Cursos Empresas Blog Live Conf Precios

Gestión de Identidades y Accesos en Google Cloud

Clase 17 de 22 • Curso de Introducción a Google Cloud Platform

Clase anteriorSiguiente clase

Resumen

¿Qué es la gestión de identidad y acceso?

La gestión de identidad y acceso (IAM, por sus siglas en inglés) es un componente esencial de la seguridad en entornos de computación en la nube. Nos permite definir, asignar y gestionar qué usuarios o aplicaciones (identidades) pueden realizar determinadas acciones (permisos) sobre un recurso específico. En el contexto del cloud, el concepto de "Zero Trust" juega un papel importante, ya que incluso dentro del perímetro de seguridad, no se confía automáticamente en las comunicaciones sin asegurar permisos y accesos cifrados.

¿Quiénes son los miembros en IAM?

En el contexto de IAM, el quién puede referirse tanto a un usuario humano como a una aplicación. Las aplicaciones, conocidas como "service accounts", también pueden tener identidades y permisos para interactuar con otros recursos en la nube. En contraste, los humanos tienen una identidad más tradicional, y el sistema debe gestionar ambas formas para mantener los niveles adecuados de seguridad.

¿Cómo se determinan los permisos?

Los permisos determinan qué acciones pueden realizar los miembros en IAM. Estos permisos no se asignan individualmente, sino que se agrupan en roles, como el de administrador de seguridad o administrador de red. Por ejemplo:

Administrador de Seguridad: Puede generar políticas, leer logs, y gestionar reglas de firewall.
Administrador de Red: Puede crear redes, subredes, y conexiones.

Un punto fundamental es que los roles no se asignan a individuos sino a grupos, facilitando la gestión del acceso a medida que los colaboradores se unen o dejan la empresa.

¿Qué es una política en IAM?

Las políticas son documentos que asignan roles a ciertos miembros respecto a determinados recursos. Estos se expresan usualmente en formato JSON y puedo contener varias combinaciones de roles y miembros. Las políticas pueden aplicarse a diferentes niveles:

Nivel Organizacional: Aplicación a todos los proyectos de la organización.
Nivel Folder: Aplicación a proyectos específicos dentro de un folder.
Nivel Proyecto: Aplicación a recursos específicos de un proyecto.

Entender cómo se asignan y aplican las políticas es esencial para una adecuada gestión de accesos en la infraestructura de Google Cloud. Por ejemplo, una política podría establecer que un grupo de administradores puede generar bucket en todos los proyectos de una organización.

Consejos para una efectiva gestión de IAM

Familiarizarse con los permisos: No es necesario memorizar, pero conocer la lógica de permisos en GCP es crucial.
Utilizar roles predefinidos: Prefierelos siempre que sea posible para simplificar la gestión.
Gestión por grupos: Facilitar la administración asignando roles a grupos, no a individuos.
Aplica políticas correctamente: Asegúrate de que las políticas se asignan a los recursos exactos donde se necesitan.

La gestión adecuada de identidades y accesos no solo mejora la seguridad, sino que optimiza la operatividad de tu entorno en la nube. Explora cómo se implementan estas ideas en otros proveedores de nube y compara las diferencias con Google Cloud para seguir aprendiendo y adquiriendo experiencia en esta área crítica de la tecnología.

Tan Zuñiga

student•

Identidad y control de acceso

¿Quién es el miembro?

Puede ser

una persona
un subsistema (ejem. Aplicación): esto se le conoce como service account.

Zero Trust / Confianza Cero: No confiamos en lo que está dentro de nuestro perímetro de seguridad de forma automática.

Las comunicaciones dentro del perímetro de seguridad están cifradas y vienen con permisos.
Establecemos que aplicaciones pueden hablar con que aplicaciones.
Determinamos el tipo de recursos que las aplicaciones pueden generar.

¿Qué puede hacer?

Existe una taxonomía muy grande de recursos relacionados con que puede hacer.

Los recursos tienen ciertos permisos asignados. Además los permisos permiten realizar acciones sobre un recurso:

Generar uno nuevo
Modificarlo
Borrarlo
Hacerle update

¿En cuál recurso?

