Se usó la API de Cloud Translation para traducir esta página.

Soluciona problemas de permisos de IAM

El solucionador de problemas de políticas de IAM te ayuda a comprender por qué un usuario tiene acceso a un recurso o no tiene permiso para llamar a una API. Con una dirección de correo electrónico, un recurso y un permiso, el solucionador de problemas de políticas examina todas las políticas de permiso y de denegación que se aplican al recurso. Luego, usa esas políticas para indicar si la principal tiene el permiso. También, se enumeran las vinculaciones de roles y las reglas de denegación en las políticas y se explica cómo afectan el acceso de la principal.

Puedes acceder al solucionador de problemas de políticas mediante la consola de Google Cloud, Google Cloud CLI o la API de REST. Para consultas simples, el uso de la consola de Google Cloud suele ser más rápido. Para situaciones más complejas, considera gcloud CLI o la API de REST.

Antes de comenzar

Habilita la API de Policy Troubleshooter.
Habilita la API

Permisos necesarios

Para solucionar por completo el acceso de tus principales, necesitas los siguientes permisos.

Permisos para solucionar problemas de acceso de principales

El solucionador de problemas de políticas analiza el acceso de una principal a un recurso en función de las políticas de permisos, las políticas de denegación y las funciones que tienes permiso para ver. Si no tienes permiso para ver una política que se aplica a un recurso o si no tienes permiso para ver una función personalizada, es posible que no puedas saber si una principal tiene acceso.

Si quieres obtener los permisos que necesitas para solucionar problemas de acceso de una principal, pídele al administrador que te otorgue los siguientes roles de IAM en la organización:

Revisor de seguridad (roles/iam.securityReviewer)
Soluciona problemas relacionados con las políticas de denegación: Revisor de denegación (roles/iam.denyReviewer)
Usa Google Cloud CLI para solucionar problemas: Consumidor de Service Usage (roles/serviceusage.serviceUsageConsumer)

Si quieres obtener más información para otorgar roles, consulta Administra el acceso.

También es posible que obtengas los permisos necesarios mediante funciones personalizadas o bien otras funciones predefinidas.

Permisos para solucionar problemas de acceso de miembros del grupo

Si tus políticas de permiso y denegación incluyen grupos, necesitas el permiso groups.readde la API de Admin de Google Workspace para solucionar problemas de acceso de miembros individuales del grupo. Los administradores avanzados y los administradores de grupo tienen este permiso automáticamente. Para otorgar este permiso a un usuario que no es administrador avanzado o administrador de grupo, crea una función de administrador de Google Workspace personalizada que contenga el privilegio groups.read (ubicado en Privilegios de la API de Administrador) y otórgale al usuario.

Si no tienes estos permisos, las vinculaciones de roles y las reglas de denegación que contienen grupos o dominios tienen un resultado de acceso Desconocido, a menos que la vinculación de roles o regla de denegación también incluya de forma explícita la principal.

Permisos para solucionar problemas de acceso de los miembros del dominio

Si tus políticas de permiso y denegación incluyen una cuenta de Google Workspace o un dominio de Cloud Identity, debes ser un administrador de dominio para solucionar problemas de acceso de miembros individuales del dominio.

Soluciona problemas de acceso

Para solucionar problemas de acceso, necesitas la siguiente información:

Principal: La dirección de correo electrónico que se debe verificar. La dirección de correo electrónico debe hacer referencia a un usuario o a una cuenta de servicio. No se admiten otros tipos de principales.
Recurso: El nombre completo del recurso. Por ejemplo, para verificar el proyecto my-project, ingresa //cloudresourcemanager.googleapis.com/projects/my-project. Para otros tipos de recursos, consulta los ejemplos de nombres completos de recursos.
Permiso: El permiso que se debe verificar. Si usas Google Cloud Console, se muestra una lista de sugerencias a medida que escribes. Para obtener una lista completa de los permisos, consulta Referencia de permisos de IAM.

Consola

Para solucionar problemas de acceso, sigue estos pasos:

En la consola de Google Cloud, ve a la página Solucionador de problemas de políticas.

Ir al solucionador de problemas de políticas
Ingresa el correo electrónico de la principal cuyo acceso deseas consultar.
Ingresa el nombre y el permiso del recurso que deseas verificar. Si no conoces el nombre completo del recurso o el nombre del permiso, comienza a escribir para ver las opciones de autocompletar.
Opcional: Para comprobar varios recursos y permisos, selecciona Agregar otro par y repite el paso anterior.
Haz clic en Verificar acceso.

gcloud

Para averiguar por qué una principal tiene o no un permiso de IAM, usa el comando gcloud policy-troubleshoot iam.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

EMAIL: La dirección de correo electrónico del principal al que pertenecen los permisos con problemas que deseas solucionar.
RESOURCE: El recurso en el que se otorga el permiso.
PERMISSION: El permiso con los problemas que deseas solucionar.

