En Gestión de Identidades y Accesos (IAM), controlas el acceso de los principales. Un principal representa una o varias identidades que se han autenticado en Google Cloud.
Usar principales en las políticas
Para usar principales en tus políticas, haz lo siguiente:
Configura las identidades que Google Cloud puede reconocer. Configurar identidades es el proceso de crear identidades que Google Cloud puedas reconocer. Puedes configurar identidades para usuarios y cargas de trabajo.
Para saber cómo configurar identidades, consulta lo siguiente:
- Para saber cómo configurar las identidades de los usuarios, consulte Identidades de los usuarios.
- Para saber cómo configurar identidades para cargas de trabajo, consulta Identidades para cargas de trabajo.
Determina el identificador principal que vas a usar. El identificador de principal es la forma de hacer referencia a un principal en tus políticas. Este identificador puede hacer referencia a una sola identidad o a un grupo de identidades.
El formato que uses para el identificador principal dependerá de lo siguiente:
- El tipo de principal
- El tipo de política en el que quieres incluir la entidad de seguridad
Para ver el formato del identificador principal de cada tipo de principal en cada tipo de política, consulta Identificadores principales.
Una vez que conozcas el formato del identificador, podrás determinar el identificador único de la entidad de seguridad en función de sus atributos, como su dirección de correo electrónico.
Incluya el identificador de la entidad principal en su política. Añade tu principal a tu política siguiendo el formato de la política.
Para obtener información sobre los distintos tipos de políticas de gestión de identidades y accesos, consulta Tipos de políticas.
Compatibilidad con tipos de principales
Cada tipo de política de gestión de identidades y accesos admite un subconjunto de los tipos de principales que admite la gestión de identidades y accesos. Para ver los tipos principales admitidos en cada tipo de política, consulta Identificadores principales.
Tipos principales
IAM admite los siguientes tipos de principales:
- Cuentas de Google
- Cuentas de servicio
- Grupos de Google
- Cuentas de Google Workspace
- Dominios de Cloud Identity
allAuthenticatedUsersallUsers- Una o varias identidades federadas en un grupo de identidades de Workforce
- Una o varias identidades federadas en un grupo de identidades de carga de trabajo
- Un conjunto de pods de Google Kubernetes Engine
- Conjuntos de principales de Resource Manager (solo para las vinculaciones de políticas de límites de acceso de principales)
En las siguientes secciones se describen estos tipos principales con más detalle.
Cuentas de Google
Una cuenta de Google representa a un desarrollador, un administrador o cualquier otra persona que interactúe con Google Cloud mediante una cuenta que haya creado con Google. Cualquier dirección de correo asociada a una cuenta de Google, también llamada cuenta de usuario gestionada, se puede usar como principal. Esto incluye gmail.com
direcciones de correo y direcciones de correo con otros dominios.
Para obtener más información sobre cómo configurar cuentas de Google, consulta el artículo Cuentas de Cloud Identity o Google Workspace.
Cuentas de servicio
Una cuenta de servicio es una cuenta para una aplicación o una carga de trabajo de computación en lugar de para un usuario final concreto. Cuando ejecutas código alojado enGoogle Cloud, especificas una cuenta de servicio que se usará como identidad de tu aplicación. Puedes crear tantas cuentas de servicio como necesites para representar los diferentes componentes lógicos de tu aplicación.
Para obtener más información sobre las cuentas de servicio, consulta el artículo Resumen de las cuentas de servicio.
Grupos de Google
Un grupo de Google es un conjunto de cuentas de Google con un nombre. Todos los grupos de Google tienen una dirección de correo única asociada al grupo. Para ver la dirección de correo asociada a un grupo de Google, haz clic en Información en la página principal del grupo. Para obtener más información sobre Grupos de Google, consulta la página principal de Grupos de Google.
Los grupos de Google son una forma cómoda de aplicar controles de acceso a una colección de principales. Puede conceder y cambiar los controles de acceso de todo un grupo a la vez, en lugar de hacerlo uno a uno para cada principal. También puedes añadir o quitar entidades principales de un grupo de Google en lugar de actualizar una política de permiso para añadir o quitar entidades principales.
Los grupos de Google no tienen credenciales de inicio de sesión y no se pueden usar para establecer la identidad y hacer una solicitud de acceso a un recurso.
Para obtener más información sobre cómo usar los grupos para controlar el acceso, consulta las prácticas recomendadas para usar Grupos de Google.
