# 📌 Guía del Laboratorio: Cloud IAM - Qwik Start

## 1. Introducción a Cloud IAM

### 1.1 ¿Qué es Cloud IAM?
**Google Cloud Identity and Access Management (IAM)** es un servicio que permite administrar permisos y controlar el acceso a recursos en **Google Cloud**. Proporciona un sistema unificado para definir quién puede realizar qué acciones sobre qué recursos, garantizando seguridad y cumplimiento normativo en entornos empresariales.

💡 **Contexto empresarial**: **IAM** es como un panel de control en un sistema contable, donde se define quién puede acceder a módulos como facturación, nóminas o reportes financieros, asegurando que solo personal autorizado manipule datos sensibles.

Para más información, consulta la [Documentación de Google Cloud IAM](https://cloud.google.com/iam/docs).

### 1.2 Objetivos del Laboratorio

- Asignar roles a diferentes usuarios.
- Experimentar cómo funcionan los permisos en la práctica.
- Aprender a revocar accesos.
- Entender la diferencia entre roles primitivos y permisos específicos.

💡 **Contexto empresarial**: Estos objetivos te permiten configurar accesos seguros en sistemas financieros, asegurando que los contadores o auditores tengan permisos adecuados y que los accesos no autorizados se eliminen rápidamente.

## 🚀 2. Configuración Inicial

### 2.1 Credenciales del Laboratorio

El laboratorio proporciona dos conjuntos de credenciales:
- **Usuario 1**: Tiene el rol de **Owner** (propietario), con permisos completos.
- **Usuario 2**: Tiene el rol de **Viewer** (lector), con permisos de solo lectura.

💡 **Contexto empresarial**: Similar a asignar roles en un ERP contable, donde el **Owner** sería el administrador financiero y el **Viewer** un auditor externo con acceso limitado.

### 2.2 Iniciar Sesión

1. Abre dos pestañas distintas en tu navegador.
2. En la primera pestaña, inicia sesión con las credenciales del **Usuario 1**.
3. En la segunda pestaña, inicia sesión con las credenciales del **Usuario 2**.

💡 **Contexto empresarial**: Como abrir sesiones separadas para un contador jefe y un auditor en un sistema contable, cada uno con permisos diferentes.

## 🔒 3. Tareas del Laboratorio

### Tarea 1: Explorar la Consola IAM y Roles de Proyecto

#### Paso 1: Verificar permisos del Usuario 1 (Owner)
1. En la pestaña del **Usuario 1**, navega a **IAM & Admin > IAM** en **Google Cloud Console**.
2. Observa que el **Usuario 1** tiene el rol de **Owner**.
3. Verifica que el botón **+GRANT ACCESS** está activo, indicando permisos completos.

💡 **Contexto empresarial**: El rol **Owner** es como el administrador de un sistema contable, con autoridad para modificar cualquier configuración o asignar permisos.

#### Paso 2: Verificar permisos del Usuario 2 (Viewer)
1. Cambia a la pestaña del **Usuario 2**.
2. Navega a **IAM & Admin > IAM**.
3. Confirma que:
   - Tiene el rol de **Viewer**.
   - El botón **+GRANT ACCESS** está deshabilitado.
   - Si intenta asignar roles, recibe el mensaje: **"You need permissions for this action"**.

💡 **Contexto empresarial**: El rol **Viewer** es como un auditor que solo puede revisar reportes financieros, pero no modificarlos ni gestionar accesos.

### Tarea 2: Crear y Configurar un Bucket de Cloud Storage

#### Paso 1: Crear un bucket (Usuario 1)
1. En la pestaña del **Usuario 1**, navega a **Cloud Storage > Buckets**.
2. Haz clic en **+CREATE**.
3. Configura:
   - **Name**: Ingresa un nombre único globalmente (ej. `mi-bucket-contable-2025`).
   - **Location Type**: Selecciona **Multi-Region**.
4. Haz clic en **CREATE**.

💡 **Contexto empresarial**: Crear un bucket es como configurar un archivo digital seguro para almacenar documentos contables, como facturas o balances.

#### Paso 2: Subir un archivo de prueba
1. En la página de detalles del bucket, haz clic en **UPLOAD FILES**.
2. Selecciona un archivo de texto (`.txt` o `.html`).
3. Renombra el archivo a `sample.txt`.

💡 **Contexto empresarial**: Como subir un reporte financiero a un repositorio seguro en la nube para compartirlo con auditores autorizados.

#### Paso 3: Verificar acceso del Usuario 2
1. Cambia a la pestaña del **Usuario 2**.
2. Navega a **Cloud Storage > Buckets**.
3. Confirma que puede ver el bucket y el archivo `sample.txt` (permiso de lectura).

