Restringe identidades por dominio

El uso compartido restringido del dominio te permite limitar el uso compartido de recursos según un dominio o un recurso de la organización. Cuando el uso compartido restringido del dominio está activo, solo se pueden otorgar roles de IAM en tu organización Google Cloud a las principales que pertenecen a organizaciones o dominios permitidos.

Existen tres tipos de políticas de la organización que puedes usar para restringir identidades por dominio:

• La restricción administrada iam.managed.allowedPolicyMembers
• Políticas de la organización personalizadas que hacen referencia al recurso iam.googleapis.com/AllowPolicy
• La restricción administrada heredada iam.allowedPolicyMemberDomains

Antes de comenzar

Elige el método que usarás para implementar el uso compartido restringido del dominio. Para obtener más información sobre las ventajas y desventajas de cada método, consulta Métodos para restringir el uso compartido por dominio.

Roles obligatorios

Para obtener los permisos que necesitas para aplicar el uso compartido restringido por dominio, pídele a tu administrador que te otorgue el rol de IAM de administrador de políticas de la organización (roles/orgpolicy.policyAdmin) en la organización. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

Usa la restricción iam.managed.allowedPolicyMembers para implementar el uso compartido restringido al dominio

POST https://orgpolicy.googleapis.com/v2/{parent=organizations/ORGANIZATION_ID}/policies

{
  "name": "organizations/ORG_ID/policies/CONSTRAINT_NAME",
  "spec": {
    "rules": [
      {
        "enforce": true,
        "parameters": {
          "allowedMemberSubjects": [
            "ALLOWED_MEMBER_1",
            "ALLOWED_MEMBER_2"
          ],
          "allowedPrincipalSets": [
            "ALLOWED_PRINCIPAL_SET_1",
            "ALLOWED_PRINCIPAL_SET_2"
          ]
        }
      }
    ]
  }
}

Usa políticas de la organización personalizadas para implementar el uso compartido restringido al dominio

1. Crea una restricción personalizada que limite los principales a los que se les pueden otorgar roles en tu organización:

   1. Usa la memberInPrincipalSet función de CEL con el principal de tu organización establecido para restringir las concesiones de roles a los miembros de tu organización. Para obtener información sobre cómo encontrar el ID de tu organización, consulta Cómo recuperar el ID de un recurso de organización.

      Por ejemplo, la siguiente restricción limita el otorgamiento de roles a los miembros de tu organización:

      name: organizations/ORG_ID/customConstraints/custom.allowInternalIdentitiesOnly
      methodTypes:
        - CREATE
        - UPDATE
      condition:
        "resource.bindings.all(
          binding,
          binding.members.all(member,
            MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
          )
        )"
      actionType: ALLOW
      displayName: Only allow organization members to be granted roles
      

   2. De manera opcional, puedes definir mejor la restricción agregando funciones CEL adicionales, unidas con operadores lógicos (&&, || o !). Puedes agregar cualquiera de las siguientes funciones:

      • memberInPrincipalSet
      • memberTypeMatches
      • memberSubjectMatches

      Por ejemplo, la siguiente restricción limita el otorgamiento de roles a los miembros de tu organización y a admin@example.com:

      name: organizations/ORG_ID/customConstraints/custom.allowInternalIdentitiesOnly
      methodTypes:
        - CREATE
        - UPDATE
      condition:
        "resource.bindings.all(
          binding,
          binding.members.all(member,
            (
              MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
              ||
              MemberSubjectMatches(member, ['user:admin@example.com'])
            )
          )
        )"
      actionType: ALLOW
      displayName: Only allow organization members and service agents to be granted roles
      

2. Configura la restricción personalizada:

   Después de crear el archivo YAML para una nueva restricción personalizada, debes configurarla para que esté disponible para las políticas de la organización de tu organización. Para configurar una restricción personalizada, usa el comando gcloud org-policies set-custom-constraint:

   gcloud org-policies set-custom-constraint CONSTRAINT_PATH

   Reemplaza CONSTRAINT_PATH por la ruta de acceso completa al archivo de restricción personalizado. Por ejemplo, /home/user/customconstraint.yaml. Una vez completadas, tus restricciones personalizadas estarán disponibles como políticas de la organización en tu lista de Google Cloud políticas de la organización. Para verificar que la restricción personalizada exista, usa el comando gcloud org-policies list-custom-constraints:

   gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID

   Reemplaza ORGANIZATION_ID por el ID del recurso de tu organización. Para obtener más información, consulta Visualiza las políticas de la organización.

3. Aplica la política de la organización personalizada:

   Puedes aplicar una restricción si creas una política de la organización que haga referencia a ella y, luego, aplicas esa política a un recurso Google Cloud .