Las políticas de seguridad se asignan a cada uno de los recursos. En una política podemos establecer el rol de los miembros.

Quién puede hacer qué en cuál recurso.

El quién es persona o aplicación. El qué son permisos y se asignan a través de roles.

Roles

Los roles son una colección de permisos detallados que asignamos a grupos.

Podemos generar nuestros propios roles, pero ya hay varios existentes.

Asignación de politicas y herencia

Se puede asignar a varios niveles: podemos asignar políticas a nivel org. folder, proyecto y recurso. Además de que heredan la política de los nodos superiores.

Estructura de una política

{
 "bindings": [
 {
 	"role": "roles/storage.objectAdmin",
	"members": [
		"user:alice@acme.com",
 		"serviceAccount:my-other-app@appspot.gserviceaccount.com",
 		"group:admins@acme.com",
 		"domain:acme.com" ]
 },
 {
 	"role": "roles/storage.objectViewer",	# rol
 	"members": ["user:bob@acme.com"]	# a los que les asignaremos el rol
 }
 ]
}

Roger H.

student•

Gracias amiguis, tus aportes siempre me ayudan a entenderlo mejor :D

Víctor Macías Pincay

student•

Muchas gracias por cada aporte.

Andrés Castellanos

student•

De esta manera entiendo las políticas.

Se admiten críticas. 📈📝

Roger H.

student•

Esta bueno amigo, podrías hacer otro a ver qué cambia :D

Emmanuel Rodríguez

student•

IAM ( Identity and Access Management )

Definición

IAM nos permite otorgar acceso a específicos recursos de Google Cloud, así como limitar el acceso a otros. Con esto, IAM nos permite adoptar el principio de seguridad basada en privilegios donde todos, recursos y accesos, poseen permisos según sus necesidades. .

💡Con IAM, podemos administrar el acceso al definir who ( identidad ) tiene access ( role ) para con algún resource.

. En IAM, los permisos no sob abstraídos para un usuario final. En su lugar, los permisos son agrupados en roles, los cuales son otorgados a abstracciones llamadas principals.

Por último, una IAM policy define y aplica que roles a ciertos principals para con qué recursos. .

❔Si pudiéramos diagramar un IAM policy, tendríamos el siguiente ejemplo

. Para los diagramas siguientes, podemos denotar lo sigueinte: .

Principal. Definida por una cuenta existen en google, una cuenta de servicio o una identidad de Cloud bajo un dominio.
Role. Una colección de permisos que determinar las operaciones permitidas sobre un recursos.
Policy. Una colección vinculada de roles que puede atar desde uno o varios principals.

. Si esta política esta vinculada a un proyecto, los principals son abstraídos sobre la jerarquía del proyecto. .

-

.

Tipos de principals

Google Account user: : Representada por un ente físico o jerárquico, quien interactúa con la Google Cloud.
Service Account serviceAccount: : Representada por una aplicación.
Google Group group: : Representada por una colección de Google Accounts y Service Accounts.
Google Workspace Domain domain: : Representada bajo un dominio ( tal como example.com ) el cual define aun usuario como username@example.com.
Google Identity Domain : Similar a Google Workspace, pero sin disfrutar de la distro del Workspace.
allAuthenticateUsers: : Representa a los usuarios autenticados con Google Account pero sin considerase dentro de la organización. También representa a cuentas personales de Gmail.
allUsers: : Especifica a todos los usuarios del internet.

.

Acceso Administrado

Cada política es representada por un objeto llamado Policy , el cual consiste de una lista de roles bindings: .

{
  "bindings": [
    {
      "role": "roles/storage.objectAdmin",
       "members": [
         "user:ali@example.com",
         "serviceAccount:my-other-app@appspot.gserviceaccount.com",
         "group:admins@example.com",
         "domain:google.com"
       ]
    },
    {
      "role": "roles/storage.objectViewer",
      "members": [
        "user:maria@example.com"
      ]
    }
  ]
}

. Donde:

role . Especificado como role/service.roleName que define las acciones abstraídas sobre un determinado rol.
members . Una lista de principals donde cada uno es precedido por su correspondiente prefijo.

.