💡 **Contexto empresarial**: Similar a permitir que un auditor vea un balance financiero en un sistema contable, pero sin poder modificarlo.

### Tarea 3: Revocar Accesos

#### Paso 1: Eliminar rol del Usuario 2 (Usuario 1)
1. En la pestaña del **Usuario 1**, navega a **IAM & Admin > IAM**.
2. Busca la entrada del **Usuario 2**.
3. Haz clic en el ícono de lápiz (editar).
4. Elimina el rol **Viewer** haciendo clic en el ícono de basura.
5. Haz clic en **SAVE**.

💡 **Contexto empresarial**: Como revocar el acceso de un auditor externo a un sistema contable una vez finalizada su tarea.

#### Paso 2: Verificar pérdida de acceso (Usuario 2)
1. Cambia a la pestaña del **Usuario 2**.
2. Actualiza la página de **Cloud Storage**.
3. Confirma que aparece un error de permisos, indicando que el **Usuario 2** ya no tiene acceso.

💡 **Contexto empresarial**: Similar a confirmar que un ex-empleado ya no puede acceder a datos financieros tras ser dado de baja.

### Tarea 4: Asignar Permisos Específicos

#### Paso 1: Otorgar permiso específico (Usuario 1)
1. En la pestaña del **Usuario 1**, navega a **IAM & Admin > IAM**.
2. Haz clic en **+GRANT ACCESS**.
3. En **New principals**, ingresa el email del **Usuario 2**.
4. En **Select a role**, elige **Cloud Storage > Storage Object Viewer**.
5. Haz clic en **SAVE**.

💡 **Contexto empresarial**: Como otorgar a un contador junior acceso solo al módulo de facturación en un ERP, sin permisos para modificar otros datos.

#### Paso 2: Verificar nuevo acceso (Usuario 2)
1. Cambia a la pestaña del **Usuario 2**.
2. Abre **Cloud Shell** (ícono de terminal en la barra superior).
3. Ejecuta el siguiente comando, reemplazando `[NOMBRE_DEL_BUCKET]` con el nombre del bucket creado:

In [None]:
gsutil ls gs://[NOMBRE_DEL_BUCKET]

**Explicación del comando**:  
- `gsutil ls`: Lista los objetos en el bucket especificado.  
- `gs://[NOMBRE_DEL_BUCKET]`: Ruta del bucket en **Cloud Storage**.  
- **Resultado esperado**: El comando muestra el archivo `sample.txt`, confirmando que el **Usuario 2** tiene acceso de lectura.  
- **Nota**: El **Usuario 2** no puede ver otros recursos del proyecto, respetando el principio de mínimo privilegio.  

💡 **Contexto empresarial**: Como verificar que un auditor puede listar facturas en un repositorio contable, pero no acceder a otros módulos como nóminas.

## 📋 4. Resumen de Aprendizaje

El laboratorio demostró conceptos clave de **Cloud IAM** a través de tareas prácticas:

| Concepto | Descripción | Ejemplo en el Laboratorio |
|----------|-------------|--------------------------|
| **Roles primitivos** | Roles básicos (Owner, Editor, Viewer) que otorgan permisos amplios. | Usuario 1 (Owner) vs. Usuario 2 (Viewer). |
| **Permisos específicos** | Accesos granulares a servicios particulares. | Rol **Storage Object Viewer** para **Cloud Storage**. |
| **Gestión de accesos** | Cómo otorgar y revocar permisos. | Asignación y remoción de roles. |
| **Propagación de cambios** | Tiempo que tardan los cambios en aplicarse. | Espera de hasta 80 segundos al revocar accesos. |

💡 **Contexto empresarial**: Estos conceptos son esenciales para garantizar que los sistemas contables cumplan con normativas de control interno, asignando permisos específicos y auditando accesos regularmente.

## 🚀 5. Conclusión

Este laboratorio te ha permitido:
1. Entender la diferencia entre **roles primitivos** (como Owner, Viewer) y **permisos específicos** (como Storage Object Viewer).
2. Practicar cómo asignar y revocar accesos en **Cloud IAM**.
3. Aplicar el **principio de mínimo privilegio**, otorgando solo los permisos necesarios.
4. Observar cómo los permisos afectan lo que los usuarios pueden ver y hacer en **Google Cloud Console**.

💡 **Beneficio empresarial**: Configurar **IAM** correctamente asegura que los datos financieros estén protegidos, que los accesos sean auditables y que se cumplan normativas como las de control interno en contabilidad.

Para más información, consulta la [Documentación de Google Cloud IAM](https://cloud.google.com/iam/docs).