Cómo otorgar y revocar el acceso

Cada sujeto (un usuario o un grupo) sigue un proceso de dos pasos para obtener acceso al servidor de la API global. Otorga a un sujeto permisos en el servidor de la API global con IAMRoleBinding para un IAMRole predefinido. Todos los roles y las vinculaciones de roles son globales.

Los arquetipos (IO, PA, AO) no son roles, sino colecciones de roles de usuario asignados a permisos específicos y asignados a usuarios individuales.

Configura vinculaciones de roles

Puedes configurar vinculaciones de roles que les otorguen a los miembros del equipo acceso a los recursos a nivel de la organización o del proyecto.

Para obtener los permisos que necesitas para configurar vinculaciones de roles, pídele al administrador de IAM de la organización que te otorgue el rol de administrador de IAM de la organización.

Para asignar un rol a un miembro autorizado, sigue estos pasos:

Console

  1. Accede a la consola de GDC.
  2. Selecciona una organización o un proyecto en el selector de alcance.
    • Para configurar vinculaciones de roles para una organización, selecciona una organización.
    • Para configurar vinculaciones de roles para un proyecto, selecciona uno.
  3. En el menú de navegación, haz clic en Identidad y acceso > Acceso.
  4. Haz clic en Agregar miembro.
  5. Elige si quieres agregar usuarios individuales o grupos.
  6. En la lista Proveedor de identidad, selecciona un proveedor de identidad.
  7. En el campo Nombre de usuario o alias de grupo, ingresa el nombre de usuario, la dirección de correo electrónico o el alias.
  8. En la lista Rol, selecciona el rol que deseas asignar al usuario o grupo, como Visualizador de la organización a nivel de la organización o Creador de proyecto a nivel del proyecto.
  9. Haz clic en Agregar.

El miembro aparecerá en la lista Miembro autorizado.

gdcloud

  1. Asegúrate de tener instalada la CLI de gcloud.

  2. Accede con el comando gdcloud auth login para autenticarte con tu proveedor de identidad. Para obtener más información, consulta la autenticación de la CLI de gdcloud.

  3. Configura las vinculaciones de roles.

    • Configura vinculaciones de roles para una organización:

      gdcloud organizations add-iam-policy-binding ORGANIZATION \
  --member=USER_ACCOUNT \
  --role= ROLE

      Reemplaza las siguientes variables:

      • ORGANIZATION: Es el nombre de la organización para la que configuras la vinculación del rol.
      • USER_ACCOUNT: Es la cuenta de usuario a la que deseas otorgar el rol. Esta marca acepta una dirección de correo electrónico del usuario con el prefijo del proveedor de identidad (user:idpprefix-user@example.com) o un nombre de cuenta de servicio con el proyecto de la cuenta de servicio (serviceAccount:projectName:serviceAccountName).
      • ROLE: Es el nombre del rol predefinido o personalizado que deseas asignar al usuario.

    • Configura vinculaciones de roles para un proyecto:

      gdcloud projects add-iam-policy-binding PROJECT \
  --member=USER_ACCOUNT \
  --role= ROLE

      Reemplaza las siguientes variables:

      • PROJECT: Es el nombre del proyecto para el que configuras la vinculación del rol.
      • USER_ACCOUNT: Es la cuenta de usuario a la que deseas otorgar el rol. Esta marca acepta una dirección de correo electrónico del usuario con el prefijo del proveedor de identidad (user:idpprefix-user@example.com) o un nombre de cuenta de servicio con el proyecto de la cuenta de servicio (serviceAccount:projectName:serviceAccountName).
      • ROLE: Es el nombre del rol predefinido o personalizado que deseas asignar al usuario.

API

  1. Exporta la credencial de usuario que usas:

    export GLOBAL_API_SERVER_KUBECONFIG=GLOBAL_API_SERVER_KUBECONFIG

  2. Exporta la cuenta de usuario a la que deseas asignar el rol, incluido el prefijo del proveedor de identidad (como idpprefix-paul@example.com):

    export USERNAME=IDP_PREFIX-USER_EMAIL

  3. Exporta el nombre del rol que necesita el usuario, como project-creator. Consulta Definiciones de roles para encontrar el rol correspondiente.

    export ROLE_NAME=ROLE_NAME

  4. Exporta el espacio de nombres en el que se debe crear la vinculación:

    export BINDING_NAMESPACE=BINDING_NAMESPACE

    Reemplaza BINDING_NAMESPACE por platform para los roles con alcance en la organización o por el nombre del espacio de nombres del proyecto de destino para los roles con alcance en el proyecto.

    Consulta Definiciones de roles para obtener una lista de los roles y su alcance.

  5. Crea y aplica un recurso personalizado IAMRoleBinding:

    cat <<EOF | kubectl --kubeconfig ${GLOBAL_API_SERVER_KUBECONFIG} apply -f -
apiVersion: iam.global.gdc.goog/v1
kind: IAMRoleBinding
metadata:
  name: ${USERNAME}-${ROLE_NAME}-binding
  namespace: ${BINDING_NAMESPACE}
spec:
  roleRef:
    apiGroup: iam.global.gdc.goog
    kind: IAMRole
    name: ${ROLE_NAME}
  subjects:
  - apiGroup: rbac.authorization.k8s.io
    kind: User
    name: ${USERNAME}
EOF

Quita vinculaciones de roles

Cuando ya no se requiera el acceso, quita a un miembro y sus roles, permisos y acceso asociados.

