Se usó la API de Cloud Translation para traducir esta página.

Descripción general de los límites de acceso a las credenciales

En esta página, se describen los límites de acceso a credenciales, que puedes usar para downscope o restringir los permisos de Identity and Access Management (IAM) que puede usar una credencial de corta duración.

Puedes usar límites de acceso a las credenciales para generar tokens de acceso de OAuth 2.0 que representen a una cuenta de servicio, pero que tengan menos permisos que la cuenta de servicio. Por ejemplo, si uno de tus clientes necesita acceder a los datos de Cloud Storage que controlas, puedes hacer lo siguiente:

Crea una cuenta de servicio que pueda acceder a cada bucket de Cloud Storage que te pertenezca.
Genera un token de acceso de OAuth 2.0 para la cuenta de servicio.
Aplica un límite de acceso a las credenciales que solo permita el acceso al bucket que contiene los datos de tu cliente.

Cómo funcionan los límites de acceso a las credenciales

A fin de disminuir el alcance de los permisos, debes definir un límite de acceso a las credenciales que especifica a qué recursos puede acceder la credencial de corta duración, así como un límite superior en los permisos disponibles para cada recurso. A continuación, puedes crear una credencial de corta duración y, luego, cambiarla por una nueva credencial que respete el límite de acceso a las credenciales.

Si necesitas otorgarles a las principales un conjunto distinto de permisos para cada sesión, puede ser más eficiente usar límites de acceso a las credenciales que crear muchas cuentas de servicio diferentes y otorgar a cada una un conjunto diferente de funciones.

Componentes de un límite de acceso a las credenciales

Un límite de acceso a las credenciales es un objeto que contiene una lista de reglas de límites de acceso. Cada regla contiene la siguiente información:

El recurso al que se aplica la regla
El límite superior de los permisos que están disponibles en ese recurso
Una condición que restringe aún más los permisos (opcional) Una condición incluye lo siguiente:
- Una expresión de condición que se evalúa como true o false. Si se evalúa como true, se permite el acceso; de lo contrario, se niega el acceso
- Un título que identifique la condición (opcional)
- Una descripción con más información sobre la condición (opcional)

Si aplicas un límite de acceso a las credenciales a una credencial de corta duración, esta solo podrá acceder a los recursos dentro del límite de acceso a las credenciales. No hay permisos disponibles en otros recursos.

Un límite de acceso a las credenciales puede contener hasta 10 reglas de límite de acceso. Solo puedes aplicar un límite de acceso a las credenciales a cada credencial de corta duración.

Cuando se representa como un objeto JSON, un límite de acceso a las credenciales contiene los siguientes campos:

Campos
`accessBoundary`	`object` Un contenedor para el límite de acceso a credenciales.
`accessBoundary.accessBoundaryRules[]`	`object` Una lista de reglas de límites de acceso para aplicar a una credencial de corta duración.
`accessBoundary.accessBoundaryRules[].availablePermissions[]`	`string` Una lista que define el límite superior de los permisos disponibles para el recurso. Cada valor es el identificador de una función predefinida o función personalizada de IAM, con el prefijo `inRole:`. Por ejemplo: `inRole:roles/storage.objectViewer`. Solo estarán disponibles los permisos de estas funciones. Nota: No puedes especificar los nombres de los permisos directamente. En su lugar, especifica una función en la que aparezca el permiso. Si es necesario, crea una función personalizada que incluya solo los permisos que necesitas.
`accessBoundary.accessBoundaryRules[].availableResource`	`string` El nombre completo del recurso del bucket de Cloud Storage al que se aplica la regla. Usa el formato `//storage.googleapis.com/projects/_/buckets/bucket-name`.
`accessBoundary.accessBoundaryRules[].availabilityCondition`	`object` Opcional. Una condición que restringe la disponibilidad de permisos para objetos específicos de Cloud Storage. Usa este campo si deseas que los permisos estén disponibles para objetos específicos, en lugar de que estén disponibles para todos los objetos en un bucket de Cloud Storage.
`accessBoundary.accessBoundaryRules[].availabilityCondition.expression`	`string` Una expresión de condición que especifica los objetos de Cloud Storage en los que están disponibles los permisos. Para aprender a hacer referencia a objetos específicos en una expresión de condición, consulta Atributo `resource.name` y Atributo `api.getAttribute("storage.googleapis.com/objectListPrefix")`. Nota: Si alguna de tus aplicaciones muestra una lista de objetos de Cloud Storage y usa el parámetro `prefix` a fin de filtrar la respuesta, debes tomar medidas adicionales para evitar un conflicto entre la expresión de condición de IAM y el filtro de Cloud Storage. Para obtener más información, consulta Limita los permisos cuando se enumeran objetos en esta página.
`accessBoundary.accessBoundaryRules[].availabilityCondition.title`	`string` Opcional. Una string corta que identifica el propósito de la condición.
`accessBoundary.accessBoundaryRules[].availabilityCondition.description`	`string` Opcional. Detalles sobre el propósito de la condición.