💡Los roles pueden ser categorizados en:

Basic Roles. Existentes en la consola de Google Cloud como Owner, Editor y Viewer.
Predefined roles. Roles que dan acceso privilegiado adicional a los roles básicos.
Custom roles. Roles creados para las necesidades puntales de una organización

Víctor Macías Pincay

student•

Muy detallada esta información. Muchas gracias.

Moises Bueso

student•

Identidad y control de acceso (IAM)

Cloud identity y controles de acceso IAM
- Quién (persona o recurso "equipo, aplicación o servicio")
  - sujetado al modelo Zero Trust > quiere decir que no confiamos en lo que está dentro de nuestro perímetro de seguridad de forma automática
- Puede hacer qué (que acciones tiene permitido realizar, pueden haber permisos asignados tanto a personas como a recursos)
- en cuál recurso

Roles

Representan un conjunto de permisos detallados
- Rol (Instance Admin)
  - Lista de permisos (delete, get, setmachinetype, start, stop)
  - permisos para generar políticas de seguridad
  - permisos para leer los logs
- Rol (Administradores de red)
  - generar redes
  - generar sub redes
  - generar rangos de IP
  - generar switches y otros recursos
Los roles no se asignan a personas, se asignan a los grupos
Asignación de políticas y herencia

Estructura de una política

{
 "bindings": [
 {
 	"role": "roles/storage.objectAdmin",
    "members": [
        "user:alice@acme.com",
 		"serviceAccount:my-other-app@appspot.gserviceaccount.com",
 		"group:admins@acme.com",
 		"domain:acme.com" ]
 },
 {
 	"role": "roles/storage.objectViewer",	# rol
 	"members": ["user:bob@acme.com"]	# a los que les asignaremos el rol
 }
 ]
}

Ernesto Jose Gabriel Lopez Bravo

student•

En Oracle Cloud debes crear primero el grupo o grupo dinámico, y luego utilizar el grupo dentro de la politica.

Lo que varia con relación a GCP es la politicas, en OCI son como frases tipo

Allow group Admins to manage all-resources in tenancy

Básicamente, esto te da permiso de administrador sobre el tenancy de OCI

Isaac Álvaro Cisneros Zaragoza

student•

Excelente aporte compañero, muchas gracias.

Lina Marcela Cabarique Niño

student•

Es curioso como funciona el control de acceso porque en comparación con AWS el concepto de role se mapea en gcp con el concepto de service account (los roles en aws son una identidad que se asocia a una aplicación), por lo demás es muy parecido. En cuanto al tema de las organizaciones en AWS no es necesario tener una definida ni un profile de facturación, ni un billing account para una cuenta personal (hasta donde he entendido de gcp), aunque si soporta un esquema similar mediante AWS organizations para ya una organización de cuentas y control de accessos.

Carolina de la Barrera Bautista

student•

IAM

IAM es quien puede hacer qué en qué recursos

QUIÉN? puede referirse a un humano o persona real pero el quién también puede referirse a un subsistema (en terminos de cloud).

Service Account es un servicio que válida al subsistema, mientras que la identidad común es para un usuario humano.

zero trust es una de las capas de seguridad más importantes, que habla de todo lo que esta dentro del perimetro de seguridad y todo lo de fuera no es de confianza.

quién puede hacer qué? = permisos

todos los permisos te permiten hacer update, crear nuevos permisos, etc.

Un Rol es un conjunto de permisos detallados.

Los Roles no se asignan a personas sino a grupos (normalmente).

Estructura de una política

Una vez que ya generaste una política tienes que asignar esa política al folder o proyecto.

Oscar Giovanni Bocanegra Hurtado

student•

Quien = Humano o aplicación (service Account)
Puede hacer que = Serie de permisos asignados a través de roles.
En cual recursos = Políticas asignadas a cada uno de los recursos.
Los Roles se asignan a grupos. (Dev, Pre, Pro)

Jhon Freddy Tavera Blandon

student•

¿Qué es IAM?

