Configura políticas de IAM

En esta página, se describe cómo configurar políticas de Identity and Access Management (IAM) que permitan a los miembros crear y administrar recursos del servicio de la AC. Para obtener más información sobre IAM, consulta la Descripción general de IAM.

Políticas generales de IAM

En CA Service, otorgas roles de IAM a los usuarios o cuentas de servicio para crear y administrar recursos de CA Service. Tú puedes agregar estas vinculaciones de roles en los siguientes niveles:

  • Nivel del grupo de AC para administrar el acceso a un grupo de AC específico y a las AC de ese grupo.
  • Nivel de proyecto o de organización para otorgar acceso a todos los grupos de AC en ese permiso.

Los roles se heredan si se otorgan en un nivel de recursos superior. Por ejemplo, un usuario al que se le otorga el rol de Auditor (roles/privateca.auditor) a nivel del proyecto puede ver todos los recursos del proyecto. políticas de IAM que se establecen en un grupo de autoridades certificadoras (AC) y las heredan todas las AC en ese grupo de AC.

No se pueden otorgar roles de IAM en certificados ni recursos de AC.

Políticas de IAM condicionales

Si tienes un grupo de AC compartido que podría usar varios usuarios autorizados para solicitar distintos tipos de certificados, puedes definir Condiciones de IAM para aplicar el acceso basado en atributos para realizar ciertas operaciones en un grupo de AC.

Las vinculaciones de roles condicionales de IAM te permiten otorgar acceso a las principales solo si se cumplen las condiciones especificadas. Por ejemplo, si el Solicitante del certificado está vinculado al usuario alice@example.com en un grupo de AC con la condición que los SAN de DNS solicitados son un subconjunto de ['alice@example.com', 'bob@example.com'] ese usuario podrá solicitar certificados del mismo grupo de AC solo si el SAN solicitado es uno de esos dos valores permitidos. Puedes establecer condiciones en IAM vinculaciones con expresiones de Common Expression Language (CEL). Estas condiciones pueden te ayudará a restringir aún más el tipo de certificados que un usuario puede solicitar. Para para obtener más información sobre el uso de expresiones en CEL para las condiciones de IAM, consulta Dialecto de Common Expression Language (CEL) para las políticas de IAM.

Antes de comenzar

  • Habilita la API.
  • Crea una AC y un grupo de AC siguiendo las instrucciones de cualquiera de las guías de inicio rápido.
  • Lee acerca de los roles de IAM disponibles para Certificate Authority Service.

Configura vinculaciones de políticas de IAM a nivel del proyecto

En las siguientes situaciones, se describe cómo puedes otorgar a los usuarios acceso al servicio de CA. recursos a nivel de proyecto.

Administrar recursos

Un administrador del servicio de CA (roles/privateca.admin) tiene los permisos para realizar lo siguiente: administrar todos los recursos de CA Service y establecer políticas de IAM en grupos de AC y plantillas de certificados.

Para asignar el rol Administrador del servicio de CA (roles/privateca.admin) a un usuario a nivel de proyecto, sigue las siguientes instrucciones:

Console

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a Identity and Access Management

  2. Selecciona el proyecto.

  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa la dirección de correo electrónico de la principal. otro identificador.

  5. En la lista Selecciona un rol, selecciona el rol Administrador del servicio de CA.

  6. Haz clic en Guardar.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.admin

Reemplaza lo siguiente:

  • PROJECT_ID: Es el identificador único del proyecto.
  • MEMBER: Es el usuario o la cuenta de servicio a quien asignar el rol Administrador del servicio de CA.

La marca --role toma el rol de IAM que deseas asignar al miembro.

Crea recursos

Un administrador de operaciones del servicio de AC (roles/privateca.caManager) puede crear, actualizar y borrar grupos de AC y AC. Este rol también permite que el llamador revoque certificados emitidos por las AC en el grupo de AC.

Asignar el administrador de operaciones del servicio de CA (roles/privateca.caManager) para un usuario a nivel de proyecto, usa las siguientes instrucciones:

Console

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a Identity and Access Management

  2. Selecciona el proyecto.

  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa la dirección de correo electrónico del principal o cualquier otro identificador.

