Se usó la API de Cloud Translation para traducir esta página.

Uso compartido restringido al dominio

El uso compartido restringido del dominio te permite limitar el uso compartido de recursos según un dominio o un recurso de la organización. Cuando el uso compartido restringido del dominio está activo, solo se pueden otorgar roles de IAM en tu organización Google Cloud a las principales que pertenecen a organizaciones o dominios permitidos.

Métodos para restringir el uso compartido por dominio

Hay varias formas de usar el servicio de políticas de la organización para limitar el uso compartido de recursos según el dominio o el recurso de la organización:

La restricción administrada iam.managed.allowedPolicyMembers: Puedes aplicar esta restricción administrada para permitir que los roles se otorguen solo a los principales y conjuntos de principales que enumeres en la restricción.

Con esta restricción administrada, enumeras los conjuntos de principales y principales a los que deseas permitir que se les otorguen roles. Para permitir que se otorguen roles a todas las principales de tu organización, incluye el conjunto de principales de la organización en la restricción.

Para obtener información sobre cómo establecer esta restricción, consulta Usa la restricción iam.managed.allowedPolicyMembers para implementar el uso compartido restringido por dominio.
Una política de la organización personalizada que hace referencia al recurso iam.googleapis.com/AllowPolicy: Puedes usar una política de la organización personalizada para permitir que los roles se otorguen solo a un conjunto específico de principales.

En la mayoría de los casos, debes usar la restricción administrada iam.managed.allowedPolicyMembers en lugar de una política de la organización personalizada. Sin embargo, las siguientes opciones de configuración solo están disponibles si usas políticas de la organización personalizadas:
- Cómo configurar principales permitidos según el tipo de miembro
- Cómo evitar que se otorguen roles a principales específicos
- Permitir que se otorguen roles a principales especiales, como allUsers y allAuthenticatedUsers
Para configurar el uso compartido restringido por dominio con políticas de la organización personalizadas, usa las siguientes funciones de CEL para definir a quién se le puede otorgar un rol en tu organización:
Para permitir que se otorguen roles a todas las principales de tu organización, especifica el conjunto de principales de tu organización en la función memberInPrincipalSet o incluye el conjunto de principales de la organización en la restricción.

Para obtener más información sobre cómo crear políticas de la organización personalizadas con estas funciones de CEL, consulta Usa políticas de la organización personalizadas para implementar el uso compartido restringido por dominio.
La restricción heredada administrada iam.allowedPolicyMemberDomains: Puedes aplicar esta restricción heredada administrada para permitir que solo se otorguen roles a las principales de tu organización. Puedes limitar el acceso según el ID de tu recurso de organización o el ID de cliente de Google Workspace. Para ver las diferencias entre estos identificadores, consulta ID del recurso de organización en comparación con el ID de cliente de Google Workspace en esta página.

Esta restricción no te permite configurar excepciones para principales específicos. Por ejemplo, imagina que necesitas otorgar un rol a un agente de servicio en una organización que aplica la restricción iam.allowedPolicyMemberDomains. Google crea y administra los agentes de servicio, por lo que no forman parte de tu organización, tu cuenta de Google Workspace ni tu dominio de Cloud Identity. Por lo tanto, para otorgar un rol al agente de servicio, debes inhabilitar la restricción, otorgar el rol y, luego, volver a habilitar la restricción.

Puedes anular la política de la organización a nivel de la carpeta o del proyecto para cambiar a qué usuarios se les permite otorgar roles en qué carpetas o proyectos. Para obtener más información, consulta Cómo anular la política de la organización de un proyecto.

Para obtener información sobre cómo establecer esta restricción, consulta Usa la restricción iam.allowedPolicyMemberDomains para implementar el uso compartido restringido por dominio.

Nota: Si tu organización se creó a partir del 3 de mayo de 2024, la restricción predefinida iam.allowedPolicyMemberDomains se aplica de forma predeterminada, y tu dominio se indica como el único valor permitido.

Cómo funciona el uso compartido restringido al dominio

Cuando usas una política de la organización para aplicar el uso compartido restringido al dominio, no se pueden otorgar roles de IAM en tu organización a los principales que no pertenezcan a los dominios y a las personas que especifiques.

