En esta página se explica el acceso uniforme a nivel de segmento, que te permite controlar de manera uniforme el acceso a tus recursos de Cloud Storage. Cuando habilitas el acceso uniforme a nivel de segmento en un segmento, las listas de control de acceso (LCAs) se inhabilitan y solo los permisos de gestión de identidades y accesos (IAM) a nivel de segmento otorgan acceso a ese segmento y a los objetos que contiene. Se revoca todo el acceso concedido por las LCA de objetos y la capacidad de administrar permisos mediante las LCA de segmentos.
Información general
Cloud Storage ofrece dos sistemas para conceder permisos a los usuarios para acceder a tus segmentos y objetos: Gestión de Identidades y Accesos (IAM) y listas de control de acceso (LCA). Estos sistemas actúan en paralelo. Para que un usuario pueda acceder a un recurso de Cloud Storage, solo uno de los sistemas debe concederle permiso. IAM se usa en todo el servicio y te permite conceder varios permisos a nivel de segmento y de proyecto.Google Cloud Las LCAs solo se usan en Cloud Storage y tienen opciones de permisos limitadas, pero te permiten conceder permisos por objeto.
Para admitir un sistema de permisos uniforme, Cloud Storage tiene acceso uniforme a nivel de segmento. Si usas esta función en un segmento, se inhabilitarán las LCAs de todos los recursos de Cloud Storage del segmento. El acceso a los recursos de Cloud Storage se concederá exclusivamente a través de la gestión de identidades y accesos. El acceso uniforme a nivel de segmento no se puede inhabilitar una vez que haya estado activo en un segmento durante 90 días consecutivos.
¿Deberías usar el acceso uniforme a nivel de segmento?
Por lo general, se recomienda usar el acceso uniforme a nivel de segmento:
El acceso uniforme a nivel de segmento unifica y simplifica la forma de conceder acceso a tus recursos de Cloud Storage.
El acceso uniforme a nivel de segmento evita que las LCA expongan los datos de forma involuntaria.
El acceso uniforme a nivel de segmento debe estar habilitado para usar las siguientes funciones:
- Espacio de nombres jerárquico
- Carpetas gestionadas
- Condiciones de gestión de identidades y accesos definidas directamente en el segmento
El acceso uniforme a nivel de segmento debe estar habilitado para conceder acceso a entidades de Workforce Identity Federation o Workload Identity Federation a los recursos de Cloud Storage.
No debes usar el acceso uniforme a nivel de segmento si quieres usar el sistema de listas de control de acceso en tu segmento.
Comportamiento cuando está habilitada
Puede habilitar el acceso uniforme a nivel de segmento al crear un segmento o habilitarlo explícitamente en un segmento que ya tenga.
Una vez habilitado, un contenedor se comporta de la siguiente manera:
Las solicitudes para definir, leer o modificar las LCA de los segmentos y los objetos fallan y devuelven errores
400 Bad Request.- Esto incluye las solicitudes de la API JSON que usen los métodos
BucketAccessControls,DefaultObjectAccessControlsoObjectAccessControls.
- Esto incluye las solicitudes de la API JSON que usen los métodos
Las solicitudes de la API JSON para obtener una proyección completa de los metadatos de un segmento o un objeto incluyen una lista de ACL vacía como parte de la respuesta.
La propiedad de objetos individuales ya no existe. Se revoca el acceso concedido a partir de dicha propiedad y las solicitudes de metadatos de los objetos y los segmentos ya no contienen el campo
owner.En el momento de la creación, los contenedores reciben roles de gestión de identidades y accesos especializados. Si habilitas el acceso uniforme a nivel de segmento al crear un segmento, este obtendrá roles de IAM adicionales.
De esta forma, se mantienen los permisos que los objetos habrían heredado de la LCA de objeto predeterminada estándar de un segmento.
Si habilitas el acceso uniforme a nivel de segmento en un segmento que ya existe, debes aplicar manualmente los roles de este tipo. Si has cambiado la LCA de objeto predeterminada del segmento, es probable que quieras aplicar otro conjunto de roles de gestión de identidades y accesos.
Comportamiento si se revierte
Para permitir que se inhabilite el acceso uniforme a nivel de segmento y se vuelva a usar las LCA, Cloud Storage guarda las LCA. Si inhabilitas el acceso uniforme a nivel de segmento, ocurrirá lo siguiente:
Los objetos recuperan las LCA guardadas.
Los objetos que se añadan al segmento después de habilitar el acceso uniforme a nivel de segmento obtendrán LCAs según las LCAs de objeto predeterminadas que utilice el segmento.
Requisitos para inhabilitar el acceso uniforme a nivel de segmento
Para inhabilitar el acceso uniforme a nivel de segmento, se deben cumplir los siguientes requisitos:
La función se ha habilitado durante menos de 90 días consecutivos.
Has quitado todas las condiciones de gestión de identidades y accesos de la política de gestión de identidades y accesos del segmento.
El segmento no está sujeto a la restricción de la política de la organización Requerir acceso uniforme a nivel de segmento.
Has eliminado todas las carpetas gestionadas del contenedor.
Consideraciones al migrar un segmento
Cuando habilites el acceso uniforme a nivel de segmento en un segmento que ya tengas, debes asegurarte de que los usuarios y servicios que antes dependían de las LCA para acceder tengan sus permisos migrados a IAM. En esta sección se describen algunos pasos que debes seguir al migrar un segmento al acceso uniforme a nivel de segmento. Ten en cuenta que, como las listas de control de acceso y la gestión de identidades y accesos están sincronizadas para los permisos de los segmentos, tus consideraciones se centran específicamente en el acceso a los objetos de tu segmento y no en el acceso al segmento.
