Gestión de Identidades y Accesos (IAM) ofrece varios tipos de políticas para ayudarte a controlar a qué recursos pueden acceder las entidades. En esta página se explican las diferencias entre cómo se usan y gestionan estos tipos de políticas.
Tipos de políticas de gestión de identidades y accesos en Trusted Cloud
IAM ofrece los siguientes tipos de políticas:
- Permitir políticas
- Políticas de denegación
En la siguiente tabla se resumen las diferencias entre estos tipos de políticas:
| Política | Función de la política | API usada para gestionar la política. | Relación entre las políticas y los objetivos | Método para adjuntar políticas a un destino | Recurso superior de la política |
|---|---|---|---|---|---|
| Permitir políticas | Conceder acceso a los recursos a los principales | La API del recurso para el que quieres gestionar las políticas de permisos |
Relación uno a uno Cada política de permiso se adjunta a un recurso y cada recurso solo puede tener una política de permiso. |
Especificar el recurso al crear la política | Es el mismo que el recurso al que se adjunta la política de permisos. |
| Políticas de denegación | Asegurarse de que las entidades de seguridad no puedan usar permisos específicos | La API IAM v2 |
Relación uno a muchos Cada política de denegación se asocia a un recurso y cada recurso puede tener hasta 500 políticas de denegación. |
Especificar el recurso al crear la política de denegación | Igual que el recurso al que se adjunta la política de denegación |
En las siguientes secciones se ofrecen detalles sobre cada tipo de política.
Políticas para conceder acceso a principales
Para conceder acceso a los principales a los recursos, usa las políticas de permiso de gestión de identidades y accesos.
Las políticas de permiso te permiten conceder acceso a recursos en Trusted Cloud. Las políticas de permiso se componen de enlaces de roles y metadatos. Las asignaciones de roles especifican qué entidades principales deben tener un rol determinado en el recurso.
Las políticas de permiso siempre se asocian a un único recurso. Después de adjuntar una política de permiso a un recurso, los descendientes de ese recurso heredan la política.
Para crear y aplicar una política de permisos, identifica un recurso que acepte políticas de permisos y, a continuación, usa el método setIamPolicy de ese recurso para crear la política de permisos. Todas las entidades principales de la política de permiso tienen los roles especificados en el recurso y en todos los elementos descendientes del recurso. Cada recurso solo puede tener una política de permiso asociada.
Para obtener más información sobre las políticas de permiso, consulta el artículo Información sobre las políticas de permiso.
Políticas para denegar el acceso a principales
Para denegar el acceso de los principales a los recursos, usa las políticas de denegación de gestión de identidades y accesos. Las políticas de gestión de identidades y accesos de denegación están disponibles en la API IAM v2.
Las políticas de denegación, al igual que las de permiso, siempre se asocian a un único recurso. Puedes adjuntar una política de denegación a un proyecto, una carpeta o una organización. Este proyecto, carpeta u organización también actúa como elemento superior de la política en la jerarquía de recursos. Después de adjuntar una política de denegación a un recurso, los elementos secundarios de ese recurso heredan la política.
Para crear y aplicar políticas de denegación, debes usar la API IAM v2. Cuando creas una política de denegación, especificas el recurso al que se adjunta. Todas las entidades principales de la política de denegación no pueden usar los permisos especificados para acceder a ese recurso ni a ninguno de sus descendientes. Cada recurso puede tener hasta 500 políticas de denegación asociadas.
Para obtener más información sobre las políticas de denegación, consulta Políticas de denegación.
Evaluación de políticas
Cuando una entidad intenta acceder a un recurso, IAM evalúa todas las políticas de permiso y denegación relevantes para determinar si la entidad tiene permiso para acceder al recurso. Si alguna de estas políticas indica que la entidad de seguridad no debería poder acceder al recurso, IAM impide el acceso.
En realidad, la gestión de identidades y accesos evalúa todos los tipos de políticas simultáneamente y, a continuación, compila los resultados para determinar si la principal puede acceder al recurso. Sin embargo, puede ser útil pensar en la evaluación de esta política en las siguientes fases:
-
La gestión de identidades y accesos comprueba todas las políticas de denegación pertinentes para ver si se ha denegado el permiso a la cuenta principal. Las políticas de denegación pertinentes son las que están asociadas al recurso, así como las políticas de denegación heredadas.
- Si alguna de estas políticas de denegación impide que la entidad utilice un permiso obligatorio, IAM le impedirá acceder al recurso.
- Si ninguna política de denegación impide que la entidad utilice un permiso obligatorio, IAM continúa con el siguiente paso.
-
IAM comprueba todas las políticas de permiso pertinentes para ver si la cuenta principal tiene los permisos necesarios. Las políticas de permiso relevantes son las políticas de permiso asociadas al recurso, así como las políticas de permiso heredadas.
- Si la entidad de seguridad no tiene los permisos necesarios, la gestión de identidades y accesos le impide acceder al recurso.
- Si la entidad principal tiene los permisos necesarios, Gestión de Identidades y Accesos le permitirá acceder al recurso.
En el siguiente diagrama se muestra el flujo de evaluación de esta política:
Siguientes pasos
- Más información sobre las políticas de permitir
- Consulta más información sobre las políticas de denegación.