En Identity and Access Management (IAM), controlas el acceso de los principales. Un principal representa una o más identidades que se autenticaron en Trusted Cloud.
Usa principales en tus políticas
Para usar principales en tus políticas, haz lo siguiente:
Configura identidades que Trusted Cloud pueda reconocer. La configuración de identidades es el proceso de crear identidades que Trusted Cloud pueda reconocer. Puedes configurar identidades para los usuarios y para las cargas de trabajo.
Si quieres obtener información para configurar identidades, consulta los siguientes vínculos:
- Si quieres obtener más información para configurar identidades para los usuarios, consulta Identidades para los usuarios.
- Para obtener más información sobre cómo configurar identidades para cargas de trabajo, consulta Identidades para cargas de trabajo.
Determina el identificador principal que usarás. El identificador principal es la forma en que te refieres a un principal en tus políticas. Este identificador puede hacer referencia a una sola identidad o a un grupo de identidades.
El formato que uses para el identificador principal depende de lo siguiente:
- El tipo de principal
- El tipo de política en la que deseas incluir el principal
Para ver el formato del identificador principal de cada tipo de principal en cada tipo de política, consulta Identificadores de principal.
Una vez que conozcas el formato del identificador, podrás determinar el identificador único del principal según sus atributos, como su dirección de correo electrónico.
Incluye el identificador de la principal en tu política. Agrega tu principal a tu política, siguiendo el formato de la política.
Para obtener información sobre los diferentes tipos de políticas en IAM, consulta Tipos de políticas.
Compatibilidad con tipos de principales
Cada tipo de política de IAM admite un subconjunto de los tipos de principales que admite IAM. Para ver los tipos de principales compatibles con cada tipo de política, consulta Identificadores de principal.
Tipos principales
IAM admite los siguientes tipos de principales:
- Cuentas de servicio
allAuthenticatedUsers
allUsers
- Una o más identidades federadas en un grupo de identidad de personal
- Una o más identidades federadas en un grupo de identidades para cargas de trabajo
- Un conjunto de Pods de Google Kubernetes Engine
En las siguientes secciones, se describen estos tipos principales con más detalle.
Cuentas de servicio
Una cuenta de servicio es una cuenta para una aplicación o una carga de trabajo de procesamiento en lugar de un usuario final individual. Cuando ejecutas código alojado enTrusted Cloud, especificas una cuenta de servicio para usarla como la identidad de tu aplicación. Puedes crear tantas cuentas de servicio como sea necesario para representar los diferentes componentes lógicos de tu aplicación.
Para obtener más información sobre las cuentas de servicio, consulta Descripción general de las cuentas de servicio.
allAuthenticatedUsers
El valor allAuthenticatedUsers
es un identificador especial que representa a todas las cuentas de servicio.
Este tipo de principal no incluye las identidades federadas, que administran los proveedores de identidad externos (IdP). Para incluir identidades federadas, usa una de las siguientes opciones:
- Para incluir usuarios de todos los IdP, usa
allUsers
. - Para incluir usuarios de IdP externos específicos, usa el identificador de todas las identidades de un grupo de identidades del personal o todas las identidades de un grupo de identidades para cargas de trabajo.
Algunos tipos de recursos no admiten este tipo de principal.
allUsers
El valor allUsers
es un identificador especial que representa a cualquier persona que esté en Internet, incluidos los usuarios autenticados y no autenticados.
Algunos tipos de recursos no admiten este tipo de principal.
Identidades federadas en un grupo de identidad de personal.
Una identidad federada en un grupo de identidades de personal es una identidad de usuario que administra un IdP externo y se federa con la federación de identidades de personal. Puedes usar una identidad específica en un grupo de identidades del personal, o bien puedes usar ciertos atributos para especificar un grupo de identidades de usuario en un grupo de identidades del personal.
Identidades federadas en un grupo de identidades para cargas de trabajo
Una identidad federada en un grupo de identidades para cargas de trabajo es una identidad de carga de trabajo que administra un IdP externo y se federa con la federación de identidades para cargas de trabajo. Puedes usar una identidad de carga de trabajo específica en un grupo de identidades para cargas de trabajo, o bien puedes usar ciertos atributos para especificar un grupo de identidades de carga de trabajo en un grupo de identidades para cargas de trabajo.
Pods de GKE
Las cargas de trabajo que se ejecutan en GKE usan la Workload Identity Federation for GKE para acceder a los servicios de Trusted Cloud . Para obtener más información sobre los identificadores principales de los pods de GKE, consulta Consulta los recursos de Kubernetes en las políticas de IAM.
¿Qué sigue?
- Obtén información sobre los tipos de políticas que admite IAM
- Otorga un rol a una principal en un proyecto, una carpeta o una organización de Resource Manager