   Console

   1. En la consola de Google Cloud , ve a la página Políticas de la organización.

      Ir a Políticas de la organización

   2. En el selector de proyectos, selecciona el proyecto para el que deseas configurar la política de la organización.
   3. En la lista de la página Políticas de la organización, selecciona tu restricción para ver la página Detalles de la política de esa restricción.
   4. Si deseas configurar las políticas de la organización para este recurso, haz clic en Administrar política.
   5. En la página Editar política, selecciona Anular la política del elemento superior.
   6. Haz clic en Agregar una regla.
   7. En la sección Aplicación, selecciona si la aplicación de esta política de la organización está activada o desactivada.
   8. Opcional: haz clic en Agregar condición para que la política de la organización sea condicional en una etiqueta. Ten en cuenta que si agregas una regla condicional a una política de la organización, debes agregar al menos una regla sin condición o la política no se puede guardar. Para obtener más información, consulta Configura una política de la organización con etiquetas.
   9. Haz clic en Probar cambios para simular el efecto de la política de la organización. La simulación de políticas no está disponible para las restricciones administradas heredadas. Para obtener más información, consulta Prueba los cambios en las políticas de la organización con Policy Simulator.
   10. Para finalizar y aplicar la política de la organización, haz clic en Establecer política. La política tarda hasta 15 minutos en aplicarse.

   gcloud

   Para crear una política de la organización con reglas booleanas, crea un archivo YAML de política que haga referencia a la restricción:

         name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
         spec:
           rules:
           - enforce: true
       

   Reemplaza lo siguiente:

   • PROJECT_ID: el proyecto en el que deseas aplicar tu restricción.
   • CONSTRAINT_NAME: Es el nombre de la restricción que deseas aplicar. Por ejemplo:compute.disableAllIpv6

   Para aplicar la política de la organización que contiene la restricción, ejecuta el siguiente comando:

       gcloud org-policies set-policy POLICY_PATH
       

   Reemplaza POLICY_PATH por la ruta de acceso completa al archivo YAML de la política de la organización. La política tarda hasta 15 minutos en aplicarse.

Usa la restricción iam.allowedPolicyMemberDomains para implementar el uso compartido restringido al dominio

La restricción de dominio es una restricción heredada administrada con la lista constraint_type. Los IDs de cliente de Google Workspace y los IDs de recursos de la organización Google Cloud se pueden agregar y quitar de la lista allowed_values de una restricción de dominio. La restricción de dominio no admite el rechazo de valores, y no se puede guardar una política de la organización con IDs en la lista denied_values.

La política de la organización permitirá todos los dominios asociados con una cuenta de Google Workspace o un recurso de organización que se enumeren en allowed_values. La política de la organización denegará todos los demás dominios.

Puedes hacer que una política de la organización que aplique la restricción de dominio sea condicional para cualquier recurso incluido en la lista de recursos compatibles. Por ejemplo, buckets de Cloud Storage, conjuntos de datos de BigQuery o VMs de Compute Engine.

gcloud org-policies set-policy POLICY_PATH

name: organizations/ORGANIZATION_ID/policies/iam.allowedPolicyMemberDomains
spec:
  rules:
  - condition: # This condition applies to the values block.
      expression: "resource.matchTag('ORGANIZATION_ID/environment', 'dev')"
    values:
      allowedValues:
      - PRINCIPAL_SET
  - values:
      allowedValues:
      - PRINCIPAL_SET

Solo las identidades que pertenezcan al ID del recurso de la organización o al dominio de Google Workspace de la lista de allowed_values se permitirán en las políticas de permiso una vez que se haya aplicado esta política de la organización. Los usuarios y grupos humanos de Google Workspace deben ser recursos secundarios de ese recurso de organización o parte de ese dominio de Google Workspace, y las cuentas de servicio de IAM deben ser recursos secundarios de un recurso de organización asociado con el dominio de Google Workspace determinado.

Por ejemplo, si creaste una política de la organización solo con el ID de cliente de Google Workspace de tu empresa, solo los principales de ese dominio podrían agregarse a la política de permiso a partir de ese momento.

Ejemplo de mensaje de error

Cuando se viola la restricción administrada heredada iam.allowedPolicyMemberDomains debido a que se intenta agregar un principal que no está incluido en la lista allowed_values, la operación fallará y luego se mostrará un mensaje de error.

ERROR: (gcloud.projects.set-iam-policy) FAILED_PRECONDITION:
One or more users named in the policy do not belong to a permitted customer.

