Google Cloud Platform usa Google Cloud Identity and Access Management, también llamado IAM o IM para controlar quien hace qué y utiliza varias interfaces para conectarse.
Condiciones de IAM
Con las Condiciones de IAM, puedes optar por otorgar acceso a los principales solo si se cumplen las condiciones especificadas. Por ejemplo, puedes otorgar acceso temporal a los usuarios para que resuelvan un problema de producción, o puedes otorgar acceso solo a los empleados que realicen solicitudes desde tu oficina corporativa.
Roles
Son una colección de permisos asignadas a usuarios, grupos, y cuentas de servicio.
Tipos de roles
Roles primitivos: Legacy GCP. Tiene permisos de Editor, lector y administrador. Se recomienda tener solo uno o dos usuario con este rol por un tema de seguridad.
Roles predefinidos: Es lo que recomienda Google. Esta basado en funciones.
Roles personalizados: Son roles donde se tiene que elegir uno por uno. Se pueden combinar roles predefinidos.
Herramientas de Policy Intelligence
Las herramientas de Policy Intelligence te ayudan a comprender y administrar las políticas para mejorar de forma proactiva la configuración de seguridad.
En las siguientes secciones, se explica qué puedes hacer con las herramientas de Policy Intelligence.
Los proyectos son la forma principal de organizar los recursos de GCP. Aquí se debe de aplicar el principio de mínimo privilegio.
En la seguridad informática, se utiliza el principio del mínimo privilegio. Esto indica que en un usuario en particular de un entorno computacional, debe ser capaz de acceder solo a la información y recursos que son necesario para su legítimo propósito. — Wikipedia.
Hay cuatro maneras de interactuar con la capa de administración de GCP. A través de la consola basada en la web, con el SDK, Cloud Shell y en una aplicación móvil.
Cada proyecto se crea con un ID, un nombre del proyecto y un número de proyecto. Estos campos se eligen por uno mismo. El ID y el número es inmutable, solo se puede editar el nombre de proyecto.
Para la organización de proyectos en GCP, también se pueden crear en carpetas. Y estas pueden tener carpetas o proyectos bajo un nodo de organización. Esto ayuda a colocar la política no solo en los proyectos, si no, a un nivel superior. Ya que si dos proyectos, tienen la misma regla de acceso, se puede colocar esa regla en la carpeta y no en cada proyecto, así es más fácil su mantenimiento y se evita errores de duplicado de políticas.
Google administra la capa inferior de la pila de seguridad, como la seguridad física y te brinda herramientas(IAM) para administrar las capas superiores.
*Se puede definir una política de IAM desde una cuenta de Google, un dominio de G Suite o una cuenta de servicio.
Una política de IAM tiene dos partes de identificación:
Acciones permitidas: Esto se define desde una función de IAM. Existen tres tipos de funciones: Propietario, Editor y Lector. GCP también ofrece funciones para determinados roles y más detalladas.
Recursos permitidos.
Top comments (0)