En esta página se describe cómo usar grupos de identidades en reglas de entrada y salida para permitir el acceso a recursos protegidos por perímetros de servicio.
Controles de Servicio de VPC usa reglas de entrada y salida para permitir el acceso a los recursos y clientes protegidos por perímetros de servicio, así como el acceso desde ellos. Para refinar aún más el acceso, puedes especificar grupos de identidades en tus reglas de entrada y salida.
Un grupo de identidades es una forma cómoda de aplicar controles de acceso a una colección de usuarios y te permite gestionar identidades que tienen políticas de acceso similares.
Para configurar grupos de identidades en las reglas de entrada o salida, puede usar los siguientes grupos de identidades admitidos en el atributo identities:
- Grupo de Google
Identidades de terceros, como los usuarios del grupo de trabajadores y las identidades de carga de trabajo.
Controles de Servicio de VPC no admite Workload Identity Federation para GKE.
Para obtener información sobre cómo aplicar políticas de reglas de entrada y salida, consulta el artículo Configurar políticas de entrada y salida.
Antes de empezar
- Lee las reglas de entrada y salida.
Configurar grupos de identidades en reglas de entrada
Consola
Cuando actualizas una política de entrada de un perímetro de servicio o estableces una política de entrada durante la creación del perímetro con la consola Google Cloud , puedes configurar la regla de entrada para que use grupos de identidades.
Cuando crees o edites un perímetro en la Google Cloud consola, selecciona Política de entrada.
En la sección From (De) de tu política de entrada, selecciona Select identities & groups (Seleccionar identidades y grupos) en la lista Identities (Identidades).
Haz clic en Añadir identidades.
En el panel Añadir identidades, especifica un grupo de Google o una identidad de terceros al que quieras dar acceso a los recursos del perímetro. Para especificar un grupo de identidades, usa el formato indicado en Grupos de identidades admitidos.
Haz clic en Añadir identidades.
Haz clic en Guardar.
Para obtener información sobre los demás atributos de las reglas de entrada, consulta la referencia de las reglas de entrada.
gcloud
Puedes configurar una regla de entrada para que use grupos de identidades mediante un archivo JSON o un archivo YAML. En el siguiente ejemplo se usa el formato YAML:
- ingressFrom:
identities:
- PRINCIPAL_IDENTIFIER
sources:
- resource: RESOURCE
*OR*
- accessLevel: ACCESS_LEVEL
ingressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
Haz los cambios siguientes:
PRINCIPAL_IDENTIFIER: especifica un grupo de Google o una identidad de terceros a los que quieras dar acceso a los recursos del perímetro. Para especificar un grupo de identidades, usa el formato indicado en Grupos de identidades admitidos.
Para obtener información sobre los demás atributos de las reglas de entrada, consulta la referencia de las reglas de entrada.
Después de actualizar una regla de entrada para configurar grupos de identidades, debes actualizar las políticas de la regla del perímetro de servicio:
gcloud access-context-manager perimeters update PERIMETER_ID --set-ingress-policies=RULE_POLICY.yaml
Haz los cambios siguientes:
PERIMETER_ID: el ID del perímetro de servicio que quieres actualizar.RULE_POLICY: la ruta del archivo de la regla de entrada modificada.
Para obtener más información, consulta Actualizar las políticas de entrada y salida de un perímetro de servicio.
Configurar grupos de identidades en reglas de salida
Consola
Cuando actualizas una política de salida de un perímetro de servicio o estableces una política de salida durante la creación del perímetro con la consola de Google Cloud , puedes configurar la regla de salida para que use grupos de identidades.
Cuando crees o edites un perímetro en la Google Cloud consola, selecciona Política de salida.
En la sección From (De) de tu política de salida, selecciona Select identities & groups (Seleccionar identidades y grupos) en la lista Identities (Identidades).
Haz clic en Añadir identidades.
En el panel Añadir identidades, especifica un grupo de Google o una identidad de terceros que pueda acceder a los recursos especificados fuera del perímetro. Para especificar un grupo de identidades, usa el formato indicado en Grupos de identidades admitidos.
Haz clic en Añadir identidades.
Haz clic en Guardar.
Para obtener información sobre los demás atributos de las reglas de salida, consulta la referencia de las reglas de salida.
gcloud
Puedes configurar una regla de salida para que use grupos de identidades mediante un archivo JSON o un archivo YAML. En el siguiente ejemplo se usa el formato YAML:
- egressTo:
operations:
- serviceName: SERVICE_NAME
methodSelectors:
- method: METHOD_NAME
resources:
- projects/PROJECT_NUMBER
egressFrom:
identities:
- PRINCIPAL_IDENTIFIER
Haz los cambios siguientes:
PRINCIPAL_IDENTIFIER: especifica un grupo de Google o una identidad de terceros que pueda acceder a los recursos especificados fuera del perímetro. Para especificar un grupo de identidades, usa el formato indicado en Grupos de identidades admitidos.
Para obtener información sobre los demás atributos de las reglas de salida, consulta la referencia de las reglas de salida.
Después de actualizar una regla de salida para configurar grupos de identidades, debes actualizar las políticas de la regla del perímetro de servicio:
gcloud access-context-manager perimeters update PERIMETER_ID --set-egress-policies=RULE_POLICY.yaml
Haz los cambios siguientes:
PERIMETER_ID: el ID del perímetro de servicio que quieres actualizar.RULE_POLICY: ruta del archivo de la regla de salida modificada.
Para obtener más información, consulta Actualizar las políticas de entrada y salida de un perímetro de servicio.
Grupos de identidades admitidos
Controles de Servicio de VPC admite los siguientes grupos de identidades de los identificadores principales de la API IAMv1:
| Tipo de principal | Identificador |
|---|---|
| Grupo | group:GROUP_EMAIL_ADDRESS |
| Una sola identidad en un grupo de identidades de Workforce | principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Todas las identidades de los trabajadores de un grupo | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/group/GROUP_ID |
| Todas las identidades de la plantilla que tengan un valor de atributo específico | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Todas las identidades de un grupo de identidades de Workforce | principalSet://iam.googleapis.com/locations/global/workforcePools/POOL_ID/* |
| Identidad única de un grupo de identidades de carga de trabajo | principal://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/subject/SUBJECT_ATTRIBUTE_VALUE |
| Grupo de identidades de carga de trabajo | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/group/GROUP_ID |
| Todas las identidades de un grupo de identidades de carga de trabajo con un atributo determinado | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/attribute.ATTRIBUTE_NAME/ATTRIBUTE_VALUE |
| Todas las identidades de un grupo de identidades de carga de trabajo | principalSet://iam.googleapis.com/projects/PROJECT_NUMBER/locations/global/workloadIdentityPools/POOL_ID/* |
Para obtener más información sobre estas identidades, consulta Identificadores principales de las políticas de permiso.
Limitaciones
- Antes de usar grupos de identidades, consulta las funciones no admitidas en las reglas de entrada y salida.
- Cuando usas grupos de identidades en una regla de salida, no puedes asignar el valor
"*"al camporesourcesdel atributoegressTo. - Para obtener información sobre los límites de las reglas de entrada y salida, consulta Cuotas y límites.