Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Principales de gestión de identidades y accesos

En Gestión de Identidades y Accesos (IAM), controlas el acceso de los principales. Un principal representa una o varias identidades que se han autenticado en Trusted Cloud.

Usar principales en las políticas

Para usar principales en tus políticas, haz lo siguiente:

Configura las identidades que Trusted Cloud puede reconocer. Configurar identidades es el proceso de crear identidades que Trusted Cloud puedas reconocer. Puedes configurar identidades para usuarios y cargas de trabajo.

Para saber cómo configurar identidades, consulta lo siguiente:
- Para saber cómo configurar las identidades de los usuarios, consulte Identidades de los usuarios.
- Para saber cómo configurar identidades para cargas de trabajo, consulta Identidades para cargas de trabajo.
Determina el identificador principal que vas a usar. El identificador de principal es la forma de hacer referencia a un principal en tus políticas. Este identificador puede hacer referencia a una sola identidad o a un grupo de identidades.

El formato que uses para el identificador principal dependerá de lo siguiente:
- El tipo de principal
- El tipo de política en el que quieres incluir la entidad de seguridad
Para ver el formato del identificador principal de cada tipo de principal en cada tipo de política, consulta Identificadores principales.

Una vez que conozcas el formato del identificador, podrás determinar el identificador único de la entidad de seguridad en función de sus atributos, como su dirección de correo electrónico.
Incluya el identificador de la entidad principal en su política. Añade tu principal a tu política siguiendo el formato de la política.

Para obtener información sobre los distintos tipos de políticas de gestión de identidades y accesos, consulta Tipos de políticas.

Compatibilidad con tipos de principales

Cada tipo de política de gestión de identidades y accesos admite un subconjunto de los tipos de principales que admite la gestión de identidades y accesos. Para ver los tipos principales admitidos en cada tipo de política, consulta Identificadores principales.

Tipos principales

En la siguiente tabla se describen brevemente los diferentes tipos de principales admitidos por IAM. Para ver una descripción detallada y ejemplos de cómo puede ser un tipo de principal cuando se usa en una política, haga clic en el nombre del tipo de principal en la tabla.

Tipo de principal	Descripción	Una sola entidad principal o un conjunto de entidades principales	Gestionadas por Google o federadas	Asistencia por tipo de política
Cuentas de servicio	Una cuenta que usa una carga de trabajo de una máquina en lugar de una persona.	Entidad principal única	Gestionado por Google	Los siguientes tipos de políticas admiten cuentas de servicio: Permitir Denegar
`allAuthenticatedUsers`	Un identificador especial que representa a todas las cuentas de servicio y a todos los usuarios de Internet que se han autenticado con una cuenta de Google.	Conjunto de principales que puede contener los siguientes tipos de principales: Cuentas de Google Cuentas de servicio Identidades de Workforce Identidades de carga de trabajo	Gestionado por Google	Los siguientes tipos de políticas admiten `allAuthenticatedUsers` para algunos recursos: Permitir Los siguientes tipos de políticas no admiten `allAuthenticatedUsers`: Denegar
`allUsers`	Un identificador especial que representa a cualquier persona que esté en Internet, ya sea autenticada o no.	Conjunto de principales que puede contener los siguientes tipos de principales: Cuentas de Google Cuentas de servicio Identidades de Workforce Identidades de carga de trabajo	Ambos	Los siguientes tipos de políticas admiten `allUsers`: Permitir (en algunos recursos) Denegar
Una sola identidad en un grupo de identidades de Workforce	Un usuario humano con una identidad gestionada por un IdP externo y federada mediante Workforce Identity Federation.	Entidad principal única	Federado	Los siguientes tipos de políticas admiten una sola identidad en un grupo de identidades de Workforce: Permitir Denegar
Conjunto de principales de un grupo de identidades de Workforce	Un conjunto de usuarios humanos con identidades gestionadas por un IdP externo y federadas mediante Workforce Identity Federation.	Conjunto de principales que contiene identidades de Workforce.	Federado	Los siguientes tipos de políticas admiten un conjunto de principales en un grupo de identidades de Workforce: Permitir Denegar
Una sola entidad en un grupo de identidades de carga de trabajo	Una carga de trabajo (o un usuario de máquina) con una identidad gestionada por un IdP externo y federada mediante la federación de identidades de cargas de trabajo.	Entidad principal única	Federado	Los siguientes tipos de políticas admiten un único principal en un grupo de identidades de carga de trabajo: Permitir Denegar
Conjunto de principales de un grupo de identidades de carga de trabajo	Un conjunto de cargas de trabajo (o usuarios de máquina) con identidades gestionadas por un IdP externo y federadas mediante la federación de identidades de cargas de trabajo.	Conjunto de principales que contiene identidades de carga de trabajo	Federado	Los siguientes tipos de políticas admiten un conjunto de principales en un grupo de identidades de carga de trabajo: Permitir Denegar
Un conjunto de pods de Google Kubernetes Engine	Una carga de trabajo (o un usuario de máquina) que se ejecuta en GKE y está federada a través de él.	Conjunto de principales que puede contener una o varias identidades de carga de trabajo federadas.	Federado	Los siguientes tipos de políticas admiten pods de GKE: Permitir Los siguientes tipos de políticas no admiten pods de GKE: Denegar