Ejecuta el comando gcloud policy-Troubleshoot iam:

Linux, macOS o Cloud Shell

gcloud policy-troubleshoot iam RESOURCE --principal-email=EMAIL \
    --permission=PERMISSION

Windows (PowerShell)

gcloud policy-troubleshoot iam RESOURCE --principal-email=EMAIL `
    --permission=PERMISSION

Windows (cmd.exe)

gcloud policy-troubleshoot iam RESOURCE --principal-email=EMAIL ^
    --permission=PERMISSION

Deberías recibir una respuesta similar a la que figura a continuación:

{
  "accessTuple": {
    "conditionContext": {
      "destination": {},
      "effectiveTags": [
        {
          "tagValue": "tagValues/281481941428044",
          "namespacedTagValue": "803434038361/env/dev",
          "tagKey": "tagKeys/281475994198094",
          "namespacedTagKey": "803434038361/env",
          "tagKeyParentName": "organizations/803434038361"
        }
      ],
      "request": {},
      "resource": {}
    },
    "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
    "permission": "compute.instances.get",
    "permissionFqdn": "compute.googleapis.com/instances.get",
    "principal": "[email protected]"
  },
  "allowPolicyExplanation": {
    "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
    "explainedPolicies": [
      {
        "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
        "bindingExplanations": [
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_HIGH"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH",
            "role": "roles/compute.viewer",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "role": "roles/owner",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL",
            "role": "roles/resourcemanager.organizationAdmin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL"
          }
        ],
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "policy": {
          "bindings": [
            {
              "members": [
                "user:[email protected]"
              ],
              "role": "roles/compute.viewer"
            },
            {
              "members": [
                "user:[email protected]"
              ],
              "role": "roles/owner"
            },
            {
              "members": [
                "user:[email protected]"
              ],
              "role": "roles/resourcemanager.organizationAdmin"
            },
          ],
          "etag": "BwX5/L9Vbg4=",
          "version": 3
        },
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      }
    ],
    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
  },
  "denyPolicyExplanation": {
    "denyAccessState": "DENY_ACCESS_STATE_DENIED",
    "explainedResources": [
      {
        "denyAccessState": "DENY_ACCESS_STATE_DENIED",
        "explainedPolicies": [
          {
            "denyAccessState": "DENY_ACCESS_STATE_DENIED",
            "policy": {
              "createTime": "2023-04-18T07:15:47.702191Z",
              "displayName": "Deny compute instance get",
              "etag": "MTc3MDA1ODIyNjExNTMzMDg2NzI=",
              "kind": "DenyPolicy",
              "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F123456789012/denypolicies/deny-compute-get",
              "rules": [
                {
                  "denyRule": {
                    "deniedPrincipals": [
                      "principal://iam.googleapis.com/projects/-/serviceAccounts/[email protected]"
                    ],
                    "deniedPermissions": [
                      "compute.googleapis.com/instances.get"
                    ]
                  }
                }
              ],
              "uid": "77e93c80-b383-0027-268e-a52a608aa13d",
              "updateTime": "2023-04-18T07:15:47.702191Z",
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH",
            "ruleExplanations": [
              {
                "combinedDeniedPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedDeniedPrincipal": {
                  "membership": "MEMBERSHIP_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedExceptionPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedExceptionPrincipal": {
                  "membership": "MEMBERSHIP_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "deniedPermissions": {
                  "compute.googleapis.com/instances.get": {
                    "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "deniedPrincipals": {
                  "principal://iam.googleapis.com/projects/-/serviceAccounts/[email protected]": {
                    "membership": "MEMBERSHIP_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "denyAccessState": "DENY_ACCESS_STATE_DENIED",
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            ]
          }
        ],
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/123456789012",
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      }
    ],
    "permissionDeniable": true,
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "overallAccessState": "CANNOT_ACCESS"
}

REST

Para averiguar por qué una cuenta principal tiene o no un permiso de IAM, usa el método iam.troubleshoot de la API del solucionador de problemas de políticas.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

EMAIL: La dirección de correo electrónico del principal al que pertenecen los permisos con problemas que deseas solucionar.
RESOURCE: El recurso en el que se otorga el permiso.
PERMISSION: El permiso con los problemas que deseas solucionar.
PROJECT_ID: El ID del proyecto que deseas usar para realizar la solicitud. Los ID de proyecto son strings alfanuméricas, como my-project.

Método HTTP y URL:

POST http://policytroubleshooter.googleapis.com/v3beta/iam:troubleshoot

Cuerpo JSON de la solicitud:

{
  "accessTuple": {
    "principal": "EMAIL",
    "fullResourceName": "RESOURCE",
    "permission": "PERMISSION"
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Nota: Con el siguiente comando, se supone que accediste a la CLI de gcloud con tu cuenta de usuario mediante la ejecución de gcloud init o gcloud auth login, o mediante el uso de Cloud Shell, que accede automáticamente a la CLI de gcloud. Para comprobar la cuenta activa actual, ejecuta gcloud auth list.

