Tipos de políticas de IAM

Identity and Access Management (IAM) ofrece varios tipos de políticas para ayudarte a controlar a qué recursos pueden acceder los principales. En esta página, encontrarás ayuda para comprender las diferencias entre el uso y la administración de estos tipos de políticas.

Tipos de políticas de IAM

IAM ofrece los siguientes tipos de políticas:

  • Políticas de permiso
  • Políticas de denegación

En la siguiente tabla, se resumen las diferencias entre estos tipos de políticas:

Política Función de política API que se usa para administrar la política Relación entre las políticas y los objetivos Método para adjuntar políticas al objetivo Recurso superior de la política
Políticas de permiso Otorga acceso a los recursos a las principales La API del recurso para el que deseas administrar las políticas de permisos

Relación uno a uno

Cada política de permiso se adjunta a un recurso. Cada recurso solo puede tener una política de permiso.

 Especifica el recurso cuando crees la política Es igual que el recurso al que se adjunta la política de permisos.
Políticas de denegación Asegúrate de que las principales no puedan usar permisos específicos La API de IAM v2

Relación uno a varios

Cada política de denegación se adjunta a un recurso. Cada recurso puede tener hasta 500 políticas de denegación.

Especifica el recurso cuando crees la política de denegación Es igual que el recurso al que se adjunta la política de denegación.

En las siguientes secciones, se proporcionan detalles sobre cada tipo de política.

Políticas para otorgar acceso a las principales

Para otorgar acceso a los recursos a las principales, usa las políticas de permisos de IAM.

Las políticas de permisos te permiten otorgar acceso a los recursos de Google Cloud. Las políticas de permisos se componen de vinculaciones de roles y metadatos. Las vinculaciones de roles especifican qué principales deben tener un rol determinado en el recurso.

Las políticas de permiso siempre se adjuntan a un solo recurso. Después de adjuntar una política de permiso a un recurso, los subordinados de ese recurso heredan la política.

Para crear y aplicar una política de permisos, identificas un recurso que acepte políticas de permisos y, luego, usas el método setIamPolicy de ese recurso para crear la política de permisos. A todas las principales de la política de permisos se les otorgan los roles especificados en el recurso y en todos sus elementos subordinados. Cada recurso solo puede tener una política de permiso adjunta.

Para obtener más información sobre las políticas de permisos, consulta Comprende las políticas de permisos.

Políticas para denegar el acceso a las principales

Para denegar el acceso de las principales a los recursos, usa las políticas de denegación de IAM. Las políticas de denegación de IAM están disponibles en la API de IAM v2.

Las políticas de denegación, al igual que las políticas de permiso, siempre se adjuntan a un solo recurso. Puedes adjuntar una política de denegación a un proyecto, una carpeta o una organización. Este proyecto, carpeta o organización también actúa como el elemento superior de la política en la jerarquía de recursos. Después de adjuntar una política de denegación a un recurso, los subordinados de ese recurso la heredan.

Para crear y aplicar políticas de denegación, usa la API de IAM v2. Cuando creas una política de denegación, debes especificar el recurso al que se adjunta. Se impide que todas las principales de la política de denegación usen los permisos especificados para acceder a ese recurso y a cualquiera de sus subordinados. Cada recurso puede tener hasta 500 políticas de denegación adjuntas.

Para obtener más información sobre las políticas de denegación, consulta Políticas de denegación.

Evaluación de política

Cuando una principal intenta acceder a un recurso, IAM evalúa todas las políticas de permiso y denegación relevantes para ver si la principal puede acceder al recurso. Si alguna de estas políticas indica que la principal no debería poder acceder al recurso, IAM impide el acceso.

En realidad, IAM evalúa todos los tipos de políticas de forma simultánea y, luego, compila los resultados para determinar si el principal puede acceder al recurso. Sin embargo, puede ser útil pensar que esta evaluación de políticas se lleva a cabo en las siguientes etapas:

  1. IAM verifica todas las políticas de denegación relevantes para ver si la principal tiene el permiso denegado. Las políticas de denegación relevantes son las políticas de denegación adjuntas al recurso, así como cualquier política de denegación heredada.

    • Si alguna de estas políticas de denegación impide que la principal use un permiso requerido, IAM impide que acceda al recurso.
    • Si ninguna política de denegación impide que la principal use un permiso obligatorio, IAM continúa con el paso siguiente.

  2. IAM verifica todas las políticas de permisos relevantes para ver si la principal tiene los permisos necesarios. Las políticas de permiso relevantes son las políticas de permiso adjuntas al recurso, así como cualquier política de permiso heredada.

    • Si la principal no tiene los permisos necesarios, IAM impedirá que acceda al recurso.
    • Si la principal tiene los permisos necesarios, IAM le permitirá acceder al recurso.

En el siguiente diagrama, se muestra este flujo de evaluación de políticas:

Flujo de evaluación de la política de IAM

Flujo de evaluación de la política de IAM

¿Qué sigue?