Determinar si un permiso de gestión de identidades y accesos a nivel de segmento expone los datos en exceso
Antes de asignar equivalentes de IAM a tus listas de control de acceso, ten en cuenta lo siguiente:
- Un permiso de gestión de identidades y accesos aplicado a nivel de segmento se aplica a todos los objetos del segmento, mientras que las listas de control de acceso de los objetos pueden variar de un objeto a otro.
Si quieres aplicar un acceso a algunos objetos, pero no a otros, debes agrupar los objetos en diferentes contenedores. Cada agrupación debe contener los objetos que tengan los mismos permisos.
Comprobar el uso de las LCAs de objetos
Cuando migres al acceso uniforme a nivel de segmento, debes comprobar si se accede a los objetos del segmento a través de las LCA que se les han aplicado. Para comprobarlo, Cloud Monitoring tiene una métrica que monitoriza el uso de las ACLs. Si esta métrica indica que los usuarios o los servicios dependen de las LCAs para acceder a tus objetos, debes asignar equivalentes de gestión de identidades y accesos al segmento antes de habilitar el acceso uniforme a nivel de segmento. Para consultar una guía sobre cómo comprobar el uso de las LCA en Monitorización, consulta Comprobar el uso de las LCA.
Usa esta métrica para determinar si habilitar el acceso uniforme a nivel de segmento interrumpiría tu flujo de trabajo:
| Métrica | Descripción |
|---|---|
storage.googleapis.com/authz/acl_operations_count |
Número de operaciones de LCA que se inhabilitarán una vez que se habilite el acceso uniforme a nivel de segmento, desglosado por tipo de operación de LCA y segmento. |
Una operación de ACL importante que se debe examinar es OBJECT_ACCESS_REQUIRED_OBJECT_ACL:
Si este número es cero, no se han necesitado LCA a nivel de objeto para acceder a los objetos en las últimas 6 semanas. Las políticas de gestión de identidades y accesos cubren los permisos necesarios a nivel de segmento o de proyecto.
Si este número es mayor que cero, significa que en las últimas seis semanas se han enviado solicitudes para acceder a objetos que requerían permisos de LCA de objeto. Debes asignar políticas de gestión de identidades y accesos equivalentes antes de habilitar el acceso uniforme a nivel de segmento.
Para obtener más información sobre las métricas de Monitoring, consulta el artículo Métricas, series temporales y recursos.
Comprobar la LCA de objeto predeterminada del segmento
Los segmentos que no tienen acceso uniforme a nivel de segmento tienen asociada una LCA de objeto predeterminada. Los objetos nuevos que se añadan a estos segmentos tendrán aplicada esta LCA de objeto predeterminada, a menos que se proporcione una LCA explícitamente en el momento en que se añada el objeto al segmento.
Por ejemplo, los contenedores suelen usar la LCA predefinida projectPrivate como LCA de objeto predeterminada. projectPrivate concede al objeto READER permiso a los lectores del proyecto asociados al segmento y al objeto OWNER permiso a los editores y propietarios del proyecto asociados al segmento.
Antes de habilitar el acceso uniforme a nivel de segmento, comprueba la LCA de objeto predeterminada que tiene tu segmento. Decide si quieres conceder los permisos asociados a la LCA de objeto predeterminada después de habilitar el acceso uniforme a nivel de segmento. Si es así, asigna los equivalentes de gestión de identidades y accesos al segmento.
Asignar equivalentes de gestión de identidades y accesos a las LCAs de objetos
Las LCA de objeto pueden conceder acceso que IAM no concede actualmente. Para asegurarte de que los usuarios no pierdan el acceso a los objetos al habilitar el acceso uniforme a nivel de segmento, consulta la siguiente tabla y asigna los roles de gestión de identidades y accesos adecuados a los usuarios afectados.
| Permiso de LCA de objeto | Rol de gestión de identidades y accesos equivalente |
|---|---|
READER |
Lector de objetos heredados de Storage (roles/storage.legacyObjectReader) |
OWNER |
Propietario de objetos heredados de Storage (roles/storage.legacyObjectOwner) |
Consideraciones al usar condiciones de IAM
Para evitar conflictos entre las políticas de gestión de identidades y accesos de un segmento y las listas de control de acceso de los objetos, las condiciones de gestión de identidades y accesos solo se pueden usar en segmentos que tengan habilitado el acceso uniforme a nivel de segmento. Esto significa que:
Para definir las condiciones de gestión de identidades y accesos en un segmento, primero debes habilitar el acceso uniforme a nivel de segmento en ese segmento.
Para inhabilitar el acceso uniforme a nivel de segmento en un segmento, primero debes quitar todas las condiciones de gestión de identidades y accesos de la política de ese segmento. Para obtener información sobre cómo ver y quitar condiciones de la política de un segmento, consulta Usar condiciones de gestión de identidades y accesos en un segmento.
Siguientes pasos
- Consulta cómo usar el acceso uniforme a nivel de segmento.
- Consulta información sobre la restricción de aplicar el acceso uniforme a nivel de segmento, que puedes definir en tu Google Cloud organización, carpeta o proyecto.
- Define permisos de gestión de identidades y accesos en segmentos y proyectos.