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "x-goog-user-project: PROJECT_ID" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "http://policytroubleshooter.googleapis.com/v3beta/iam:troubleshoot"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "http://policytroubleshooter.googleapis.com/v3beta/iam:troubleshoot" | Select-Object -Expand Content

Explorador de API (navegador)

Copia el cuerpo de la solicitud y abre la página de referencia del método. El panel del Explorador de API se abre en la parte derecha de la página. Puedes interactuar con esta herramienta para enviar solicitudes. Pega el cuerpo de la solicitud en esta herramienta, completa cualquier otro campo obligatorio y haz clic en Ejecutar.

Deberías recibir una respuesta JSON similar a la que se muestra a continuación:

{
  "overallAccessState": "CANNOT_ACCESS",
  "accessTuple": {
    "principal": "[email protected]",
    "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
    "permission": "compute.instances.get",
    "permissionFqdn": "compute.googleapis.com/instances.get",
    "conditionContext": {
      "effectiveTags": [
        {
          "tagValue": "tagValues/281481941428044",
          "namespacedTagValue": "803434038361/env/dev",
          "tagKey": "tagKeys/281475994198094",
          "namespacedTagKey": "803434038361/env",
          "tagKeyParentName": "organizations/803434038361"
        }
      ]
    }
  },
  "allowPolicyExplanation": {
    "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
    "explainedPolicies": [
      {
        "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/my-project",
        "bindingExplanations": [
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
            "role": "roles/compute.viewer",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_HIGH"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_HIGH"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/owner",
            "rolePermission": "ROLE_PERMISSION_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
            "combinedMembership": {
              "membership": "MEMBERSHIP_NOT_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_NOT_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL"
          },
          {
            "allowAccessState": "ALLOW_ACCESS_STATE_NOT_GRANTED",
            "role": "roles/resourcemanager.organizationAdmin",
            "rolePermission": "ROLE_PERMISSION_NOT_INCLUDED",
            "rolePermissionRelevance": "HEURISTIC_RELEVANCE_NORMAL",
            "combinedMembership": {
              "membership": "MEMBERSHIP_MATCHED",
              "relevance": "HEURISTIC_RELEVANCE_NORMAL"
            },
            "memberships": {
              "user:[email protected]": {
                "membership": "MEMBERSHIP_MATCHED",
                "relevance": "HEURISTIC_RELEVANCE_NORMAL"
              }
            },
            "relevance": "HEURISTIC_RELEVANCE_NORMAL"
          }
        ],
        "relevance": "HEURISTIC_RELEVANCE_HIGH",
        "policy": {
          "version": 3,
          "etag": "BwX5/L9Vbg4=",
          "bindings": [
            {
              "role": "roles/compute.viewer",
              "members": [
                "user:[email protected]"
              ]
            },
            {
              "role": "roles/owner",
              "members": [
                "user:[email protected]"
              ]
            },
            {
              "role": "roles/resourcemanager.organizationAdmin",
              "members": [
                "user:[email protected]"
              ]
            },
          ]
        }
      }
    ],
    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
  },
  "denyPolicyExplanation": {
    "denyAccessState": "DENY_ACCESS_STATE_DENIED",
    "explainedResources": [
      {
        "denyAccessState": "DENY_ACCESS_STATE_DENIED",
        "fullResourceName": "//cloudresourcemanager.googleapis.com/projects/123456789012",
        "explainedPolicies": [
          {
            "denyAccessState": "DENY_ACCESS_STATE_DENIED",
            "policy": {
              "name": "policies/cloudresourcemanager.googleapis.com%2Fprojects%2F123456789012/denypolicies/deny-compute-get",
              "uid": "77e93c80-b383-0027-268e-a52a608aa13d",
              "kind": "DenyPolicy",
              "displayName": "Deny compute instance get",
              "etag": "MTc3MDA1ODIyNjExNTMzMDg2NzI=",
              "createTime": "2023-04-18T07:15:47.702191Z",
              "updateTime": "2023-04-18T07:15:47.702191Z",
              "rules": [
                {
                  "denyRule": {
                    "deniedPrincipals": [
                      "principal://iam.googleapis.com/projects/-/serviceAccounts/[email protected]"
                    ],
                    "deniedPermissions": [
                      "compute.googleapis.com/instances.get"
                    ]
                  }
                }
              ]
            },
            "ruleExplanations": [
              {
                "denyAccessState": "DENY_ACCESS_STATE_DENIED",
                "combinedDeniedPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "deniedPermissions": {
                  "compute.googleapis.com/instances.get": {
                    "permissionMatchingState": "PERMISSION_PATTERN_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "combinedExceptionPermission": {
                  "permissionMatchingState": "PERMISSION_PATTERN_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "combinedDeniedPrincipal": {
                  "membership": "MEMBERSHIP_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "deniedPrincipals": {
                  "principal://iam.googleapis.com/projects/-/serviceAccounts/[email protected]": {
                    "membership": "MEMBERSHIP_MATCHED",
                    "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                  }
                },
                "combinedExceptionPrincipal": {
                  "membership": "MEMBERSHIP_NOT_MATCHED",
                  "relevance": "HEURISTIC_RELEVANCE_NORMAL"
                },
                "relevance": "HEURISTIC_RELEVANCE_HIGH"
              }
            ],
            "relevance": "HEURISTIC_RELEVANCE_HIGH"
          }
        ],
        "relevance": "HEURISTIC_RELEVANCE_HIGH"
      }
    ],
    "relevance": "HEURISTIC_RELEVANCE_HIGH",
    "permissionDeniable": true
  }
}

