses another storage\n provider's signature identifier, then Cloud Storage returns an XML\n document that uses the corresponding storage provider's ACL syntax. If the\n tool or library you are using makes a request to Cloud Storage to\n apply ACLs and the request uses another storage provider's signature\n identifier, then Cloud Storage expects to receive an XML document\n that uses the corresponding storage provider's ACL syntax.\n\n For more information about using the XML API for interoperability with\n Amazon S3, see [Simple migration from Amazon S3 to Cloud Storage](/storage/docs/aws-simple-migration).\n\nWhat's next\n-----------\n\n- [Learn how to use IAM policies with Cloud Storage](/storage/docs/access-control/using-iam-permissions).\n- [Learn how to use ACLs with Cloud Storage](/storage/docs/access-control/create-manage-lists).\n- [Review the IAM reference table for Cloud Storage](/storage/docs/access-control/iam-reference)."]]
