Esta página se ha traducido con Cloud Translation API.

Crear una política de acceso con ámbito

En esta página se describe cómo crear y delegar políticas de acceso con ámbito.

Antes de empezar

Consulta información sobre las políticas con ámbito.
Consulte cómo conceder acceso a Controles de Servicio de VPC.

Nota: El control de acceso de las políticas con ámbito es independiente de los proyectos o las carpetas de sus ámbitos. Los permisos del Administrador de contextos de acceso concedidos en carpetas o proyectos no tienen ningún efecto en las políticas con ámbito, ya que los permisos solo se pueden conceder a nivel de organización o en políticas concretas.
Asegúrate de que el administrador delegado al que se delega la política de acceso con ámbito tenga el permiso cloudasset.assets.searchAllResources en la carpeta o el proyecto al que esté vinculada la política con ámbito. El administrador delegado necesita este permiso para buscar todos los Google Cloud recursos.
Consulta información sobre cómo configurar perímetros de servicio.

Crear una política de acceso con ámbito

Crea una política de acceso con ámbito y delega la administración en carpetas y proyectos de la organización. Una vez que hayas creado una política de acceso con ámbito, no podrás cambiar el ámbito de la política. Para cambiar el ámbito de una política, elimínela y vuelva a crearla con el nuevo ámbito.

Consola

En el menú de navegación de la Google Cloud consola, haga clic en Seguridad y, a continuación, en Controles de servicios de VPC.

Ir a Controles de Servicio de VPC
Si se te solicita, selecciona tu organización, carpeta o proyecto.
En la página Controles de Servicio de VPC, selecciona la política de acceso que sea la principal de la política de ámbito. Por ejemplo, puedes seleccionar la directiva de organización default policy.
Haz clic en Gestionar políticas.
En la página Gestionar Controles de Servicio de VPC, haz clic en Crear.
En la página Crear política de acceso, en el cuadro Nombre de la política de acceso, escribe el nombre de la política de acceso con ámbito.

El nombre de la política de acceso con ámbito puede tener una longitud máxima de 50 caracteres, debe empezar por una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El nombre de la política de acceso con ámbito distingue entre mayúsculas y minúsculas, y debe ser único en la política de acceso de una organización.
Para especificar un ámbito para la política de acceso, haz clic en Ámbitos.
Especifica un proyecto o una carpeta como ámbito de la política de acceso.
- Para seleccionar un proyecto que quieras añadir al ámbito de la política de acceso, sigue estos pasos:
  1. En el panel Scopes (Ámbitos), haz clic en Add project (Añadir proyecto).
  2. En el cuadro de diálogo Añadir proyecto, marca la casilla del proyecto.
  3. Haz clic en Listo. El proyecto añadido aparece en la sección Ámbitos.
- Para seleccionar una carpeta que quieras añadir al ámbito de la política de acceso, haz lo siguiente:
  1. En el panel Ámbitos, haz clic en Añadir carpeta.
  2. En el cuadro de diálogo Añadir carpetas, marca la casilla de la carpeta.
  3. Haz clic en Listo. La carpeta añadida aparece en la sección Ámbitos.
Para delegar la administración de la política de acceso con ámbito, haz clic en Principales.
Para especificar el principal y el rol que quieres vincular a la política de acceso, haz lo siguiente:
1. En el panel Principales, haz clic en Añadir principales.
2. En el cuadro de diálogo Añadir principales, selecciona un principal, como un nombre de usuario o una cuenta de servicio.
3. Seleccione el rol que quiera asociar a la entidad de seguridad, como los roles de editor y de lectura.
4. Haz clic en Guardar. La cuenta principal y el rol añadidos aparecen en la sección Cuentas principales.
En la página Crear política de acceso, haz clic en Crear política de acceso.

gcloud

Para crear una política de acceso con ámbito, usa el comando gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Donde:

ORGANIZATION_ID es el ID numérico de tu organización.
POLICY_TITLE es un título legible para tu política. El título de la política puede tener una longitud máxima de 50 caracteres, debe empezar por una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El título de la política distingue entre mayúsculas y minúsculas, y debe ser único en la política de acceso de una organización.
SCOPE es la carpeta o el proyecto en el que se aplica esta política. Solo puedes especificar una carpeta o un proyecto como ámbito, y el ámbito debe existir en la organización especificada. Si no especificas un ámbito, la política se aplica a toda la organización.

Se muestra el siguiente resultado (donde POLICY_NAME es un identificador numérico único de la política asignado por Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Para delegar la administración vinculando un principal y un rol con una política de acceso con ámbito, usa el comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Donde:

POLICY es el ID de la política o el identificador completo de la política.
PRINCIPAL es la cuenta principal a la que se va a añadir la vinculación. Especifícalo en el siguiente formato: user|group|serviceAccount:email o domain:domain.
ROLE es el nombre del rol que se asignará a la cuenta principal. El nombre de la función es la ruta completa de una función predefinida, como roles/accesscontextmanager.policyEditor, o el ID de una función personalizada, como organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

Para crear una política de acceso con ámbito, sigue estos pasos:

Crea un cuerpo de solicitud.
```
{
 "parent": "ORGANIZATION_ID",
 "scope": "SCOPE"
 "title": "POLICY_TITLE"
}
```
Donde:
- ORGANIZATION_ID es el ID numérico de tu organización.
- SCOPE es la carpeta o el proyecto en el que se aplica esta política.
- POLICY_TITLE es un título legible para tu política. El título de la política puede tener una longitud máxima de 50 caracteres, debe empezar por una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El título de la política distingue entre mayúsculas y minúsculas, y debe ser único en la política de acceso de una organización.

Crea la política de acceso llamando a accessPolicies.create.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Cuerpo de la respuesta

Si la llamada se realiza correctamente, el cuerpo de la respuesta contiene un recurso Operation que proporciona detalles sobre la operación POST.

Para delegar la administración de la política de acceso con ámbito, sigue estos pasos:

Crea un cuerpo de solicitud.
```
{
 "policy": "IAM_POLICY",
}
```
Donde:
- IAM_POLICY es una colección de enlaces. Una vinculación asocia uno o varios miembros o principales a un único rol. Las entidades principales pueden ser cuentas de usuario, cuentas de servicio, grupos de Google y dominios. Un rol es una lista de permisos con nombre. Cada rol puede ser un rol predefinido de gestión de identidades y accesos o un rol personalizado creado por el usuario.

Delega la política de acceso llamando a accessPolicies.setIamPolicy.

POST https://accesscontextmanager.googleapis.com/v1/accessPolicies

Cuerpo de la respuesta

Si la salida del comando es correcta, en el cuerpo de la respuesta se incluirá una instancia de policy.

Siguientes pasos

Consulta cómo gestionar los perímetros de servicio.

Crear una política de acceso con ámbito Organízate con las colecciones Guarda y clasifica el contenido según tus preferencias.

Antes de empezar

Crear una política de acceso con ámbito

Consola

gcloud

API

Cuerpo de la respuesta

Cuerpo de la respuesta

Siguientes pasos

Crear una política de acceso con ámbito