Configurar políticas de gestión de identidades y accesos
En esta página se describe cómo configurar políticas de gestión de identidades y accesos (IAM) que permitan a los miembros crear y gestionar recursos del Servicio de Autoridades de Certificación. Para obtener más información sobre la gestión de identidades y accesos, consulta el artículo Descripción general de la gestión de identidades y accesos.
Políticas generales de gestión de identidades y accesos
En el servicio de AC, asignas roles de gestión de identidades y accesos a usuarios o cuentas de servicio para crear y gestionar recursos del servicio de AC. Puedes añadir estas asignaciones de roles en los siguientes niveles:
- Nivel de grupo de AC para gestionar el acceso a un grupo de AC específico y a las AC de ese grupo.
- A nivel de proyecto o de organización para conceder acceso a todos los grupos de AC de ese ámbito.
Los roles se heredan si se conceden en un nivel de recurso superior. Por ejemplo, un usuario al que se le asigna el rol Auditor (roles/privateca.auditor) a nivel de proyecto puede ver todos los recursos del proyecto. Las políticas de gestión de identidades y accesos que se definen en un grupo de autoridades de certificación (ACs) se heredan de todas las ACs de ese grupo.
No se pueden conceder roles de gestión de identidades y accesos en certificados ni en recursos de autoridad de certificación.
Políticas de gestión de identidades y accesos condicionales
Si tienes un grupo de AC compartido que pueden usar varios usuarios autorizados para solicitar diferentes tipos de certificados, puedes definir condiciones de gestión de identidades y accesos para aplicar el acceso basado en atributos y realizar determinadas operaciones en un grupo de AC.
Las vinculaciones de roles condicionales de gestión de identidades y accesos te permiten conceder acceso a principales solo si se cumplen las condiciones especificadas. Por ejemplo, si el rol Solicitante de certificados se asigna al usuario alice@example.com en un grupo de ACs con la condición de que los SANs DNS solicitados sean un subconjunto de ['alice@example.com', 'bob@example.com'], el usuario podrá solicitar certificados del mismo grupo de ACs solo si el SAN solicitado es uno de esos dos valores permitidos. Puedes definir condiciones en las vinculaciones de IAM mediante expresiones del lenguaje de expresión común (CEL). Estas condiciones pueden ayudarte a restringir aún más el tipo de certificados que puede solicitar un usuario. Para obtener información sobre cómo usar expresiones CEL en las condiciones de IAM, consulta el artículo Dialecto del lenguaje de expresión común (CEL) para las políticas de IAM.
Antes de empezar
- Habilita la API.
- Crea una AC y un grupo de ACs siguiendo las instrucciones de cualquiera de las guías de inicio rápido.
- Consulta los IAM disponibles para el servicio de autoridad de certificación.
Configurar enlaces de políticas de gestión de identidades y accesos a nivel de proyecto
En los siguientes casos prácticos se describe cómo puedes conceder acceso a los recursos de CA Service a los usuarios a nivel de proyecto.
Gestionar recursos
Un administrador del Servicio de Autoridades de Certificación (roles/privateca.admin) tiene permisos para gestionar todos los recursos del Servicio de Autoridades de Certificación y definir políticas de gestión de identidades y accesos en los grupos de autoridades de certificación y las plantillas de certificados.
Para asignar el rol Administrador del servicio de AC (roles/privateca.admin) a un usuario en el nivel de proyecto, sigue estas instrucciones:
Consola
En la consola, ve a la página IAM. Google Cloud
Selecciona el proyecto.
Haz clic en Conceder acceso.
En el campo Nuevos principales, introduce la dirección de correo u otro identificador del principal.
En la lista Selecciona un rol, elige el rol Administrador de servicio de CA.
Haz clic en Guardar.
gcloud
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=roles/privateca.admin
Haz los cambios siguientes:
- PROJECT_ID: identificador único del proyecto.
- MEMBER: el usuario o la cuenta de servicio a los que quieres asignar el rol Administrador del Servicio de Autoridades de Certificación.
La marca --role toma el rol de gestión de identidades y accesos que quieres asignar al miembro.
Crear recursos
Un gestor operativo del Servicio de Autoridades de Certificación (roles/privateca.caManager) puede crear, actualizar y eliminar grupos de autoridades de certificación y autoridades de certificación. Este rol también permite al llamante revocar los certificados emitidos por las CAs del grupo de CAs.
Para asignar el rol Gestor de operaciones del servicio de AC (roles/privateca.caManager) a un usuario a nivel de proyecto, sigue estas instrucciones:
Consola
En la consola, ve a la página IAM. Google Cloud
Selecciona el proyecto.
