En Gestión de Identidades y Accesos (IAM), controlas el acceso de los principales. Un principal representa una o varias identidades que se han autenticado en Trusted Cloud.
Usar principales en las políticas
Para usar principales en tus políticas, haz lo siguiente:
Configura las identidades que Trusted Cloud puede reconocer. Configurar identidades es el proceso de crear identidades que Trusted Cloud puedas reconocer. Puedes configurar identidades para usuarios y cargas de trabajo.
Para saber cómo configurar identidades, consulta lo siguiente:
- Para saber cómo configurar las identidades de los usuarios, consulte Identidades de los usuarios.
- Para saber cómo configurar identidades para cargas de trabajo, consulta Identidades para cargas de trabajo.
Determina el identificador principal que vas a usar. El identificador de principal es la forma de hacer referencia a un principal en tus políticas. Este identificador puede hacer referencia a una sola identidad o a un grupo de identidades.
El formato que uses para el identificador principal dependerá de lo siguiente:
- El tipo de principal
- El tipo de política en el que quieres incluir la entidad de seguridad
Para ver el formato del identificador principal de cada tipo de principal en cada tipo de política, consulta Identificadores principales.
Una vez que conozcas el formato del identificador, podrás determinar el identificador único de la entidad de seguridad en función de sus atributos, como su dirección de correo electrónico.
Incluya el identificador de la entidad principal en su política. Añade tu principal a tu política siguiendo el formato de la política.
Para obtener información sobre los distintos tipos de políticas de gestión de identidades y accesos, consulta Tipos de políticas.
Compatibilidad con tipos de principales
Cada tipo de política de gestión de identidades y accesos admite un subconjunto de los tipos de principales que admite la gestión de identidades y accesos. Para ver los tipos principales admitidos en cada tipo de política, consulta Identificadores principales.
Tipos principales
IAM admite los siguientes tipos de principales:
- Cuentas de servicio
allAuthenticatedUsersallUsers- Una o varias identidades federadas en un grupo de identidades de Workforce
- Una o varias identidades federadas en un grupo de identidades de carga de trabajo
- Un conjunto de pods de Google Kubernetes Engine
En las siguientes secciones se describen estos tipos principales con más detalle.
Cuentas de servicio
Una cuenta de servicio es una cuenta para una aplicación o una carga de trabajo de computación en lugar de para un usuario final concreto. Cuando ejecutas código alojado enTrusted Cloud, especificas una cuenta de servicio que se usará como identidad de tu aplicación. Puedes crear tantas cuentas de servicio como necesites para representar los diferentes componentes lógicos de tu aplicación.
Para obtener más información sobre las cuentas de servicio, consulta el artículo Resumen de las cuentas de servicio.
allAuthenticatedUsers
El valor allAuthenticatedUsers es un identificador especial que representa todas las cuentas de servicio.
Este tipo de principal no incluye identidades federadas, que gestionan proveedores de identidades (IdPs) externos. Para incluir identidades federadas, usa una de las siguientes opciones:
- Para incluir usuarios de todos los proveedores de identidades, usa
allUsers. - Para incluir usuarios de proveedores de identidades externos específicos, usa el identificador de todas las identidades de un grupo de identidades de la fuerza de trabajo o de todas las identidades de un grupo de identidades de carga de trabajo.
Algunos tipos de recursos no admiten este tipo de principal.
allUsers
El valor allUsers es un identificador especial que representa a cualquier usuario de Internet, incluidos los usuarios autenticados y no autenticados.
Algunos tipos de recursos no admiten este tipo de principal.
Identidades federadas en un grupo de identidades de Workforce
Una identidad federada en un grupo de identidades de Workforce es una identidad de usuario gestionada por un IdP externo y federada mediante Workforce Identity Federation. Puedes usar una identidad específica en un grupo de identidades de Workforce o usar determinados atributos para especificar un grupo de identidades de usuario en un grupo de identidades de Workforce.
Identidades federadas en un grupo de identidades de carga de trabajo
Una identidad federada en un grupo de identidades de carga de trabajo es una identidad de carga de trabajo gestionada por un IdP externo y federada mediante la federación de identidades de cargas de trabajo. Puedes usar una identidad de carga de trabajo específica en un grupo de identidades de carga de trabajo o usar determinados atributos para especificar un grupo de identidades de carga de trabajo en un grupo de identidades de carga de trabajo.
Pods de GKE
Las cargas de trabajo que se ejecutan en GKE usan Workload Identity Federation for GKE para acceder a los Trusted Cloud servicios. Para obtener más información sobre los identificadores principales de los pods de GKE, consulta el artículo Hacer referencia a recursos de Kubernetes en políticas de gestión de identidades y accesos.
Siguientes pasos
- Consulta los tipos de políticas que admite la gestión de identidades y accesos
- Asignar un rol a un principal en un proyecto, una carpeta o una organización de Resource Manager