Para quitar miembros, sigue estos pasos:

Console

  1. Accede a la consola de GDC.
  2. En el menú de navegación, haz clic en Identidad y acceso > Acceso.
  3. En la lista Miembros autorizados, selecciona un miembro.
  4. Haz clic en Quitar miembro.
  5. Cuando se te solicite, haz clic en Quitar miembro para confirmar.

gdcloud

  1. Asegúrate de tener instalada la CLI de gcloud.

  2. Accede con el comando gdcloud auth login para autenticarte con tu proveedor de identidad. Para obtener más información, consulta la autenticación de la CLI de gdcloud.

  3. Quita las vinculaciones de roles.

    • Para quitar vinculaciones de roles de una organización, haz lo siguiente:

      gdcloud organizations remove-iam-policy-binding ORGANIZATION \
  --member=USER_ACCOUNT \
  --role= ROLE

      Reemplaza las siguientes variables:

      • ORGANIZATION: Es el nombre de la organización de la que quitarás la vinculación del rol.
      • USER_ACCOUNT: Es la cuenta de usuario de la que deseas quitar el rol. Esta marca acepta una dirección de correo electrónico del usuario con el prefijo del proveedor de identidad (user:idpprefix-user@example.com) o un nombre de cuenta de servicio con el proyecto de la cuenta de servicio (serviceAccount:projectName:serviceAccountName).
      • ROLE: Es el nombre del rol predefinido o personalizado que deseas quitar de la cuenta de usuario.

    • Quita las vinculaciones de roles de un proyecto:

      gdcloud projects remove-iam-policy-binding PROJECT \
  --member=USER_ACCOUNT \
  --role= ROLE

      Reemplaza las siguientes variables:

      • PROJECT: Es el nombre del proyecto del que quitas la vinculación del rol.
      • USER_ACCOUNT: Es la cuenta de usuario de la que deseas quitar el rol. Esta marca acepta una dirección de correo electrónico del usuario con el prefijo del proveedor de identidad (user:idpprefix-user@example.com) o un nombre de cuenta de servicio con el proyecto de la cuenta de servicio (serviceAccount:projectName:serviceAccountName).
      • ROLE: Es el nombre del rol predefinido o personalizado que deseas quitar de la cuenta de usuario.

API

Borra el IAMRoleBinding para revocar el permiso otorgado a la cuenta de PA:

kubectl --kubeconfig GLOBAL_API_SERVER_KUBECONFIG \
delete iamrolebinding USERNAME-ROLE_NAME-binding -n BINDING_NAMESPACE

Reemplaza lo siguiente:

  • GLOBAL_API_SERVER_KUBECONFIG: Es la ruta de acceso al archivo kubeconfig para acceder al servidor de la API global.
  • USERNAME: Es la cuenta de usuario para la que deseas quitar el rol, incluido el prefijo del proveedor de identidad (como idpprefix-paul@example.com).
  • ROLE_NAME: Es el nombre del rol que deseas quitar, como project-creator.
  • BINDING_NAMESPACE: Reemplaza con platform para los roles con alcance en la organización o con el nombre del espacio de nombres del proyecto de destino para los roles con alcance en el proyecto.

Cómo revocar el acceso del usuario

Si un miembro abandona tu organización o equipo, puedes revocar su acceso a Google Distributed Cloud (GDC) aislado. Si revocas el acceso de un usuario, se cerrará su sesión en Distributed Cloud y se quitarán sus roles y permisos. También puedes enumerar la actividad y las sesiones del usuario desde su hora de inicio y finalización.

Para revocar el acceso de un usuario en todo un universo de GDC, debes revocar el acceso de cada zona individual por separado. Completa los siguientes pasos para cada zona:

  1. Asegúrate de haber accedido a la zona para la que quieres revocar el acceso. Por ejemplo, establece la configuración de URL zonal para la CLI de gcloud y, luego, accede:

    gdcloud config set organization_console_url ZONE_URL
gdcloud auth login

    Reemplaza ZONE_URL por la URL de la consola de GDC de la zona para la que se revocará el acceso del usuario, que se parece a https://console.ORG_NAME.ZONE_NAME.ORG_SUFFIX.

    Para obtener más información sobre cómo cambiar de contexto zonal, consulta Administra recursos en diferentes zonas.

  2. Obtén los permisos que necesitas para revocar usuarios. Solicita al administrador de IAM de la organización que te otorgue el rol de administrador de sesión de la organización (org-session-admin).

  3. Revoca el acceso del usuario a la zona:

    gdcloud admin auth revoke --accounts USER_EMAIL

    Reemplaza USER_EMAIL por el correo electrónico del usuario al que se le revocará el acceso.

    Después de ejecutar el comando, verás un resultado similar al siguiente. En este ejemplo, se revoca el acceso del usuario ariel@example.com:

    Success: NUMBER of sessions revoked for user ariel@example.com

    En este ejemplo, la variable NUMBER hace referencia a la cantidad de sesiones activas que tuvo el usuario.

  4. Para confirmar que revocaste el acceso del usuario, vuelve a ejecutar el comando gdcloud admin auth revoke. Si la operación se realiza correctamente, verás lo siguiente:

    No sessions found for account: ariel@example.com

  5. Repite los pasos anteriores para cada zona de tu universo.