Haz clic en Conceder acceso.
En el campo Nuevos principales, introduce la dirección de correo u otro identificador del principal.
En la lista Selecciona un rol, elige el rol Gestor de operaciones del servicio de CA.
Haz clic en Guardar.
gcloud
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=roles/privateca.caManager
Haz los cambios siguientes:
- PROJECT_ID: identificador único del proyecto.
- MEMBER: el usuario o la cuenta de servicio a los que quieres añadir el rol de gestión de identidades y accesos.
La marca --role toma el rol de gestión de identidades y accesos que quieres asignar al miembro.
Para obtener más información sobre el comando gcloud projects add-iam-policy-binding, consulta gcloud projects add-iam-policy-binding.
De forma opcional, para crear una AC con una clave de Cloud KMS, el llamante también debe ser administrador de la clave de Cloud KMS.
El administrador de Cloud KMS (roles/cloudkms.admin) tiene acceso completo a todos los recursos de Cloud KMS, excepto a las operaciones de cifrado y descifrado. Para obtener más información sobre los roles de IAM de Cloud KMS, consulta Permisos y roles de Cloud KMS.
Para conceder el rol Administrador de Cloud KMS (roles/cloudkms.admin) a un usuario, sigue estas instrucciones:
Consola
En la Google Cloud consola, ve a la página Cloud Key Management Service.
En Conjuntos de claves, haga clic en el conjunto de claves que contiene la clave de firma de la AC.
Haz clic en la clave que sea la clave de firma de la CA.
Si no ves el panel de información, haz clic en Mostrar panel de información. A continuación, haz clic en Permisos.
Haz clic en Añadir principal.
En el campo Nuevos principales, introduce la dirección de correo u otro identificador del principal.
En la lista Selecciona un rol, selecciona el rol Administrador de Cloud KMS.
Haz clic en Guardar.
gcloud
gcloud kms keys add-iam-policy-binding KEY \
--keyring=KEYRING --location=LOCATION \
--member=MEMBER \
--role=roles/cloudkms.admin
Haz los cambios siguientes:
- KEY: identificador único de la clave.
- KEYRING: el conjunto de claves que contiene la clave. Para obtener más información sobre los conjuntos de claves, consulta Conjuntos de claves.
- MEMBER: el usuario o la cuenta de servicio a los que quieres añadir la vinculación de gestión de identidades y accesos.
La marca --role toma el rol de gestión de identidades y accesos que quieres asignar al miembro.
Para obtener más información sobre el comando gcloud kms keys add-iam-policy-binding, consulta gcloud kms keys add-iam-policy-binding.
Recursos de auditoría
Un auditor del Servicio de Autoridades de Certificación (roles/privateca.auditor) tiene acceso de lectura a todos los recursos del Servicio de Autoridades de Certificación. Cuando se concede para un grupo de CAs específico, se otorga acceso de lectura al grupo de CAs. Si el grupo de autoridades de certificación está en el nivel Enterprise, el usuario con este rol también puede ver los certificados y las CRLs emitidos por las autoridades de certificación del grupo. Asigna este rol a las personas responsables de validar la seguridad y las operaciones del grupo de CAs.
Para asignar el rol Auditor del servicio de AC (roles/privateca.auditor)
a un usuario a nivel de proyecto, sigue estas instrucciones:
Consola
En la consola, ve a la página IAM. Google Cloud
Selecciona el proyecto.
Haz clic en Conceder acceso.
En el campo Nuevos principales, introduce la dirección de correo u otro identificador del principal.
En la lista Selecciona un rol, elige el rol Auditor de servicio de CA.
Haz clic en Guardar.
gcloud
gcloud projects add-iam-policy-binding PROJECT_ID \
--member=MEMBER \
--role=roles/privateca.auditor
Haz los cambios siguientes:
- PROJECT_ID: identificador único del proyecto.
- MEMBER: identificador único del usuario al que quieres asignar el rol Auditor del Servicio de Autoridades de Certificación (
roles/privateca.auditor).
La marca --role toma el rol de gestión de identidades y accesos que quieres asignar al miembro.
Configurar enlaces de políticas de gestión de identidades y accesos a nivel de recurso
En esta sección se describe cómo puedes configurar enlaces de políticas de gestión de identidades y accesos para un recurso concreto en el servicio de CA.
Gestionar grupos de autoridades de certificación
Puedes asignar el rol Administrador del Servicio de Autoridades de Certificación (roles/privateca.admin) a nivel de recurso para gestionar un grupo de AC o una plantilla de certificado específicos.