Comprender los resultados del solucionador de problemas

Consola

La página de resultados contiene la siguiente información:

Detalles de la evaluación
Detalles de la política, que contiene lo siguiente:

Detalles de la evaluación

En la sección Detalles de la evaluación, se incluye un resumen del acceso que estás solucionando, incluidos la principal, el recurso y el permiso especificados. Si quieres solucionar problemas de varios pares de permisos de recursos, puedes usar la lista Evaluación de acceso para alternar entre ellos.

Detalles de la política

La sección Detalles de la política contiene detalles sobre cómo las políticas de permiso y denegación relevantes afectan el acceso de la principal.

Entre las políticas pertinentes de permiso y denegación, se incluyen las siguientes:

La política de permiso del recurso
Las políticas de denegación del recurso, si las hay
Las políticas de permiso del proyecto superior, la carpeta y la organización del recurso, si las hay
Las políticas de denegación del proyecto superior, la carpeta y la organización del recurso, si las hay

Las políticas de permiso y denegación de los proyectos, las carpetas y las organizaciones superiores son relevantes debido a la herencia de políticas. Cuando adjuntas una política de permiso o denegación a un proyecto, una organización o una carpeta, esa política también se aplica a todos los recursos dentro de ese proyecto, organización o carpeta.

Por ejemplo, si una política de denegación para una organización indica que una principal no puede usar un permiso específico, la principal no puede usar ese permiso en ningún recurso dentro de la organización. Esta regla se aplica incluso si las carpetas y proyectos dentro de esa organización tienen políticas de denegación más permisivas o políticas de permiso que otorgan permiso a la principal.

Del mismo modo, si una política de permisos para un proyecto le da a una principal un permiso específico, la principal tiene ese permiso para cualquier recurso dentro del proyecto, siempre que no se le deniegue ese permiso.

La sección Detalles de la política contiene las siguientes secciones:

Estado de acceso
Política de denegación
Política de permisos

Estado de acceso

La sección Estado de acceso contiene un resumen breve del acceso de la principal según las políticas de permiso y denegación de IAM relevantes. En este resumen, se incluye el impacto de las políticas de denegación, el impacto de las políticas de permisos y el resultado final del acceso según las políticas de permiso y denegación relevantes.

Política de denegación

En la sección Política de denegación, puedes ver todas las políticas de denegación relevantes, identificar reglas de denegación que rechazan el acceso a la principal y comprender por qué una regla de denegación deniega o deniega el permiso a la principal.

En el panel Recursos con políticas de denegación, se enumeran todas las políticas de denegación relevantes, organizadas por los recursos a los que se adjuntan. Junto a cada política de denegación, hay una evaluación de acceso. Esta evaluación solo se aplica a esa política de denegación; no refleja ningún acceso de las políticas heredadas. Si no tienes permiso para ver la política de denegación de un recurso, la lista de recursos no incluye ese recurso ni sus políticas de denegación.

Para ver las reglas de denegación relevantes de estas políticas de denegación, haz clic en ellas. Para ver todas las reglas de denegación en las políticas de denegación de un recurso, haz clic en un recurso. Las reglas de denegación aparecen en el panel Reglas de denegación. Este panel contiene una tabla de todas las reglas de denegación con la principal consulta o el permiso del recurso o la política de denegación que seleccionaste.

En la columna Acceso, se indica si la regla de denegación deniega el permiso al principal. Para ver más detalles sobre la regla de denegación, haz clic en Ver regla de denegación en la fila de la regla.

Política de permisos

En la sección Permitir política, puedes navegar por todas las políticas de permisos relevantes, identificar vinculaciones de funciones que otorguen acceso a la principal y comprender por qué una vinculación de función otorga o no el permiso a la principal.

El panel Recursos enumera el recurso especificado y sus principales. Junto a cada recurso hay una evaluación de acceso. Esta evaluación solo se aplica a la política de permisos de ese recurso, no refleja ningún acceso de políticas heredadas. Si no tienes permiso para ver la política de permisos de un recurso, la lista de recursos no lo incluye.

Para ver las vinculaciones de roles relevantes en la política de permisos de un recurso y ver cómo le otorgan o no el permiso a la principal, haz clic en el recurso. Las vinculaciones de la política de permisos aparecen en el panel Vinculaciones de funciones.

El panel Vinculaciones de funciones contiene una tabla de vinculaciones de funciones en la política de permisos del recurso seleccionado. De forma predeterminada, la tabla solo contiene vinculaciones de funciones que incluyen una función con el permiso especificado. Si la principal no tiene acceso, la tabla también muestra las vinculaciones de funciones con funciones personalizadas editables. Para ver todas las vinculaciones de funciones, desmarca la casilla de verificación Mostrar solo vinculaciones relevantes.

