Esta página se ha traducido con Cloud Translation API.

Uso compartido restringido al dominio

El uso compartido restringido al dominio te permite limitar el uso compartido de recursos en función de un dominio o un recurso de la organización. Cuando está activo el uso compartido restringido por dominio, solo se pueden conceder roles de gestión de identidades y accesos en tu organización a las entidades que pertenezcan a dominios u organizaciones permitidos. Google Cloud

Métodos para restringir el uso compartido por dominio

Hay varias formas de usar el servicio de política de organización para limitar el uso compartido de recursos en función del dominio o del recurso de la organización:

La restricción gestionada iam.managed.allowedPolicyMembers: puedes aplicar esta restricción gestionada para permitir que los roles se asignen solo a los principales y conjuntos de principales que incluyas en la restricción.

Con esta restricción gestionada, se enumeran las principales y los conjuntos de principales a los que se quiere permitir que se les asignen roles. Para permitir que se concedan roles a todos los principales de tu organización, incluye el conjunto de principales de la organización en la restricción.

Para saber cómo definir esta restricción, consulta Usar la restricción iam.managed.allowedPolicyMembers para implementar el uso compartido restringido por dominio.
Una política de organización personalizada que haga referencia al recurso iam.googleapis.com/AllowPolicy: puedes usar una política de organización personalizada para permitir que los roles se asignen solo a un conjunto específico de principales.

En la mayoría de los casos, debe usar la restricción iam.managed.allowedPolicyMembers gestionada en lugar de una política de organización personalizada. Sin embargo, las siguientes opciones de configuración solo están disponibles si usas políticas de organización personalizadas:
- Configurar las entidades permitidas en función del tipo de miembro
- Impedir que se concedan roles a determinadas principales
- Permitir que se asignen roles a principales especiales, como allUsers y allAuthenticatedUsers
Para configurar el uso compartido restringido al dominio con políticas de organización personalizadas, utiliza las siguientes funciones de CEL para definir a quién se le puede asignar un rol en tu organización:
Para permitir que se asignen roles a todas las entidades de tu organización, especifica el conjunto de entidades de tu organización en la función memberInPrincipalSet e incluye el conjunto de entidades de la organización en la restricción.

Para obtener más información sobre cómo crear políticas de organización personalizadas con estas funciones de CEL, consulta Usar políticas de organización personalizadas para implementar el uso compartido restringido por dominio.
La restricción gestionada antigua iam.allowedPolicyMemberDomains: puedes aplicar esta restricción gestionada antigua para permitir que solo se asignen roles a las entidades de tu organización. Puedes limitar el acceso en función del ID de recurso de tu organización o del ID de cliente de Google Workspace. Para ver las diferencias entre estos identificadores, consulta la sección ID de recurso de organización frente a ID de cliente de Google Workspace de esta página.

Esta restricción no te permite configurar excepciones para principales específicos. Por ejemplo, supongamos que tienes que asignar un rol a un agente de servicio en una organización que aplique la restricción iam.allowedPolicyMemberDomains. Google crea y gestiona los agentes de servicio, por lo que no forman parte de tu organización, de tu cuenta de Google Workspace ni de tu dominio de Cloud Identity. Por lo tanto, para conceder un rol al agente de servicio, debes inhabilitar la restricción, conceder el rol y, a continuación, volver a habilitar la restricción.

Puedes anular la política de organización a nivel de carpeta o proyecto para cambiar los usuarios a los que se les pueden asignar roles en determinadas carpetas o proyectos. Para obtener más información, consulta Anular la política de la organización en un proyecto.

Para saber cómo definir esta restricción, consulta Usar la restricción iam.allowedPolicyMemberDomains para implementar el uso compartido restringido por dominio.

Nota: Si tu organización se creó el 3 de mayo del 2024 o después de esa fecha, la restricción predefinida iam.allowedPolicyMemberDomains se aplica de forma predeterminada y tu dominio se muestra como el único valor permitido.

Cómo funciona el uso compartido restringido al dominio

Cuando usas una política de organización para aplicar el uso compartido restringido por dominio, no se pueden conceder roles de gestión de identidades y accesos en tu organización a ninguna entidad fuera de los dominios y las personas que especifiques.