  5. En la lista Seleccionar un rol, selecciona el rol Administrador de operaciones del servicio de CA.

  6. Haz clic en Guardar.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.caManager

Reemplaza lo siguiente:

  • PROJECT_ID: Es el identificador único del proyecto.
  • MEMBER: Es el usuario o la cuenta de servicio a la que deseas agregar el rol de IAM.

La marca --role toma el rol de IAM que deseas asignar al miembro.

Para obtener más información sobre el comando gcloud projects add-iam-policy-binding, consulta gcloud projects add-iam-policy-binding.

De forma opcional, crear una AC con una clave de Cloud KMS existente también requiere que llama a ser administrador de la clave de Cloud KMS.

El administrador de Cloud KMS (roles/cloudkms.admin) tiene acceso completo a todos los recursos de Cloud KMS, excepto a las operaciones de encriptación y desencriptación. Para más información sobre los roles de IAM para Cloud KMS, consulta Cloud KMS: permisos y funciones

Para otorgar el rol de administrador de Cloud KMS (roles/cloudkms.admin) a un usuario, sigue estas instrucciones:

Console

  1. En la consola de Google Cloud, ve a la página Servicio de administración de claves de Cloud.

    Ir a Cloud Key Management Service

  2. En Llaveros de claves, haz clic en el llavero que contiene la clave de firma de la AC.

  3. Haz clic en la clave que es la clave de firma de la AC.

  4. Si el panel de información no está visible, haz clic en Mostrar panel de información. Luego, Haz clic en Permisos.

  5. Haz clic en Agregar principal.

  6. En el campo Principales nuevas, ingresa la dirección de correo electrónico de la principal. otro identificador.

  7. En la lista Seleccionar un rol, selecciona el rol de Administrador de Cloud KMS.

  8. Haz clic en Guardar.

gcloud

gcloud kms keys add-iam-policy-binding KEY \
  --keyring=KEYRING --location=LOCATION \
  --member=MEMBER \
  --role=roles/cloudkms.admin

Reemplaza lo siguiente:

  • KEY: Es el identificador único de la clave.
  • KEYRING: Es el llavero de claves que contiene la clave. Para para obtener más información sobre los llaveros de claves, consulta Llaveros de claves.
  • MEMBER: Es el usuario o la cuenta de servicio para el que agregar la vinculación de IAM.

La marca --role toma el rol de IAM que deseas asignar al miembro.

Para obtener más información sobre el comando gcloud kms keys add-iam-policy-binding, consulta gcloud kms keys add-iam-policy-binding.

Auditoría de recursos

Un auditor del Servicio de AC (roles/privateca.auditor) tiene acceso de lectura a todos los recursos del Servicio de AC. Cuando se otorga para un grupo de AC específico, otorga acceso de lectura al grupo de AC. Si el grupo de AC está en el nivel Enterprise, usuario con este rol también puede ver los certificados y las CRL emitidos por las AC en la de AC. Asigna este rol a las personas encargadas de la validación seguridad y operaciones del grupo de AC.

Para asignar el Auditor del servicio de CA (roles/privateca.auditor) para un usuario a nivel de proyecto, usa las siguientes instrucciones:

Console

  1. En la consola de Google Cloud, ve a la página IAM.

    Ir a Identity and Access Management

  2. Selecciona el proyecto.

  3. Haz clic en Grant access.

  4. En el campo Principales nuevas, ingresa la dirección de correo electrónico de la principal. otro identificador.

  5. En la lista Selecciona un rol, selecciona el rol Auditor del servicio de AC.

  6. Haz clic en Guardar.

gcloud

gcloud projects add-iam-policy-binding PROJECT_ID \
  --member=MEMBER \
  --role=roles/privateca.auditor

Reemplaza lo siguiente:

  • PROJECT_ID: Es el identificador único del proyecto.
  • MEMBER: Es el identificador único del usuario al que se pertenece. debes asignar al Auditor del servicio de CA (roles/privateca.auditor).

La marca --role toma el rol de IAM que deseas asignar al miembro.

Configura vinculaciones de políticas de IAM a nivel del recurso

En esta sección, se describe cómo configurar vinculaciones de políticas de IAM para un recurso específico en CA Service.

Administrar grupos de CA

Puedes otorgar el rol Administrador del servicio de CA (roles/privateca.admin) en el nivel de recurso para administrar un grupo de AC o una plantilla de certificado específicos.

