En Identity and Access Management (IAM), controlas el acceso para las entidades principales. Un principal representa una o más identidades que se autenticaron en Google Cloud.
Usa principales en tus políticas
Para usar principales en tus políticas, haz lo siguiente:
Configura las identidades que Google Cloud puede reconocer. La configuración de identidades es el proceso de crear identidades que Google Cloud puede reconocer. Puedes configurar identidades para los usuarios y las cargas de trabajo.
Para obtener información sobre cómo configurar identidades, consulta lo siguiente:
- Para obtener más información sobre cómo configurar identidades para los usuarios, consulta Identidades para los usuarios.
- Para obtener más información sobre cómo configurar identidades para cargas de trabajo, consulta Identidades para cargas de trabajo.
Determina el identificador principal que usarás. El identificador de principal es la forma en que te refieres a una principal en tus políticas. Este identificador puede hacer referencia a una sola identidad o a un grupo de identidades.
El formato que usas para el identificador principal depende de lo siguiente:
- Tipo de principal
- Es el tipo de política en la que deseas incluir el principal.
Para ver el formato del identificador de principal para cada tipo de principal en cada tipo de política, consulta Identificadores de principal.
Después de conocer el formato del identificador, puedes determinar el identificador único de la principal según sus atributos, como su dirección de correo electrónico.
Incluye el identificador de la principal en tu política. Agrega tu principal a la política siguiendo el formato de esta.
Para obtener información sobre los diferentes tipos de políticas en IAM, consulta Tipos de políticas.
Compatibilidad con tipos de principales
Cada tipo de política de IAM admite un subconjunto de los tipos de principales que admite IAM. Para ver los tipos de principal compatibles con cada tipo de política, consulta Identificadores de principal.
Tipos principales
En la siguiente tabla, se describen brevemente los diferentes tipos de principales que admite IAM. Para obtener una descripción detallada y ejemplos de cómo se puede ver un tipo de principal cuando se usa en una política, haz clic en el nombre del tipo de principal en la tabla.
| Tipo de principal | Descripción | Un principal único o un conjunto de principales | Administrada por Google o federada | Compatibilidad con el tipo de política |
|---|---|---|---|---|
| Cuentas de Google | Cuentas de usuario que representan a una persona que interactúa con las APIs y los servicios de Google. | Principal única | Administrada por Google |
Los siguientes tipos de políticas admiten Cuentas de Google:
Los siguientes tipos de políticas no admiten Cuentas de Google:
|
| Cuentas de servicio | Es una cuenta que usa una carga de trabajo de máquina en lugar de una persona. | Principal única | Administrada por Google |
Los siguientes tipos de políticas admiten cuentas de servicio:
Los siguientes tipos de políticas no admiten cuentas de servicio:
|
| Grupos de Google | Es una colección con nombre de usuarios humanos o de máquinas con Cuentas de Google. |
Es el conjunto de principales que puede contener lo siguiente:
|
Administrada por Google |
Los siguientes tipos de políticas admiten grupos de Google:
Los siguientes tipos de políticas no admiten los Grupos de Google:
|
| Dominios | Una cuenta de Google Workspace o un dominio de Cloud Identity que representa un grupo virtual. El grupo puede contener tanto usuarios humanos como cuentas de servicio. |
Es un conjunto de principales que puede contener los siguientes tipos de principales:
|
Administrada por Google |
Los siguientes tipos de políticas admiten dominios:
|
allAuthenticatedUsers |
Es un identificador especial que representa a todas las cuentas de servicio y a todos los usuarios humanos de Internet que se autenticaron con una Cuenta de Google. |
Es un conjunto de principales que puede contener los siguientes tipos de principales:
|
Administrada por Google |
Los siguientes tipos de políticas admiten
Los siguientes tipos de políticas no admiten
|
allUsers |
Es un identificador especial que representa a cualquier persona que esté en Internet, ya sea autenticada o no. |
Es un conjunto de principales que puede contener los siguientes tipos de principales:
|
Ambos |
Los siguientes tipos de políticas admiten
Los siguientes tipos de políticas no admiten
|
