Prácticas recomendadas de control de acceso

En esta página, se describen las prácticas recomendadas para usar la administración de identidades y accesos (IAM) y las listas de control de acceso (LCA) a fin de administrar el acceso a tus datos.

Las políticas de IAM y LCA requieren que la administración activa sea eficaz. Antes de otorgar acceso a un objeto o bucket a otros usuarios, asegúrate de saber con quién deseas compartir el objeto o bucket y qué funciones quieres que tengan cada una de esas personas. Con el tiempo, es posible que los cambios en la administración del proyecto, los patrones de uso y la propiedad de la organización requieran que modifiques la configuración de IAM o LCA en buckets y proyectos, en especial si administras Cloud Storage en una organización grande o para un grupo grande de usuarios. A medida que evalúes y planifiques tu configuración de control de acceso, ten en cuenta las siguientes prácticas recomendadas:

  • Usa el principio de mínimo privilegio cuando otorgues acceso a tus buckets u objetos.

    El principio de privilegio mínimo es un lineamiento de seguridad para otorgar acceso a tus recursos. Cuando otorgas acceso según este principio, otorgas los privilegios mínimos necesarios para que un usuario realice su tarea asignada. Por ejemplo, si deseas compartir archivos con alguien, debes otorgarle el rol de IAM storage.objectViewer o el permiso de LCA READER, y no el rol de IAM storage.admin o el permiso de LCA OWNER.

  • Evita otorgar roles de IAM con el permiso setIamPolicy u otorgar el permiso de LCA OWNER a personas que no conoces.

    Otorgar el permiso de IAM setIamPolicy o el permiso de LCA OWNER permite que un usuario cambie los permisos y controle los datos. Debes usar roles con estos permisos solo cuando quieras delegar el control administrativo sobre objetos y buckets.

  • Ten cuidado con la forma en la que otorgas permisos para usuarios anónimos.

    Los tipos de principales allUsers y allAuthenticatedUsers solo se deben usar cuando sea aceptable que cualquier persona en Internet lea y analice tus datos. Si bien estos alcances son útiles para algunas aplicaciones y situaciones, en general, no es una buena idea otorgar a todos los usuarios ciertos permisos, como los permisos de IAM setIamPolicy, update, create, delete o el permiso de LCA OWNER.

  • Asegúrate de delegar el control administrativo de tus buckets.

    Debes asegurarte de que otros miembros del equipo aún puedan administrar tus recursos si un individuo con acceso de administrador abandona el grupo.

    Para evitar que los recursos se vuelvan inaccesibles, puedes realizar alguna de las siguientes acciones:

    • Otorga el rol de IAM administrador de almacenamiento en tu proyecto a un grupo en lugar de a una persona.

    • Otorga el rol de IAM administrador de almacenamiento en tu proyecto a al menos dos personas.

    • Otorga el permiso de LCA OWNER para tu bucket a al menos dos personas

  • Presta atención al comportamiento interoperable de Cloud Storage.

    Cuando usas la API de XML para acceso interoperable con otros servicios de almacenamiento, como Amazon S3, el identificador de la firma determina la sintaxis de LCA. Por ejemplo, si la herramienta o biblioteca que usas realiza una solicitud a Cloud Storage para recuperar las LCA y la solicitud usa el identificador de firma de otro proveedor de almacenamiento, entonces Cloud Storage muestra un documento XML con la sintaxis de LCA del proveedor de almacenamiento correspondiente. Si la herramienta o biblioteca que usas realiza una solicitud a Cloud Storage para que aplique las LCA y la solicitud usa el identificador de firma de otro proveedor de almacenamiento, entonces Cloud Storage espera recibir un documento XML con la sintaxis de LCA del proveedor de almacenamiento correspondiente.

    Si deseas obtener más información sobre el uso de la API de XML para interoperabilidad con Amazon S3, consulta Migración simple desde Amazon S3 a Cloud Storage.

¿Qué sigue?