Prácticas recomendadas sobre control de acceso (original) (raw)
En esta página se describen las prácticas recomendadas para usar Gestión de Identidades y Accesos (IAM) y listas de control de acceso (ACLs) para gestionar el acceso a tus datos.
Para que las políticas de gestión de identidades y accesos y las listas de control de acceso sean eficaces, deben gestionarse de forma activa. Antes de permitir que otros usuarios accedan a un contenedor, un objeto o una carpeta gestionada, asegúrate de saber con quién quieres compartir el recurso y qué roles quieres que tenga cada uno de ellos. Con el tiempo, los cambios en la gestión de proyectos, los patrones de uso y la propiedad de la organización pueden requerir que modifiques los ajustes de IAM o de ACL en los contenedores y proyectos, especialmente si gestionas Cloud Storage en una organización grande o para un gran grupo de usuarios. Cuando evalúes y planifiques los ajustes de control de acceso, ten en cuenta las siguientes prácticas recomendadas:
- Aplica el principio de mínimos privilegios al conceder acceso a tus cubos, objetos o carpetas gestionadas.
El principio de mínimos accesos es una directriz de seguridad para conceder acceso a tus recursos. Cuando concedes acceso según el principio de mínimos accesos, otorgas el permiso mínimo necesario para que un usuario pueda completar la tarea que se le ha asignado. Por ejemplo, si quieres compartir archivos con alguien, debes concederle el permiso destorage.objectViewerrol de gestión de identidades y accesosREADERo deREADERACLREADER, y no el permiso destorage.adminrol de gestión de identidades y accesosstorage.admino deOWNERACLOWNER. - No concedas roles de gestión de identidades y accesos con el permiso
setIamPolicyni el permisoOWNERde la lista de control de acceso a personas que no conozcas.
Si se concede el permisosetIamPolicyde gestión de identidades y accesos o el permisoOWNERde listas de control de acceso, un usuario puede cambiar los permisos y tomar el control de los datos. Solo debe usar roles con estos permisos si quiere delegar el control administrativo de objetos, cubos y carpetas gestionadas. - Ten cuidado con la forma en que concedes permisos a usuarios anónimos.
Los tipos de principalesallUsersyallAuthenticatedUserssolo deben usarse cuando sea aceptable que cualquier persona en Internet lea y analice sus datos. Aunque estos ámbitos son útiles para algunas aplicaciones y situaciones, no suele ser una buena idea conceder a todos los usuarios determinados permisos, como los permisos de gestión de identidades y accesossetIamPolicy,update,createodelete, o el permisoOWNERde las listas de control de acceso. - Delega el control administrativo de tus cubos.
Debes asegurarte de que otros miembros del equipo puedan seguir gestionando tus recursos si un usuario con acceso de administrador abandona el grupo.
Para evitar que los recursos dejen de estar accesibles, puedes hacer lo siguiente:- Concede el rol de gestión de identidades y accesos Administrador de Storage de tu proyecto a un grupo en lugar de a un usuario individual
- Concede el rol de IAM Administrador de Storage de tu proyecto a al menos dos personas.
- Concede permisos de
OWNERLCA a tu segmento a al menos dos personas
- Ten en cuenta el comportamiento interoperable de Cloud Storage.
Cuando se usa la API XML para acceder de forma interoperable a otros servicios de almacenamiento, como Amazon S3, el identificador de firma determina la sintaxis de la ACL. Por ejemplo, si la herramienta o la biblioteca que estás usando hace una solicitud a Cloud Storage para recuperar las LCAs y la solicitud usa el identificador de firma de otro proveedor de almacenamiento, Cloud Storage devuelve un documento XML que usa la sintaxis de LCA del proveedor de almacenamiento correspondiente. Si la herramienta o biblioteca que estás usando hace una solicitud a Cloud Storage para aplicar LCAs y la solicitud usa el identificador de firma de otro proveedor de almacenamiento, Cloud Storage espera recibir un documento XML que use la sintaxis de LCA del proveedor de almacenamiento correspondiente.
Para obtener más información sobre cómo usar la API XML para la interoperabilidad con Amazon S3, consulta Migración sencilla de Amazon S3 a Cloud Storage.