La columna Acceso indica si la vinculación de función otorga permiso a la principal. Para ver más detalles sobre la vinculación de función, haz clic en Ver detalles de vinculación en la fila de esa vinculación.

gcloud

La respuesta contiene cuatro secciones principales: una descripción de la tupla de acceso en la solicitud, los resultados de la evaluación de políticas de permiso, los resultados de la evaluación de la política de denegación y el estado general del acceso.

accessTuple: Una descripción de la tupla de acceso en la solicitud, incluido cualquier contexto de condición que proporcionaste. Esta sección también contiene un resumen de las etiquetas que se aplican al recurso.

allowPolicyExplanation: Un resumen de si las políticas de permisos relevantes otorgan el permiso a la principal, seguido de una lista de políticas de permisos y sus vinculaciones de roles.

Para cada política de permiso, la respuesta enumera todas las vinculaciones de funciones en la política y las evalúa según los siguientes criterios:
- Indica si la vinculación incluye el permiso.
- Indica si la vinculación incluye la principal.
- Indica si se cumplen las condiciones de la vinculación, si las hubiera.
Luego, la respuesta imprime el texto JSON completo de la política de permisos.

denyPolicyExplanation: Un resumen de si las políticas de denegación relevantes rechazan el permiso, seguida de una lista de recursos con políticas de denegación. Para cada recurso, la respuesta enumera todas las políticas de denegación adjuntas al recurso.

Para cada política de denegación, la respuesta imprime los metadatos de la política, enumera las reglas de denegación en la política y, luego, evalúa cada regla según los siguientes criterios:
- Indica si la regla de denegación incluye el permiso.
- Indica si el permiso aparece como una excepción en la regla de denegación.
- Indica si la regla de denegación incluye la principal.
- Indica si la principal aparece como una excepción en la regla de denegación.
- Indica si se cumplen las condiciones de la regla de rechazo, si corresponde.

overallAccessState: Indica si la principal puede usar el permiso especificado para acceder al recurso especificado según las políticas de permiso y denegación relevantes.
Entre las políticas pertinentes de permiso y denegación, se incluyen las siguientes:
- La política de permiso del recurso
- Las políticas de denegación del recurso, si las hay
- Las políticas de permiso del proyecto superior, la carpeta y la organización del recurso, si las hay
- Las políticas de denegación del proyecto superior, la carpeta y la organización del recurso, si las hay
Las políticas de permiso y denegación de los proyectos, las carpetas y las organizaciones superiores son relevantes debido a la herencia de políticas. Cuando adjuntas una política de permiso o denegación a un proyecto, una organización o una carpeta, esa política también se aplica a todos los recursos dentro de ese proyecto, organización o carpeta.

Por ejemplo, si una política de denegación para una organización indica que una principal no puede usar un permiso específico, la principal no puede usar ese permiso en ningún recurso dentro de la organización. Esta regla se aplica incluso si las carpetas y proyectos dentro de esa organización tienen políticas de denegación más permisivas o políticas de permiso que otorgan permiso a la principal.

Del mismo modo, si una política de permisos para un proyecto le da a una principal un permiso específico, la principal tiene ese permiso para cualquier recurso dentro del proyecto, siempre que no se le deniegue ese permiso.

Nota: Las políticas de denegación, incluidas las heredadas de denegación, siempre tienen prioridad sobre las políticas de permiso. Para obtener más información, consulta Evaluación de políticas.

Muchos objetos de la respuesta también tienen un campo relevance. El valor de este campo indica cuánto contribuye ese objeto al estado de acceso general. El campo relevance puede tener los siguientes valores:

HEURISTIC_RELEVANCE_HIGH: Indica que el objeto tiene un gran impacto en el resultado. En otras palabras, es probable que quitar el objeto cambie el estado de acceso general. Por ejemplo, una vinculación de función que otorga a la principal el permiso especificado tendría este valor de relevancia.
HEURISTIC_RELEVANCE_NORMAL: Indica que el objeto tiene un impacto limitado en el resultado. En otras palabras, es poco probable que quitar el objeto cambie el estado de acceso general. Por ejemplo, una regla de denegación que no contiene el permiso o la principal tendría este valor de relevancia.

REST

La respuesta contiene cuatro secciones principales: el estado de acceso general, una descripción de la tupla de acceso en la solicitud, los resultados de la evaluación de políticas de permiso y los resultados de la evaluación de política de denegación.

overallAccessState: Indica si la principal puede usar el permiso especificado para acceder al recurso especificado según las políticas de permiso y denegación relevantes.
Entre las políticas pertinentes de permiso y denegación, se incluyen las siguientes:
- La política de permiso del recurso
- Las políticas de denegación del recurso, si las hay
- Las políticas de permiso del proyecto superior, la carpeta y la organización del recurso, si las hay
- Las políticas de denegación del proyecto superior, la carpeta y la organización del recurso, si las hay
Las políticas de permiso y denegación de los proyectos, las carpetas y las organizaciones superiores son relevantes debido a la herencia de políticas. Cuando adjuntas una política de permiso o denegación a un proyecto, una organización o una carpeta, esa política también se aplica a todos los recursos dentro de ese proyecto, organización o carpeta.