En las siguientes secciones se describen algunos detalles clave sobre cómo funcionan las restricciones de uso compartido por dominio en tu organización.

Las restricciones no son retroactivas

Las restricciones de las políticas de organización no son retroactivas. Una vez que se ha definido una restricción de dominio, la limitación se aplica a los cambios en la política de permisos que se hagan a partir de ese momento, no a los cambios anteriores.

Por ejemplo, supongamos que tiene dos organizaciones relacionadas: examplepetstore.com y altostrat.com. Has concedido un rol de gestión de identidades y accesos en altostrat.com a una identidad examplepetstore.com. Más adelante, decidiste restringir las identidades por dominio e implementaste una política de organización con la restricción de dominio en altostrat.com. En este caso, las identidades de examplepetstore.com no perderían el acceso en altostrat.com. A partir de ese momento, solo podrías asignar roles de IAM a identidades del dominio altostrat.com.

Las restricciones se aplican siempre que se define una política de gestión de identidades y accesos

Las restricciones de dominio se aplican a todas las acciones en las que se define una política de gestión de identidades y accesos. Esto incluye las acciones automatizadas. Por ejemplo, las restricciones se aplican a los cambios que realiza un agente de servicio en respuesta a otra acción. Por ejemplo, si tienes un servicio automatizado que importa conjuntos de datos de BigQuery, un agente de servicio de BigQuery hará cambios en la política de IAM del conjunto de datos recién creado. Esta acción se restringiría con la restricción de dominio y se bloquearía.

Las restricciones no incluyen automáticamente tu dominio

El dominio de tu organización no se añade automáticamente a la lista de permitidos de una política cuando configuras la restricción de dominio. Para que los principales de tu dominio puedan tener roles de IAM en tu organización, debes añadir tu dominio explícitamente. Si no añade su dominio y se elimina el rol Administrador de políticas de organización (roles/orgpolicy.policyAdmin) de todos los usuarios de su dominio, la política de organización dejará de estar accesible.

Grupos de Google y uso compartido restringido al dominio

Si se aplica la restricción de dominio en tu organización, es posible que no puedas conceder roles a los grupos de Google recién creados, aunque pertenezcan a un dominio permitido. Esto se debe a que un grupo puede tardar hasta 24 horas en propagarse por completo Google Cloud. Si no puedes asignar un rol a un grupo de Google recién creado, espera 24 horas y vuelve a intentarlo.

Además, al evaluar si un grupo pertenece a un dominio permitido, IAM solo evalúa el dominio del grupo. No evalúa los dominios de ninguno de los miembros del grupo. Por lo tanto, los administradores de proyectos pueden eludir la restricción de dominio añadiendo miembros externos a grupos de Google y, a continuación, asignando roles a esos grupos.

Para asegurarse de que los administradores de proyectos no puedan eludir la restricción de dominio, el administrador de Google Workspace debe comprobar que los propietarios de grupos no puedan permitir el acceso de miembros de fuera del dominio en el panel de administración de Google Workspace.

ID de recurso de organización y ID de cliente de Google Workspace

Si usas la restricción gestionada antigua iam.allowedPolicyMemberDomains para implementar el uso compartido restringido por dominio, puedes limitar el acceso en función del ID de recurso de tu organización o del ID de cliente de Google Workspace.

Si usas el ID de recurso de tu organización, los siguientes principales podrán tener roles asignados en tu organización:

Todos los grupos de identidades de Workforce de tu organización
Todas las cuentas de servicio y los grupos de identidades de carga de trabajo de cualquier proyecto de la organización
Todos los agentes de servicio asociados a los recursos de tu organización

Si usas tu ID de cliente de Google Workspace, se podrán asignar roles en tu organización a los siguientes principales:

Todas las identidades de todos los dominios, incluidos los subdominios, asociados a tu ID de cliente de Google Workspace
Todos los grupos de identidades de Workforce de tu organización
Todas las cuentas de servicio y los grupos de identidades de carga de trabajo de cualquier proyecto de la organización
Todos los agentes de servicio asociados a recursos de tu organización.

Si quieres implementar el uso compartido restringido por dominio en subdominios específicos, debes crear una cuenta de Google Workspace independiente para cada subdominio. Para obtener más información sobre cómo gestionar varias cuentas de Google Workspace, consulta Gestionar varias organizaciones.