Tipos de políticas de IAM

Identity and Access Management (IAM) ofrece varios tipos de políticas para ayudarte a controlar a qué recursos pueden acceder los principales. En esta página, encontrarás ayuda para comprender las diferencias entre el uso y la administración de estos tipos de políticas.

Tipos de políticas de IAM

IAM ofrece los siguientes tipos de políticas:

  • Políticas de permiso
  • Políticas de denegación
  • Políticas de Límite de Acceso de las Principales (PAB)

En la siguiente tabla, se resumen las diferencias entre estos tipos de políticas:

Política Función de política API que se usa para administrar la política Relación entre las políticas y los objetivos Método para adjuntar políticas al objetivo Recurso superior de la política
Políticas de permiso Otorga acceso a los recursos a las principales La API del recurso para el que deseas administrar las políticas de permisos

Relación uno a uno

Cada política de permiso se adjunta a un recurso. Cada recurso solo puede tener una política de permiso.

 Especifica el recurso cuando crees la política Es igual que el recurso al que se adjunta la política de permisos.
Políticas de denegación Asegúrate de que las principales no puedan usar permisos específicos La API de IAM v2

Relación uno a varios

Cada política de denegación se adjunta a un recurso. Cada recurso puede tener hasta 500 políticas de denegación.

Especifica el recurso cuando crees la política de denegación Es igual que el recurso al que se adjunta la política de denegación.
Políticas de PAB Restringe los recursos a los que puede acceder una principal La API de IAM v3

Relación de varios a varios

Cada política de PAB se puede adjuntar a una cantidad ilimitada de conjuntos de principales, y cada conjunto de principales puede tener hasta 10 políticas de PAB vinculadas.

Crea una vinculación de políticas que adjunte la política de PAB a un conjunto de principales La organización

En las siguientes secciones, se proporcionan detalles sobre cada tipo de política.

Políticas para otorgar acceso a las principales

Para otorgar acceso a los recursos a las principales, usa las políticas de permisos de IAM.

Las políticas de permisos te permiten otorgar acceso a los recursos de Google Cloud. Las políticas de permisos se componen de vinculaciones de roles y metadatos. Las vinculaciones de roles especifican qué principales deben tener un rol determinado en el recurso.

Las políticas de permiso siempre se adjuntan a un solo recurso. Después de adjuntar una política de permiso a un recurso, los subordinados de ese recurso heredan la política.

Para crear y aplicar una política de permisos, identificas un recurso que acepte políticas de permisos y, luego, usas el método setIamPolicy de ese recurso para crear la política de permisos. A todas las principales de la política de permisos se les otorgan los roles especificados en el recurso y en todos sus elementos subordinados. Cada recurso solo puede tener una política de permiso adjunta.

Para obtener más información sobre las políticas de permisos, consulta Comprende las políticas de permisos.

Políticas para denegar el acceso a las principales

Para denegar el acceso de las principales a los recursos, usa las políticas de denegación de IAM. Las políticas de denegación de IAM están disponibles en la API de IAM v2.

Las políticas de denegación, al igual que las políticas de permiso, siempre se adjuntan a un solo recurso. Puedes adjuntar una política de denegación a un proyecto, una carpeta o una organización. Este proyecto, carpeta o organización también actúa como el elemento superior de la política en la jerarquía de recursos. Después de adjuntar una política de denegación a un recurso, los subordinados de ese recurso la heredan.

Para crear y aplicar políticas de denegación, usa la API de IAM v2. Cuando creas una política de denegación, debes especificar el recurso al que se adjunta. Se impide que todas las principales de la política de denegación usen los permisos especificados para acceder a ese recurso y a cualquiera de sus subordinados. Cada recurso puede tener hasta 500 políticas de denegación adjuntas.

Para obtener más información sobre las políticas de denegación, consulta Políticas de denegación.

Políticas para restringir los recursos a los que puede acceder un principal

Para restringir los recursos a los que puede acceder un principal, usa una política de límite de acceso de las principales. Las políticas de límite de acceso de las principales están disponibles en la API de IAM v3.