Console

  1. En la consola de Google Cloud, ve a la página Certificate Authority Service.

    Ir a Certificate Authority Service

  2. Haz clic en la pestaña Administrador del grupo de AC y, luego, selecciona el grupo de AC para el cual desea otorgar permisos.

  3. Si el panel de información no está visible, haz clic en Mostrar panel de información. Luego, Haz clic en Permisos.

  4. Haz clic en Agregar principal.

  5. En el campo Principales nuevas, ingresa la dirección de correo electrónico de la principal o alguna otra identificador.

  6. En la lista Selecciona un rol, selecciona el rol Administrador del servicio de CA.

  7. Haz clic en Guardar. A la principal se le otorga el rol seleccionado en el recurso del grupo de AC.

gcloud

Para establecer la política de IAM, ejecuta el siguiente comando:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.admin

Reemplaza lo siguiente:

  • POOL_ID: Es el identificador único del grupo de AC para en la que quieres establecer la política de IAM.
  • LOCATION: Es la ubicación del grupo de AC. Para el lista completa de ubicaciones, consulta Ubicaciones.
  • MEMBER: Es el usuario o la cuenta de servicio a la que asignar el rol de IAM.

La marca --role toma el rol de IAM que deseas asignar al miembro.

Para obtener más información sobre el comando gcloud privateca pools add-iam-policy-binding, consulta gcloud privateca pool add-iam-policy-binding.

Sigue los mismos pasos para otorgar el rol Administrador del servicio de CA en un plantilla de certificado.

También puedes otorgar al administrador de operaciones del servicio de CA (roles/privateca.caManager) en un grupo de AC específico. Esta función permite al llamador revocar los certificados emitidos por las AC en ese grupo de AC.

Console

  1. En la consola de Google Cloud, ve a la página Certificate Authority Service.

    Ir a Certificate Authority Service

  2. Haz clic en la pestaña Administrador del grupo de AC y, luego, selecciona el grupo de AC para el cual desea otorgar permisos.

  3. Si el panel de información no está visible, haz clic en Mostrar panel de información. Luego, Haz clic en Permisos.

  4. Haz clic en Agregar principal.

  5. En el campo Principales nuevas, ingresa la dirección de correo electrónico de la principal o alguna otra identificador.

  6. En la lista Selecciona un rol, selecciona el rol Administrador de operaciones del servicio de AC.

  7. Haz clic en Guardar. A la principal se le otorga el rol seleccionado en el recurso del grupo de AC. al que pertenece la AC.

gcloud

Para otorgar el rol de un grupo de AC específico, ejecuta el siguiente comando de gcloud:

gcloud privateca pools add-iam-policy-binding POOL_ID \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.caManager

Reemplaza lo siguiente:

  • POOL_ID: Es el identificador único del grupo de AC.
  • LOCATION: Es la ubicación del grupo de AC. Para el lista completa de ubicaciones, consulta Ubicaciones.
  • MEMBER: Es el identificador único del usuario al que se pertenece. Deseas asignar el rol Administrador de operaciones del servicio de CA (roles/privateca.caManager).

La marca --role toma el rol de IAM que deseas asignar al miembro.

Para obtener más información sobre el comando gcloud privateca pools add-iam-policy-binding, consulta gcloud privateca pool add-iam-policy-binding.

Crea certificados

Otorga el rol de Administrador de certificados del servicio de AC (roles/privateca.certificateManager) a los usuarios para permitirles enviar solicitudes de emisión de certificados a un grupo de AC. Este rol también otorga acceso de lectura a los recursos de CA Service. Para permitir solo la creación de certificados sin acceso de lectura, otorgar al solicitante de certificados del Servicio de CA (roles/privateca.certificateRequester) en el área de la seguridad en la nube. Si deseas obtener más información sobre los roles de IAM para CA Service, consulta Control de acceso con la IAM.

Si quieres otorgar al usuario acceso para crear certificados para una AC específica, sigue las instrucciones que se indican a continuación.

Console

  1. En la consola de Google Cloud, ve a la página Certificate Authority Service.

    Ir a Certificate Authority Service

  2. Haz clic en Administrador de grupos de AC y, luego, selecciona el grupo de AC para el que deseas otorgar permisos.

  3. Si el panel de información no está visible, haz clic en Mostrar panel de información. Luego, Haz clic en Permisos.

  4. Haz clic en Agregar principal.

  5. En el campo Principales nuevas, ingresa la dirección de correo electrónico de la principal o alguna otra identificador.