Por ejemplo, si una política de denegación para una organización indica que una principal no puede usar un permiso específico, la principal no puede usar ese permiso en ningún recurso dentro de la organización. Esta regla se aplica incluso si las carpetas y proyectos dentro de esa organización tienen políticas de denegación más permisivas o políticas de permiso que otorgan permiso a la principal.

Del mismo modo, si una política de permisos para un proyecto le da a una principal un permiso específico, la principal tiene ese permiso para cualquier recurso dentro del proyecto, siempre que no se le deniegue ese permiso.

Nota: Las políticas de denegación, incluidas las heredadas de denegación, siempre tienen prioridad sobre las políticas de permiso. Para obtener más información, consulta Evaluación de políticas.

accessTuple: Una descripción de la tupla de acceso en la solicitud, incluido cualquier contexto de condición que proporcionaste. Esta sección también contiene un resumen de las etiquetas que se aplican al recurso.

allowPolicyExplanation: Un resumen de si las políticas de permisos relevantes otorgan el permiso a la principal, seguido de una lista de políticas de permisos y sus vinculaciones de roles.

Para cada política de permiso, la respuesta enumera todas las vinculaciones de funciones en la política y las evalúa según los siguientes criterios:
- Indica si la vinculación incluye el permiso.
- Indica si la vinculación incluye la principal.
- Indica si se cumplen las condiciones de la vinculación, si las hubiera.
Luego, la respuesta imprime el texto JSON completo de la política de permisos.

denyPolicyExplanation: Un resumen de si las políticas de denegación relevantes rechazan el permiso, seguida de una lista de recursos con políticas de denegación. Para cada recurso, la respuesta enumera todas las políticas de denegación adjuntas al recurso.

Para cada política de denegación, la respuesta imprime los metadatos de la política, enumera las reglas de denegación en la política y, luego, evalúa cada regla según los siguientes criterios:
- Indica si la regla de denegación incluye el permiso.
- Indica si el permiso aparece como una excepción en la regla de denegación.
- Indica si la regla de denegación incluye la principal.
- Indica si la principal aparece como una excepción en la regla de denegación.
- Indica si se cumplen las condiciones de la regla de rechazo, si corresponde.

HEURISTIC_RELEVANCE_HIGH: Indica que el objeto tiene un gran impacto en el resultado. En otras palabras, es probable que quitar el objeto cambie el estado de acceso general. Por ejemplo, una vinculación de función que otorga a la principal el permiso especificado tendría este valor de relevancia.
HEURISTIC_RELEVANCE_NORMAL: Indica que el objeto tiene un impacto limitado en el resultado. En otras palabras, es poco probable que quitar el objeto cambie el estado de acceso general. Por ejemplo, una regla de denegación que no contiene el permiso o la principal tendría este valor de relevancia.

Soluciona problemas de vinculaciones de funciones condicionales

El solucionador de problemas de políticas soluciona de forma automática las vinculaciones de funciones condicionales y las reglas de denegación según las etiquetas. Sin embargo, para solucionar otros tipos de vinculaciones de funciones condicionales o reglas de denegación condicional, el solucionador de problemas de políticas necesita contexto adicional sobre la solicitud. Por ejemplo, para solucionar problemas de condiciones basadas en atributos de fecha y hora, el solucionador de problemas de políticas necesita la hora de la solicitud.

En gcloud CLI y la API de REST, debes proporcionar este contexto adicional de forma manual.

En la consola de Google Cloud, puedes proporcionar este contexto adicional mediante la solución de problemas directamente desde cualquier registro de auditoría de actividad del administrador o registro de auditoría de acceso a los datos. Cada entrada de registro de auditoría corresponde a una solicitud a una API de Google Cloud o a una acción que Google Cloud realiza en tu nombre. Cuando solucionas los problemas de un registro de auditoría, el solucionador de problemas de políticas obtiene información adicional automáticamente sobre la solicitud, como su fecha y hora, lo que permite que el solucionador de problemas de políticas analice las vinculaciones de funciones condicionales y las reglas de denegación.

Consola

Para solucionar problemas de vinculación de funciones condicionales y reglas de denegación, haz lo siguiente:

En la consola de Google Cloud, ve a la página Explorador de registros.

Ve al Explorador de registros.
Si el título de la página es Visor de registros heredados, haz clic en la lista desplegable Actualizar y selecciona Actualizar al Explorador de registros nuevo.
Para ver solo los registros de auditoría de actividad del administrador y acceso a los datos, ingresa la siguiente consulta en el compilador de consultas y, luego, haz clic en Ejecutar consulta:
```
logName=("RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Factivity" OR "RESOURCE_TYPE/RESOURCE_ID/logs/cloudaudit.googleapis.com%2Fdata_access")
```
Reemplaza los siguientes valores:
- RESOURCE_TYPE: El tipo de recurso para el que creas una lista de registros de auditoría. Usa projects, folders o organizations.
- RESOURCE_ID: El ID de tu recurso.
Ubica la entrada de registro de auditoría que corresponda a la solicitud que deseas solucionar. Si quieres obtener información sobre cómo usar el explorador de registros para encontrar entradas de registro específicas, consulta Usa el explorador de registros.