Para crear y aplicar una Política de Límite de Acceso de las Principales, crea una Política de Límite de Acceso de las Principales y, luego, crea una vinculación de políticas para conectar esa política a un conjunto de principales.

Las políticas de límite de acceso de las principales siempre son elementos secundarios de tu organización. Las vinculaciones de políticas para las políticas de límite de acceso de las principales son elementos secundarios del proyecto, la carpeta o la organización que está más cerca del conjunto principal al que se hace referencia en la vinculación de políticas.

Cada vinculación de políticas vincula una política de límite de acceso de las principales a un conjunto de principales. Una política de Límite de Acceso de las Principales se puede vincular a cualquier cantidad de conjuntos principales. Cada conjunto de principales puede tener hasta 10 políticas de límite de acceso de las principales vinculadas. Cuando se borra una política de límite de acceso de las principales, también se borran todas las vinculaciones de políticas relacionadas con esa política.

Si deseas obtener más información sobre las políticas de Límite de Acceso de las Principales, consulta Políticas de Límite de Acceso de las Principales.

Evaluación de política

Cuando una principal intenta acceder a un recurso, IAM evalúa todas las políticas de permiso, de denegación y de límite de acceso de las principales relevantes para ver si la principal puede acceder al recurso. Si alguna de estas políticas indica que la principal no debería poder acceder al recurso, IAM impedirá el acceso.

En realidad, IAM evalúa todos los tipos de políticas de forma simultánea y, luego, compila los resultados para determinar si el principal puede acceder al recurso. Sin embargo, puede ser útil pensar que esta evaluación de políticas se lleva a cabo en las siguientes etapas:

  1. IAM verifica todas las políticas de límite de acceso de las principales relevantes para ver si la principal es apta para acceder al recurso. Una Política de Límite de Acceso de las Principales es relevante si se cumplen las siguientes condiciones:

    • La política está vinculada a un conjunto de principales que incluye al principal
    • La política de límite de acceso de las principales bloquea el permiso que la principal intenta usar. Los permisos que bloquea una política de límite de acceso de las principales dependen de la versión de la política. Especificas la versión de política cuando creas la Política de Límite de Acceso de las Principales. Para obtener más información, consulta Versiones de la política de Límite de Acceso de las Principales.

    Después de verificar las políticas de límite de acceso de las principales relevantes, IAM hace una de las siguientes acciones:

    • Si las políticas de límite de acceso de las principales relevantes no incluyen el recurso al que la principal intenta acceder, IAM le impide acceder al recurso.
    • Si las políticas de límite de acceso de las principales relevantes incluyen el recurso al que la principal intenta acceder, IAM continúa con el siguiente paso.
    • Si no hay políticas de límite de acceso a la principal relevantes o si IAM no puede evaluar las políticas de límite de acceso a la principal relevantes, IAM continúa con el siguiente paso.

  2. IAM verifica todas las políticas de denegación relevantes para ver si la principal tiene el permiso denegado. Las políticas de denegación relevantes son las políticas de denegación adjuntas al recurso, así como cualquier política de denegación heredada.

    • Si alguna de estas políticas de denegación impide que la principal use un permiso requerido, IAM impide que acceda al recurso.
    • Si ninguna política de denegación impide que la principal use un permiso obligatorio, IAM continúa con el paso siguiente.

  3. IAM verifica todas las políticas de permisos relevantes para ver si la principal tiene los permisos necesarios. Las políticas de permiso relevantes son las políticas de permiso adjuntas al recurso, así como cualquier política de permiso heredada.

    • Si la principal no tiene los permisos necesarios, IAM impedirá que acceda al recurso.
    • Si la principal tiene los permisos necesarios, IAM le permitirá acceder al recurso.

En el siguiente diagrama, se muestra este flujo de evaluación de políticas:

Flujo de evaluación de la política de IAM

Flujo de evaluación de la política de IAM

¿Qué sigue?