# 📌 Introducción a Cloud IAM

## ¿Qué es Cloud IAM?

**Google Cloud Identity and Access Management (IAM)** es un sistema que permite crear y administrar permisos para recursos en **Google Cloud**. Proporciona un control unificado de acceso, asegurando que los usuarios y servicios tengan los permisos adecuados para realizar tareas específicas. En este laboratorio, trabajarás con dos cuentas de usuario para explorar cómo los roles (**Project Owner** y **Viewer**) determinan el acceso a recursos como **Cloud Storage**.

💡 **Beneficio empresarial**: **Cloud IAM** permite a las empresas implementar políticas de seguridad robustas, controlando quién puede acceder a datos sensibles, como registros financieros, y garantizando cumplimiento normativo.

Para más información, consulta la [Documentación oficial de Cloud IAM](https://cloud.google.com/iam/docs).

## 🚀 Objetivos del laboratorio

- Explorar la consola de **IAM** y los roles a nivel de proyecto.
- Crear un **bucket** en **Cloud Storage** y probar permisos de acceso.
- Revocar el acceso de un usuario al proyecto.
- Conceder acceso específico a **Cloud Storage** para un usuario.

💡 **Contexto empresarial**: Gestionar permisos con **IAM** asegura que solo el personal autorizado acceda a recursos críticos, como sistemas de contabilidad, minimizando riesgos de seguridad.

## 🚀 Configuración Inicial del Laboratorio

El laboratorio utiliza dos usuarios (**Username 1** como **Project Owner** y **Username 2** como **Viewer**) para simular configuraciones de permisos.

### Pasos para iniciar sesión
1. Abre la **Consola de Google Cloud** en un navegador (preferiblemente en modo incógnito).  
2. Inicia sesión con **Username 1** (Project Owner) y acepta los términos.  
3. Repite el proceso con **Username 2** (Viewer) en otra pestaña.  
4. Verifica el usuario activo pasando el cursor por el avatar en la esquina superior derecha.  
5. Para cambiar de usuario, cierra sesión desde el avatar y vuelve a iniciar desde el panel de conexión del laboratorio.

💡 **Contexto empresarial**: Usar múltiples cuentas con roles específicos ayuda a simular entornos reales donde diferentes empleados tienen distintos niveles de acceso.

## 🚀 Tarea 1: Explorar la Consola de IAM y los Roles a Nivel de Proyecto

### Desde Username 1 (Project Owner)
1. Navega a **Menu > IAM & Admin > IAM**.  
2. Haz clic en **+ GRANT ACCESS**.  
3. Observa los roles básicos disponibles:  
   - **Viewer**: Acceso de solo lectura a los recursos.  
   - **Editor**: Permite lectura y modificación de recursos.  
   - **Owner**: Incluye permisos de Editor más gestión de roles y facturación.

### Desde Username 2 (Viewer)
1. Navega a la misma sección (**IAM & Admin > IAM**).  
2. Nota que el botón **+GRANT ACCESS** está deshabilitado.  
3. Si intentas usarlo, aparecerá el error:  
   *"You need permissions for this action. Required permission(s): resourcemanager.projects.setIamPolicy"*.  

**Resultado esperado**: Esta diferencia demuestra cómo los roles determinan las acciones permitidas.

💡 **Contexto empresarial**: Los roles de **IAM** permiten limitar el acceso a funciones críticas, como la gestión de facturación, solo a usuarios autorizados, protegiendo los recursos financieros.

Para más información, consulta la [Documentación de roles en IAM](https://cloud.google.com/iam/docs/understanding-roles).

## 🚀 Tarea 2: Crear un Bucket y Probar Acceso

### Desde Username 1 (Project Owner)
1. Navega a **Menu > Cloud Storage > Buckets**.  
2. Crea un nuevo bucket con las siguientes configuraciones:  
   - **Nombre**: Único a nivel global (usa el ID del proyecto si se indica).  
   - **Ubicación**: **Multi-Region** (selecciona la región indicada en el laboratorio).  
   - **Clase de almacenamiento**: **Standard**.  
   - **Control de acceso**: **Uniform**.  
3. Sube un archivo de ejemplo (ej., .txt o .html) desde tu PC.  
4. Renómbralo como `sample.txt` usando el ícono de tres puntos en la consola.

### Desde Username 2 (Viewer)
1. Navega a **Cloud Storage > Buckets**.  
2. Verifica que puedes ver el bucket y el archivo `sample.txt`, pero no puedes modificarlo.

