Crea una política de acceso con permiso

En esta página, se describe cómo crear y delegar políticas de acceso con alcance.

Antes de comenzar

Lee sobre las políticas con alcance.
Lee sobre cómo otorgar acceso a los Controles del servicio de VPC.

Nota: El control de acceso para las políticas con alcance es independiente de los proyectos o carpetas en sus alcances. Cualquier permiso de Access Context Manager otorgado en las carpetas o los proyectos no tiene efecto en las políticas con permiso, ya que los permisos solo se pueden otorgar a nivel de la organización o en políticas individuales.
Asegúrate de que el administrador delegado al que se delega la política de acceso con permiso tenga el permiso cloudasset.assets.searchAllResources en la carpeta o en el proyecto al que está vinculada la política con permiso. El administrador delegado requiere este permiso para realizar búsquedas en todos los recursos de Google Cloud.
Lee sobre cómo configurar perímetros de servicio.

Crea una política de acceso con alcance

Crea una política de acceso con permiso y delega la administración a las carpetas y los proyectos de la organización. Después de crear una política de acceso con permiso, no puedes cambiar su alcance. Para cambiar el alcance de una política existente, borra la política y vuelve a crearla con el alcance nuevo.

Consola

En el menú de navegación de la consola de Google Cloud, haz clic en Seguridad y, luego, en Controles del servicio de VPC.

Ir a los Controles del servicio de VPC
Si se te solicita, selecciona tu organización, carpeta o proyecto.
En la página Controles del servicio de VPC, selecciona la política de acceso que es la superior de la política con alcance. Por ejemplo, puedes seleccionar la política de la organización default policy.
Haz clic en Administrar políticas.
En la página Administrar Controles del servicio de VPC, haz clic en Crear.
En la página Crear política de acceso, en el cuadro Nombre de la política de acceso, escribe un nombre para la política de acceso con alcance.

El nombre de la política de acceso con alcance puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El nombre de la política de acceso con alcance distingue mayúsculas de minúsculas y debe ser único dentro de la política de acceso de una organización.
A fin de especificar un alcance para la política de acceso, haz clic en Alcances.
Especifica un proyecto o una carpeta como alcance de la política de acceso.
- Para seleccionar un proyecto que desees agregar al alcance de la política de acceso, haz lo siguiente:
  1. En el panel Alcances, haz clic en Agregar proyecto.
  2. En el cuadro de diálogo Agregar proyecto, selecciona la casilla de verificación de ese proyecto.
  3. Haz clic en Listo. El proyecto agregado aparecerá en la sección Alcances.
- Para seleccionar una carpeta que desees agregar al alcance de la política de acceso, haz lo siguiente:
  1. En el panel Alcances, haz clic en Agregar carpeta.
  2. En el cuadro de diálogo Agregar carpetas, selecciona la casilla de verificación de esa carpeta.
  3. Haz clic en Listo. La carpeta agregada aparece en la sección Alcances.
Para delegar la administración de la política de acceso con alcance, haz clic en Principales.
Para especificar el principal y el rol que deseas vincular a la política de acceso, haz lo siguiente:
1. En el panel Principales, haz clic en Agregar principales.
2. En el cuadro de diálogo Agregar principales, selecciona uno, como un nombre de usuario o una cuenta de servicio.
3. Selecciona el rol que deseas asociar con la principal, como roles de editor y de lectura.
4. Haz clic en Guardar. El principal y el rol agregados aparecen en la sección Principales.
En la página Crear política de acceso, haz clic en Crear política de acceso.

gcloud

Para crear una política de acceso con alcance, usa el comando gcloud access-context-manager policies create.

gcloud access-context-manager policies create \
--organization ORGANIZATION_ID [--scopes=SCOPE] --title POLICY_TITLE

Donde:

ORGANIZATION_ID es el ID numérico de tu organización.
POLICY_TITLE es un título legible de tu política. El título de la política puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El título de la política distingue mayúsculas de minúsculas y debe ser único dentro de la política de acceso de una organización.
SCOPE es la carpeta o el proyecto al que se aplica esta política. Solo puedes especificar una carpeta o un proyecto como alcance, y el alcance debe existir dentro de la organización especificada. Si no especificas un alcance, la política se aplica a toda la organización.

Aparece el siguiente resultado (en el que POLICY_NAME es un identificador numérico único de la política que asigna Google Cloud):

Create request issued
Waiting for operation [accessPolicies/POLICY_NAME/create/1521580097614100] to complete...done.
Created.

Para delegar la administración mediante la vinculación de una principal y un rol a una política de acceso con alcance, usa el comando add-iam-policy-binding.

gcloud access-context-manager policies add-iam-policy-binding \
[POLICY] --member=PRINCIPAL --role=ROLE

Donde:

POLICY es el ID de la política o el identificador completamente calificado para la política.
PRINCIPAL es el principal al que se agregará la vinculación. Especifica en el siguiente formato: user|group|serviceAccount:email o domain:domain.
ROLE es el nombre del rol que se asignará al principal. El nombre del rol es la ruta completa de un rol predefinido, como roles/accesscontextmanager.policyEditor, o el ID de un rol personalizado, como organizations/{ORGANIZATION_ID}/roles/accesscontextmanager.policyEditor.

API

Para crear una política de acceso con alcance, haz lo siguiente:

Crea un cuerpo de solicitud.
```
{
 "parent": "ORGANIZATION_ID",
 "scope": "SCOPE"
 "title": "POLICY_TITLE"
}
```
Donde:
- ORGANIZATION_ID es el ID numérico de tu organización.
- SCOPE es la carpeta o el proyecto al que se aplica esta política.
- POLICY_TITLE es un título legible de tu política. El título de la política puede tener una longitud máxima de 50 caracteres, debe comenzar con una letra y solo puede contener letras latinas ASCII (a-z, A-Z), números (0-9) o guiones bajos (_). El título de la política distingue mayúsculas de minúsculas y debe ser único dentro de la política de acceso de una organización.
Crea la política de acceso mediante un llamado a accessPolicies.create.
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
```

Cuerpo de la respuesta

Si tiene éxito, el cuerpo de la respuesta de la llamada contendrá un recurso Operation que proporciona detalles sobre la operación POST.

Para delegar la administración de la política de acceso con alcance, haz lo siguiente:

Crea un cuerpo de solicitud.
```
{
 "policy": "IAM_POLICY",
}
```
Donde:
- IAM_POLICY es una colección de vinculaciones. Una vinculación une uno o más miembros, o principales, a un solo rol. Los principales pueden ser cuentas de usuario, cuentas de servicio, grupos de Google y dominios. Un rol es una lista con nombre de permisos. Cada rol puede ser un rol predefinido de IAM o un rol personalizado creado por el usuario.
Para delegar la política de acceso, llama a accessPolicies.setIamPolicy.
```
POST https://accesscontextmanager.googleapis.com/v1/accessPolicies
```

Cuerpo de la respuesta

Si se ejecuta de forma correcta, el cuerpo de la respuesta contiene una instancia de policy.

¿Qué sigue?

Obtén más información para administrar los perímetros de servicio existentes.