En esta página, se describe cómo crear y delegar políticas de acceso con alcance.
Antes de comenzar
Lee sobre las políticas con alcance.
Lee sobre cómo otorgar acceso a los Controles del servicio de VPC.
Asegúrate de que el administrador delegado al que tiene el parámetro
cloudasset.assets.searchAllResources
permiso en la carpeta o el proyecto al que está vinculada la política con alcance. El administrador delegado requiere este permiso para buscar todos los recursos de Google Cloud.Lee sobre cómo configurar perímetros de servicio.
Crea una política de acceso con alcance
Crea una política de acceso con alcance y delega la administración a las carpetas y los proyectos de la organización. Después de crear una política de acceso con alcance, no puedes cambiar el alcance de la política. Para cambiar el alcance de una política existente, bórrala y vuelve a crearla con el alcance nuevo.
Console
En el menú de navegación de la consola de Google Cloud, haz clic en Seguridad y, luego, en Controles del servicio de VPC.
Si se te solicita, selecciona tu organización, carpeta o proyecto.
En la página Controles del servicio de VPC, selecciona la política de acceso que es la superior de la política con alcance. Por ejemplo, puedes seleccionar la política de la organización
default policy
.Haz clic en Administrar políticas.
En la página Administrar Controles del servicio de VPC, haz clic en Crear.
En la página Crear política de acceso, en el cuadro Nombre de la política de acceso, escribe un nombre para la política de acceso con alcance.
El nombre de la política de acceso con alcance puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (
_
). El nombre de la política de acceso con alcance distingue mayúsculas de minúsculas y debe ser único dentro de la política de acceso de una organización.A fin de especificar un alcance para la política de acceso, haz clic en Alcances.
Especifica un proyecto o una carpeta como alcance de la política de acceso.
Para seleccionar un proyecto que desees agregar al alcance de la política de acceso, haz lo siguiente:
En el panel Alcances, haz clic en Agregar proyecto.
En el cuadro de diálogo Agregar proyecto, selecciona la casilla de verificación de ese proyecto.
Haga clic en Listo. El proyecto agregado aparecerá en la sección Alcances.
Para seleccionar una carpeta que desees agregar al alcance de la política de acceso, haz lo siguiente:
En el panel Alcances, haz clic en Agregar carpeta.
En el cuadro de diálogo Agregar carpetas, selecciona la casilla de verificación de esa carpeta.
Haz clic en Listo. La carpeta agregada aparece en la sección Alcances.
Para delegar la administración de la política de acceso con alcance, haz clic en Principales.
Para especificar el principal y el rol que deseas vincular a la política de acceso, haz lo siguiente:
En el panel Principales, haz clic en Agregar principales.
En el cuadro de diálogo Agregar principales, selecciona uno, como un nombre de usuario o una cuenta de servicio.
Selecciona el rol que deseas asociar con la principal, como roles de editor y de lectura.
Haz clic en Guardar. El principal y el rol agregados aparecen en la sección Principales.
En la página Crear política de acceso, haz clic en Crear política de acceso.
gcloud
Para crear una política de acceso con alcance, usa el comando gcloud access-context-manager policies create
.
gcloud access-context-manager policies create \ --organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE
Aquí:
ORGANIZATION_ID es el ID numérico de tu organización.
POLICY_TITLE es un título legible de tu política. El título de la política puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (
_
). El título de la política distingue mayúsculas de minúsculas y debe ser único dentro de la política de acceso de una organización.SCOPE es la carpeta o el proyecto al que se aplica esta política. Solo puedes especificar una carpeta o un proyecto como alcance, y el alcance debe existir dentro de la organización especificada. Si no especificas un alcance, la política se aplica a toda la organización.
Aparece el siguiente resultado (donde POLICY_NAME es un identificador numérico único de la política asignados por Google Cloud):
Create request issued Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done. Created.
Para delegar la administración mediante la vinculación de una principal y un rol a una política de acceso con alcance, usa el comando add-iam-policy-binding
.
gcloud access-context-manager policies add-iam-policy-binding \ [POLICY] --member=PRINCIPAL --role=ROLE
Aquí:
POLICY es el ID de la política o el identificador completamente calificado para la política.
PRINCIPAL es el principal al que se agregará la vinculación. Especifica en el siguiente formato:
user|group|serviceAccount:email
odomain:domain
.ROLE es el nombre del rol que se asignará al principal. El nombre del rol es la ruta completa de un rol predefinido, como
roles/accesscontextmanager.policyEditor
, o el ID de un rol personalizado, comoorganizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor
.
API
Para crear una política de acceso con alcance, haz lo siguiente:
Crea un cuerpo de solicitud.
{ "parent": "ORGANIZATION_ID", "scope": "SCOPE" "title": "POLICY_TITLE" }
Aquí:
ORGANIZATION_ID es el ID numérico de tu organización.
SCOPE es la carpeta o el proyecto al que se aplica esta política.
POLICY_TITLE es un título legible de tu política. El título de la política puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (
_
). El título de la política distingue mayúsculas de minúsculas y debe ser único dentro de la política de acceso de una organización.
Crea la política de acceso mediante un llamado a
accessPolicies.create
.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Cuerpo de la respuesta
Si tiene éxito, el cuerpo de la respuesta de la llamada contendrá un recurso Operation
que proporciona detalles sobre la operación POST
.
Para delegar la administración de la política de acceso con alcance, haz lo siguiente:
Crea un cuerpo de solicitud.
{ "policy": "IAM_POLICY", }
Aquí:
- IAM_POLICY es una colección de vinculaciones. Una vinculación une uno o más miembros, o principales, a un solo rol. Los principales pueden ser cuentas de usuario, cuentas de servicio, grupos de Google y dominios. Un rol es una lista con nombre de permisos. Cada rol puede ser un rol predefinido de IAM o un rol personalizado creado por el usuario.
Para delegar la política de acceso, llama a
accessPolicies.setIamPolicy
.POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
Cuerpo de la respuesta
Si se ejecuta de forma correcta, el cuerpo de la respuesta contiene una instancia de policy
.
¿Qué sigue?
- Obtén más información para administrar los perímetros de servicio existentes.