El control de identidad y acceso IAM es un servicio fundamental en Google Cloud Platform GCP que te permite administrar quién puede acceder a tus recursos en la nube y qué acciones pueden realizar. IAM te proporciona las herramientas para

Crear usuarios y grupos Define quiénes son los usuarios y grupos que pueden acceder a tus recursos.
Asignar roles Otorga permisos a usuarios y grupos mediante roles predefinidos o personalizados. Los roles definen las acciones que un usuario o grupo puede realizar en un recurso específico.
Establecer políticas de acceso Crea reglas para controlar cómo se accede a tus recursos, incluyendo la autenticación, la autorización y el auditoría.
Monitorear y auditar el acceso: Registra y analiza las actividades de los usuarios en tus recursos para detectar comportamientos inusuales o sospechosos.

Beneficios de usar IAM

Mayor seguridad: Protege tus recursos en la nube contra accesos no autorizados y actividades maliciosas.
Mejor cumplimiento: Cumple con las regulaciones de seguridad y privacidad de datos al controlar quién puede acceder a tus datos y qué pueden hacer con ellos.
Mayor eficiencia: Administra de manera eficiente el acceso a tus recursos, reduciendo la complejidad y el riesgo de errores.
Mayor visibilidad: Obtén información detallada sobre quién accede a tus recursos, cuándo y qué acciones realizan.

Pablo Mora

company_admin•

Si tienes experiencia en administración de dominios windows se te hace mas fácil entender, pues prácticamente es la misma esencia. Es mi humilde opinión.

Christian Felipe Santa Osorio

student•

Lo que entiendo con los Boquetes es que se pueden arrastrar herramientas allí para que entren a un proyecto a ejecutar ese trabajo asignándoselas a un colaborador con esas funciones.

Aurelio ML

student•

Llegue a un nuevo proyecto, literal tenían las claves de producción públicas (en el chat) y con eso tenía acceso a todo xD (ps: No sigan esas prácticas pls)

MARLON CHUQUINO CAPA

student•

y dónde podría conseguir trabajo con Google cloud

Kevin Fiorentino

student•

En cualquier empresa que lo utilice. Tienes que orientar tu perfil profesional como DevOps. Especializarte en servicios cloud como Google Cloud, Azure, AWS, entre otros. Podrás aplicar a los empleos que utilicen Google Cloud en el futuro.

Anthony Ismael Manotoa Moreno

student•

Hola :D

Como ejercicio, busca "Google Cloud" en LinkedIn y encontrarás una gran cantidad de empleos

Yosuad David Castillo Valdes

student•

Los "buckets" en Google Cloud Platform (GCP) son contenedores de almacenamiento dentro del servicio Cloud Storage. Permiten almacenar y organizar archivos de manera eficiente. Cada bucket tiene un nombre único y se puede configurar con permisos de acceso, lo que te permite controlar quién puede ver o modificar los archivos que contiene. Además, los buckets pueden ubicarse en diferentes regiones para optimizar la latencia y el costo de almacenamiento.

Jorge Emilio Granados Guzmán

student•

kjkhjh

Horacio Arias Hernández

student•

Es bueno ver todo los que se puede utilizar, pero sobre todo el ver que la IA es una herramienta que está bajo la supervisión de los humanos, que la oferta laboral es muy grande, y que bueno que las empresas comprendan que lo más importante es el capital humano el cual hace que las mismas crezcan día con día.

Horacio Arias Hernández

student•

Puede hacer qué: Se ve la taxonomía en que es lo que puede hacer y en qué momento, es el hecho de poder dar permisos a los usuarios y por otro lado a las aplicaciones; así mismo en cuales recursos. Esto aplicando las políticas con las cuales en la organización se hayan planteado, para el uso de los recursos.

Horacio Arias Hernández

student•

Puede ser confuso la versión del "QUIÉN", tan solo es comprender que son dos identidades: a) El usuario como ser humano. b) La aplicación como identidad de funcionalidad.

Mario Alberto Chico Sanchez

student•

En Sailpoint se gestiona distinto a gcp, se crean conectores de distintos tipos, archivos delimitados, jdbc, mainframe y también de proveedores como Azure, gcp y aws entre otros, para dar acceso a una identidad se le debe de pedir la creación de la identidad en el recurso específico con el rol deseado, siempre y cuando sean solocitables. Me gusta como es IAM en GCP.

Víctor Macías Pincay

student•

Muy interesante de como generar las políticas de seguridad y la creación de buckets.