En las siguientes secciones se describen estos tipos principales con más detalle.

Cuentas de servicio

Una cuenta de servicio es una cuenta para una aplicación o una carga de trabajo de computación en lugar de para un usuario final concreto. Cuando ejecutas código alojado enTrusted Cloud, especificas una cuenta de servicio que se usará como identidad de tu aplicación. Puedes crear tantas cuentas de servicio como necesites para representar los diferentes componentes lógicos de tu aplicación.

En los siguientes ejemplos se muestra cómo puede identificar una cuenta de servicio en diferentes tipos de políticas:

Políticas de permitir: serviceAccount:my-service-account@my-project.
Políticas de denegación: principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.

Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.

Para obtener más información sobre las cuentas de servicio, consulta el artículo Resumen de las cuentas de servicio.

`allAuthenticatedUsers`

El valor allAuthenticatedUsers es un identificador especial que representa todas las cuentas de servicio.

Este tipo de principal no incluye identidades federadas, que gestionan proveedores de identidades (IdPs) externos. Para incluir identidades federadas, usa una de las siguientes opciones:

Para incluir usuarios de todos los proveedores de identidades, usa allUsers.
Para incluir usuarios de proveedores de identidades externos específicos, usa el identificador de todas las identidades de un grupo de identidades de la fuerza de trabajo o de todas las identidades de un grupo de identidades de carga de trabajo.

Algunos tipos de recursos no admiten este tipo de principal.

`allUsers`

El valor allUsers es un identificador especial que representa a cualquier persona que esté en Internet, incluidos los usuarios autenticados y no autenticados.

Algunos tipos de recursos no admiten este tipo de principal.

En los siguientes ejemplos se muestra cómo podría ser el identificador allUsers en diferentes tipos de políticas:

Permitir políticas en tipos de recursos admitidos: allUsers
Políticas de denegación: principalSet://goog/public:all

Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.

Identidades federadas en un grupo de identidades de Workforce

Un grupo de identidades de Workforce es un conjunto de identidades de usuario gestionado por un IdP externo y federado mediante Federación de Identidades de Workforce. Puedes hacer referencia a los principales de estos grupos de las siguientes formas:

Una sola identidad en un grupo de identidades de Workforce
Todas las identidades de Workforce de un grupo especificado
Todas las identidades de la plantilla que tengan un valor de atributo específico
Todas las identidades de un grupo de identidades de Workforce

En los siguientes ejemplos se muestra cómo identificar grupos de trabajo federados en diferentes tipos de políticas:

Un solo principal en las políticas de permiso: principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com
Un conjunto de principales en las políticas de denegación: principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com

Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.

Identidades federadas en un grupo de identidades de carga de trabajo

Un grupo de identidades de carga de trabajo es un conjunto de identidades de carga de trabajo gestionado por un proveedor de identidades externo y federado mediante la federación de identidades de cargas de trabajo. Puedes hacer referencia a los principales de estos grupos de las siguientes formas:

Una sola identidad en un grupo de identidades de carga de trabajo
Todas las identidades de carga de trabajo de un grupo especificado
Todas las identidades de carga de trabajo con un valor de atributo específico
Todas las identidades de un grupo de identidades de carga de trabajo

En los siguientes ejemplos se muestra cómo puede identificar los grupos de identidades de carga de trabajo federadas en diferentes tipos de políticas:

Un solo principal en las políticas de permiso: principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com
Un grupo de principales en las políticas de denegación: principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com

Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.

Siguientes pasos

Consulta los tipos de políticas que admite la gestión de identidades y accesos
Asignar un rol a un principal en un proyecto, una carpeta o una organización de Resource Manager