Consola
En la Google Cloud consola, ve a la página Servicio de autoridad de certificación.
Haz clic en la pestaña Gestor de grupos de ACs y, a continuación, selecciona el grupo de ACs al que quieras conceder permisos.
Si no ves el panel de información, haz clic en Mostrar panel de información. A continuación, haz clic en Permisos.
Haz clic en Añadir principal.
En el campo Nuevos principales, introduce la dirección de correo u otro identificador del principal.
En la lista Selecciona un rol, elige el rol Administrador de servicio de CA.
Haz clic en Guardar. Se concede al principal el rol seleccionado en el recurso del grupo de ACs.
gcloud
Para definir la política de IAM, ejecuta el siguiente comando:
gcloud privateca pools add-iam-policy-binding POOL_ID \
--location LOCATION \
--member MEMBER \
--role roles/privateca.admin
Haz los cambios siguientes:
- POOL_ID: identificador único del grupo de CAs para el que quieres definir la política de gestión de identidades y accesos.
- LOCATION: la ubicación del grupo de autoridades de certificación. Para ver la lista completa de ubicaciones, consulta Ubicaciones.
- MEMBER: el usuario o la cuenta de servicio a los que quieres asignar el rol de gestión de identidades y accesos.
La marca --role toma el rol de gestión de identidades y accesos que quieres asignar al miembro.
Para obtener más información sobre el comando gcloud privateca pools add-iam-policy-binding, consulta gcloud privateca pools add-iam-policy-binding.
Sigue los mismos pasos para asignar el rol Administrador de servicio de CA a una plantilla de certificado.
También puedes asignar el rol Gestor operativo del servicio de autoridades de certificación (roles/privateca.caManager) a un grupo de autoridades de certificación específico. Este rol permite al llamante revocar los certificados emitidos por las ACs de ese grupo de ACs.
Consola
En la Google Cloud consola, ve a la página Servicio de autoridad de certificación.
Haz clic en la pestaña Gestor de grupos de ACs y, a continuación, selecciona el grupo de ACs al que quieras conceder permisos.
Si no ves el panel de información, haz clic en Mostrar panel de información. A continuación, haz clic en Permisos.
Haz clic en Añadir principal.
En el campo Nuevos principales, introduce la dirección de correo u otro identificador del principal.
En la lista Selecciona un rol, elige el rol Gestor de operaciones de servicio de CA.
Haz clic en Guardar. Se concede al principal el rol seleccionado en el recurso del grupo de ACs al que pertenece la AC.
gcloud
Para conceder el rol a un grupo de CAs específico, ejecuta el siguiente comando gcloud:
gcloud privateca pools add-iam-policy-binding POOL_ID \
--location LOCATION \
--member MEMBER \
--role roles/privateca.caManager
Haz los cambios siguientes:
- POOL_ID: identificador único del grupo de autoridades de certificación.
- LOCATION: la ubicación del grupo de autoridades de certificación. Para ver la lista completa de ubicaciones, consulta Ubicaciones.
- MEMBER: el identificador único del usuario al que quieres asignar el rol Gestor operativo del Servicio de Autoridades de Certificación (
roles/privateca.caManager).
La marca --role toma el rol de gestión de identidades y accesos que quieres asignar al miembro.
Para obtener más información sobre el comando gcloud privateca pools add-iam-policy-binding, consulta gcloud privateca pools add-iam-policy-binding.
Crear certificados
Asigna el rol Administrador de certificados del Servicio de Autoridades de Certificación (roles/privateca.certificateManager) a los usuarios para que puedan enviar solicitudes de emisión de certificados a un grupo de autoridades de certificación. Este rol también proporciona acceso de lectura a los recursos del Servicio de Autoridades de Certificación. Para permitir solo la creación de certificados sin acceso de lectura, asigna el rol Solicitante del certificado del Servicio de Autoridades de Certificación (roles/privateca.certificateRequester). Para obtener más información sobre los roles de gestión de identidades y accesos de Servicio de Autoridades de Certificación, consulta el artículo sobre el control de acceso con gestión de identidades y accesos.
Para conceder al usuario acceso para crear certificados de una AC específica, sigue estas instrucciones.
Consola
En la Google Cloud consola, ve a la página Servicio de autoridad de certificación.
Haz clic en Gestor de grupos de ACs y, a continuación, selecciona el grupo de ACs al que quieras conceder permisos.
