Prácticas recomendadas sobre control de acceso

En esta página se describen las prácticas recomendadas para usar Gestión de Identidades y Accesos (IAM) y listas de control de acceso (ACLs) para gestionar el acceso a tus datos.

Para que las políticas de gestión de identidades y accesos y las listas de control de acceso sean eficaces, deben gestionarse de forma activa. Antes de permitir que otros usuarios accedan a un segmento o a un objeto, asegúrate de saber con quién quieres compartirlo y qué roles quieres que tenga cada uno de ellos. Con el tiempo, los cambios en la gestión de proyectos, los patrones de uso y la propiedad de la organización pueden requerir que modifiques los ajustes de Gestión de Identidades y Accesos o de las listas de control de acceso en los contenedores y proyectos, especialmente si gestionas Cloud Storage en una organización grande o para un gran grupo de usuarios. Cuando evalúes y planifiques los ajustes de control de acceso, ten en cuenta las siguientes prácticas recomendadas:

• Aplica el principio de mínimos accesos al conceder acceso a tus cubos u objetos.

  El principio de mínimos accesos es una directriz de seguridad para conceder acceso a tus recursos. Cuando concedes acceso según el principio de mínimos accesos, otorgas el permiso mínimo necesario para que un usuario pueda completar la tarea que se le ha asignado. Por ejemplo, si quieres compartir archivos con alguien, debes concederle el permiso de storage.objectViewerrol de gestión de identidades y accesosREADER o de READERACLREADER, y no el permiso de storage.adminrol de gestión de identidades y accesosstorage.admin o de OWNERACLOWNER.

• No concedas roles de gestión de identidades y accesos con el permiso setIamPolicy ni el permiso OWNER de la lista de control de acceso a personas que no conozcas.

  Si se concede el permiso setIamPolicy de gestión de identidades y accesos o el permiso OWNER de listas de control de acceso, un usuario puede cambiar los permisos y tomar el control de los datos. Solo debe usar roles con estos permisos cuando quiera delegar el control administrativo de objetos y contenedores.

• Ten cuidado con la forma en que concedes permisos a usuarios anónimos.

  Los tipos principales allUsers y allAuthenticatedUsers solo deben usarse cuando sea aceptable que cualquier persona en Internet lea y analice sus datos. Aunque estos ámbitos son útiles para algunas aplicaciones y situaciones, no suele ser una buena idea conceder a todos los usuarios determinados permisos, como los permisos de gestión de identidades y accesos setIamPolicy, update, create o delete, o el permiso OWNER de las listas de control de acceso.

• Delega el control administrativo de tus cubos.

  Debes asegurarte de que otros miembros del equipo puedan seguir gestionando tus recursos si un usuario con acceso de administrador abandona el grupo.

  Para evitar que los recursos dejen de estar accesibles, puedes hacer lo siguiente:

  • Concede el rol de gestión de identidades y accesos Administrador de Storage de tu proyecto a un grupo en lugar de a un usuario individual.

  • Concede el rol de IAM Administrador de Storage de tu proyecto a al menos dos personas.

  • Concede permisos de OWNER de LCA a tu segmento a al menos dos personas

• Ten en cuenta el comportamiento interoperable de Cloud Storage.

  Cuando se usa la API XML para acceder de forma interoperable a otros servicios de almacenamiento, como Amazon S3, el identificador de firma determina la sintaxis de la ACL. Por ejemplo, si la herramienta o la biblioteca que estás usando hace una solicitud a Cloud Storage para recuperar las LCAs y la solicitud usa el identificador de firma de otro proveedor de almacenamiento, Cloud Storage devuelve un documento XML que usa la sintaxis de LCA del proveedor de almacenamiento correspondiente. Si la herramienta o la biblioteca que estás usando envía una solicitud a Cloud Storage para aplicar LCAs y la solicitud usa el identificador de firma de otro proveedor de almacenamiento, Cloud Storage espera recibir un documento XML que use la sintaxis de LCA del proveedor de almacenamiento correspondiente.

  Para obtener más información sobre cómo usar la API XML para la interoperabilidad con Amazon S3, consulta Migración sencilla de Amazon S3 a Cloud Storage.

Siguientes pasos

• Consulta cómo usar las políticas de gestión de identidades y accesos con Cloud Storage.
• Consulta cómo usar las listas de control de acceso con Cloud Storage.
• Revisa la tabla de referencia de gestión de identidades y accesos para Cloud Storage.