En las siguientes secciones, se describen algunos detalles clave sobre cómo funcionan las restricciones de uso compartido restringido por dominio en tu organización.

Las restricciones no son retroactivas

Las restricciones de las políticas de la organización no son retroactivas. Una vez que se establezca una restricción de dominio, la limitación se aplicará a los cambios en la política de permisos que se realicen a partir de ese momento, y no a los cambios anteriores.

Por ejemplo, considera dos organizaciones relacionadas: examplepetstore.com y altostrat.com. Otorgaste una identidad de examplepetstore.com un rol de IAM en altostrat.com. Más adelante, decidiste restringir las identidades por dominio y, luego, implementaste una política de la organización con la restricción de dominio en altostrat.com. En este caso, las identidades existentes de examplepetstore.com no perderían el acceso en altostrat.com. A partir de ese momento, solo podrías otorgar roles de IAM a las identidades del dominio altostrat.com.

Las restricciones se aplican cada vez que se configura una política de IAM

Las restricciones de dominio se aplican a todas las acciones en las que se establece una política de IAM. Esto incluye las acciones automáticas. Por ejemplo, las restricciones se aplican a los cambios que un agente de servicio realiza en respuesta a otra acción. Por ejemplo, si tienes un servicio automatizado que importa conjuntos de datos de BigQuery, un agente de servicio de BigQuery realizará cambios en la política de IAM del conjunto de datos recién creado. Esta acción estaría restringida por la restricción de dominio y se bloquearía.

Las restricciones no incluyen automáticamente tu dominio

El dominio de tu organización no se agrega automáticamente a la lista de recursos permitidos de una política cuando configuras la restricción de dominio. Para permitir que a las principales de tu dominio se les otorguen roles de IAM en tu organización, debes agregar tu dominio de forma explícita. Si no agregas tu dominio y se quita el rol de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) de todos los usuarios de tu dominio, la política de la organización se vuelve inaccesible.

Grupos de Google y uso compartido restringido al dominio

Si la restricción de dominio se aplica en tu organización, es posible que no puedas otorgar roles a los grupos de Google recién creados, incluso si los grupos pertenecen a un dominio permitido. Esto se debe a que un grupo puede tardar hasta 24 horas en propagarse por completo en Google Cloud. Si no puedes otorgar un rol a un grupo de Google recién creado, espera 24 horas y vuelve a intentarlo.

Además, cuando evalúa si un grupo pertenece a un dominio permitido, IAM solo evalúa el dominio del grupo. No evalúa los dominios de ninguno de los miembros del grupo. Como resultado, los administradores de proyectos pueden omitir la restricción de dominio agregando miembros externos a los Grupos de Google y, luego, otorgando roles a esos Grupos de Google.

Para garantizar que los administradores de proyectos no puedan omitir la restricción de dominio, el administrador de Google Workspace debe asegurarse de que los propietarios del grupo no permitan miembros desde fuera del dominio en el panel del administrador de Google Workspace.

Comparación entre el ID del recurso de la organización y el ID de cliente de Google Workspace

Si usas la restricción administrada heredada iam.allowedPolicyMemberDomains para implementar el uso compartido restringido al dominio, puedes limitar el acceso según el ID de recurso de tu organización o el ID de cliente de Google Workspace.

Usar el ID de tu recurso de organización permite que se les otorguen roles en tu organización a los siguientes principales:

Todos los grupos de identidades del personal de tu organización
Todas las cuentas de servicio y los grupos de identidades para cargas de trabajo en cualquier proyecto de la organización
Todos los agentes de servicio asociados con los recursos de tu organización

Con tu ID de cliente de Google Workspace, se pueden otorgar roles en tu organización a los siguientes principales:

Todas las identidades de todos los dominios, incluidos los subdominios, asociadas con tu ID de cliente de Google Workspace
Todos los grupos de identidades del personal de tu organización
Todas las cuentas de servicio y los grupos de identidades para cargas de trabajo en cualquier proyecto de la organización
Son todos los agentes de servicio asociados con los recursos de tu organización.

Si deseas implementar el uso compartido restringido por dominio para subdominios específicos, debes crear una cuenta de Google Workspace independiente para cada subdominio. Para obtener más información sobre cómo administrar varias cuentas de Google Workspace, consulta Administra varias organizaciones.