Si no ves el panel de información, haz clic en Mostrar panel de información. A continuación, haz clic en Permisos.
Haz clic en Añadir principal.
En el campo Nuevos principales, introduce la dirección de correo u otro identificador del principal.
En la lista Selecciona un rol, elige el rol Administrador de certificados de servicio de AC.
Haz clic en Guardar. Se concede al principal el rol seleccionado en el recurso del grupo de ACs al que pertenece la AC.
gcloud
gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
--location LOCATION \
--member MEMBER \
--role roles/privateca.certificateManager
Haz los cambios siguientes:
- POOL_ID: identificador único del grupo de autoridades de certificación.
- LOCATION: la ubicación del grupo de autoridades de certificación. Para ver la lista completa de ubicaciones, consulta Ubicaciones.
- MEMBER: identificador único del usuario al que quieres asignar el rol Administrador de certificados del Servicio de Autoridades de Certificación (
roles/privateca.certificateManager).
La marca --role toma el rol de gestión de identidades y accesos que quieres asignar al miembro.
Añadir enlaces de políticas de gestión de identidades y accesos a una plantilla de certificado
Para añadir una política de gestión de identidades y accesos a una plantilla de certificado concreta, sigue estas instrucciones:
Consola
En la Google Cloud consola, ve a la página Servicio de autoridad de certificación.
Haga clic en la pestaña Gestor de plantillas y, a continuación, seleccione la plantilla de certificado para la que quiera conceder permisos.
Si no ves el panel de información, haz clic en Mostrar panel de información. A continuación, haz clic en Permisos.
Haz clic en Añadir principal.
En el campo Nuevos principales, introduce la dirección de correo u otro identificador del principal.
En la lista desplegable Selecciona un rol, elige el rol que quieras conceder.
Haz clic en Guardar.
gcloud
gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
--location=LOCATION \
--member=MEMBER \
--role=ROLE
Haz los cambios siguientes:
- LOCATION: la ubicación de la plantilla de certificado. Para ver la lista completa de ubicaciones, consulta Ubicaciones.
- MEMBER: el usuario o la cuenta de servicio a los que quieras añadir la vinculación de la política de gestión de identidades y accesos.
- ROLE: el rol que quieres conceder al miembro.
Para obtener más información sobre el comando gcloud privateca templates add-iam-policy-binding, consulta gcloud privateca templates add-iam-policy-binding.
Para obtener más información sobre cómo modificar el rol de gestión de identidades y accesos de un usuario, consulta el artículo sobre cómo conceder acceso.
Quitar vinculaciones de políticas de gestión de identidades y accesos
Puedes quitar un enlace de política de gestión de identidades y accesos con el comando remove-iam-policy-binding de la CLI de Google Cloud.
Para eliminar una política de gestión de identidades y accesos de un grupo de CAs concreto, usa el siguiente comando gcloud:
gcloud
gcloud privateca pools remove-iam-policy-binding POOL_ID \
--location=LOCATION \
--member=MEMBER \
--role=ROLE
Haz los cambios siguientes:
- LOCATION: la ubicación del grupo de autoridades de certificación. Para ver la lista completa de ubicaciones, consulta Ubicaciones.
- MEMBER: el usuario o la cuenta de servicio de los que quieras quitar la vinculación de la política de gestión de identidades y accesos.
- ROLE: el rol que quieres quitar al miembro.
Para obtener más información sobre el comando gcloud privateca pools remove-iam-policy-binding, consulta gcloud privateca pools remove-iam-policy-binding.
Para eliminar una política de IAM de una plantilla de certificado concreta, usa el siguiente comando gcloud:
gcloud
gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
--location=LOCATION \
--member=MEMBER \
--role=ROLE
Haz los cambios siguientes:
- LOCATION: la ubicación de la plantilla de certificado. Para ver la lista completa de ubicaciones, consulta Ubicaciones.
- MEMBER: el usuario o la cuenta de servicio de los que quieras quitar la vinculación de la política de gestión de identidades y accesos.
- ROLE: el rol que quieres quitar al miembro.
Para obtener más información sobre el comando gcloud privateca templates remove-iam-policy-binding, consulta gcloud privateca templates remove-iam-policy-binding.
Para obtener más información sobre cómo quitar el rol de IAM de un usuario, consulta el artículo sobre cómo revocar el acceso.
Siguientes pasos
- Consulta los roles de gestión de identidades y accesos del Servicio de Autoridades de Certificación y sus permisos asociados.
- Consulta información sobre las plantillas y las políticas de emisión.
- Consulta cómo gestionar los controles de las políticas.