Principales de IAM

En Identity and Access Management (IAM), controlas el acceso de los principales. Un principal representa una o más identidades que se autenticaron en Trusted Cloud.

Usa principales en tus políticas

Para usar principales en tus políticas, haz lo siguiente:

  1. Configura identidades que Trusted Cloud pueda reconocer. La configuración de identidades es el proceso de crear identidades que Trusted Cloud pueda reconocer. Puedes configurar identidades para los usuarios y para las cargas de trabajo.

    Si quieres obtener información para configurar identidades, consulta los siguientes vínculos:

  2. Determina el identificador principal que usarás. El identificador principal es la forma en que te refieres a un principal en tus políticas. Este identificador puede hacer referencia a una sola identidad o a un grupo de identidades.

    El formato que uses para el identificador principal depende de lo siguiente:

    • El tipo de principal
    • El tipo de política en la que deseas incluir el principal

    Para ver el formato del identificador principal de cada tipo de principal en cada tipo de política, consulta Identificadores de principal.

    Una vez que conozcas el formato del identificador, podrás determinar el identificador único del principal según sus atributos, como su dirección de correo electrónico.

  3. Incluye el identificador de la principal en tu política. Agrega tu principal a tu política, siguiendo el formato de la política.

    Para obtener información sobre los diferentes tipos de políticas en IAM, consulta Tipos de políticas.

Compatibilidad con tipos de principales

Cada tipo de política de IAM admite un subconjunto de los tipos de principales que admite IAM. Para ver los tipos de principales compatibles con cada tipo de política, consulta Identificadores de principal.

Tipos principales

IAM admite los siguientes tipos de principales:

En las siguientes secciones, se describen estos tipos principales con más detalle.

Cuentas de servicio

Una cuenta de servicio es una cuenta para una aplicación o una carga de trabajo de procesamiento en lugar de un usuario final individual. Cuando ejecutas código alojado enTrusted Cloud, especificas una cuenta de servicio para usarla como la identidad de tu aplicación. Puedes crear tantas cuentas de servicio como sea necesario para representar los diferentes componentes lógicos de tu aplicación.

Para obtener más información sobre las cuentas de servicio, consulta Descripción general de las cuentas de servicio.

allAuthenticatedUsers

El valor allAuthenticatedUsers es un identificador especial que representa a todas las cuentas de servicio.

Este tipo de principal no incluye las identidades federadas, que administran los proveedores de identidad externos (IdP). Para incluir identidades federadas, usa una de las siguientes opciones:

Algunos tipos de recursos no admiten este tipo de principal.

allUsers

El valor allUsers es un identificador especial que representa a cualquier persona que esté en Internet, incluidos los usuarios autenticados y no autenticados.

Algunos tipos de recursos no admiten este tipo de principal.

Identidades federadas en un grupo de identidad de personal.

Una identidad federada en un grupo de identidades de personal es una identidad de usuario que administra un IdP externo y se federa con la federación de identidades de personal. Puedes usar una identidad específica en un grupo de identidades del personal, o bien puedes usar ciertos atributos para especificar un grupo de identidades de usuario en un grupo de identidades del personal.

Identidades federadas en un grupo de identidades para cargas de trabajo

Una identidad federada en un grupo de identidades para cargas de trabajo es una identidad de carga de trabajo que administra un IdP externo y se federa con la federación de identidades para cargas de trabajo. Puedes usar una identidad de carga de trabajo específica en un grupo de identidades para cargas de trabajo, o bien puedes usar ciertos atributos para especificar un grupo de identidades de carga de trabajo en un grupo de identidades para cargas de trabajo.

Pods de GKE

Las cargas de trabajo que se ejecutan en GKE usan la Workload Identity Federation for GKE para acceder a los servicios de Trusted Cloud . Para obtener más información sobre los identificadores principales de los pods de GKE, consulta Consulta los recursos de Kubernetes en las políticas de IAM.

¿Qué sigue?