Para obtener ejemplos en formato JSON, consulta Ejemplos de límites de acceso a las credenciales en esta página.

Ejemplos de límites de acceso a las credenciales

En las siguientes secciones, se muestran ejemplos de límites de acceso a las credenciales para casos de uso comunes. Usa el límite de acceso a credenciales cuando intercambias un token de acceso de OAuth 2.0 por un token de alcance reducido.

Limita los permisos para un bucket

En el siguiente ejemplo, se muestra un límite de acceso a las credenciales simple. Se aplica al depósito de Cloud Storage example-bucket y establece el límite superior de los permisos que se incluyen en la función de visualizador de objetos de almacenamiento (roles/storage.objectViewer):

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket"
      }
    ]
  }
}

Limita los permisos para varios depósitos

En el siguiente ejemplo, se muestra un límite de acceso a las credenciales que incluye reglas para varios depósitos:

El depósito de Cloud Storage example-bucket-1: para este depósito, solo están disponibles los permisos de la función de visualizador de objetos de almacenamiento (roles/storage.objectViewer).
El depósito de Cloud Storage example-bucket-2: para este depósito, solo están disponibles los permisos de la función de creador de objetos de almacenamiento (roles/storage.objectCreator).

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-1"
      },
      {
        "availablePermissions": [
          "inRole:roles/storage.objectCreator"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket-2"
      }
    ]
  }
}

Limita los permisos para objetos específicos

También puedes usar condiciones de IAM para especificar a qué objetos de Cloud Storage puede acceder una principal. Por ejemplo, puedes agregar una condición que permita que los permisos estén disponibles para los objetos cuyo nombre comience con customer-a:

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
        "availabilityCondition": {
          "expression" : "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a')"
        }
      }
    ]
  }
}

Limita los permisos cuando se genera una lista de objetos

Cuando generas una lista de objetos en un bucket de Cloud Storage, llamas a un método en un recurso de bucket, no en un recurso de objeto. Como resultado, si se evalúa una condición para una solicitud de lista y la condición hace referencia al nombre del recurso, el nombre del recurso identifica el depósito, no un objeto dentro del depósito. Por ejemplo, cuando generas una lista de objetos en example-bucket, el nombre del recurso es projects/_/buckets/example-bucket.

Esta convención de nombres puede dar lugar a un comportamiento inesperado cuando generas listas de objetos. Por ejemplo, supongamos que deseas un límite de acceso a las credenciales que permite el acceso de lectura a los objetos de example-bucket con el prefijo customer-a/invoices/. Puede intentar usar la siguiente condición en el límite de acceso a las credenciales:

Incompleto: condición que solo verifica el nombre del recurso

resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')

Esta condición funciona para leer objetos, pero no para generar listas de objetos:

Cuando una principal intenta leer un objeto en example-bucket con el prefijo customer-a/invoices/, la condición se evalúa como true.
Cuando una principal intenta generar listas de objetos con ese prefijo, la condición se evalúa como false. El valor de resource.name es projects/_/buckets/example-bucket, que no comienza con projects/_/buckets/example-bucket/objects/customer-a/invoices/.

Para evitar este problema, además de usar resource.name.startsWith(), la condición puede verificar un atributo de API llamado storage.googleapis.com/objectListPrefix. Este atributo contiene el valor del parámetro prefix que se usó para filtrar la lista de objetos. Como resultado, puedes escribir una condición que haga referencia al valor del parámetro prefix.

En el siguiente ejemplo, se muestra cómo usar el atributo de la API en una condición. Permite leer y generar una lista de los objetos en example-bucket con el prefijo customer-a/invoices/:

Completo: condición que verifica el nombre del recurso y el prefijo

resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/')  ||
    api.getAttribute('storage.googleapis.com/objectListPrefix', '')
                     .startsWith('customer-a/invoices/')

Ahora puedes usar esta condición en un límite de acceso a las credenciales:

{
  "accessBoundary": {
    "accessBoundaryRules": [
      {
        "availablePermissions": [
          "inRole:roles/storage.objectViewer"
        ],
        "availableResource": "//storage.googleapis.com/projects/_/buckets/example-bucket",
        "availabilityCondition": {
          "expression":
            "resource.name.startsWith('projects/_/buckets/example-bucket/objects/customer-a/invoices/') || api.getAttribute('storage.googleapis.com/objectListPrefix', '').startsWith('customer-a/invoices/')"
        }
      }
    ]
  }
}

¿Qué sigue?

Obtén más información para crear una credencial de corta duración de alcance reducido.
Obtén más información sobre el control de acceso para Cloud Storage.
Consulta los permisos en cada función predefinida.
Obtén información sobre las funciones personalizadas.