**Resultado esperado**: **Username 2** solo tiene acceso de lectura, validando su rol de **Viewer**.

💡 **Contexto empresarial**: Crear buckets y limitar accesos permite gestionar documentos empresariales, como reportes contables, asegurando que solo usuarios autorizados realicen cambios.

Para más información, consulta la [Documentación de Cloud Storage](https://cloud.google.com/storage/docs).

## 🚀 Tarea 3: Revocar el Acceso al Proyecto

### Desde Username 1 (Project Owner)
1. Navega a **IAM & Admin > IAM**.  
2. Busca **Username 2** en la lista de usuarios.  
3. Haz clic en el ícono de basurero para eliminar el rol **Viewer**.  
4. Guarda los cambios.

### Desde Username 2 (Viewer)
1. Intenta acceder a **Cloud Storage > Buckets**.  
2. Deberías recibir un error de permisos.  
3. Si no aparece, espera 1-2 minutos y refresca la página.

**Resultado esperado**: **Username 2** pierde acceso al proyecto.

💡 **Contexto empresarial**: Revocar accesos es crucial para proteger datos sensibles cuando un empleado cambia de rol o deja la empresa, asegurando cumplimiento normativo.

Para más información, consulta la [Documentación de gestión de accesos en IAM](https://cloud.google.com/iam/docs/granting-changing-revoking-access).

## 🚀 Tarea 4: Conceder Acceso Específico a Cloud Storage

### Desde Username 1 (Project Owner)
1. Navega a **IAM & Admin > IAM**.  
2. Haz clic en **+GRANT ACCESS**.  
3. Agrega **Username 2** como principal.  
4. Asigna el rol **Cloud Storage > Storage Object Viewer**.  
5. Guarda los cambios.

### Desde Username 2
1. Abre **Cloud Shell**.  
2. Ejecuta el siguiente comando para listar el contenido del bucket:

In [None]:
gsutil ls gs://YOUR_BUCKET_NAME

**Explicación del comando**:  
- `gsutil`: Herramienta de línea de comandos para gestionar **Cloud Storage**.  
- `ls`: Lista los archivos en el bucket.  
- `gs://YOUR_BUCKET_NAME`: Ruta del bucket (reemplaza `YOUR_BUCKET_NAME` con el nombre real).  

**Resultado esperado**: El comando muestra:  
```bash
gs://YOUR_BUCKET_NAME/sample.txt
```
Esto confirma que **Username 2** tiene acceso de solo lectura a **Cloud Storage**, pero no a otros recursos del proyecto.

💡 **Contexto empresarial**: Asignar roles específicos permite a los empleados acceder solo a los datos necesarios (ej., reportes en **Cloud Storage**) sin comprometer otros recursos.

Para más información, consulta la [Documentación de roles de Cloud Storage](https://cloud.google.com/storage/docs/access-control/iam-roles).

## 🚀 Cuadro Resumen

| **Tarea** | **Descripción** | **Usuario Principal** | **Resultado Esperado** |
|-----------|-----------------|-----------------------|-----------------------|
| **Tarea 1** | Explorar IAM y roles | Username 1 y 2 | Visualización de diferencias de permisos según rol |
| **Tarea 2** | Crear bucket y subir archivo | Username 1 | Bucket creado y archivo `sample.txt` visible |
| **Tarea 3** | Eliminar acceso al proyecto | Username 1 | Username 2 ya no puede ver recursos del proyecto |
| **Tarea 4** | Conceder acceso solo a Cloud Storage | Username 1 | Username 2 puede listar contenido del bucket en Cloud Shell |

💡 **Contexto empresarial**: Este resumen destaca cómo **IAM** permite gestionar permisos de manera granular, optimizando la seguridad y el control de acceso en entornos empresariales.

## 🚀 Conclusión

Este laboratorio te ha permitido explorar **Cloud IAM** al asignar, revocar y gestionar permisos para dos usuarios con roles distintos (**Project Owner** y **Viewer**). Has aprendido a crear un **bucket** en **Cloud Storage**, probar accesos y asignar permisos específicos mediante comandos en **Cloud Shell**. Estas habilidades son esenciales para garantizar la seguridad y el control de acceso en entornos empresariales.

💡 **Beneficio empresarial**: **Cloud IAM** permite a las empresas proteger datos sensibles, como registros contables, asignando permisos precisos y minimizando riesgos de accesos no autorizados.

🔸 **Consejo final**: Comprender los roles y sus límites en **IAM** es clave para mantener la seguridad en la nube y prevenir vulnerabilidades en entornos colaborativos.