En Gestión de Identidades y Accesos (IAM), controlas el acceso de los principales. Un principal representa una o varias identidades que se han autenticado en Cloud de Confiance.
Usar principales en las políticas
Para usar principales en tus políticas, haz lo siguiente:
Configura las identidades que Cloud de Confiance puede reconocer. Configurar identidades es el proceso de crear identidades que Cloud de Confiance puedas reconocer. Puedes configurar identidades para usuarios y cargas de trabajo.
Para saber cómo configurar identidades, consulta lo siguiente:
- Para saber cómo configurar las identidades de los usuarios, consulte Identidades de los usuarios.
- Para saber cómo configurar identidades para cargas de trabajo, consulta Identidades para cargas de trabajo.
Determina el identificador principal que vas a usar. El identificador de principal es la forma de hacer referencia a un principal en tus políticas. Este identificador puede hacer referencia a una sola identidad o a un grupo de identidades.
El formato que uses para el identificador principal dependerá de lo siguiente:
- El tipo de principal
- El tipo de política en el que quieres incluir la entidad de seguridad
Para ver el formato del identificador principal de cada tipo de principal en cada tipo de política, consulta Identificadores principales.
Una vez que conozcas el formato del identificador, podrás determinar el identificador único de la entidad de seguridad en función de sus atributos, como su dirección de correo electrónico.
Incluya el identificador de la entidad principal en su política. Añade tu principal a tu política siguiendo el formato de la política.
Para obtener información sobre los distintos tipos de políticas de gestión de identidades y accesos, consulta Tipos de políticas.
Compatibilidad con tipos de principales
Cada tipo de política de gestión de identidades y accesos admite un subconjunto de los tipos de principales que admite la gestión de identidades y accesos. Para ver los tipos principales admitidos en cada tipo de política, consulta Identificadores principales.
Tipos principales
En la siguiente tabla se describen brevemente los diferentes tipos de principales admitidos por IAM. Para ver una descripción detallada y ejemplos de cómo puede ser un tipo de principal cuando se usa en una política, haga clic en el nombre del tipo de principal en la tabla.
| Tipo de principal | Descripción | Una sola entidad principal o un conjunto de entidades principales | Gestionadas por Google o federadas | Asistencia por tipo de política |
|---|---|---|---|---|
| Cuentas de servicio | Una cuenta que usa una carga de trabajo de una máquina en lugar de una persona. | Entidad principal única | Gestionado por Google |
Los siguientes tipos de políticas admiten cuentas de servicio:
|
| Un conjunto de cuentas de servicio | Todas las cuentas de servicio de un proyecto, una carpeta o una organización. | Conjunto de principales que contiene cuentas de servicio. | Gestionado por Google |
Los siguientes tipos de políticas admiten un conjunto de cuentas de servicio:
|
| Un conjunto de agentes de servicio | Todas las cuentas de servicio gestionadas por Google (agentes de servicio) asociadas a un proyecto, una carpeta o una organización. | Conjunto de principales que contiene agentes de servicio. | Gestionado por Google |
Los siguientes tipos de políticas admiten un conjunto de agentes de servicio:
Los siguientes tipos de políticas no admiten un conjunto de agentes de servicio:
|
allAuthenticatedUsers |
Un identificador especial que representa a todas las cuentas de servicio y a todos los usuarios de Internet que se han autenticado con una cuenta de Google. |
Conjunto de principales que puede contener los siguientes tipos de principales:
|
Gestionado por Google |
Los siguientes tipos de políticas admiten
Los siguientes tipos de políticas no admiten
|
allUsers |
Un identificador especial que representa a cualquier persona que esté en Internet, ya sea autenticada o no. |
Conjunto de principales que puede contener los siguientes tipos de principales:
|
Ambos |
Los siguientes tipos de políticas admiten
|
| Una sola identidad en un grupo de identidades de Workforce | Un usuario humano con una identidad gestionada por un IdP externo y federada mediante Workforce Identity Federation. | Entidad principal única | Federado |