Nota: En algunos casos, una sola solicitud puede producir más de una entrada de registro. Revisa con cuidado las entradas para determinar qué entrada solucionar.
En la columna Resumen de la entrada de registro, haz clic en IAM y, luego, en Solucionar problemas de acceso.

El solucionador de problemas de políticas usa la información de la entrada de registro para solucionar problemas de acceso y, luego, te muestra los resultados. El contexto adicional se enumera en los detalles de la evaluación en Contexto de la condición. Para ver los detalles del contexto, haz clic en Ver contexto de la condición. Para obtener más información sobre la página de resultados del solucionador de problemas de políticas, consulta Soluciona problemas de acceso en esta página.

Nota: El contexto adicional no incluye el estado de membresía de grupo. Cuando solucionas problemas de membresías de grupos, el solucionador de problemas de políticas siempre usa el estado de la membresía del grupo en el momento de solucionar el problema.
Opcional: Para solucionar problemas con otra solicitud que implique vinculaciones de funciones condicionales y reglas de denegación, regresa a la página Explorador de registros y repite los pasos anteriores.

gcloud

Para solucionar problemas de vinculación de funciones condicionales y reglas de denegación, usa el comando gcloud policy-troubleshoot iam.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

EMAIL: La dirección de correo electrónico de la principal cuyos permisos deseas solucionar.
RESOURCE: El recurso en el que se otorga el permiso.
PERMISSION: Es el permiso para el que deseas solucionar problemas.
DESTINATION_IP: Opcional La dirección IP de destino de la solicitud que se usará para verificar las vinculaciones de funciones condicionales. Por ejemplo, 198.1.1.1.
DESTINATION_PORT: Opcional El puerto de destino de la solicitud que se usará para verificar las vinculaciones de funciones condicionales. Por ejemplo, “8080”.
REQUEST_TIME: Opcional Es la marca de tiempo de la solicitud que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Usa una marca de tiempo en formato RFC 3339, por ejemplo, 2099-02-01T00:00:00Z.
RESOURCE_NAME: Opcional El valor del nombre del recurso que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Para obtener una lista de los formatos de nombres de recursos aceptados, consulta la sección sobre el formato de nombre de recurso.
RESOURCE_SERVICE: Opcional El valor del servicio de recursos que se usará para verificar las vinculaciones de funciones condicionales. Para obtener una lista de los nombres de servicios aceptados, consulta Valores del servicio de recursos.
RESOURCE_TYPE: Opcional Para obtener una lista de los tipos de recursos que se aceptan, consulta Valores de tipos de recursos.

Ejecuta el comando gcloud policy-Troubleshoot iam:

Linux, macOS o Cloud Shell

gcloud policy-troubleshoot iam RESOURCE --principal-email=EMAIL \
    --permission=PERMISSION --destination-ip=DESTINATION_IP \
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME \
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE \
    --resource-type=RESOURCE_TYPE

Windows (PowerShell)

gcloud policy-troubleshoot iam RESOURCE --principal-email=EMAIL `
    --permission=PERMISSION --destination-ip=DESTINATION_IP `
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME `
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE `
    --resource-type=RESOURCE_TYPE

Windows (cmd.exe)

gcloud policy-troubleshoot iam RESOURCE --principal-email=EMAIL ^
    --permission=PERMISSION --destination-ip=DESTINATION_IP ^
    --destination-port=DESTINATION_PORT --request-time=REQUEST_TIME ^
    --resource-name=RESOURCE_NAME --resource-service=RESOURCE_SERVICE ^
    --resource-type=RESOURCE_TYPE

La respuesta contiene una explicación del acceso de la principal. Para cada regla de vinculación y denegación de función con una condición, la respuesta incluye un campo conditionExplanation que describe si la condición se evalúa como verdadera o falsa en función del contexto de condición que proporcionaste.

Por ejemplo, la siguiente es una evaluación de una vinculación de función con una condición que especifica el tipo y el servicio de recurso:

...
{
  "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
  "combinedMembership": {
    "membership": "MEMBERSHIP_MATCHED",
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "condition": {
    "expression": " resource.type \u003d\u003d \"compute.googleapis.com/Instance\" \u0026\u0026 resource.service \u003d\u003d \"compute.googleapis.com\"",
    "title": "Compute instances only",
    "description": "Condition that limits permissions to only Compute instances"
  },
  "conditionExplanation": {
    "evaluationStates": [{
      "end": 51,
      "start": 1,
      "value": true
    }, {
      "end": 99,
      "start": 55,
      "value": true
    }],
    "value": true,
  },
  "memberships": {
    "user:[email protected]": {
      "membership": "MEMBERSHIP_MATCHED",
      "relevance": "HEURISTIC_RELEVANCE_HIGH"
    }
  },
  "relevance": "HEURISTIC_RELEVANCE_HIGH",
  "role": "roles/compute.viewer",
  "rolePermission": "ROLE_PERMISSION_INCLUDED",
  "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH"
}
...