Cómo recuperar el ID de un recurso de organización

Puedes obtener el ID del recurso de tu organización con la consola de Google Cloud , gcloud CLI o la API de Cloud Resource Manager.

gcloud organizations list

GET https://cloudresourcemanager.googleapis.com/v3/organizations:search{query=domain:altostrat.com}

Después de obtener el ID del recurso de tu organización, debes usar el identificador correcto para el conjunto de principales que le pertenecen. Por ejemplo:

principalSet://iam.googleapis.com/organizations/01234567890123

Para obtener más información sobre los identificadores de principal de IAM, consulta Identificadores de principal.

Recupera un ID de cliente de Google Workspace

El ID de cliente de Google Workspace que usa la restricción de dominio se puede obtener de las dos siguientes maneras:

gcloud organizations list

Configura excepciones para el uso compartido restringido al dominio

Algunos Google Cloud servicios usan cuentas de servicio, agentes de servicio y otras cuentas para realizar acciones en tu nombre. El uso compartido restringido por dominio puede impedir que a estas cuentas se les otorguen automáticamente los roles de IAM que necesitan, lo que puede provocar que fallen ciertas acciones.

En la siguiente tabla, se enumeran las acciones en Google Cloud que podrían verse afectadas por el uso compartido restringido del dominio. También se enumeran las cuentas a las que se deben otorgar roles automáticamente para que estas acciones se realicen correctamente.

Si usas políticas de la organización personalizadas o la restricción administrada iam.managed.allowedPolicyMembers para implementar el uso compartido restringido al dominio, considera agregar estas cuentas como excepciones a tu restricción de uso compartido restringido al dominio. Para agregar una cuenta como excepción, agrega el identificador principal de la cuenta a la lista de miembros permitidos.

Si usas la restricción administrada heredada iam.allowedPolicyMemberDomains para implementar el uso compartido restringido al dominio, es posible que debas forzar el acceso a la cuenta para que estas cuentas realicen las acciones enumeradas.

Servicios públicos de Cloud Run

Cloud Run te permite hacer que los servicios sean públicos. Sin embargo, si implementas el uso compartido restringido del dominio, los usuarios ajenos a tu organización no podrán acceder a los servicios públicos de Cloud Run.

Para permitir que los usuarios accedan a los servicios públicos de Cloud Run, debes inhabilitar la verificación de IAM de Cloud Run Invoker para los servicios de Cloud Run. Para obtener más información, consulta Inhabilita el invocador de Cloud Run para servicios.

Compartir otros datos de forma pública

Si usas políticas de la organización personalizadas para implementar el uso compartido restringido al dominio, puedes agregar una excepción a tu política de la organización para permitir el uso compartido de datos públicos.

Compartir datos de forma pública involucra a los principales especiales allUsers y allAuthenticatedUsers. Si necesitas compartir datos de forma pública mientras usas el uso compartido restringido del dominio, debes agregar una excepción para estos principales. Solo es posible agregar excepciones si usas políticas de la organización personalizadas para implementar el uso compartido restringido al dominio.

Para agregar una excepción para allUsers y allAuthenticatedUsers, usa la función memberSubjectMatches de CEL en la expresión de condición de tu restricción.

Por ejemplo, la siguiente expresión de condición restringe el otorgamiento de roles a los miembros de tu organización, allUsers y allAuthenticatedUsers:

name: organizations/ORG_ID/customConstraints/custom.allowInternalAndSpecialIdentitiesOnly
methodTypes:
  - CREATE
  - UPDATE
condition:
  "resource.bindings.all(
    binding,
    binding.members.all(member,
      (
        MemberInPrincipalSet(member, ['//cloudresourcemanager.googleapis.com/organizations/ORG_ID'])
        ||
        MemberSubjectMatches(member, ['allUsers', 'allAuthenticatedUsers'])
      )
    )
  )"
actionType: ALLOW
displayName: Only allow organization members, allusers, and allAuthenticatedUsers to be granted roles

Fuerza el acceso a la cuenta

Si necesitas forzar el acceso a la cuenta de un proyecto que infringe las restricciones del dominio, haz lo siguiente:

1. Quita la política de la organización que contiene la restricción de dominio.

2. Otórgale el acceso a la cuenta al proyecto.

3. Vuelve a implementar la política de la organización con la restricción de dominio.

Como alternativa, puedes otorgar acceso a un Grupo de Google que contenga las cuentas de servicio relevantes de la siguiente manera:

1. Crea un Grupo de Google dentro del dominio admitido.

2. Usa el panel de administrador de Google Workspace para desactivar la restricción del dominio para ese grupo.

3. Agrega la cuenta de servicio al grupo.

4. Otorga acceso al grupo de Google en la política de IAM.