| Una sola identidad en un grupo de identidades del personal | Un usuario humano con una identidad que administra un IdP externo y se federa con la federación de identidades de personal. | Principal única | Federado |
Los siguientes tipos de políticas admiten una sola identidad en un grupo de identidad de personal:
|
| Un conjunto de principales en un grupo de identidad de personal | Es un conjunto de usuarios humanos con identidades que administra un IdP externo y se federan con la federación de identidades de personal. | Es el conjunto de principales que contiene identidades de personal. | Federado |
Los siguientes tipos de políticas admiten un conjunto de principales en un grupo de identidades de personal:
|
| Un principal único en un grupo de identidades para cargas de trabajo | Una carga de trabajo (o usuario de máquina) con una identidad que administra un IdP externo y se federa con la federación de identidades para cargas de trabajo. | Principal única | Federado |
Los siguientes tipos de políticas admiten un solo principal en un grupo de identidades para cargas de trabajo:
|
| Un conjunto de principales en un grupo de identidades para cargas de trabajo | Es un conjunto de cargas de trabajo (o usuarios de máquinas) con identidades que administra un IdP externo y se federan con la federación de identidades para cargas de trabajo. | Es el conjunto de principales que contiene identidades para cargas de trabajo. | Federado |
Los siguientes tipos de políticas admiten un conjunto de principales en un grupo de identidades para cargas de trabajo:
|
| Un conjunto de Pods de Google Kubernetes Engine | Una carga de trabajo (o usuario de máquina) que se ejecuta en GKE y se federa a través de él. | Es un conjunto de principales que puede contener una o más identidades federadas para cargas de trabajo. | Federado |
Los siguientes tipos de políticas admiten Pods de GKE:
Los siguientes tipos de políticas no admiten pods de GKE:
|
| Conjuntos principales de Resource Manager | Es un conjunto de usuarios humanos o de máquinas asociados con recursos de Google Cloud , como proyectos, carpetas y organizaciones. |
Es un conjunto de principales que puede contener los siguientes tipos de principales:
|
Ambos |
Los siguientes tipos de políticas admiten conjuntos de principales de Resource Manager:
Los siguientes tipos de políticas no admiten conjuntos de principales de Resource Manager:
|
En las siguientes secciones, se describen estos tipos principales con más detalle.
Cuentas de Google
Una Cuenta de Google representa a un desarrollador, un administrador o cualquier otra persona que interactúe con Google Cloud a través de una cuenta que haya creado con Google. Cualquier dirección de correo electrónico asociada a una Cuenta de Google, también llamada cuenta de usuario administrada, se puede usar como principal. Esto incluye las direcciones de correo electrónico de gmail.com y las direcciones de correo electrónico con otros dominios.
En los siguientes ejemplos, se muestra cómo puedes identificar una Cuenta de Google en diferentes tipos de políticas:
- Políticas de permiso:
user:[email protected] - Políticas de denegación:
principal://goog/subject/[email protected]
Para obtener más información sobre los formatos de identificadores de principal, consulta Identificadores de principal.
En tus políticas de permiso y denegación, los alias de correo electrónico asociados a una Cuenta de Google o a una cuenta de usuario administrada se reemplazan automáticamente por la dirección de correo electrónico principal. Esto significa que la política muestra la dirección de correo electrónico principal del usuario cuando le otorgas acceso a un alias de correo electrónico.
Para obtener más información sobre cómo configurar Cuentas de Google, consulta Cuentas de Cloud Identity o Google Workspace.
Cuentas de servicio
Una cuenta de servicio es una cuenta para una aplicación o una carga de trabajo de procesamiento en lugar de un usuario final individual. Cuando ejecutas código alojado enGoogle Cloud, especificas una cuenta de servicio para usar como identidad de tu aplicación. Puedes crear tantas cuentas de servicio como sea necesario para representar los diferentes componentes lógicos de tu aplicación.
En los siguientes ejemplos, se muestra cómo identificar una cuenta de servicio en diferentes tipos de políticas:
- Políticas de permiso:
serviceAccount:[email protected] - Políticas de denegación:
principal://iam.googleapis.com/projects/-/serviceAccounts/