Los siguientes tipos de políticas admiten una sola identidad en un grupo de identidades de Workforce:
|
| Conjunto de principales de un grupo de identidades de Workforce | Un conjunto de usuarios humanos con identidades gestionadas por un IdP externo y federadas mediante Workforce Identity Federation. | Conjunto de principales que contiene identidades de Workforce. | Federado |
Los siguientes tipos de políticas admiten un conjunto de principales en un grupo de identidades de Workforce:
|
| Una sola entidad en un grupo de identidades de carga de trabajo | Una carga de trabajo (o un usuario de máquina) con una identidad gestionada por un IdP externo y federada mediante la federación de identidades de cargas de trabajo. | Entidad principal única | Federado |
Los siguientes tipos de políticas admiten un único principal en un grupo de identidades de carga de trabajo:
|
| Conjunto de principales de un grupo de identidades de carga de trabajo | Un conjunto de cargas de trabajo (o usuarios de máquina) con identidades gestionadas por un IdP externo y federadas mediante la federación de identidades de cargas de trabajo. | Conjunto de principales que contiene identidades de carga de trabajo | Federado |
Los siguientes tipos de políticas admiten un conjunto de principales en un grupo de identidades de carga de trabajo:
|
| Un conjunto de pods de Google Kubernetes Engine | Una carga de trabajo (o un usuario de máquina) que se ejecuta en GKE y está federada a través de él. | Conjunto de principales que puede contener una o varias identidades de carga de trabajo federadas. | Federado |
Los siguientes tipos de políticas admiten pods de GKE:
Los siguientes tipos de políticas no admiten pods de GKE:
|
En las siguientes secciones se describen estos tipos principales con más detalle.
Cuentas de servicio
Una cuenta de servicio es una cuenta para una aplicación o una carga de trabajo de computación en lugar de para un usuario final concreto. Las cuentas de servicio se pueden dividir en cuentas de servicio gestionadas por el usuario y cuentas de servicio gestionadas por Google, que se denominan agentes de servicio:
Cuando ejecutas código alojado en Cloud de Confiance, especificas una cuenta de servicio que se usará como identidad de tu aplicación. Puedes crear tantas cuentas de servicio gestionadas por el usuario como necesites para representar los diferentes componentes lógicos de tu aplicación.
Algunos Cloud de Confiance servicios necesitan acceder a tus recursos para poder actuar en tu nombre. Google crea y gestiona agentes de servicio para satisfacer esta necesidad.
Puedes hacer referencia a las cuentas de servicio y a los agentes de servicio de las siguientes formas:
- Una sola cuenta de servicio
- Todas las cuentas de servicio de un proyecto
- Todos los agentes de servicio asociados a un proyecto.
- Todas las cuentas de servicio de todos los proyectos de una carpeta
- Todos los agentes del servicio asociados a una carpeta y sus elementos secundarios
- Todas las cuentas de servicio de todos los proyectos de una organización
- Todos los agentes de servicio asociados a una organización y a sus descendientes
En los siguientes ejemplos se muestra cómo puedes identificar una cuenta de servicio individual en diferentes tipos de políticas:
- Una cuenta de servicio en las políticas de autorización:
serviceAccount:my-service-account@my-project.s3ns.iam.gserviceaccount.com - Una cuenta de servicio en políticas de denegación:
principal://iam.googleapis.com/projects/-/serviceAccounts/my-service-account@my-project.s3ns.iam.gserviceaccount.com
En los siguientes ejemplos se muestra cómo puedes identificar todas las cuentas de servicio de un proyecto, una carpeta o una organización en diferentes tipos de políticas:
- Todas las cuentas de servicio de un proyecto en las políticas de permiso:
principalSet://cloudresourcemanager.googleapis.com/projects/123456789012/type/ServiceAccount - Todos los agentes de servicio asociados a una carpeta en las políticas de denegación:
principalSet://cloudresourcemanager.googleapis.com/folders/123456789012/type/ServiceAgent
Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.