REST

Para solucionar vinculaciones de funciones condicionales y reglas de denegación, usa el método iam.troubleshoot de la API del solucionador de problemas de políticas.

Antes de usar cualquiera de los datos de solicitud a continuación, realiza los siguientes reemplazos:

EMAIL: La dirección de correo electrónico de la principal cuyos permisos deseas solucionar.
RESOURCE: El recurso en el que se otorga el permiso.
PERMISSION: Es el permiso para el que deseas solucionar problemas.
DESTINATION_IP: Opcional La dirección IP de destino de la solicitud que se usará para verificar las vinculaciones de funciones condicionales. Por ejemplo, 198.1.1.1.
DESTINATION_PORT: Opcional El puerto de destino de la solicitud que se usará para verificar las vinculaciones de funciones condicionales. Por ejemplo, “8080”.
REQUEST_TIME: Opcional Es la marca de tiempo de la solicitud que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Usa una marca de tiempo en formato RFC 3339, por ejemplo, 2099-02-01T00:00:00Z.
RESOURCE_NAME: Opcional El valor del nombre del recurso que se usará cuando se verifiquen las vinculaciones de funciones condicionales. Para obtener una lista de los formatos de nombres de recursos aceptados, consulta la sección sobre el formato de nombre de recurso.
RESOURCE_SERVICE: Opcional El valor del servicio de recursos que se usará para verificar las vinculaciones de funciones condicionales. Para obtener una lista de los nombres de servicios aceptados, consulta Valores del servicio de recursos.
RESOURCE_TYPE: Opcional Para obtener una lista de los tipos de recursos que se aceptan, consulta Valores de tipos de recursos.

Método HTTP y URL:

POST http://policytroubleshooter.googleapis.com/v3beta/iam:troubleshoot

Cuerpo JSON de la solicitud:

{
  "accessTuple": {
    "principal": "EMAIL",
    "fullResourceName": "RESOURCE",
    "permission": "PERMISSION",
    "conditionContext": {
      "destination": {
        "ip": DESTINATION_IP,
        "port": DESTINATION_PORT
      },
      "request": {
        "receiveTime": REQUEST_TIME
      },
      "resource": {
        "name": RESOURCE_NAME,
        "service": RESOURCE_SERVICE,
        "type": RESOURCE_TYPE
      }
    }
  }
}

Para enviar tu solicitud, expande una de estas opciones:

curl (Linux, macOS o Cloud Shell)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

curl -X POST \
    -H "Authorization: Bearer $(gcloud auth print-access-token)" \
    -H "x-goog-user-project: PROJECT_ID" \
    -H "Content-Type: application/json; charset=utf-8" \
    -d @request.json \
    "http://policytroubleshooter.googleapis.com/v3beta/iam:troubleshoot"

PowerShell (Windows)

Guarda el cuerpo de la solicitud en un archivo llamado request.json y ejecuta el siguiente comando:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred"; "x-goog-user-project" = "PROJECT_ID" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "http://policytroubleshooter.googleapis.com/v3beta/iam:troubleshoot" | Select-Object -Expand Content

Explorador de API (navegador)

Por ejemplo, la siguiente es una evaluación de una vinculación de función con una condición que especifica el tipo y el servicio de recurso:

...
{
  "allowAccessState": "ALLOW_ACCESS_STATE_GRANTED",
  "role": "roles/compute.viewer",
  "rolePermission": "ROLE_PERMISSION_INCLUDED",
  "rolePermissionRelevance": "HEURISTIC_RELEVANCE_HIGH",
  "combinedMembership": {
    "membership": "MEMBERSHIP_MATCHED",
    "relevance": "HEURISTIC_RELEVANCE_HIGH"
  },
  "memberships": {
    "user:[email protected]": {
      "membership": "MEMBERSHIP_MATCHED",
      "relevance": "HEURISTIC_RELEVANCE_HIGH"
    }
  },
  "relevance": "HEURISTIC_RELEVANCE_HIGH",
  "condition": {
    "expression": " resource.type \u003d\u003d \"compute.googleapis.com/Instance\" \u0026\u0026 resource.service \u003d\u003d \"compute.googleapis.com\"",
    "title": "Compute instances only",
    "description": "Condition that limits permissions to only Compute instances"
  },
  "conditionExplanation": {
    "value": true,
    "evaluationStates": [{
      "start": 1,
      "end": 51,
      "value": true
    }, {
      "start": 55,
      "end": 99,
      "value": true
    }]
  }
}
...

¿Qué sigue?

Usa la referencia de permisos o la referencia de funciones predefinidas para determinar qué función otorgar a un usuario que no tiene permisos.
Lee sobre las otras herramientas de Policy Intelligence, que te ayudan a comprender y administrar tus políticas a fin de mejorar de forma proactiva tu configuración de seguridad.