Cuentas de Google Workspace
Una cuenta de Google Workspace representa un grupo virtual de todas las cuentas de Google que contiene. Las cuentas de Google Workspace están asociadas al nombre de dominio de Internet de tu organización, como example.com. Cuando creas una cuenta de Google para un nuevo usuario, como username@example.com, esa cuenta se añade al grupo virtual de tu cuenta de Google Workspace.
Al igual que los grupos de Google, las cuentas de Google Workspace no se pueden usar para establecer una identidad, pero permiten gestionar los permisos de forma cómoda.
Dominios de Cloud Identity
Un dominio de Cloud Identity es como una cuenta de Google Workspace, ya que representa un grupo virtual de todas las cuentas de Google de una organización. Sin embargo, los usuarios del dominio de Cloud Identity no tienen acceso a las aplicaciones ni a las funciones de Google Workspace. Para obtener más información, consulta Acerca de Cloud Identity.
allAuthenticatedUsers
El valor allAuthenticatedUsers es un identificador especial que representa a todas las cuentas de servicio y a todos los usuarios de Internet que se han autenticado con una cuenta de Google. Este identificador incluye cuentas que no están conectadas a una cuenta de Google Workspace o a un dominio de Cloud Identity, como las cuentas personales de Gmail. No se incluyen los usuarios que no están autenticados, como los visitantes anónimos.
Este tipo de principal no incluye identidades federadas, que gestionan proveedores de identidades (IdPs) externos. Si usas Federación de Identidades de Workforce o Federación de Identidades de Cargas de Trabajo, no uses allAuthenticatedUsers. En su lugar, utilice una de las siguientes opciones:
- Para incluir usuarios de todos los proveedores de identidades, usa
allUsers. - Para incluir usuarios de proveedores de identidades externos específicos, usa el identificador de todas las identidades de un grupo de identidades de la fuerza de trabajo o de todas las identidades de un grupo de identidades de carga de trabajo.
Algunos tipos de recursos no admiten este tipo de principal.
allUsers
El valor allUsers es un identificador especial que representa a cualquier usuario de Internet, incluidos los usuarios autenticados y no autenticados.
Algunos tipos de recursos no admiten este tipo de principal.
Identidades federadas en un grupo de identidades de Workforce
Una identidad federada en un grupo de identidades de Workforce es una identidad de usuario gestionada por un IdP externo y federada mediante Workforce Identity Federation. Puedes usar una identidad específica en un grupo de identidades de Workforce o usar determinados atributos para especificar un grupo de identidades de usuario en un grupo de identidades de Workforce.
Identidades federadas en un grupo de identidades de carga de trabajo
Una identidad federada en un grupo de identidades de carga de trabajo es una identidad de carga de trabajo gestionada por un IdP externo y federada mediante la federación de identidades de cargas de trabajo. Puedes usar una identidad de carga de trabajo específica en un grupo de identidades de carga de trabajo o usar determinados atributos para especificar un grupo de identidades de carga de trabajo en un grupo de identidades de carga de trabajo.
Pods de GKE
Las cargas de trabajo que se ejecutan en GKE usan Workload Identity Federation for GKE para acceder a los Google Cloud servicios. Para obtener más información sobre los identificadores principales de los pods de GKE, consulta el artículo Hacer referencia a recursos de Kubernetes en políticas de gestión de identidades y accesos.
Conjuntos de principales de Resource Manager
Cada recurso de Resource Manager (proyectos, carpetas y organizaciones) está asociado a un conjunto de principales. Cuando creas vinculaciones de políticas de límites de acceso de principales, puedes usar el conjunto de principales de un recurso de Resource Manager para hacer referencia a todos los principales asociados a ese recurso.
Los conjuntos de principales de los recursos de Resource Manager contienen los siguientes principales:
- Conjunto de principales del proyecto: todas las cuentas de servicio y los grupos de identidades de carga de trabajo del proyecto especificado.
- Conjunto de carpetas principales: todas las cuentas de servicio y todos los grupos de identidades de carga de trabajo de cualquier proyecto de la carpeta especificada.
Conjunto de principales de la organización: contiene las siguientes identidades:
- Todas las identidades de todos los dominios asociados a tu ID de cliente de Google Workspace
- Todos los grupos de identidades de Workforce de tu organización
- Todas las cuentas de servicio y los grupos de identidades de carga de trabajo de cualquier proyecto de la organización
Siguientes pasos
- Consulta los tipos de políticas que admite la gestión de identidades y accesos
- Asignar un rol a un principal en un proyecto, una carpeta o una organización de Resource Manager