  6. En la lista Selecciona un rol, selecciona el rol Administrador de certificados del servicio de AC.

  7. Haz clic en Guardar. A la principal se le otorga el rol seleccionado en el recurso del grupo de AC. al que pertenece la AC.

gcloud

gcloud privateca pools add-iam-policy-binding 'POOL_ID' \
  --location LOCATION \
  --member MEMBER \
  --role roles/privateca.certificateManager

Reemplaza lo siguiente:

  • POOL_ID: Es el identificador único del grupo de AC.
  • LOCATION: Es la ubicación del grupo de AC. Para el lista completa de ubicaciones, consulta Ubicaciones.
  • MEMBER: Es el identificador único del usuario al que se pertenece. quieres asignar el Administrador de certificados del Servicio de CA (roles/privateca.certificateManager).

La marca --role toma el rol de IAM que deseas asignar al miembro.

Agrega vinculaciones de políticas de IAM a una plantilla de certificado

Para agregar una política de IAM en una plantilla de certificado en particular, sigue estas instrucciones:

Console

  1. En la consola de Google Cloud, ve a la página Certificate Authority Service.

    Ir a Certificate Authority Service

  2. Haz clic en la pestaña Administrador de plantillas y, luego, selecciona la plantilla del certificado. para los que deseas otorgar permisos.

  3. Si el panel de información no está visible, haz clic en Mostrar panel de información. Luego, Haz clic en Permisos.

  4. Haz clic en Agregar principal.

  5. En el campo Principales nuevas, ingresa la dirección de correo electrónico de la principal o alguna otra identificador.

  6. Selecciona un rol para otorgar de la lista desplegable Selecciona un rol.

  7. Haz clic en Guardar.

gcloud

gcloud privateca templates add-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Reemplaza lo siguiente:

  • LOCATION: Es la ubicación de la plantilla del certificado. Para obtener la lista completa de ubicaciones, consulta Ubicaciones.
  • MEMBER: Es el usuario o la cuenta de servicio para el que agregar la vinculación de política de IAM.
  • ROLE: Es la función que deseas otorgar al miembro.

Para obtener más información sobre el comando gcloud privateca templates add-iam-policy-binding, consulta gcloud privateca templates add-iam-policy-binding.

Para obtener más información sobre cómo modificar el rol de IAM de un usuario, consulta Otorga acceso.

Cómo quitar vinculaciones de políticas de IAM

Puedes quitar una vinculación de política de IAM existente con el comando remove-iam-policy-binding de Google Cloud CLI.

Para quitar una política de IAM en un grupo de AC en particular, usa el siguiente comando de gcloud:

gcloud

gcloud privateca pools remove-iam-policy-binding POOL_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Reemplaza lo siguiente:

  • LOCATION: Es la ubicación del grupo de AC. Para el lista completa de ubicaciones, consulta Ubicaciones.
  • MEMBER: Es el usuario o la cuenta de servicio para el que quitar la vinculación de política de IAM.
  • ROLE: Es la función que deseas quitar para el miembro.

Para obtener más información sobre el comando gcloud privateca pools remove-iam-policy-binding, consulta gcloud privateca pool remove-iam-policy-binding.

Para quitar una política de IAM en una plantilla de certificado en particular, usa el siguiente comando de gcloud:

gcloud

gcloud privateca templates remove-iam-policy-binding TEMPLATE_ID \
  --location=LOCATION \
  --member=MEMBER \
  --role=ROLE

Reemplaza lo siguiente:

  • LOCATION: Es la ubicación de la plantilla del certificado. Para obtener la lista completa de ubicaciones, consulta Ubicaciones.
  • MEMBER: Es el usuario o la cuenta de servicio para el que quitar la vinculación de política de IAM.
  • ROLE: Es el rol que deseas quitarle al miembro.

Para obtener más información sobre el comando gcloud privateca templates remove-iam-policy-binding, consulta gcloud privateca templates remove-iam-policy-binding.

Para obtener más información sobre cómo quitar el rol de IAM de un usuario, consulta Cómo revocar el acceso.

¿Qué sigue?