Crea una política de acceso con alcance

En esta página, se describe cómo crear y delegar políticas de acceso con alcance.

Antes de comenzar

  • Lee sobre las políticas con alcance.

  • Lee sobre cómo otorgar acceso a los Controles del servicio de VPC.

  • Asegúrate de que el administrador delegado al que tiene el parámetro cloudasset.assets.searchAllResources permiso en la carpeta o el proyecto al que está vinculada la política con alcance. El administrador delegado requiere este permiso para buscar todos los recursos de Google Cloud.

  • Lee sobre cómo configurar perímetros de servicio.

Crea una política de acceso con alcance

Crea una política de acceso con alcance y delega la administración a las carpetas y los proyectos de la organización. Después de crear una política de acceso con alcance, no puedes cambiar el alcance de la política. Para cambiar el alcance de una política existente, bórrala y vuelve a crearla con el alcance nuevo.

Console

  1. En el menú de navegación de la consola de Google Cloud, haz clic en Seguridad y, luego, en Controles del servicio de VPC.

    Ir a los Controles del servicio de VPC

  2. Si se te solicita, selecciona tu organización, carpeta o proyecto.

  3. En la página Controles del servicio de VPC, selecciona la política de acceso que es la superior de la política con alcance. Por ejemplo, puedes seleccionar la política de la organización default policy.

  4. Haz clic en Administrar políticas.

  5. En la página Administrar Controles del servicio de VPC, haz clic en Crear.

  6. En la página Crear política de acceso, en el cuadro Nombre de la política de acceso, escribe un nombre para la política de acceso con alcance.

    El nombre de la política de acceso con alcance puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El nombre de la política de acceso con alcance distingue mayúsculas de minúsculas y debe ser único dentro de la política de acceso de una organización.

  7. A fin de especificar un alcance para la política de acceso, haz clic en Alcances.

  8. Especifica un proyecto o una carpeta como alcance de la política de acceso.

    • Para seleccionar un proyecto que desees agregar al alcance de la política de acceso, haz lo siguiente:

      1. En el panel Alcances, haz clic en Agregar proyecto.

      2. En el cuadro de diálogo Agregar proyecto, selecciona la casilla de verificación de ese proyecto.

      3. Haga clic en Listo. El proyecto agregado aparecerá en la sección Alcances.

    • Para seleccionar una carpeta que desees agregar al alcance de la política de acceso, haz lo siguiente:

      1. En el panel Alcances, haz clic en Agregar carpeta.

      2. En el cuadro de diálogo Agregar carpetas, selecciona la casilla de verificación de esa carpeta.

      3. Haz clic en Listo. La carpeta agregada aparece en la sección Alcances.

  9. Para delegar la administración de la política de acceso con alcance, haz clic en Principales.

  10. Para especificar el principal y el rol que deseas vincular a la política de acceso, haz lo siguiente:

    1. En el panel Principales, haz clic en Agregar principales.

    2. En el cuadro de diálogo Agregar principales, selecciona uno, como un nombre de usuario o una cuenta de servicio.

    3. Selecciona el rol que deseas asociar con la principal, como roles de editor y de lectura.

    4. Haz clic en Guardar. El principal y el rol agregados aparecen en la sección Principales.

  11. En la página Crear política de acceso, haz clic en Crear política de acceso.

gcloud

Para crear una política de acceso con alcance, usa el comando gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Aquí:

  • ORGANIZATION_ID es el ID numérico de tu organización.

  • POLICY_TITLE es un título legible de tu política. El título de la política puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El título de la política distingue mayúsculas de minúsculas y debe ser único dentro de la política de acceso de una organización.

  • SCOPE es la carpeta o el proyecto al que se aplica esta política. Solo puedes especificar una carpeta o un proyecto como alcance, y el alcance debe existir dentro de la organización especificada. Si no especificas un alcance, la política se aplica a toda la organización.

Aparece el siguiente resultado (donde POLICY_NAME es un identificador numérico único de la política asignados por Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Para delegar la administración mediante la vinculación de una principal y un rol a una política de acceso con alcance, usa el comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Aquí:

  • POLICY es el ID de la política o el identificador completamente calificado para la política.

  • PRINCIPAL es el principal al que se agregará la vinculación. Especifica en el siguiente formato: user|group|serviceAccount:email o domain:domain.

  • ROLE es el nombre del rol que se asignará al principal. El nombre del rol es la ruta completa de un rol predefinido, como roles/accesscontextmanager.policyEditor, o el ID de un rol personalizado, como organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

Para crear una política de acceso con alcance, haz lo siguiente:

  1. Crea un cuerpo de solicitud.

    {
     "parent": "ORGANIZATION_ID",
     "scope": "SCOPE"
     "title": "POLICY_TITLE"
    }

    Aquí:

    • ORGANIZATION_ID es el ID numérico de tu organización.

    • SCOPE es la carpeta o el proyecto al que se aplica esta política.

    • POLICY_TITLE es un título legible de tu política. El título de la política puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El título de la política distingue mayúsculas de minúsculas y debe ser único dentro de la política de acceso de una organización.

  2. Crea la política de acceso mediante un llamado a accessPolicies.create.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Cuerpo de la respuesta

Si tiene éxito, el cuerpo de la respuesta de la llamada contendrá un recurso Operation que proporciona detalles sobre la operación POST.

Para delegar la administración de la política de acceso con alcance, haz lo siguiente:

  1. Crea un cuerpo de solicitud.

    {
     "policy": "IAM_POLICY",
    }

    Aquí:

    • IAM_POLICY es una colección de vinculaciones. Una vinculación une uno o más miembros, o principales, a un solo rol. Los principales pueden ser cuentas de usuario, cuentas de servicio, grupos de Google y dominios. Un rol es una lista con nombre de permisos. Cada rol puede ser un rol predefinido de IAM o un rol personalizado creado por el usuario.
  2. Para delegar la política de acceso, llama a accessPolicies.setIamPolicy.

    POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
    

Cuerpo de la respuesta

Si se ejecuta de forma correcta, el cuerpo de la respuesta contiene una instancia de policy.

¿Qué sigue?