Para obtener más información sobre las cuentas de servicio, consulta las siguientes páginas:
allAuthenticatedUsers
El valor allAuthenticatedUsers es un identificador especial que representa todas las cuentas de servicio.
Este tipo de principal no incluye identidades federadas, que gestionan proveedores de identidades (IdPs) externos. Para incluir identidades federadas, usa una de las siguientes opciones:
- Para incluir usuarios de todos los proveedores de identidades, usa
allUsers. - Para incluir usuarios de proveedores de identidades externos específicos, usa el identificador de todas las identidades de un grupo de identidades de la fuerza de trabajo o de todas las identidades de un grupo de identidades de carga de trabajo.
Algunos tipos de recursos no admiten este tipo de principal.
allUsers
El valor allUsers es un identificador especial que representa a cualquier persona que esté en Internet, incluidos los usuarios autenticados y no autenticados.
Algunos tipos de recursos no admiten este tipo de principal.
En los siguientes ejemplos se muestra cómo podría ser el identificador allUsers en diferentes tipos de políticas:
- Permitir políticas en tipos de recursos admitidos:
allUsers - Políticas de denegación:
principalSet://goog/public:all
Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.
Identidades federadas en un grupo de identidades de Workforce
Un grupo de identidades de Workforce es un conjunto de identidades de usuario gestionado por un IdP externo y federado mediante Federación de Identidades de Workforce. Puedes hacer referencia a los principales de estos grupos de las siguientes formas:
- Una sola identidad en un grupo de identidades de Workforce
- Todas las identidades de Workforce de un grupo especificado
- Todas las identidades de la plantilla que tengan un valor de atributo específico
- Todas las identidades de un grupo de identidades de Workforce
En los ejemplos siguientes se muestra cómo puedes identificar los grupos de identidades de fuerza de trabajo federadas en diferentes tipos de políticas:
- Una sola identidad en las políticas de permiso:
principal://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/subject/raha@altostrat.com - Un grupo de identidades en políticas de denegación:
principalSet://iam.googleapis.com/locations/global/workforcePools/altostrat-contractors/group/administrators-group@altostrat.com
Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.
Identidades federadas en un grupo de identidades de carga de trabajo
Un grupo de identidades de carga de trabajo es un conjunto de identidades de carga de trabajo gestionado por un proveedor de identidades externo y federado mediante la federación de identidades de cargas de trabajo. Puedes hacer referencia a los principales de estos grupos de las siguientes formas:
- Una sola identidad en un grupo de identidades de carga de trabajo
- Todas las identidades de carga de trabajo de un grupo especificado
- Todas las identidades de carga de trabajo con un valor de atributo específico
- Todas las identidades de un grupo de identidades de carga de trabajo
En los siguientes ejemplos se muestra cómo puede identificar grupos de identidades de carga de trabajo federadas en diferentes tipos de políticas:
- Una sola identidad en las políticas de permiso:
principal://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/subject/raha@altostrat.com - Un grupo de identidades en políticas de denegación:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/altostrat-contractors/group/administrators-group@altostrat.com
Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.
Pods de GKE
Las cargas de trabajo que se ejecutan en GKE usan Workload Identity Federation for GKE para acceder a los Cloud de Confiance servicios. Para obtener más información sobre los identificadores principales de los pods de GKE, consulta el artículo Hacer referencia a recursos de Kubernetes en políticas de gestión de identidades y accesos.
En el siguiente ejemplo se muestra cómo identificar todos los pods de GKE de un clúster específico en una política de permiso:
principalSet://iam.googleapis.com/projects/123456789012/locations/global/workloadIdentityPools/123456789012.s3ns.svc.id.goog/kubernetes.cluster/https://container.googleapis.com/v1/projects/123456789012/locations/global/clusters/example-gke-cluster
Para obtener más información sobre los formatos de identificadores principales, consulta Identificadores principales.
Siguientes pasos
- Consulta los tipos de políticas que admite la gestión de identidades y accesos
- Asignar un rol a un principal en un proyecto, una carpeta o una organización de Resource Manager